9. März 2023

ISO 27001: Wer kann mir wirklich helfen?

Von Joachim Reinke

März 9, 2023

Berater, ISO 27001

Wenn ein Unternehmen mit ISO 27001 startet, kommt die Frage oft sehr früh:
Wer kann uns dabei eigentlich wirklich helfen?

Die Frage ist berechtigt. Denn bei ISO 27001 geht es nicht nur darum, irgendeinen Berater zu finden, der die Norm kennt. Es geht darum, jemanden zu finden, der Ihr Projekt so begleitet, dass am Ende nicht nur Dokumente entstehen, sondern ein System, das im Alltag funktioniert und im Audit trägt.

Genau deshalb lohnt es sich, bei der Auswahl nicht nur auf Fachbegriffe, Zertifikate oder schöne Folien zu schauen.

Die kurze Antwort

Helfen kann Ihnen grundsätzlich mehr als nur eine Person:

  • ein externer Berater;
  • ein interner Verantwortlicher;
  • ein Auditor als Sparringspartner;
  • ein Coach oder Trainer
  • ein Dokumentensatz als Strukturhilfe
  • und natürlich die Menschen im eigenen Unternehmen

Aber nicht jede Hilfe hilft gleich gut.

Die wichtigere Frage ist deshalb nicht: Wer bietet ISO 27001 an?

Sondern: Wer hilft uns so, dass wir wirklich vorankommen?

Woran Sie merken, dass jemand Ihnen wirklich helfen kann

Viele Berater sehen auf der Website erst einmal ähnlich aus. Interessant wird es erst dann, wenn man prüft, ob sie nicht nur Wissen haben, sondern auch Wirkung erzeugen können.

1. Erfahrung ist wichtig - aber nicht als Deko

Natürlich sollte ein Berater Erfahrung mit ISO 27001 haben. Das ist die Grundvoraussetzung.

Aber Erfahrung ist nicht einfach die Behauptung: "Wir machen das schon lange."

Die bessere Frage ist:

  • Hat diese Person Unternehmen wirklich bis ins Audit begleitet?
  • Hat sie verschiedene Ausgangslagen gesehen?
  • Hat sie erlebt, wo Projekte in der Praxis hängen bleiben?
  • Kann sie erklären, was in echten Projekten funktioniert und was nicht?

Erfahrung merkt man oft nicht an der Zahl der Buzzwords, sondern daran, wie klar jemand typische Probleme einordnen kann.

2. Gute Hilfe ist nicht nur Fachwissen, sondern Projektführung

ISO 27001 ist nicht nur ein Fachthema. Es ist ein Projekt.

Und viele Projekte scheitern nicht an der Norm, sondern an genau diesen Dingen:

  • niemand zieht es sauber durch;
  • Entscheidungen bleiben liegen;
  • Verantwortlichkeiten sind unklar;
  • Fachbereiche machen nicht richtig mit;
  • das Projekt verliert nach ein paar Wochen Schwung.

Genau deshalb ist ein guter Berater nicht nur jemand, der Inhalte erklären kann. Er muss auch ein Projekt führen können:

  • den richtigen nächsten Schritt kennen;
  • die richtigen Leute einbinden;
  • Druck machen, wenn es nötig ist;
  • und bremsen, wenn jemand gerade ins falsche Detail abgleitet.

3. Branchenkenntnis ist hilfreich - aber nicht immer das Wichtigste

Viele fragen zuerst: Muss der Berater unsere Branche kennen?

Die ehrliche Antwort lautet: Hilfreich, ja. Zwingend, nicht immer.

Wichtiger ist oft, dass der Berater Ihr Unternehmen schnell versteht:

  • wie Ihr Geschäft funktioniert;
  • wo Ihre kritischen Prozesse liegen;
  • was für Ihre Kunden relevant ist;
  • und wo Ihre wirklichen Risiken sitzen.

Tiefe Branchenkenntnis kann ein Pluspunkt sein. Sie ersetzt aber nicht die Fähigkeit, sich sauber in eine Organisation hineinzudenken.

4. Methodik schlägt Bauchladen

Ein guter Berater hat eine klare Vorgehensweise.

Nicht im Sinne von: "Hier sind 200 Vorlagen, viel Erfolg. Bis dann!"

Sondern im Sinne von:

  • Was passiert zuerst?
  • Wie wird der Scope festgelegt?
  • Wie werden Risiken abgeleitet?
  • Wer muss wann eingebunden werden?
  • Wie wird das Projekt auditreif?

