Die Einschätzung der Cyber Academy
ISO 27001 hat drei Zertifizierungsstufen: Foundation (2 Tage, Vokabular und Struktur), Lead Implementer (5 Tage, das ISMS aufbauen) und Lead Auditor (5 Tage, ein ISMS auditieren). Foundation ist die Voraussetzung für die Senior-Zertifikate. Lead Implementer passt zu Sicherheits- und GRC-Teams, die das ISMS verantworten; Lead Auditor passt zu internen Auditoren und Praktikern von Zertifizierungsstellen.
TL;DR
- 1Foundation ist die Voraussetzung. Sie vermittelt das Vokabular und das mentale Modell eines Managementsystems. Zwei Tage, einstündige Prüfung.
- 2Lead Implementer (5 Tage) lehrt Sie, das ISMS aufzubauen, die SoA zu schreiben, die Risikobehandlung durchzuführen und den Zyklus der Managementbewertung zu betreiben.
- 3Lead Auditor (5 Tage) lehrt Sie, Audits durch Dritte oder interne Audits zu planen und zu leiten. Eine andere Denkweise: Nachweise, Stichprobenziehung, Interviewtechnik, Berichterstattung.
- 4Die meisten CISOs und Sicherheitsverantwortlichen absolvieren Lead Implementer. Interne Auditoren und Big-Four-Berater absolvieren Lead Auditor. Beides ist über einen Zeitraum von 12 bis 18 Monaten üblich.
- 5Bestehensquoten in von Trainern geleiteten PECB-Kohorten: 99,1 % beim ersten Versuch in unseren Durchführungen; der Marktdurchschnitt liegt je nach Partner bei 80 % bis 85 %.
Die Entscheidung, auf die es wirklich ankommt: Bauen Sie auf oder auditieren Sie?
Die drei ISO 27001-Zertifikate sind keine einzelne Leiter, die man der Reihe nach erklimmt. Foundation ist die gemeinsame Grundlage, doch darüber gabelt sich der Weg in zwei verschiedene Tätigkeiten. Die eine Tätigkeit besteht darin, ein Informationssicherheits-Managementsystem (ISMS) innerhalb einer Organisation zu gestalten und zu betreiben. Die andere besteht darin, das ISMS eines anderen anhand des Standards zu prüfen und ein unabhängiges Urteil zu bilden. Die Titel signalisieren das: Lead Implementer ist ein Aufbauender, Lead Auditor ein Prüfender. Die falsche Wahl verschwendet eine Schulungswoche und beschert Ihnen ein Zertifikat, das nicht zur Arbeit vor Ihnen passt.
Stellen Sie sich eine Frage, bevor Sie irgendetwas buchen: Werden Sie in den nächsten zwölf Monaten dafür verantwortlich sein, dass ein ISMS existiert und funktioniert, oder dafür, zu beurteilen, ob eines funktioniert? Wenn Sie das Statement of Applicability, den Risikobehandlungsplan und die Managementbewertung verantworten, dann bauen Sie auf. Wenn Sie hereinkommen, Nachweise per Stichprobe prüfen und Feststellungen formulieren, dann auditieren Sie. Das Verb, das Sie an den meisten Tagen ausüben, ist die ganze Entscheidung.
So oder so beginnen Sie am selben Punkt. Der ISO 27001 Foundation-Kurs vermittelt Ihnen das Vokabular, die Steuerungsstruktur von Annex A und die Logik des Managementsystems, die beide Senior-Pfade als bereits vorhanden voraussetzen.
Was jede Prüfung tatsächlich abfragt (jenseits der Broschüre)
Die Stufenbeschreibungen nennen Ihnen die Dauer. Sie sagen Ihnen nicht, was die Bewertung belohnt, und genau das bestimmt, wie Sie sich vorbereiten sollten.
Foundation
Foundation ist eine Wissensprüfung. Sie prüft, ob Sie den Standard lesen können, ohne sich zu verlieren: die Kapitel 4 bis 10, den Plan-Do-Check-Act-Zyklus, den Unterschied zwischen einer Maßnahme und einem Maßnahmenziel und wo Annex A im Verhältnis zu den Hauptanforderungen steht. Sie verlangt nicht, dass Sie etwas unter Druck anwenden. Wenn Sie erklären können, warum die SoA sowohl Einschlüsse als auch Ausschlüsse begründen muss, sind Sie bereit.
