5. Oktober 2020

Was kostet eine ISO 27001-Zertifizierung wirklich?

Von Joachim Reinke

Oktober 5, 2020

ISO 27001, Kosten, Zertifizierungsprojekt

Die Frage nach den Kosten kommt fast immer sehr früh. Und die ehrliche Antwort lautet: Es gibt keinen einheitlichen Festpreis.

Trotzdem lässt sich die Frage sinnvoll beantworten. Denn die Kosten einer ISO 27001-Zertifizierung bestehen nicht nur aus dem Audit beim Zertifizierer. In der Praxis müssen Unternehmen immer drei Kostenblöcke getrennt betrachten:

  1. Interner Aufwand;
  2. Beratungskosten;
  3. Zertifizierungskosten.

Erst wenn diese drei Blöcke sauber auseinandergehalten werden, entsteht ein realistisches Bild.

Die kurze Antwort

Für kleine Unternehmen beginnt der reine Vertrag mit der Zertifizierungsstelle meist im niedrigen fünfstelligen Bereich. Die Gesamtkosten des Projekts liegen aber oft deutlich höher, weil zusätzlich interner Aufwand und gegebenenfalls externe Unterstützung anfallen.

Wer nur auf die Rechnung des Zertifizierers schaut, unterschätzt die tatsächlichen Projektkosten fast immer.

Die drei Kostenblöcke einer ISO-27001-Zertifizierung

1. Interne Aufwände

Ein Teil des Aufwands entsteht immer im Unternehmen selbst. Das lässt sich nicht vollständig auslagern.

Dazu gehören zum Beispiel:

  • Entscheidungen treffen;
  • Informationen zur eigenen Organisation zusammenstellen;
  • Risiken fachlich bewerten;
  • Dokumente prüfen und freigeben;
  • Nachweise zusammenstellen;
  • Interne Verantwortlichkeiten festlegen.

Die wichtige Frage ist deshalb nicht, ob interner Aufwand entsteht, sondern wie viel davon intern selbst gemacht werden soll.

2. Beratungsaufwände

Der zweite Kostenblock sind externe Beratungsleistungen.

Hier reicht die Spannweite von punktuellem Sparring bis hin zu einer weitgehenden operativen Entlastung. Manche Unternehmen wollen vor allem Orientierung, Review und Struktur. Andere möchten einen Partner, der das Projekt stark vorbereitet, Unterlagen vorstrukturiert und den internen Aufwand minimiert.

Deshalb unterscheiden sich Beratungskosten zum Teil erheblich. Sie hängen vor allem davon ab,

  • wie viel das Unternehmen selbst übernehmen will,
  • wie komplex die Organisation ist,
  • wie schnell die Zertifizierung erreicht werden soll,
  • und wie stark operative Entlastung eingekauft wird.

Wichtig ist: Mehr Beratung heißt nicht automatisch höhere Gesamtkosten. In vielen Fällen sinken dadurch interne Schleifen, Abstimmungsaufwand und Verzögerungen.

Ein anschauliches Beispiel ist das Risikomanagement: Wenn ein Unternehmen einen internen Mitarbeiter damit erstmals allein betraut, kann dafür schnell eine ganze Arbeitswoche oder mehr draufgehen - nicht unbedingt wegen des Umfangs, sondern weil Erfahrung, Struktur und Routine fehlen. Ein erfahrener ISO 27001-Berater kann dieselbe Aufgabe in weniger als einem Tag fertigstellen. Dadurch kann externe Unterstützung wirtschaftlich sinnvoll sein - selbst dann, wenn der Stundensatz des Beraters über dem internen Stundensatz liegt.

Deshalb sollte man Beratungskosten nie isoliert betrachten, sondern immer zusammen mit den internen Aufwänden. Erst daraus ergibt sich ein realistisches Bild der tatsächlichen Projektkosten.

3. Zertifizierungskosten

Der dritte Block sind die eigentlichen Kosten der Erstzertifizierung durch eine akkreditierte Zertifizierungsstelle.