Wenn Ihnen ein Berater das nicht klar und verständlich erklären kann, würde ich vorsichtig werden.

Denn dann ist das Risiko groß, dass das Projekt am Ende eher aus Einzelleistungen besteht als aus einer sauberen Führung.

5. Gute Hilfe passt zum Unternehmen - nicht umgekehrt

Ein häufiger Fehler ist, dass Unternehmen sich einen Berater suchen, der fachlich gut klingt, aber methodisch oder menschlich überhaupt nicht zum eigenen Laden passt.

Das zeigt sich oft schnell:

  • zu viel Theorie;
  • zu viel Konzernsprache;
  • zu viel Overhead;
  • "Dozenten"haftigkeit;
  • oder ein Stil, der intern einfach nicht angenommen wird.

Gerade bei ISO 27001 ist das relevant. Denn Sie arbeiten mit dem Berater nicht nur zwei Stunden, sondern oft über Wochen oder Monate. Da ist es ein echter Faktor, ob diese Zusammenarbeit praktisch funktioniert.

6. Referenzen sind gut - echte Einordnung ist besser

Natürlich sind Referenzen sinnvoll. Aber noch wichtiger ist, wie jemand über vergangene Projekte spricht.

Kann er konkret erklären,

  • wo andere Unternehmen typischerweise hängen;
  • welche Fehler oft passieren;
  • welche Entscheidungen später teuer werden;
  • und wie man solche Dinge früh erkennt?

Dann merken Sie meistens schnell, ob Sie mit echter Projekterfahrung sprechen oder nur mit jemandem, der die richtige Außendarstellung gelernt hat.

7. Tool-Frage: Der Berater sollte Sie nicht in ein System drängen

Ein Punkt wird bei der Beraterauswahl oft unterschätzt: In welchen Tools will oder kann der Berater eigentlich mit Ihnen arbeiten?

Manche Berater bringen faktisch ihr eigenes System mit. Dann läuft das Projekt plötzlich in genau dem einen Tool, das der Berater bevorzugt. Für Sie klingt das zunächst bequem. In der Praxis kann das aber schnell in versteckten Abo-Kosten, zusätzlichem Schulungsaufwand und unnötigem Lock-in enden.

Auf der anderen Seite gibt es Berater, die gedanklich bei Word, Excel und Dateiversionen stehengeblieben sind und alles außerhalb davon eher als Störung empfinden.

Die bessere Lösung ist meistens: Der Berater kann sich in Ihre vorhandene Umgebung einfügen. Wenn Sie ohnehin mit SharePoint, Confluence, Jira, Planner, Asana oder ähnlichen Werkzeugen arbeiten, sollte ein guter Berater damit umgehen können. Denn genau dann arbeiten Sie in Systemen, die Sie bereits kennen und für die intern keine Berührungsängste bestehen.

Ein Berater sollte das Projekt nicht unnötig schwerer machen, nur weil er sein Lieblingswerkzeug durchdrücken will.

Sie wissen noch gar nicht, welches Tool Sie nehmen sollten? Hier ist ein Artikel, der Ihnen hilft.

Und wenn Sie mit einem GRC-Tool liebäugeln, dann hier noch einer.

8. Make or Buy: Wie viel Arbeit bleibt wirklich bei Ihnen hängen?

Viele Unternehmen unterschätzen diesen Punkt am Anfang gewaltig.

Natürlich kann man ein ISO-27001-Projekt so aufsetzen, dass intern viel selbst gemacht wird. Das spart auf dem Papier externe Beratungskosten. Gleichzeitig bindet es aber sehr viel Zeit im Unternehmen.

Wenn Ihre Mitarbeiter operativ ohnehin stark eingebunden sind, reicht es nicht, wenn ein Berater nur "fachlich unterstützt". Dann muss er in der Lage sein, spürbar etwas abzufedern:

  • Projektführung;
  • Struktur;
  • Vorarbeit
  • Aufbereitung
  • Nachhalten
  • Vorbereitung von Entscheidungen

Genau deshalb lohnt es sich, sehr früh zu fragen:

Bietet der Berater nur Sparring an - oder kann er auch operative Last aus dem Projekt nehmen?

Ein guter Berater kann beides. Er sollte aber offen sagen, welches Modell er anbietet oder präferiert. Sonst merken Sie zu spät, dass Sie eigentlich nicht Beratung eingekauft haben, sondern zusätzliche Arbeit für das eigene Team.