Lead Implementer
Lead Implementer ist eine Kompetenzprüfung, die um Szenarien herum aufgebaut ist. Sie erhalten eine fiktive Organisation und werden gefragt, was Sie tun würden: wie Sie den Geltungsbereich des ISMS festlegen, wie Sie die Risikobewertung durchführen, was in den Risikobehandlungsplan gehört, wie Sie mit einer nicht konformen Maßnahme umgehen würden. Die Fragen belohnen Urteilsvermögen, nicht Auswendiglernen. Der Lead Implementer-Kurs ist um das vollständige Umsetzungsprojekt herum strukturiert, sodass sich die Prüfungsszenarien wie Arbeit anfühlen, die Sie bereits erledigt haben.
Lead Auditor
Lead Auditor prüft einen anderen Muskel: die Auditmethodik nach ISO 19011, angewandt auf ISO 27001. Die Szenarien versetzen Sie in den Auditraum. Sie entscheiden, welcher Nachweis belegt, dass ein Kapitel erfüllt ist, wie Stichproben zu ziehen sind, wie eine Feststellung zu formulieren ist und wie sie als schwere oder geringfügige Abweichung einzustufen ist. Die Falle, in die Kandidaten tappen, ist, so zu auditieren, wie sie umsetzen würden, also dem Auditierten zu sagen, wie er Dinge beheben soll, anstatt festzustellen, was nicht konform ist. Der Lead Auditor-Kurs schult die Disziplin „Nachweis zuerst, Urteil statt Beratung“, die sowohl die Prüfung als auch reale Audits verlangen.
Die drei Stufen im direkten Vergleich
| Foundation | Lead Implementer | Lead Auditor | |
|---|---|---|---|
| Kernaufgabe | Den Standard verstehen | Das ISMS aufbauen und betreiben | Ein ISMS auditieren |
| Typische Rolle | Alle, die neu in ISO 27001 sind | CISO, Sicherheitsverantwortlicher, GRC-Verantwortlicher | Interner Auditor, Auditor einer Zertifizierungsstelle oder Beratung |
| Dauer | 2 Tage | 5 Tage | 5 Tage |
| Prüfungsstil | Wissen, kurze Prüfung | Szenariobasiert, angewandtes Urteilsvermögen | Auditmethodik (ISO 19011), Nachweise und Feststellungen |
| Wichtiges Ergebnis, das Sie danach liefern können | Den Standard lesen und darin navigieren | Geltungsbereich, SoA, Risikobehandlungsplan, Managementbewertung | Auditplan, Auditprogramm, Feststellungsbericht |
| Denkweise | Vokabular und Struktur | Gestalten, betreiben, verbessern | Nachweise, Stichproben, unabhängiges Urteil |
| Voraussetzung | Keine | Kenntnisse auf Foundation-Niveau | Kenntnisse auf Foundation-Niveau |
Voraussetzungen und was der nächste Schritt tatsächlich bringt
Foundation ist die Voraussetzung für die Senior-Zertifikate, doch lesen Sie das genau: Die meisten Akkreditierungsschemata verlangen Kenntnisse auf Foundation-Niveau, nicht zwingend ein separates, vorab abgelegtes Foundation-Zertifikat. In der Praxis beginnen die Senior-Kurse mit einer komprimierten Wiederholung der Grundlagen und setzen sie dann voraus. Wenn Sie ohne diese Basis erscheinen, verbringen Sie den ersten Tag mit Aufholen statt mit dem Erlernen der Methode, und die Szenarioarbeit später in der Woche landet auf seichtem Grund. Foundation zuerst abzulegen ist kein bürokratisches Abhaken; es ist das, was den fünftägigen Kurs in voller Tiefe lehren lässt.