Zertifizierungsstellen machen i.d.R. 3-Jahres-Verträge. Darin sind enthalten

  • die Kosten für die erstmalige Zertifizierung;
  • die Kosten für das (kleine) Überwachungsaudit nach einem Jahr;
  • die Kosten für das (kleine) Überwachungsaudit nach zwei Jahren.

Die Zertifizierungskosten hängen nicht pauschal an einer einzigen Kennzahl. Relevante Faktoren sind unter anderem Anzahl an Mitarbeitern, Anzahl an Unternehmensstandorten, Anwendungsbereich des ISMS und Komplexität des Business. Für kleine Unternehmen mit einem Standort beginnt der Zertifizierungsvertrag oft grob im Bereich von 10.000 bis 14.000 EUR über drei Jahre. Bei größeren oder bekannteren Zertifizierern kann das auch deutlich höher liegen. Für Organisationen mit rund 50 Mitarbeitern sind Größenordnungen von 20.000 EUR aufwärts realistisch. Bei 100 Mitarbeitern und mehreren Standorten kann es schnell in Richtung 40.000 EUR aufwärts gehen. (Preise Stand Q1/2026, Änderungen vorbehalten.)

Wichtig: Die ISO-27001-Zertifizierung ist kein Einmalprojekt. Sie läuft in einem mehrjährigen Zyklus mit jährlichen Überwachungsaudits und einer Re-Zertifizierung. Wer nur bis zum Erstzertifikat rechnet, rechnet zu kurz - die Aufrechterhaltung kostet ebenfalls!

Welche Faktoren die Kosten wirklich treiben

Die Kosten hängen in der Praxis vor allem an diesen Fragen:

Wie groß ist der zertifizierte Bereich?

Ein kleiner, klar abgegrenzter Scope auf eine Kerngeschäftstätigkeit kostet weniger als ein breit aufgestellter Anwendungsbereich für das gesamte Unternehmen.

Wie komplex ist die IT?

Viele Standorte, viele Schnittstellen, stark heterogene Infrastrukturen, OT, regulierte Umgebungen oder die klassischen "historisch gewachsene IT-Landschaften" erhöhen den Aufwand.

Wie viel Struktur ist schon vorhanden?

Ein Unternehmen mit vorhandenen Regelungen, Dokumentation und klaren Verantwortlichkeiten startet günstiger als eines, das bei null anfängt und sich zum ersten Mal ernsthaft mit der Frage "Wie wollen wir eigentlich arbeiten?" beschäftigt.

Wie viel wollen Sie selbst machen?

Das ist oft der größte Hebel. Wer intern viel selbst übernimmt, spart externe Rechnungen, erhöht aber die interne Aufwände immens, da die eigenen Mitarbeiter in der Umsetzung eines ISO 27001-ISMS i.d.R. wenig Erfahrung haben.

Wie schnell soll das Projekt laufen?

Ein ambitionierter Zeitplan reduziert häufig Leerlauf und Hängepartien, kann aber operative Unterstützung notwendig machen.

Der eigentliche Hebel: Make oder Buy?

Die strategische Kernfrage lautet meist nicht "Was kostet die Zertifizierung?", sondern eher:

Wie verteilen sich die Kosten zwischen internem Aufwand und externer Unterstützung?

Make: Viel selbst machen

Beim Make-Ansatz übernimmt das Unternehmen einen größeren Teil der Arbeit selbst. Externe Hilfe wird eher punktuell genutzt.

Vorteil: geringere externe Beratungskosten.

Nachteil: deutlich höherer interner Aufwand.

Dieser Weg passt, wenn ein Unternehmen intern Zeit, Disziplin und ausreichend Struktur mitbringt. Oder schlicht die Liquidität für externe Unterstützung nicht hat.

Buy: Viel einkaufen

Beim Buy-Ansatz wird mehr operative Unterstützung eingekauft. Der externe Partner liefert Struktur, Taktung, Vorlagen, Reviews und oft auch Projektführung.

Vorteil: weniger interner Aufwand, schnelle Umsetzung.

