16. März 2023

ISO 27001: Berater oder Zertifizierer – beides geht nicht

Von Joachim Reinke

März 16, 2023

Berater, Unterschied, Zertifizierer

Viele Unternehmen werfen diese beiden Rollen am Anfang eines ISO 27001-Projekts in einen Topf: Berater und Zertifizierer. Das ist verständlich, aber gefährlich. Denn beide haben mit ISO 27001 zu tun, machen aber grundverschiedene Dinge. Zertifizierungsstellen müssen kompetent, konsistent und vor allem unparteiisch arbeiten; genau das ist Kern von ISO/IEC 17021-1, der Norm für Stellen, die Managementsysteme auditieren und zertifizieren.

Die kurze Antwort

Der Berater hilft Ihnen dabei, in Ihrem Umsetzungsprojekt ein funktionierendes ISMS aufzubauen und auditfähig zu werden. Der Zertifizierer sendet später einen oder mehrere Auditoren, die unabhängig prüfen, ob Ihr Managementsystem die Anforderungen erfüllt. Er entscheidet über das Zertifikat. Er ist also nicht Ihr Projekthelfer, sondern externe Prüfer. In Deutschland finden Sie akkreditierte Managementsystem-Zertifizierungsstellen über die DAkkS-Datenbank; ISO 27001 gehört zu den akkreditierbaren Managementsystemen.

Der Berater ist auf Ihrer Seite

Ein Berater ist dafür da, Ihr Unternehmen durch das Projekt zu bringen. Er hilft typischerweise bei Scope, Projektplan, Risikoarbeit, Dokumentation, Maßnahmen, internen Audits, Management Review und der Vorbereitung auf das Zertifizierungsaudit.

Kurz gesagt: Er soll das Thema für Sie strukturieren, beschleunigen und unnötige Umwege vermeiden. Das ist seine Rolle. Es ist gerade nicht seine Rolle, Ihnen später neutral das Zertifikat zu verleihen. Diese Trennung ergibt sich unmittelbar daraus, dass Zertifizierungsstellen unparteiisch bleiben müssen.

Der Zertifizierer ist nicht Ihr Coach

Ein Zertifizierer hat eine andere Aufgabe: er sendet Ihren Zertifizierungsauditor (oder ein Team mehrerer Zertifizierungsauditoren). Der Zertifizierer kommt nicht ins Projekt, um es für Sie aufzubauen, sondern um es durch die Auditoren später zu auditieren. Sein Job ist nicht, Sie durch das Thema zu lotsen, sondern zu prüfen, ob Ihr ISMS die Anforderungen erfüllt und im Unternehmen wirksam umgesetzt ist. Genau deshalb ist die Rolle bewusst distanzierter als die eines Beraters. Zertifizierungsstellen nach ISO/IEC 17021-1 müssen Unparteilichkeit wahren und dürfen ihre Audit- und Zertifizierungstätigkeit nicht mit Managementsystem-Beratung vermischen. Es geht sogar noch einen Schritt weiter: wenn in einem Zertifizierungsauditbericht Hinweise darauf zu finden sind, dass Empfehlungen ausgesprochen oder beratungsnahe Arbeit geleistet wurde, kann das Audit schlimmstenfalls für ungültig erklärt werden.

Warum diese Trennung so wichtig ist

Die Trennung ist kein Formalismus, sondern schützt die Glaubwürdigkeit des Zertifikats. Wenn dieselbe Stelle Sie beraten und anschließend auch selbst zertifizieren würde, wäre die Unabhängigkeit offensichtlich beschädigt. Genau deshalb sagt ISO/IEC 17021-1 laut DAkkS-Anwendungsdokument ausdrücklich, dass eine Zertifizierungsstelle Audits nicht an eine Managementsystem-Beratung auslagern darf, weil das eine unannehmbare Gefährdung der Unparteilichkeit wäre. Außerdem dürfen Zertifizierungstätigkeiten nicht als mit Beratungsaktivitäten verknüpft vermarktet oder angeboten werden.

Der häufigste Denkfehler

Der häufigste Denkfehler lautet: "Dann nehmen wir doch einfach gleich den Zertifizierer, der sagt uns schon, was wir tun müssen." Genau das geht eben nicht. Ein Zertifizierer darf nicht Ihre Beraterrolle übernehmen. Er kann im Audit festgestellte Abweichungen benennen, aber er darf nicht Ihr ISMS für Sie bauen. Die Normen- und Akkreditierungslogik läuft bewusst auf diese Trennung hinaus.

