Zum Inhalt springen

Support für ISO 27001:2022 und TISAX – von der Einführung bis zur Zertifizierung
Wir begleiten Ihr Unternehmen umfassend bei der Einführung und Umsetzung von ISO 27001:2022 und TISAX. Vereinbaren Sie ein unverbindliches Erstgespräch. Fordern Sie noch heute Ihr individuelles Angebot an.

Anfrage
NIS2
TISAX®
Startseite » Unser Blog » ISO 27001 » Berater und Preisstrukturen bei ISO 27001

Berater und Preisstrukturen bei ISO 27001

Die ISO 27001 definiert den strukturierten Aufbau eines ISMS und stellt hohe Anforderungen an die Risikoanalyse, Dokumentation und kontinuierliche Verbesserung der Unternehmenssicherheit. Gerade die Preisstruktur ISO 27001 kann dabei stark variieren. Dennoch kann man sich schnell wundern, warum bei einer scheinbar einheitlichen Norm mit klaren Vorgaben derart große Preisunterschiede bei der Beratungsleistung bestehen. In der Praxis spielt eben nicht nur die Norm eine Rolle, sondern auch die Herangehensweise und das Geschäftsmodell der einzelnen Berater.

Ein Blick in die Angebote zeigt häufig Tagessätze, die sich zwischen 1.100 € und 1.500 € bewegen. Einige Unternehmen kalkulieren für die Einführung eines ISMS nach ISO 27001 Summen, die bis in den hohen fünfstelligen Bereich reichen. Kritisch betrachtet: Wer für 50.000 € Beratung beauftragt, bezahlt bei einem Tagessatz von etwa 1.100 € über 45 volle 8-Stunden-Tage Beratungsleistung. Die Frage ist: Welches Unternehmen braucht so viele Vor-Ort-Termine, wenn überwiegend Schulungen und Workshops remote oder per E-Learning-Plattform durchgeführt werden? Eine große Zahl an Präsenztagen ist oft gar nicht erforderlich, sofern das Unternehmen bereit ist, interne Ressourcen für die Dokumentation, Risikoanalyse und Schulungen einzusetzen.

Bei genauerer Betrachtung besteht der Aufbau eines ISMS im Wesentlichen aus folgenden Schritten:

  • Gap-Analyse: Wo steht das Unternehmen im Vergleich zu den Anforderungen der Norm?
  • Risikoeinschätzung und Risikoplanung: Identifizierung relevanter Risiken und deren Priorisierung.
  • Statement of Applicability (SoA): Auflistung und Begründung, welche Controls (Maßnahmen) umgesetzt werden.
  • Richtlinien und Prozessdefinition: Erstellung oder Anpassung von Sicherheitsrichtlinien sowie Verfahrensanweisungen.
  • Schulung der Mitarbeitenden: Häufig reicht hier ein E-Learning-Programm, das die Grundlagen der Informationssicherheit vermittelt und durch Quizze oder Lernkontrollen ergänzt wird.
  • Internes Audit: Überprüfung, ob alle Vorgaben der ISO 27001 umgesetzt wurden.
  • Managementbewertung: Offizielle Prüfung und Freigabe durch die oberste Leitung.

Gerade beim Thema Schulung sind viele Unternehmen überrascht, wie wenig Aufwand tatsächlich beim Berater liegt, wenn ein E-Learning-System genutzt wird. Eine gut gestaltete Lernplattform kann sämtliche Mitarbeitenden – seien es 50 oder 200 – schnell und effektiv schulen, ohne dass ein Berater dabei jeden Tag auf der Matte stehen muss. Damit wird ein wesentlicher Kostentreiber reduziert und die Preisstruktur bei ISO 27001 erheblich gesenkt.

Auch die technische Infrastruktur spielt bei den Beratungsleistungen eine Rolle, jedoch oft weniger stark, als viele denken. Wenn ein Unternehmen beispielsweise zwei nahezu identische Server nutzt, bedeutet das nicht automatisch den doppelten Aufwand für den Berater. Er begutachtet das allgemeine Sicherheitskonzept, die Zugriffsrechte, Netzwerksegmentierung und ähnliche Punkte. Ob das System einmal oder zweimal vorhanden ist, schlägt dabei nicht proportional zu Buche. Einen großen Einfluss auf die Beratungskosten haben vielmehr Heterogenität und Komplexität: Unterschiedliche Technologien, verstreute Cloud-Dienste oder viele externe Schnittstellen erhöhen den Analyseaufwand deutlich.

