ISO 27001 Schweiz: Aufwand, Kosten und wer es wirklich braucht
ISO 27001 ist der internationale Standard für Informationssicherheit – aber lohnt sich die Zertifizierung für Schweizer KMU wirklich? Dieser Artikel zeigt, was es kostet, wie lange es dauert und für wen es sich rechnet.
ISO 27001 Schweiz: Aufwand, Kosten und wer es wirklich braucht
45 % aller Schweizer Unternehmen wurden laut dem Nationalen Zentrum für Cybersicherheit (NCSC) in den letzten zwei Jahren Opfer eines Cyberangriffs. Viele davon hätten mit einem zertifizierten Informationssicherheits-Managementsystem deutlich besser dagestanden – oder den Schaden zumindest begrenzt. Die Frage ist nicht ob du Sicherheit brauchst, sondern ob du sie zertifizieren lassen solltest.
TL;DR
- ISO 27001 kostet Schweizer KMU typischerweise zwischen CHF 15'000 und CHF 80'000 – je nach Unternehmensgrösse und Vorarbeit.
- Die Zertifizierung dauert in der Regel 12 bis 24 Monate ab Start.
- Für Unternehmen mit öffentlichen Aufträgen, Gesundheitsdaten oder Finanzdienstleistungen ist sie faktisch obligatorisch.
- Viele KMU unterschätzen den internen Zeitaufwand: Plane mindestens 0.5 Vollzeitstellen für die Projektphase ein.
Was ist ISO 27001 – und was bringt sie konkret?
ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Er definiert, wie ein Unternehmen Risiken für seine Informationen systematisch identifiziert, bewertet und kontrolliert – nicht als einmalige Massnahme, sondern als kontinuierlicher Prozess.
Der Standard besteht aus zwei Teilen: den normativen Anforderungen (Kapitel 4–10) und dem Anhang A mit 93 möglichen Sicherheitsmassnahmen (Controls). Unternehmen müssen nicht alle Controls umsetzen, aber begründen, welche sie weglassen.
📊 62% der europäischen Grossunternehmen verlangen von ihren IT-Lieferanten heute eine ISO 27001 Zertifizierung als Voraussetzung für eine Zusammenarbeit. Quelle: ENISA Threat Landscape Report, 2023
Was du konkret gewinnst: strukturierte Risikoprozesse, klare Verantwortlichkeiten, Nachweis gegenüber Kunden und Behörden – und im Schadensfall eine deutlich bessere Ausgangslage bei Versicherungen und Haftungsfragen.
Was kostet ISO 27001 für ein Schweizer KMU wirklich?
Die Gesamtkosten setzen sich aus drei Blöcken zusammen: Beratung, Zertifizierungsaudit und interner Aufwand. Viele unterschätzen vor allem den dritten Posten.
| Kostenblock | Kleines KMU (< 50 MA) | Mittleres KMU (50–250 MA) |
|---|---|---|
| Externe Beratung | CHF 8'000–20'000 | CHF 20'000–50'000 |
| Zertifizierungsaudit (akkreditierte Stelle) | CHF 5'000–10'000 | CHF 10'000–20'000 |
| Interner Aufwand (geschätzt) | CHF 15'000–30'000 | CHF 30'000–60'000 |
| Total (einmalig) | CHF 28'000–60'000 | CHF 60'000–130'000 |
| Jährliche Überwachungsaudits | CHF 3'000–6'000 | CHF 6'000–15'000 |
⚠️ Wichtig: Die internen Kosten erscheinen in keiner Rechnung, sind aber real. Mitarbeitende verbringen Zeit in Workshops, Interviews und bei der Dokumentation. Das summiert sich schnell auf 200–400 Arbeitsstunden.
Wer in der Schweiz braucht ISO 27001 wirklich?
Nicht jedes Unternehmen braucht eine formelle Zertifizierung – aber bestimmte Branchen und Geschäftsmodelle kommen kaum darum herum.
ISO 27001 ist faktisch Pflicht wenn du:
- Öffentliche Aufträge (Bund, Kantone, Gemeinden) anstrebst oder hältst
- Gesundheitsdaten oder Patienteninformationen verarbeitest (nEPD-Anforderungen)
- Als Finanzdienstleister unter FINMA-Aufsicht stehst
- Cloudlösungen oder IT-Dienstleistungen an Grosskonzerne anbietest
- Unter NIS2 (EU-Richtlinie) fallen könntest – relevant für Schweizer Unternehmen mit EU-Geschäft
- Ausschliesslich lokale B2C-Kunden ohne besondere Datenschutzanforderungen bedienst
- Weniger als 10 Mitarbeitende hast und keine sensiblen Daten verarbeitest
💡 Tipp: Auch ohne formelle Zertifizierungspflicht lohnt sich ein ISO 27001 Gap-Assessment. Für CHF 3'000–6'000 weisst du genau, wo deine grössten Sicherheitslücken sind – unabhängig davon, ob du zertifizieren willst.
Wie läuft eine ISO 27001 Zertifizierung in der Schweiz ab?
Der Prozess folgt immer demselben Muster, auch wenn die Details je nach Zertifizierungsstelle leicht variieren. In der Schweiz sind akkreditierte Stellen wie SQS, Bureau Veritas oder SGS zugelassen.
- Gap-Analyse — Du vergleichst deinen Ist-Zustand mit den ISO 27001-Anforderungen. Ergebnis: eine Lückenanalyse mit priorisierten Massnahmen.
