Field notes

ISO27001: Ich habe ein ISMS geerbt. Es war ein SharePoint-Ordner mit 200 Dokumenten und einem Stoßgebet.

Was Ihnen niemand über die Implementierung von ISO27001 sagt – und wie Sie in 5 Tagen aufhören, es nur zu simulieren. 11.–15. Mai, online.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy7 Min. Lesezeit
ISO27001: I Inherited an ISMS. It Was a SharePoint Folder with 200 Documents and a Prayer.

Eine wahre Geschichte.

Ein Sicherheitsmanager, den ich letztes Jahr geschult habe, erzählte mir Folgendes: Er war seit drei Monaten im Unternehmen. Sein Vorgänger hatte das Haus verlassen. Die Übergabe bestand aus einem gemeinsamen Laufwerk. Darin: 200 Dokumente, ein Risikoregister aus dem Jahr 2022, eine Informationssicherheitsrichtlinie, die GDPR erwähnte, aber nicht ISO27001, und ein Statement of Applicability, in dessen Fußzeile noch der Name eines anderen Unternehmens stand.

His boss said: “We’re up for recertification in six months. You’re leading it.”

Er lächelte. Er nickte. Er fuhr nach Hause und begann, sein LinkedIn-Profil zu aktualisieren.

Wenn Sie jemals mit einer ISO27001-Implementierung zu tun hatten, klingt eine Version dieser Geschichte vermutlich vertraut. Vielleicht haben Sie kein Chaos geerbt. Vielleicht bauen Sie von Grund auf neu. Aber das Gefühl ist dasselbe: Der Standard sagt Ihnen, was vorhanden sein muss. Er sagt Ihnen nie, wie Sie es aufbauen sollen.

Dieser Artikel handelt von genau dieser Lücke. Und davon, wie Sie sie schließen.

Das Dokument, das alle vorgeben zu verstehen

ISO/IEC 27001:2022 umfasst 30 Seiten. Die Struktur ist klar. Abschnitte 4 bis 10, Anhang A, 93 Controls, 34 verbindliche Unterabschnitte. Es liest sich wie eine übersichtliche Anleitung.

Bis Sie versuchen, ihr zu folgen.

“The organisation shall determine external and internal issues that are relevant to its purpose.” Great. What does that look like in practice? A workshop? A PESTLE analysis? A conversation with the CEO over coffee? The standard doesn’t say.

“The organisation shall define and apply an information security risk assessment process.” Perfect. Qualitative or quantitative? Three-point scale or five? How do you define “likely” so that IT and finance agree? How do you make sure the risk owner column doesn’t just say “Dave” for everything? The standard doesn’t say.

“The organisation shall produce a Statement of Applicability.” Brilliant. But what makes a good SoA? How detailed should the justifications be? What counts as evidence of implementation? How do you stop it from becoming a 93-row spreadsheet of “Yes, implemented” with nothing behind it? The standard absolutely does not say.

Das ist kein Mangel. ISO27001 ist bewusst technologie-, branchen- und größenneutral gestaltet. Das muss so sein. Doch diese Neutralität erzeugt eine Lücke zwischen dem Verständnis des Standards und seiner tatsächlichen Umsetzung. Und genau in dieser Lücke stagnieren Karrieren, scheitern Projekte und laufen Audits aus dem Ruder.

Fünf Wege, auf denen ISO 27001-Implementierungen scheitern

Ich bin lange genug als CISO tätig, um dieselben Fehler immer wieder zu sehen. Nicht weil die Menschen schlechte Arbeit leisten. Sondern weil ihnen niemand die Methodik beigebracht hat.

  1. Das Risikoregister, das im Grunde eine Tabelle voller Meinungen ist.

Everyone sits in a room. Someone says “ransomware” and everyone nods. Likelihood: high. Impact: high. Risk owner: IT. Next risk. Repeat for three hours. The result is a list of things people are worried about, scored by gut feeling, with no documented methodology behind it. The auditor asks “how did you define your impact scale?” and the room goes quiet.

