einfachISO
ISO 27001

ISO 27001 Zertifikat kaufen? Warum das nicht seriös funktioniert

Joachim Reinke
Von Joachim Reinke
Gründer & Geschäftsführer
ISO 27001 Zertifikat billig kaufen

Kann man ein ISO 27001 Zertifikat einfach kaufen?

Die klare Antwort lautet: Nein, jedenfalls nicht seriös.

Ein ISO 27001 Zertifikat ist kein Produkt, das man einfach bestellt und dann zugeschickt bekommt. Ein belastbares Zertifikat setzt voraus, dass ein Unternehmen ein funktionierendes Informationssicherheitsmanagementsystem aufgebaut hat und dieses von einer geeigneten Zertifizierungsstelle auditiert wurde.

Trotzdem wird die Frage erstaunlich oft gestellt. Meist nicht ganz offen, sondern eher zwischen den Zeilen:

"Geht das nicht auch einfacher?"

"Gibt es da keinen günstigen Weg?"

"Muss das wirklich alles sein?"

Genau darum geht es in diesem Beitrag.

Warum die Frage nach dem "billigen Zertifikat" überhaupt gestellt wird

Die meisten Unternehmen wollen kein Zertifikat "fälschen". Sie wollen vor allem eines: schnell, pragmatisch und ohne unnötige Kosten zum Ziel kommen.

Das ist nachvollziehbar. Denn häufig steckt dahinter ein sehr konkreter Anlass:

  • ein Kunde verlangt ISO 27001;
  • eine Ausschreibung setzt die Zertifizierung voraus;
  • ein größeres Unternehmen will vor Vertragsabschluss einen belastbaren Nachweis sehen;
  • die immer wiederkommmenden Fragebögen zur Informationssicherheit  durch Kunden sollen endlich weniger werden.

Das Problem beginnt dort, wo aus dem Wunsch nach Effizienz die Idee wird, man könne sich das eigentliche Verfahren sparen.

Ein ISO 27001 Zertifikat ist nur dann etwas wert, wenn es glaubwürdig ist

Ein Zertifikat hat nicht deshalb Wert, weil ein hübsches PDF existiert. Es hat nur dann Wert, wenn Ihre Kunden, Partner oder Auditoren ihm vertrauen.

Genau deshalb ist nicht nur wichtig, dass ein Zertifikat vorliegt, sondern auch:

  • wer es ausgestellt hat;
  • ob die Zertifizierungsstelle akkreditiert ist;
  • ob sich Zertifizierer oder Zertifikat über offizielle Stellen nachvollziehen lassen;
  • ob das Zertifikat zum tatsächlichen Geltungsbereich Ihres Unternehmens passt.

In Deutschland lassen sich akkreditierte Stellen über die DAkkS-Datenbank prüfen. International gibt es mit IAF CertSearch eine Datenbank zur Suche und Validierung akkreditierter Zertifizierungen und akkreditierter Zertifizierungsstellen (solange diese innerhalb der IAF organisiert sind).

Warum ein "billig gekauftes" Zertifikat riskant ist

1. Ihre Kunden schauen oft genauer hin, als Sie denken

Gerade bei größeren Kunden reicht es nicht, irgendein Zertifikat vorzuzeigen. Häufig wird geprüft, welche Zertifizierungsstelle dahintersteht und ob das Ganze plausibel wirkt.

Wenn dann ein Zertifikat von einer fragwürdigen oder unbekannten Stelle auftaucht, erzeugt das nicht Vertrauen, sondern Misstrauen.

2. Ein fragwürdiges Zertifikat löst das eigentliche Problem nicht

Das Ziel ist ja nicht, irgendein Dokument zu besitzen. Das Ziel ist, Anforderungen von Kunden zu erfüllen und im Zweifel belastbar nachweisen zu können, dass Ihr Unternehmen sauber arbeitet.

Ein zweifelhaftes Zertifikat bringt Ihnen in solchen Situationen wenig. Im schlechtesten Fall fällt es genau dann auseinander, wenn Sie es am dringendsten brauchen.

Ein zweifelhaftes Zertifikat kann ein juristisches Nachspiel haben wegen des Vorwurfs des unlauteren Wettbewerbs.

3. Ein unseriöser Weg kann teurer werden als ein sauberer Weg

Was zunächst billig wirkt, wird schnell teuer, wenn:

  • ein Kunde das Zertifikat nicht akzeptiert;
  • eine Ausschreibung scheitert;
  • Sie später doch noch sauber zertifizieren müssen;
  • Vertrauen bei Kunden oder Partnern verloren geht.

Billig ist in diesem Zusammenhang oft nur der erste Eindruck.

Woran Sie einen seriösen Zertifizierer erkennen

Ein seriöser Zertifizierer muss nicht übertrieben teuer sein. Aber er sollte prüfbar und glaubwürdig sein.

Darauf würde ich achten:

Akkreditierung

Prüfen Sie, ob die Zertifizierungsstelle bei einer anerkannten Akkreditierungsstelle geführt wird. In Deutschland ist dafür die DAkkS die zentrale Anlaufstelle. In der DAkkS-Datenbank werden auch Statusinformationen wie gültig, ausgesetzt oder zurückgezogen ausgewiesen.

Nachvollziehbarkeit

Wenn möglich, prüfen Sie zusätzlich, ob Zertifizierungsstelle oder Zertifikat über IAF CertSearch auffindbar sind. Das ist kein Muss - nicht jede Zertifizierungsstelle ist in der IAF organisiert - in jedem einzelnen Fall, aber ein sinnvoller zusätzlicher Plausibilitätscheck, vor allem, wenn Sie das Zertifikat verwenden wollen gegenüber internationalen Partnern.