Aus der Praxis (ISO 9001 Alltag)

Ein kleines Unternehmen mit 30 Mitarbeitenden beauftragte einen externen Berater, um ein Qualitätsmanagementsystem nach ISO 9001 aufzubauen. Die Kommunikation beschränkte sich dabei fast ausschließlich auf Telefonate zwischen dem Berater und der Geschäftsführung, ohne direkte Einbindung des Teams oder eine detaillierte Analyse der betrieblichen Prozesse. Für die Erstellung der Dokumentation nutzte der Berater zu großen Teilen vorgefertigte Vorlagen, die per „Copy and Paste“ nur unzureichend angepasst wurden.

In den Unterlagen tauchten sogar die Namen fremder Mitarbeitender auf, und es wurden Prozesse erwähnt, die in dem Unternehmen gar nicht existierten. Anstelle einer auf das Unternehmen zugeschnittenen Prozesslandschaft wurde lediglich der PDCA-Zyklus aus der ISO 9001 kurz dargestellt. Trotz dieser mangelhaften Ausarbeitung und fehlenden Individualisierung zahlte das Unternehmen am Ende 15.000 Euro für eine Dokumentation, die weder die realen Abläufe widerspiegelte noch den Nutzen eines professionell implementierten Qualitätsmanagementsystems voll ausschöpfte.

Warum also so große Preisspannen?

Manche Berater bieten Rundum-sorglos-Pakete an, bei denen sie fast alle Aufgaben von der Dokumentation bis zum internen Audit selbst übernehmen. Andere konzentrieren sich auf Coaching und Schulungen, während das Unternehmen den Großteil der Umsetzung intern stemmt. Einige setzen verstärkt auf Software-Plattformen, mit denen Dokumentation und Risikobewertung automatisierter ablaufen und die Kosten damit niedriger halten können.

So entstehen Kosten zwischen 10.000 € und 30.000 € bei einem stark selbstgesteuerten Vorgehen (ggf. mit Software-Unterstützung), bis hin zu 50.000 € oder mehr, wenn Berater weite Teile der Arbeit übernehmen oder sehr individuelle Anforderungen im Unternehmen bestehen. Wer die Strukturen der Norm versteht und bereit ist, interne Ressourcen sinnvoll einzubringen, kann die Beratungskosten in vielen Fällen deutlich geringer halten, als es die hohen Tagessätze mancher Anbieter vermuten lassen. Es empfiehlt sich daher, mehrere Angebote einzuholen und genau zu klären, welche Leistungen tatsächlich nötig sind – denn nicht jedes Projekt erfordert 45 oder mehr volle Beratungstage.

Warum auch „normale“ Unternehmen mit 30.000 € und mehr konfrontiert werden

Gerade in klassischen Branchen wie Maschinenbau, Kunststoffverarbeitung oder allgemeinen Dienstleistungsbereichen kommt es häufig zu Verwunderung, wenn sich die Angebotspreise für ISO-27001-Beratung rasch auf 30.000 € oder mehr belaufen. Ein wesentlicher Grund dafür ist, dass größere Beratungsfirmen erhebliche Fixkosten haben. Neben den Gehältern der fest angestellten Berater fallen Mieten für Büroräume, Marketingaufwendungen sowie Verwaltungskosten an. Diese Faktoren fließen zwangsläufig in die Kalkulation ein. Folglich schlägt sich dies in hohen Tagessätzen oder Paketpreisen nieder und treibt die Preisstruktur ISO 27001 in die Höhe.

In vielen Fällen ist dies für kleinere bis mittelständische Unternehmen schlicht nicht mehr akzeptabel, da sie am Ende das Gesamtpaket bezahlen – einschließlich aller internen Kosten, die für das Projektmanagement, die Zuarbeit und die Planung investiert werden müssen. Wer sich ausschließlich auf bekannte „Großanbieter“ verlässt, bezahlt damit oft mehr, als objektiv nötig wäre. Daher ist es gerade für KMUs (kleine und mittelständische Unternehmen) empfehlenswert, auch nach kreativen Lösungen und flexibleren Anbietern zu suchen: Ein kleineres, spezialisiertes Beratungsteam oder ein Mix aus eigenen Kapazitäten und punktueller externer Unterstützung kann bei gleicher Qualität deutlich günstiger sein.