  1. Das SoA, das aus dem Internet kopiert wurde.

I’m not making this up. I’ve reviewed Statements of Applicability where the justification column says “implemented” for every single control, the evidence column is blank, and the document properties still show the original author from a completely different company. Your SoA is the auditor’s first stop. If it’s a copy-paste job, the audit is over before it started.

  1. Das ISMS, das in einem SharePoint-Ordner lebt und nirgendwo sonst.

Policies nobody has read. Procedures nobody follows. An asset inventory that’s missing two departments. A management review that happened once, eighteen months ago, and was never followed up. This is paper compliance. It ticks boxes on a spreadsheet but falls apart the moment someone asks: “show me this working in practice.”

  1. Das Audit, das alle unvorbereitet trifft.

Stage 1 ist die Dokumentenprüfung. Stage 2 ist der operative Nachweis. Die meisten Teams bereiten sich auf eines vor und geraten beim anderen in Panik. Sie haben hervorragende Dokumente, können aber nicht nachweisen, dass die Controls tatsächlich betrieben werden. Oder sie haben funktionierende Controls, können aber die Dokumentationsspur nicht vorlegen. Der Auditor interessiert sich nicht dafür, welche Lücke Sie haben; beide sind Abweichungen.

  1. Das Management, das glaubt, ISO 27001 sei eine Firewall.

You ask for budget. The CFO says “we already bought the firewall.” You try to explain that ISO 27001 is a management system, not a technology purchase. The CFO checks their phone. This is a leadership buy-in failure, and it kills more implementations than any technical gap ever will.

Was wirklich funktioniert

Jede erfolgreiche ISO 27001-Implementierung, an der ich beteiligt war, hatte dieselben Zutaten. Keine Magie. Nur Methodik.

Ein klar abgegrenzter Scope mit dokumentierter Begründung. Not “everything” with no explanation. Not artificially narrow to avoid complexity. A scope that makes sense for the organisation, with boundaries that can be explained to an auditor in two minutes.

Eine Risikobeurteilungsmethodik, die wiederholbar und nachvollziehbar ist. Definierte Skalen. Kalibrierte Kriterien. Klare Unterscheidung zwischen Bedrohungen, Schwachstellen und Risiken. Verantwortliche, die tatsächlich verstehen, wofür sie verantwortlich sind. Eine Dokumentation, der ein Auditor ohne Ihre Erläuterung folgen kann.

Ein SoA, das eine Geschichte erzählt. Keine Checkbox-Übung. Jedes Control hat eine Begründung, die auf die Risikobeurteilung zurückverweist. Ausschlüsse werden erklärt, nicht leer gelassen. Implementierungsnachweise werden referenziert, nicht vorausgesetzt.

Eine Führungsebene, die versteht, was sie unterzeichnet. Management-Reviews, die Entscheidungen hervorbringen, nicht nur Protokolle. Eine Sicherheitsrichtlinie, die der CEO tatsächlich gelesen hat. Eine Ressourcenplanung, die den Umfang des ISMS widerspiegelt, nicht nur das IT-Budget.

Eine Auditvorbereitung, die an Tag 1 beginnt, nicht in der Woche davor. Jedes Dokument, jeder Nachweis, jeder Prozess von Anfang an darauf ausgerichtet, Belege zu erzeugen. Denn was Sie nicht nachweisen können, hat nicht stattgefunden.

Dafür sind die 5 Tage da

11. bis 15. Mai. Online. Auf Englisch. Eine Live-Gruppe, begrenzt auf 6 Teilnehmende, aufgebaut rund um die Implementierungsmethodik, die ich in realen Projekten einsetze.

Das ist keine Schritt-für-Schritt-Erläuterung des Standards. Den Standard können Sie selbst lesen. Das hier ist das Betriebssystem dahinter: wie man das Projekt initiiert, wie man die Risikobeurteilung strukturiert, wie man das SoA schreibt, wie man Controls auswählt und einführt, wie man Monitoring und Messung aufbaut, wie man sich auf das Zertifizierungsaudit vorbereitet. Alles, Schritt für Schritt, mit Übungen und Fallstudien in jeder Phase.