- Scope festlegen — Du definierst, welche Geschäftsbereiche, Standorte und Systeme zertifiziert werden sollen. Ein enger Scope senkt den Aufwand erheblich.
- ISMS aufbauen — Risikobewertung, Richtlinien, Prozesse, Controls – hier liegt der grösste Arbeitsaufwand. Externe Berater helfen, Vorlagen anzupassen.
- Internes Audit — Bevor die Zertifizierungsstelle kommt, prüfst du selbst. Lücken jetzt zu finden ist deutlich günstiger als im Zertifizierungsaudit.
- Stage-1-Audit (Dokumentenprüfung) — Die Zertifizierungsstelle prüft deine Dokumentation auf Vollständigkeit. Meist ein halber Tag.
- Stage-2-Audit (Implementierungsprüfung) — Auditoren prüfen vor Ort, ob das ISMS wirklich gelebt wird. Interviews, Stichproben, Begehungen.
- Zertifikat erhalten — Bei erfolgreichem Abschluss gilt das Zertifikat 3 Jahre. Jährliche Überwachungsaudits sind Pflicht.
🚨 Achtung: Viele Unternehmen scheitern nicht am Stage-2-Audit wegen fehlender Technik, sondern weil Mitarbeitende die Prozesse nicht kennen oder nicht leben. Schulung und Awareness sind genauso wichtig wie Firewall-Regeln.
Gibt es Alternativen zur ISO 27001 Zertifizierung?
Ja – und für manche KMU sind sie die bessere Wahl.
| Standard / Framework | Aufwand | Kosten (grob) | Zertifizierbar? | Geeignet für |
|---|---|---|---|---|
| ISO 27001 | Hoch | CHF 30'000–130'000 | Ja | Unternehmen mit externen Anforderungen |
| NIST Cybersecurity Framework | Mittel | CHF 5'000–20'000 | Nein | Interne Strukturierung |
| CIS Controls (Level 1–3) | Niedrig–Mittel | CHF 3'000–15'000 | Nein | KMU als Einstieg |
| TISAX (Automotive) | Hoch | CHF 20'000–80'000 | Ja | Zulieferer der Autoindustrie |
| BSI IT-Grundschutz | Hoch | CHF 25'000–100'000 | Ja | DE-lastiger Markt, öffentlicher Sektor |
ℹ️ Hinweis: CIS Controls gelten als pragmatischer Einstieg. Die ersten sechs Controls decken laut CIS-Studien über 85 % aller bekannten Angriffsvektoren ab – ohne Zertifizierungsaufwand.
Fazit: Wann lohnt sich ISO 27001 für dein KMU?
ISO 27001 ist kein Selbstzweck. Es ist ein Werkzeug – und wie jedes Werkzeug lohnt es sich nur, wenn du das richtige Problem damit löst.
Investiere in die Zertifizierung wenn:
- Grosskunden oder öffentliche Stellen sie verlangen oder bald verlangen werden
- Du in einer regulierten Branche tätig bist (Gesundheit, Finanzen, Kritische Infrastruktur)
- Du als IT-Dienstleister Vertrauen als Wettbewerbsvorteil nutzen willst
Starte stattdessen mit einem Framework wenn:
- Du primär intern Struktur schaffen willst
- Das Budget unter CHF 20'000 liegt
- Du erst verstehen willst, wo deine grössten Risiken liegen
Auf IT-Provider.ch findest du über 200 geprüfte Schweizer Anbieter, die dir bei ISO 27001 Vorbereitung, Gap-Analysen und der Wahl der richtigen Zertifizierungsstelle helfen – inklusive Bewertungen von echten Kunden.
Häufige Fragen zu ISO 27001 in der Schweiz
Wie lange dauert eine ISO 27001 Zertifizierung?
Für ein KMU mit 20–100 Mitarbeitenden plane 12 bis 18 Monate. Grössere Unternehmen oder solche mit komplexen IT-Landschaften benötigen oft 18 bis 24 Monate.
Welche Zertifizierungsstellen sind in der Schweiz akkreditiert?
Die bekanntesten akkreditierten Stellen in der Schweiz sind SQS (Schweizerische Vereinigung für Qualitäts- und Management-Systeme), SGS und Bureau Veritas. Die vollständige Liste führt die Schweizerische Akkreditierungsstelle (SAS).
Kann ein KMU ISO 27001 ohne externe Berater umsetzen?
Theoretisch ja. Praktisch fehlt internen Teams oft die Erfahrung mit der Norm und den Auditorenerwartungen. Ein externer Berater amortisiert sich meist durch kürzere Projektdauer und weniger Korrekturen im Audit.
Was passiert, wenn das ISO 27001 Audit nicht bestanden wird?
Du erhältst einen Auditbericht mit Nichtkonformitäten. Kleinere Mängel (Minor Findings) kannst du innerhalb von 90 Tagen beheben, ohne das Audit zu wiederholen. Bei grösseren Mängeln (Major Findings) muss ein erneutes Audit stattfinden.
Gilt ISO 27001 auch für Cloud-Umgebungen?
Ja. ISO 27001 ist technologieneutral und gilt für Cloud-, On-Premise- und Hybridumgebungen. Ergänzend gibt es ISO 27017 (Cloud-spezifische Controls) und ISO 27018 (Datenschutz in der Cloud), die häufig zusammen mit ISO 27001 zertifiziert werden.