Nachteil: höhere externe Rechnungen.

Dieser Weg ist oft wirtschaftlich sinnvoll, wenn das Unternehmen vor allem Geschwindigkeit, Entlastung und saubere Führung des Projekts braucht.

Beispielrechnung ISO 27001 Kosten

Die folgende Tabelle stellt Aufwände und Kosten für eine ISO 27001-Zertifizierung dar für zwei verschiedene Unternehmen: eine kleine Softwareagentur, die sich für den "Make"-Ansatz entscheidet, und einen mittelgroßen Managed IT Service Provider, der sich für den "Buy"-Ansatz entscheidet.

Beide verrechnen ihre Mitarbeiter gegenüber Kunden mit 640 EUR/Tag (die Summe ist vergleichsweise niedrig angesetzt, da nicht alle Mitarbeiter "billable" sind - Geschäftsführung, HR, Assistenz, Office Management werden auf die in Kundenprojekten abrechenbaren Mitarbeiter "umgelegt").


Software-Agentur

20 MA

Ein Standort

Managed IT Service Provider

60 MA

2 Standorte

Vorgehensweise

"Make"

"Buy"

Interner Aufwand

ca. 80 PT

ca. 5-10 PT

Beratungskosten

8.200 EUR

47.500 EUR

Kosten für Zertifizierungsaudit (nur 1. Jahr)

7.400 EUR

14.200 EUR

Gesamtkosten

80 x 640 EUR

+ 8.200 EUR

+ 7.200 EUR

= 66.600 EUR

10 x 640 EUR

+ 47.500 EUR

+ 14.200 EUR

= 68.100 EUR

Das Beispiel zeigt: Die Gesamtkostenrechnung für das erste Jahr ist trotz deutlich höherer Beratungskosten bei dem Managed IT Service Provider in etwa gleich hoch wie für die kleine Softwareagentur - für ein dreimal so großes Unternehmen mit zwei Standorten.

Der IT Service Provider hat mehr auf "Buy" gesetzt. Die Beratungsrechnung war höher, die Gesamtrechnung vergleichsweise niedriger.

Das Beispiel ist real.

Was viele bei den Kosten übersehen

Viele Unternehmen unterschätzen drei Dinge:

  • den internen Koordinationsaufwand;
  • die Kosten von Verzögerungen;
  • den Unterschied zwischen günstiger Beraterrechnung und günstiger Gesamtlösung.

Ein Projekt wirkt auf dem Papier manchmal billig, weil wenig Beratung eingekauft wird. In der Realität wird es dann teuer, weil intern zu viel Zeit gebunden wird, Schleifen entstehen und Entscheidungen liegen bleiben.

FAQ

Unser Tipp

Die Frage nach den Kosten einer ISO-27001-Zertifizierung lässt sich nicht mit einer einzelnen Zahl seriös beantworten. Wer sauber rechnen will, muss drei Blöcke getrennt betrachten: internen Aufwand, Beratungskosten und Zertifizierungskosten. Erst daraus ergibt sich ein realistisches Bild.

Die wichtigste Entscheidung ist dabei oft nicht, ob zertifiziert werden soll, sondern wie der Weg dorthin organisiert wird. Genau dort liegen meist die größten wirtschaftlichen Hebel.

Wenn Sie wissen möchten, wie Sie Ihre Projektkosten im Griff behalten können, vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns! Oder chatten Sie gleich hier auf der Seite mit uns.

Über den Autor

Joachim Reinke

Joachim Reinke unterstützt seit 2017 Unternehmen beim Aufbau praxistauglicher Managementsysteme für Informationssicherheit und Qualität. In dieser Zeit hat er bereits mehr als 100 Unternehmen begleitet. Er ist zertifizierter Lead Auditor und als Dozent für Informationssicherheit und Qualitätsmanagement bei Zertifizierern und Trainingsanbietern tätig. Kunden schätzen besonders seine klare, praxisnahe und verständliche Vermittlung auch anspruchsvoller Inhalte.

View Comments