Wie SMCT MANAGEMENT die Preisstruktur bei ISO 27001 niedrig hält und trotzdem Hands-On arbeitet

Bei SMCT MANAGEMENT legen wir großen Wert darauf, die Preisstruktur bei ISO 27001 möglichst schlank zu gestalten und gleichzeitig einen praxisnahen, „Hands-On“-Ansatz zu verfolgen. Unser Ziel ist es, Unternehmen aller Größenordnungen – vom KMU bis zum größeren Mittelständler – eine qualitativ hochwertige und zugleich kostengünstige Einführung bzw. Optimierung des Informationssicherheits-Managementsystems (ISMS) zu ermöglichen.

Einer der Schlüsselfaktoren für unsere effiziente Arbeitsweise – und nur einer von vielen Ansätzen in unserer Beratung – ist die systematische Nutzung exakt abgestimmter Checklisten. Gemeinsam mit dem Kunden klären wir im Vorfeld alle wichtigen Aspekte seiner Organisation, IT-Landschaft und vorhandenen Sicherheitsmaßnahmen. Auf Basis dieser Informationen entwickeln wir Checklisten, die speziell auf den jeweiligen Bedarf zugeschnitten sind. Aus den Ergebnissen dieser Checklisten leiten wir die Risikoanalyse ab, erstellen die Risikoplanung und definieren die dazugehörigen Maßnahmen. Zudem generieren wir auf dieser Grundlage das Statement of Applicability (SoA), das sämtliche relevanten Sicherheitskontrollen aufzeigt und begründet.

Ein weiterer wesentlicher Punkt zur Senkung der Kosten ist unsere eigene E-Learning-Plattform, über die wir einen Großteil der erforderlichen Mitarbeiterschulungen abdecken. Statt teurer Präsenzschulungen, die viele Arbeitstage binden, können alle Beteiligten zeit- und ortsunabhängig auf unsere Online-Kurse zugreifen. Diese beinhalten interaktive Module, Tests zur Lernkontrolle und übersichtliche Dokumentationen, sodass die Schulung schnell und nachhaltig erfolgt. Der Fokus liegt auf der Praxis: Wir vermitteln kein unnötiges Theoriewissen, sondern konzentrieren uns auf die wesentlichen Inhalte, die unmittelbar im Arbeitsalltag angewendet werden.

So erreichen wir eine klare Reduktion der Präsenzzeiten und minimieren Reisekosten, während wir gleichzeitig das Sicherheitsbewusstsein im gesamten Unternehmen erhöhen. Auf diese Weise halten wir konsequent unsere Preisstruktur bei ISO 27001 im niedrigen bis mittleren Segment, ohne dass der Kunde auf eine professionelle, an den realen Prozessen orientierte Umsetzung verzichten muss.

Obwohl unser Vorgehen kostenbewusst ist, legen wir weiterhin großen Wert auf einen persönlichen, greifbaren Kontakt. Bei Bedarf sind wir selbstverständlich vor Ort verfügbar, um offene Fragen zu klären, Workshops zu moderieren oder etwaige Besonderheiten in der Infrastruktur gemeinsam zu analysieren. Damit stellen wir sicher, dass das ISMS nicht nur auf dem Papier existiert, sondern im Unternehmen tatsächlich gelebt wird.

Fazit

Es ist nicht so, dass die Norm selbst zwingend zu astronomischen Kosten führen muss – vielmehr ist es die Art und Weise, wie die Beratung durchgeführt wird, und ob ein großes Beratungsunternehmen seine eigene Kostenstruktur (Mitarbeiter, Miete, Overhead) in die Tagessätze mit einpreist. Letztlich muss jedes Unternehmen abwägen, inwieweit der Mehrwert einer großen, etablierten Beratungsgesellschaft das entsprechende Honorar rechtfertigt. Oft ist eine kleinere, spezialisierte Beratung mit einer neutralen Preisstruktur bei ISO 27001 oder eine Software-gestützte und intern getriebene Lösung völlig ausreichend, um die Anforderungen der Norm erfolgreich zu erfüllen. Wer hier strategisch vorgeht und die Preisstruktur ISO 27001 genau analysiert, kann das notwendige Niveau an Informationssicherheit etablieren, ohne das Budget zu sprengen.

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

Cookie Consent mit Real Cookie Banner