Die Ausgangslage
Ein mittelständischer Zulieferer der Automobilindustrie mit Sitz in Bayern stand vor einer klaren Anforderung: Mehrere Grosskunden verlangten den Nachweis einer ISO 27001 Zertifizierung als Voraussetzung für die weitere Zusammenarbeit. Die Frist: 8 Monate. Die Herausforderung: Das Unternehmen hatte bisher kein formalisiertes Informationssicherheits-Management-System (ISMS).
Mit 180 Mitarbeitern, davon 12 in der IT-Abteilung, war das Unternehmen groß genug für komplexe IT-Strukturen, aber zu klein für einen dedizierten Informationssicherheitsbeauftragten. Die bestehende IT-Infrastruktur war gewachsen, Dokumentation lückenhaft, und Security-Maßnahmen wurden zwar umgesetzt, aber nicht systematisch erfasst.
Die Kernherausforderung: ISO 27001 erfordert nicht nur technische Maßnahmen, sondern ein komplettes Management-System mit Prozessen, Dokumentation und kontinuierlicher Verbesserung. In 6 Monaten mussten 114 Controls aus Annex A implementiert und dokumentiert werden.
Die Lösung: Strukturierter Projektansatz
Gemeinsam mit HostSpezial wurde ein 6-Phasen-Plan entwickelt, der sowohl die technischen als auch die organisatorischen Anforderungen der ISO 27001 adressierte. Der Schlüssel zum Erfolg: Parallelisierung von Aktivitäten und Fokus auf das Wesentliche.
Phase 1: Gap-Analyse und Scope-Definition
In den ersten drei Wochen wurde der Ist-Zustand erfasst. Ein strukturiertes Assessment identifizierte 47 Lücken gegenüber den ISO 27001 Anforderungen. Gleichzeitig wurde der Scope des ISMS definiert: Alle IT-Systeme, die Kundendaten oder Produktionsdaten verarbeiten.
Phase 2: Risikomanagement aufsetzen
Das Herzstrueck jeder ISO 27001 Zertifizierung ist das Risikomanagement. Innerhalb von vier Wochen wurden 156 Assets identifiziert, bewertet und Risiken analysiert. Das Ergebnis: 23 Risiken mit hoher Priorität, die sofortige Maßnahmen erforderten.
Phase 3: Dokumentation und Policies
Parallel zur technischen Umsetzung entstand die erforderliche Dokumentation: Informationssicherheitspolitik, Risikomanagement-Verfahren, 12 themenspezifische Richtlinien. Dabei wurde auf pragmatische, lebbare Dokumente geachtet - keine 50-seitigen Policies, die niemand liest.
Gap-Analyse & Scope
Assessment des Ist-Zustands, Identifikation von 47 Gaps, Definition des ISMS-Scope
Risikomanagement
Asset-Inventar (156 Assets), Risikoanalyse, Behandlungsplan für 23 High-Priority Risiken
Dokumentation & Policies
Erstellung von 12 Richtlinien, Prozessbeschreibungen, Arbeitsanweisungen
Technische Umsetzung
Implementation der Security-Controls, Haertung der Systeme, Monitoring-Ausbau
Schulung & Awareness
Management-Schulung, Mitarbeiter-Awareness, Phishing-Simulation
Internes Audit & Zertifizierung
Internes Audit, Korrekturmaßnahmen, Stage 1 und Stage 2 Audit
Technische Umsetzung
Die technischen Maßnahmen konzentrierten sich auf vier Kernbereiche, die den größten Beitrag zur Risikoreduktion leisteten:
Zugriffskontrolle und Identitätsmanagement
Einführung eines zentralen Identity Managements mit Active Directory Federation Services. Multi-Faktor-Authentifizierung für alle Remote-Zugriffe und privilegierte Accounts. Implementierung des Least-Privilege-Prinzips mit regelmäßigen Access Reviews.
Netzwerksicherheit
Segmentierung des Netzwerks in Produktions-, Büro- und Gäste-Bereiche. Deployment einer Next-Gen Firewall mit IDS/IPS. VPN-Zugang nur noch mit Zertifikaten und MFA.
Logging und Monitoring
Aufbau eines zentralen SIEM mit Wazuh für die Sammlung und Korrelation aller sicherheitsrelevanten Events. Definition von 35 Alerting-Rules für kritische Ereignisse. Integration der wichtigsten Systeme innerhalb von 4 Wochen.
Backup und Business Continuity
Implementierung einer 3-2-1-1-0 Backup-Strategie mit immutable Backups. Erstellung und Test eines Business Continuity Plans mit definierten RTOs und RPOs. Quartalsweise Restore-Tests dokumentiert.
Pragmatischer Ansatz: Nicht alle 114 Annex A Controls wurden von Grund auf neu implementiert. Bei 67 Controls konnte auf bestehende Maßnahmen aufgebaut werden - sie mussten nur dokumentiert und in das ISMS integriert werden.
Das Ergebnis
Nach 24 Wochen intensiver Arbeit stand das Stage 2 Audit an. Das Ergebnis: Zertifizierung erteilt, null Major Findings, drei Minor Findings die innerhalb der Frist behoben wurden.
Lessons Learned
Das Projekt lieferte wertvolle Erkenntnisse für ähnliche Vorhaben:
- Früh mit dem Auditor sprechen: Die Pre-Audit-Gespräche halfen, Missverstaendnisse zu vermeiden und den Fokus richtig zu setzen
- Management-Commitment ist entscheidend: Die regelmäßige Einbindung der Geschäftsführung beschleunigte Entscheidungen erheblich
- Dokumentation muss leben: Lieber kurze, aktuelle Dokumente als umfangreiche Werke, die niemand pflegt
- Quick Wins nutzen: Viele Controls waren bereits umgesetzt, aber nicht dokumentiert - diese Lücken schnell zu schließen gab Momentum
- Awareness ernst nehmen: Die größte Lücke war oft nicht die Technik, sondern das fehlende Sicherheitsbewusstsein der Mitarbeiter
Fazit
Die ISO 27001 Zertifizierung in 6 Monaten war ambitioniert, aber machbar. Der Schlüssel lag in der strukturierten Vorgehensweise, der Parallelisierung von Aktivitäten und dem klaren Fokus auf das Wesentliche. Das Ergebnis ist nicht nur ein Zertifikat an der Wand, sondern ein funktionierendes ISMS, das die Informationssicherheit nachhaltig verbessert hat.
Für das Unternehmen zahlte sich die Investition bereits aus: Drei neue Grosskundenverträge konnten abgeschlossen werden, die ohne die Zertifizierung nicht möglich gewesen wären. Der ROI war damit bereits im ersten Jahr positiv.
ISO 27001 Zertifizierung geplant?
Wir begleiten Sie von der Gap-Analyse bis zum erfolgreichen Audit. Sprechen Sie mit unseren Experten.
Kostenlose Erstberatung