TagSchwerpunktMontagISO 27001 im Kontext. Initiierung der Implementierung. Verständnis der Organisation, ihres Kontexts und der interessierten Parteien. Definition und Begründung des ISMS-Scopes.DienstagBuy-in der Führungsebene gewinnen. Analyse des Bestehenden. Verfassen der Sicherheitsrichtlinie. Aufbau der Risikobeurteilungsmethodik. Das Statement of Applicability.MittwochAuswahl und Gestaltung von Annex-A-Controls. Einführung passender Controls. Dokumentenmanagement. Kommunikation, Kompetenz, Bewusstsein. Betrieb der Sicherheitsorganisation.DonnerstagMonitoring und Messung. Internes Audit. Management-Review. Umgang mit Abweichungen. Kontinuierliche Verbesserung. Vorbereitung auf Stage 1 und Stage 2.

Am Freitag verlassen Sie den Kurs mit einer Methodik, die Sie in der folgenden Woche einsetzen können, und einem Zertifikat, das das belegt.

Wer unterrichtet

Ich. Christophe Mazzola. Aktiver CISO, Gründer der Cyber Academy.

I don’t teach ISO 27001 because I read a book about it. I teach it because I implement it. When I talk about risk assessment, it’s because I’ve sat in rooms and facilitated them. When I talk about audit preparation, it’s because I’ve prepared organisations for Stage 1 and Stage 2 and watched what the auditor actually does. When someone in the course says “my risk register is a disaster,” I don’t give them a theory answer. I give them what I’d do if I were sitting in their chair on Monday.

Das ist der Unterschied zwischen einer Schulung und einer Folienpräsentation.

Die Garantie

Schließen Sie den Kurs ab. Legen Sie die Prüfung ab. Wenn Sie nicht bestehen, erstatten wir die Kursgebühr.

Keine weiteren Bedingungen außer dem Abschluss des Programms und der Teilnahme an der Prüfung. Kein Kleingedrucktes. Wir nennen es Certified or Refunded, und wir meinen es ernst.

Warum? Weil die Methodik funktioniert. Die Bestehensquote belegt es. Und wenn Sie eine Woche Ihrer Zeit und das Geld Ihres Unternehmens investieren, haben Sie das Recht zu wissen, dass der Anbieter auf dasselbe Ergebnis setzt wie Sie.

Die Details

Kurs: ISO/IEC 27001:2022 Lead Implementer, PECB Certified

Termine: 11.–15. Mai 2026

Format: Live online. Interaktiv. Keine Aufzeichnung.

Sprache: Englisch

CPD: 31 Credits

Kostenlose Wiederholung: Innerhalb von 12 Monaten

Ihr nächster Schritt

Wenn Sie mitten in einer Implementierung stecken und nicht weiterkommen, ist das der Kurs, der Sie wieder in Bewegung bringt.

Wenn Sie gebeten wurden, ein Projekt zu leiten, und noch keine Methodik haben, liefert dieser Kurs eine.

Wenn Sie als Berater tätig sind und das Zertifikat als Beleg für Ihr vorhandenes Wissen benötigen, werden Sie hier zertifiziert.

Wenn Sie einen SharePoint-Ordner und eine Portion Hoffnung geerbt haben, ist das Ihr Fünf-Tage-Rettungsplan.

Sichern Sie sich Ihren Platz:

Fragen? Schreiben Sie mir direkt. Kein Vertriebsteam. Kein Chatbot. Nur ich.

Christophe Mazzola

Möchten Sie die nächste Feldnotiz in Ihrem Posteingang?

Der GRC Brief Newsletter. Fünf Links und eine kurze Einschätzung, jeden Montag um 8 Uhr MEZ. Drei Minuten Lesezeit.