Woran Sie den Unterschied praktisch merken

Ganz einfach:

Der Berater fragt:

  • Wo stehen Sie heute?
  • Was fehlt noch?
  • Wie kommen wir sinnvoll zum Ziel?
  • Wo brauchen Sie Erklärungen?
  • Welche Reihenfolge ist für Ihr Unternehmen klug?

Der Zertifizierer fragt:

  • Ist das Managementsystem vorhanden?
  • Ist es wirksam umgesetzt?
  • Entspricht es den Anforderungen?
  • Reicht das für die Zertifizierungsentscheidung?

Der Berater hilft beim Aufbau. Der Zertifizierer bewertet das Ergebnis.

Der Berater darf parteiisch sein - der Zertifizierer gerade nicht

Das ist eine nützliche Merkhilfe. Ein Berater soll Ihr Ziel möglich machen. Er darf und soll also in Ihrem Interesse denken: pragmatisch, projektorientiert, lösungsorientiert. Ein Zertifizierer darf genau das nicht in derselben Weise. Seine Stärke liegt gerade darin, dass er nicht Teil Ihres Projektteams ist. Seine Aufgabe ist die unabhängige Beurteilung. ISO/IEC 17021-1 nennt genau dafür Kompetenz, Konsistenz und Unparteilichkeit als Grundprinzipien.

Muss man überhaupt einen Berater haben?

Nein. Ein Berater ist keine Pflicht. Sie können ein ISMS grundsätzlich auch ohne externen Berater aufbauen. Die eigentliche Pflicht betrifft den Zertifizierer: den benötigen Sie, wenn Sie am Ende wirklich ein ISO-27001-Zertifikat wollen. Dann brauchen Sie eine entsprechend akkreditierte Zertifizierungsstelle.

Und wie findet man einen echten Zertifizierer?

Wir haben hier und hier noch weitere Informationen, die beschreiben, welche Fehler Sie bei der Auswahl eines Zertifizierers machen können - und wie Sie die vermeiden.

Was heißt das für Ihr Projekt praktisch?

Die saubere Reihenfolge ist meistens diese:

  1. Erst entscheiden Sie, ob Sie Unterstützung durch einen Berater wollen. (Welche Anforderungen Sie an Berater stellen sollten, haben wir hier für Sie beschrieben.)
  2. Dann bauen Sie Ihr ISMS auf und machen es auditfähig.
  3. Danach (oder ggf. auch bereits davor= wählen Sie einen akkreditierten Zertifizierer für Stage 1 und Stage 2.

So bleiben die Rollen sauber, und Sie vermeiden das typische Missverständnis, dass der spätere Prüfer gleichzeitig Ihr Projektbegleiter ist.

Was will der Auditor sehen?

Ein Auditor will nicht sehen, dass Ihr Berater clever war. Er will sehen, dass Ihr Unternehmen ein funktionierendes Managementsystem aufgebaut hat und es selbst vertreten kann. Genau deshalb ist die Rolle des Zertifizierers bewusst vom Beratungsprozess getrennt. Das Zertifikat soll am Ende nicht bescheinigen, dass jemand schön beraten hat, sondern dass Ihr ISMS die Anforderungen erfüllt und wirksam ist.

FAQ

Unser Tipp

Berater und Zertifizierer haben beide mit ISO 27001 zu tun, aber nicht dieselbe Aufgabe. Der Berater bringt Sie ins Ziel. Der Zertifizierer prüft später unabhängig, ob Sie dort wirklich angekommen sind. Wählen Sie sowohl Ihren Zertifizierer als auch Ihren Berater sorgsam aus. Sie werden mit beiden längere Zeit zusammenarbeiten - und das funktioniert einfach am besten, wenn man sich gut versteht und aufeinander verlassen kann.

Interesse geweckt?

Wenn Sie klären wollen, wie Sie Beratung und Zertifizierung in Ihrem ISO-27001-Projekt sauber aufsetzen, dann lassen Sie uns sprechen oder schreiben Sie uns etwas gleich hier rechts unten auf der Seite in den Chat!

Über den Autor

Joachim Reinke

Joachim Reinke unterstützt seit 2017 Unternehmen beim Aufbau praxistauglicher Managementsysteme für Informationssicherheit und Qualität. In dieser Zeit hat er bereits mehr als 100 Unternehmen begleitet. Er ist zertifizierter Lead Auditor und als Dozent für Informationssicherheit und Qualitätsmanagement bei Zertifizierern und Trainingsanbietern tätig. Kunden schätzen besonders seine klare, praxisnahe und verständliche Vermittlung auch anspruchsvoller Inhalte.

View Comments