9. Vergleichbarkeit: Gute Berater halten offenen Vergleich aus

Ein einfacher, aber aufschlussreicher Test ist diese Frage: Wäre der Berater bereit, sich in einem gemeinsamen Termin mit anderen möglichen Beratern zu stellen?

Viele Kunden scheuen sich davor. Dabei ist genau das oft sehr hilfreich.

Gute Berater kennen ihren Wert. Sie wissen, wie sie arbeiten, was sie leisten und worin ihr Unterschied liegt. Deshalb haben sie normalerweise kein Problem damit, in einem offenen Vergleichsgespräch sauber zu erklären, warum ihr Ansatz passt - oder eben nicht.

Wenn jemand auf so etwas auffällig empfindlich reagiert, sollten Sie genauer hinschauen.

10. Struktur: Ein guter Berater kennt die nächsten Schritte immer

Einer der wichtigsten Faktoren ist oft schwerer zu greifen als Referenzen oder Preis:
Wirkt der Berater strukturiert?

Haben Sie im Gespräch jederzeit den Eindruck, dass diese Person genau weiß,

  • wo Sie gerade stehen;
  • was als Nächstes passieren muss;
  • welche Abhängigkeiten es gibt;
  • und in welcher Reihenfolge Themen sinnvoll angegangen werden?

Wenn das fehlt, wird ein ISO-27001-Projekt schnell zäh. Dann gibt es zwar Input, aber keine klare Führung.

Ein guter Berater schafft Orientierung. Nicht nur fachlich, sondern auch im Projektverlauf.

11. Festpreis: Erfahrung zeigt sich auch in sauberer Kalkulation

Erfahrene Berater sind oft in der Lage, Ihnen einen klaren Festpreis anzubieten. Sie werden keinen Cent mehr als diesen bezahlen.

Nicht deshalb, weil diese Berater zaubern können, sondern weil sie aus langjähriger Erfahrung wissen:

  • welche Arbeit typischerweise anfällt;
  • welche Projektmuster immer wieder vorkommen;
  • und welche Beistellungen sie vom Kunden wirklich brauchen.

Ein guter Festpreis ist nicht nur eine Zahl. Er macht transparent:

  • welche Leistungen enthalten sind;
  • was der Berater übernimmt;
  • was von Ihnen kommen muss;
  • und wo die Grenzen des Modells liegen.

Das ist deutlich wertvoller als ein offenes Stundenversprechen, bei dem Sie erst am Ende merken, wie teuer das Ganze wirklich geworden ist.

Zu den Kosten haben wir hier übrigens noch einen Spezial-Artikel.

12. Time and Material: Vorsichtig sein!

Wenn ein Berater sagt: "Wir arbeiten auf Time and Material-Basis zusammen" -
dann sollten Sie sehr genau hinhören.

Natürlich kann es Situationen geben, in denen das sinnvoll ist. Als Grundmodell für ein ISO 27001-Projekt ist es aber oft problematisch. Denn dann kaufen Sie kein klares Ergebnis, sondern erst einmal laufende Stunden.

Und damit entsteht ein schiefer Anreiz für den Berater: Je länger das Projekt dauert, desto länger wird fakturiert.

Das heißt nicht automatisch, dass jeder Berater auf Stundenbasis schlecht arbeitet. Aber es heißt: Das Risiko liegt deutlich stärker bei Ihnen. Wenn Sie Verbindlichkeit wollen, ist ein klar geschnittener Leistungsumfang mit sauberem Preis in vielen Fällen die bessere Lösung.

13. Dauer: Die Antwort sollte plausibel sein

Fragen Sie mögliche Berater ruhig direkt: Wie lange dauert so eine Zertifizierung typischerweise?

Und gleich danach: Wovon hängt das konkret ab?

Die Antwort muss nicht auf den Tag genau sein. Aber sie sollte nachvollziehbar sein.

Ein guter Berater kann erklären:

  • welche Zeiträume realistisch sind;
  • was das Projekt beschleunigt;
  • was es typischerweise verzögert;
  • und an welchen Stellschrauben man wirklich drehen kann.

Wenn die Antwort nur aus einer glatten Zahl besteht, aber ohne echte Einordnung, wäre ich vorsichtig. Dann klingt es vielleicht schön, hilft Ihnen aber bei der echten Planung nicht.

Ach übrigens - wir haben zur Dauer eines ISO 27001-Projekts noch einen separaten Artikel, der auf der Thema genauer eingeht.

14. Einzelkämpfer: Was passiert bei Urlaub, Krankheit oder Engpässen?

Auch das ist ein Punkt, der oft erst zu spät auffällt.