Was der nächste Schritt bringt, ist Hebelwirkung, nicht nur eine Zeile im Lebenslauf. Foundation verschafft Ihnen die Fähigkeit, an einem ISMS-Gespräch teilzunehmen, ohne den Faden zu verlieren. Lead Implementer verschafft Ihnen die Fähigkeit, dafür verantwortlich zu sein, dass das System existiert: Sie können seinen Geltungsbereich festlegen, die SoA gegenüber einem Auditor verteidigen und den Zyklus betreiben. Lead Auditor verschafft Ihnen Unabhängigkeit: Sie können Feststellungen unterzeichnen, auf die sich eine Zertifizierungsstelle oder ein Vorstand verlässt. Das sind tatsächlich unterschiedliche Formen von Autorität, weshalb es üblich und nützlich ist, beides über zwölf bis achtzehn Monate zu absolvieren. Ein Implementer, der sich auch als Auditor ausgebildet hat, baut ein ISMS, das ein Audit übersteht, weil er weiß, worauf der Auditor achten wird.
Häufige Fehler, die eine Woche kosten
Einige Muster tauchen immer wieder auf, wenn Menschen diese Kurse auswählen oder ablegen. Sie sind vermeidbar.
- Lead Auditor als die statushöhere Version von Lead Implementer zu betrachten. Er steht nicht darüber; er steht daneben. Ihn aus Prestigegründen zu buchen, wenn Ihre Aufgabe der Aufbau des ISMS ist, verschafft Ihnen eine Fähigkeit, die Sie selten nutzen werden.
- Die Foundation-Basis zu überspringen, um zwei Tage zu sparen, und dann im Senior-Kurs mehr als zwei Tage zu verlieren, während man Vokabular nachholt und alle anderen es bereits anwenden.
- Implementer, die durch Erteilen von Ratschlägen auditieren, und Auditoren, die durch Schreiben von Verbesserungsplänen auditieren. Der Auditor stellt fest, was nicht konform ist, und verweist auf das Kapitel; die Behebung obliegt dem Auditierten. Diese Grenze zu überschreiten lässt Prüfungsszenarien scheitern und gefährdet reale Audits.
- Den Standard mit den Maßnahmen zu verwechseln. Annex A ist ein Referenzkatalog, aus dem Sie über die SoA auswählen. Die zertifizierbaren Anforderungen stehen in den Kapiteln 4 bis 10. Kandidaten, die Maßnahmen auswendig lernen, aber die Managementsystem-Kapitel nicht erklären können, haben in beiden Senior-Prüfungen Schwierigkeiten.
Die Realität im Auditraum, und warum sie beide Pfade prägt
Für welche Seite Sie sich auch ausbilden, stellen Sie sich das Zertifizierungsaudit vor, denn dort treffen die beiden Rollen aufeinander. Der Auditor verlangt Nachweise, dass ein Kapitel erfüllt ist und dass eine ausgewählte Maßnahme so funktioniert, wie die SoA behauptet. Der Implementer muss diesen Nachweis auf Anforderung erbringen: Aufzeichnungen der Risikobewertung, die Behandlungsentscheidungen, das Protokoll der Managementbewertung, die Ergebnisse des internen Audits, die Korrekturmaßnahmen. Nichts beeindruckt einen Auditor; nur Nachweise tun es. Eine Maßnahme, die existiert, aber keine Aufzeichnung hinterlässt, ist für Auditzwecke eine Maßnahme, die nicht existiert.
Deshalb verstehen die stärksten Praktiker beide Perspektiven, selbst wenn sie nur eine Tätigkeit ausüben. Der Implementer gestaltet das ISMS so, dass das Erledigen der Arbeit zugleich die Spur erzeugt. Der Auditor liest diese Spur, ohne dass ihm eine Geschichte darüber erzählt wird. Wenn Sie Ihren ersten Kurs wählen, wählen Sie die Rolle, in der Sie leben werden, und planen Sie den zweiten Kurs für den Zeitpunkt, an dem Sie die andere Hälfte des Bildes wollen. Der Standard ist ein System, gesehen von zwei Stühlen aus, und das Zertifikat, das Sie wählen, sollte zu dem Stuhl passen, auf dem Sie sitzen.
Frequently asked questions
01Sollte ich zuerst Lead Implementer oder Lead Auditor absolvieren?
