Jessica Doering
14. Oktober 2024
~
3
Minuten Lesezeit
Die 3 Hauptprobleme bei der Erlangung einer ISO 27001-Zertifizierung
Conny ist die Geschäftsführerin eines Start-ups, welches gerade seine Serie-A-Runde abgeschlossen hat und kurz vor dem Vertragsabschluss seines ersten großen Unternehmenskunden steht. Conny geht voller Begeisterung und mit dem Ziel, das Geschäft abzuschließen, in den Anruf, aber die erste Frage, die ihr gestellt wird, lautet: Wir würden gerne mit Ihnen zusammenarbeiten, aber wie können wir darauf vertrauen, dass Ihr Unternehmen sicher ist? Verfügen Sie bereits über eine ISO 27001-Zertifizierung? Wir benötigen dies als Teil unserer Sorgfaltspflicht.
Conny schaut erstaunt und erinnert sich daran, dass sie schon einmal etwas über ISO 27001 gelesen hat, aber nicht wirklich weiß, wie man sie einhält.
Nach dem Anruf telefoniert Conny sofort mit Steve, ihrem CTO, um zu besprechen, wie sie die ISO-Zertifizierung schnell erhalten kann. Nach Gesprächen mit mehreren Personen stellen sie fest, dass dieser Prozess nicht so einfach ist, wie sie dachte....
ISO 27001 ist ein hervorragender Ausgangspunkt für Organisationen, die technische und organisatorische Maßnahmen ergreifen wollen, um das Risiko einer Datenverletzung zu verringern. Allerdings kann dies ein komplexer, zeitaufwändiger und manueller Prozess sein.
In der Mittagspause führten Conny und Steve das folgende Gespräch:
Conny: Kannst Du Dir vorstellen, dass wir alles überwachen müssen, um das ISO 27001-Zertifikat zu bekommen und zu behalten?
Steve: Nein, was soll's. Wir haben nicht die Kapazität, das zu tun.
Conny: Ja, aber wenn wir das nicht tun, verlieren wir diesen großen Kunden. Wir müssen etwas tun, Steve...
Steve: Ja, ich weiß. Ich habe mit einigen Freunden gesprochen, aber sie haben mir gesagt, dass sie ein Jahr gebraucht haben, um die Zertifizierung zu erhalten.
Conny: Was? Ein ganzes Jahr? Wir müssen das Geschäft mit dem Kunden so schnell wie möglich abschließen. So viel Zeit haben wir nicht. (Conny isst unbehaglich ihre Nudeln)
Aber was ist eigentlich zu tun.... Und wie fange ich an...? Wo finde ich all diese Informationen? Wen soll ich fragen oder kontaktieren? Ich habe keinen blassen Schimmer und mein Bauch tut weh von dieser Pasta. - Die arme Conny!
Aber warum ist Conny so ängstlich und besorgt?
Hier sind die 3 größten Herausforderungen bei der Einhaltung der ISO 27001-Norm:
1. Viele Unternehmen wissen nicht, wie sie anfangen sollen oder wo sie zuerst suchen sollen.
Kleine Unternehmen wie Start-ups und KMU haben keinen Leitfaden oder eine spezifische Checkliste, die ihnen sagen kann, wie sie sich nach ISO 27001 zertifizieren lassen können. Daher besteht die einzige Lösung darin, es entweder selbst zu tun oder ein teures IT-Beratungsunternehmen zu beauftragen, das sie berät und durch den Zertifizierungsprozess führt. Dies kann ein Unternehmen mit z.B. 100 Mitarbeitern mindestens 100.000 EUR pro Jahr kosten. Ein kleineres Unternehmen mit mehr als 30 Mitarbeitern würde zwischen 25.000 EUR und 50.000 EUR zahlen.
For more information, download our Comparison Guide here.
2. Ein hoher Dokumentationsaufwand ist damit verbunden.
Der Prozess ist manuell, zeitaufwändig und fehleranfällig. Die Unternehmen müssen Hunderte von Dokumenten über die Sicherheitslage des Unternehmens von Grund auf neu verfassen und die dokumentierten Prozesse auch innerhalb der Organisation umsetzen. Dies kann ein kleines Unternehmen oder eine Neugründung mindestens 8-15 Stunden Arbeit pro Woche kosten.
3. Es ist schwierig, die Vorschriften einzuhalten.
Nachdem die Unternehmen mit der Prüfung fertig sind, denken sie, dass es vorbei ist, aber nein...
Dies ist ein kontinuierlicher Prozess, der jedes Jahr durchgeführt werden muss.
Dies sind die Phasen, um ISO 27001-konform zu werden und zu bleiben:
Die Unternehmen müssen alle Dokumente auf dem neuesten Stand halten, und die Organisation muss eine Sicherheitskultur aufbauen und leben. Das Hauptproblem ist, dass viele Unternehmen, insbesondere Start-ups, jedes Jahr wachsen und ihre Prozesse ständig ändern. Stellen Sie sich also vor, wie schwierig es ist, alles auf dem neuesten Stand zu halten, wenn Sie 20-30 Mitarbeiter pro Monat einstellen.
Even though Conny is afraid of possibly getting a stomach ulcer, an ISO 27001 certification is the optimal solution to close their new enterprise customer and enforce security in their organization. Ignoring or not fully complying with ISO 27001can be costly for your business.
Wie können Sie also mit diesen 3 Hauptproblemen bei der Umsetzung von ISO 27001 umgehen?
Erreichen Sie die ISO 27001-Konformität mit Secfix in wenigen Wochen statt Monaten.
Our mission is to automate security and compliance for small and medium-sized businesses: We help SMEs to build their own ISMS and automate security standards such as ISO 27001 and SOC 2.
Additionally, we have a pool of trusted and verified auditors and ethical hacking companies from Europe that offer pentests. We guarantee security and top-notch penetration testers only.
Get in touch with us and you will not have a stomach ache!