Einzelkämpfer können fachlich sehr gut sein. Aber sie haben ein strukturelles Problem:

Wenn diese eine Person krank ist, Urlaub hat oder gerade in einem anderen Projekt festhängt, steht Ihr ISO 27001-Projekt schnell still.

Deshalb lohnt sich die Frage: Wie ist der Berater organisatorisch aufgestellt?

Gibt es Vertretung? Gibt es Back-up? Oder gibt es jemanden, der übernehmen oder sauber einspringen kann?

Gerade bei einem Projekt, das sich über Monate zieht, ist das kein Randthema. Es ist ein echter Risikofaktor.

Was Ihnen meistens nicht genug hilft

Jetzt schauen wir uns mal die andere Seite an:

Ein reiner Dokumentensatz

Vorlagen können helfen. Aber sie führen kein Projekt.

Ein rein technischer Sicherheitsberater

Der kann technisch/fachlich stark sein, wenn es darum geht, die neueste Firewall-Generation zu konfigurieren, aber trotzdem zu schmal, wenn es um ISMS, Rollen, Nachweise, Richtlinien- und Prozessdokumentation sowie Auditlogik geht.

Ein Berater ohne Projektsteuerung

Dann bekommen Sie zwar Input, aber niemand hält das Ganze zusammen.

Jemand, der nur auf die Norm schaut

Dann entsteht schnell ein Papierprojekt statt eines Systems, das im Unternehmen trägt.

Worauf Sie im Erstgespräch achten sollten

Ein gutes Erstgespräch erkennen Sie oft an diesen Punkten:

  • Der Berater fragt nach Ihrem Unternehmen und nicht nur nach Ihrem Budget.
  • Er versucht zu verstehen, warum Sie ISO 27001 überhaupt machen wollen.
  • Er erklärt nicht nur Leistungen, sondern auch seine Vorgehensweise.
  • Er kann Risiken und typische Engpässe sauber benennen.
  • Er klingt nicht nach "alles ganz einfach", sondern nach realistischer Führung.

Wenn Sie nach dem Gespräch klarer sehen als vorher, ist das ein gutes Zeichen.

Wenn Sie nur beeindruckt sind, weil der Berater eine schier unendliche Vielzahl akademischer Meriten aufzählt, Ihre Ohren vor Konzernsprech klingeln und Sie sich zudem wie in einer Vorlesung für fortgeschrittene Regulatorik fühlen - aber leider nicht schlauer sind: dann eher nicht.

Wie man die Auswahl sinnvoll angeht

Unser Rat:

  1. Nicht nur mit einem Anbieter sprechen.
  2. Auf Klarheit statt auf Show und Imponiergehabe achten.
  3. Nach echter Vorgehensweise fragen.
  4. Prüfen, ob die Person Ihr Unternehmen wirklich versteht.
  5. Darauf achten, ob Sie sich mit dieser Person mehrere Monate Zusammenarbeit vorstellen können.

Denn genau das ist der Punkt: Sie kaufen bei ISO 27001 nicht nur Fachwissen ein. Sie kaufen Zusammenarbeit.

FAQ

Unser Tipp

Ein guter ISO-27001-Berater überzeugt nicht nur durch Fachwissen.

Er überzeugt auch dadurch,

  • dass er Ihr Projekt sauber führt,
  • in Ihrer Realität arbeiten kann,
  • Ihnen unnötige Last abnimmt,
  • klare Preise und realistische Zeiträume nennt,
  • und organisatorisch so aufgestellt ist, dass Ihr Projekt nicht an einer einzigen Person hängt.

Genau daran erkennen Sie am Ende nicht den lautesten Anbieter - sondern den, der Ihnen wirklich helfen kann.

ISO 27001 – wer kann mir helfen?

Wenn Sie prüfen wollen, ob ein ISO-27001-Berater wirklich zu Ihrem Unternehmen passt oder nur gut klingt, sprechen Sie mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!

Über den Autor

Joachim Reinke

Joachim Reinke unterstützt seit 2017 Unternehmen beim Aufbau praxistauglicher Managementsysteme für Informationssicherheit und Qualität. In dieser Zeit hat er bereits mehr als 100 Unternehmen begleitet. Er ist zertifizierter Lead Auditor und als Dozent für Informationssicherheit und Qualitätsmanagement bei Zertifizierern und Trainingsanbietern tätig. Kunden schätzen besonders seine klare, praxisnahe und verständliche Vermittlung auch anspruchsvoller Inhalte.

View Comments