Richten Sie sich nach Ihrer Rolle. Wenn Sie das ISMS aufbauen, betreiben oder pflegen (Sicherheitsmanager, GRC-Analyst, CISO einer kleineren Organisation), dann zuerst Lead Implementer. Der Kurs lehrt Sie, die SoA zu schreiben, die Risikobehandlung durchzuführen, die Richtlinien zu erstellen und die Managementbewertung zu betreiben.
Wenn Sie auditieren (internes Auditteam, Big-Four-Berater, Auditor einer Zertifizierungsstelle), dann zuerst Lead Auditor. Der Kurs lehrt den Auditzyklus, die Stichprobenziehung von Nachweisen, die Interviewtechnik und die Disziplin, Feststellungen zu formulieren.
Beides ist üblich. Die Reihenfolge spielt in diesem Fall keine große Rolle; manche Praktiker gehen erst LI, dann LA, um die operative Tiefe vor der Auditperspektive zu erlangen, andere gehen erst LA, dann LI, um zu verinnerlichen, worauf Auditoren achten, bevor sie aufbauen.
02Ist Foundation wirklich erforderlich?
Ja, formal. PECB verlangt Foundation als Voraussetzung für die Prüfungszulassung zu Lead Implementer und Lead Auditor. Die Kohorte selbst dauert zwei Tage und behandelt das mentale Modell eines Managementsystems, die Struktur von ISO 27001:2022 und den Steuerungskatalog von Annex A.
Für Senior-Praktiker mit vorheriger ISO 27001-Erfahrung oder einem anderen ISO-Managementsystem-Zertifikat kann die Foundation-Anforderung manchmal über die PECB-Anerkennung gleichwertiger Schulungen erlassen werden. Prüfen Sie das, bevor Sie buchen; wir ordnen Ihren Fall im Erstgespräch ein.
03Wie sieht die Lead Implementer-Prüfung aus?
Drei Stunden, Open-Book, online über die PECB-Plattform. Eine Mischung aus Multiple-Choice- und essayartigen Szenariofragen. Bei den Szenariofragen verlieren die meisten Kandidaten Punkte: Sie erhalten den Kontext einer fiktiven Organisation und müssen dann die ISMS-Methodik durchgängig anwenden, den Geltungsbereich definieren, Risiken identifizieren, Maßnahmen vorschlagen, die Struktur der SoA begründen, die Managementbewertung planen. Eine Vorbereitung auf die Methodik vor der Kohorte ist unverzichtbar.
04Wie viel kostet es in Europa im Jahr 2026?
Standardpreise für von Trainern geleitete PECB-Kurse in Europa Anfang 2026: Foundation rund 1.200 Euro, Lead Implementer 2.800 bis 3.200 Euro, Lead Auditor 2.800 bis 3.200 Euro. Inbegriffen sind der Kurs, die offiziellen PECB-Materialien, die Zertifizierungsgebühr, die Prüfung, eine Wiederholungsprüfung und das lebenslange Zertifikat.
Selbstlernen ist in der Regel 30 % bis 40 % günstiger, aber langsamer im Abschluss. Inhouse-Kohorten werden pro Team statt pro Platz abgerechnet; rechnen Sie mit 12.000 bis 18.000 Euro für eine fünftägige Lead Implementer-Kohorte mit bis zu 12 Lernenden, vor Ort oder virtuell.
05Überschneiden sich PECB- und ISACA-Zertifikate?
Sie decken verwandte, aber unterschiedliche Bereiche ab. PECB vergibt Zertifikate zu ISO-Standards (ISO 27001, 27005, 31000, 22301, 42001…) und zu EU-Regulierungen (NIS 2, DORA). ISACA vergibt Zertifikate zu beruflichen Disziplinen (Audit, Sicherheitsmanagement, Risiko, Governance, Datenschutz), die auf COBIT und ISACA-Frameworks aufbauen.
Die meisten Senior-Praktiker halten beides: einen ISO 27001 Lead Implementer oder Lead Auditor (PECB) plus CISA oder CISM (ISACA). Der Auditpfad (CISA → CRISC → ISO 27001 LA) ist die maßgebliche Abfolge.