Passender Scope

Ein Zertifikat ist nur dann hilfreich, wenn sein Geltungsbereich zu Ihrem Unternehmen und zu den Anforderungen Ihrer Kunden passt. Ein formal vorhandenes Zertifikat mit unpassendem Scope kann praktisch fast wertlos sein.

Seriöser Auditprozess

Wenn ein Anbieter den Eindruck vermittelt, das Ganze laufe praktisch ohne echte Prüfung durch: seien Sie vorsichtig. Dann kaufen Sie keine belastbare Zertifizierung, sondern wahrscheinlich nur Beruhigung.

Die bessere Frage lautet nicht "Wie kaufe ich billig?", sondern "Wie komme ich kosteneffizient zur Zertifizierung?"

Das ist der eigentliche Punkt.

Natürlich muss eine ISO-27001-Zertifizierung nicht unnötig teuer sein. Aber die Einsparung sollte an der richtigen Stelle stattfinden:

  • durch einen passenden Geltungsbereich;
  • durch schlanke Dokumentation statt Bürokratie;
  • durch saubere Vorbereitung auf das Audit;
  • durch einen Zertifizierer, der seriös und zugleich wirtschaftlich sinnvoll ist;
  • durch klare Projektführung, damit keine teuren Schleifen entstehen;

Genau das ist der vernünftige Weg.

So kommen Sie günstiger zur ISO 27001-Zertifizierung, ohne sich später zu schaden

Wenn Unternehmen "billig kaufen" sagen, meinen sie oft eigentlich etwas anderes. Sie meinen:

  • Wir wollen keine unnötige Beratung einkaufen.
  • Wir wollen keine monatelangen Umwege.
  • Wir wollen keine übertriebene Bürokratie.
  • Wir wollen keinen Zertifizierer, der unnötig teuer ist.
  • Wir wollen einfach sauber und zügig ans Ziel.

Das ist absolut legitim.

Ein sinnvoller Weg sieht deshalb so aus:

  1. Geltungsbereich sauber festlegen: Nicht zu groß und nicht künstlich klein, sondern passend.
  2. ISMS pragmatisch aufbauen: So viel wie nötig, nicht mehr.
  3. Zertifizierungsreife ehrlich einschätzen: Lieber vorab Lücken sehen als später im Audit.
  4. Passenden Zertifizierer auswählen: Seriös, bekannt genug und wirtschaftlich vernünftig.
  5. Audit sauber vorbereiten: Dann sparen Sie am Ende meist mehr Geld als durch das vermeintliche Schnäppchen am Anfang.

Suchen Sie nach einem Zertifizierer?

Wenn Sie einen seriösen und wirtschaftlich sinnvollen Weg zur ISO-27001-Zertifizierung suchen, sprechen Sie mit uns. Wir helfen Ihnen dabei, den passenden Scope festzulegen, unnötigen Aufwand zu vermeiden und mit einem geeigneten Zertifizierer sauber ans Ziel zu kommen.

Häufig gestellte Fragen

Kann man ein ISO 27001 Zertifikat einfach online kaufen?
Nicht seriös. Ein belastbares ISO-27001-Zertifikat setzt ein Audit durch eine geeignete Zertifizierungsstelle voraus. Ohne belastbare Prüfung ist das Ergebnis für Kunden und Partner oft wenig wert. Wenn man sich schon mit dem Gedanken trägt, es "einfach zu kaufen", dann kann man es sich auch eigentlich selbst ausdrucken. Den Kaufpreis kann man sich dann eigentlich ehrlicherweise auch sparen. Die Qualität des Zertifikats sinkt dann auch nicht mehr weiter.
Woran erkenne ich, ob ein Zertifizierer seriös ist?
Ein guter erster Schritt ist die Prüfung, ob die Stelle bei einer anerkannten Akkreditierungsstelle geführt wird. Es gibt nationale und internationale Akkreditierungsstellen. Ein Zertifizierungsunternehmen kann sich (unter einigen Randbedingungen) aussuchen, wo es sich akkreditiert.
Ist ein günstiger Zertifizierer automatisch unseriös?
Nein. Günstig ist nicht automatisch schlecht. Unseriös wird es dort, wo keine belastbare Prüfung erkennbar ist, der Anbieter nicht nachvollziehbar akkreditiert ist oder das Angebot unrealistisch wirkt (bspw. wenn das 200-Personen-Unternehmen an vier Standorden in insg. drei Stunden fertig auditiert ist).
Reicht meinen Kunden irgendein ISO-27001-Zertifikat?
Oft nicht. Gerade größere Kunden achten darauf, von wem das Zertifikat stammt und ob es glaubwürdig wirkt. Wenn Ihr Kunde selbst ein ISO 27001-Zertifikat hat, ist davon auszugehen, dass er fachkundig in der Beurteilung ist.
Was ist der sinnvollste Weg, wenn wir möglichst günstig zertifiziert werden wollen?
Nicht am Zertifikat sparen, sondern an unnötigem Aufwand. Ein passender Anwendungsbereich, schlanke Vorbereitung und ein vernünftiger Zertifizierer bringen meist deutlich mehr als ein vermeintliches Schnäppchen.

Dieser Artikel gehört zum Thema ISO 27001 Zertifizierung — erfahren Sie mehr über die Zertifizierung.

Zurück zum Blog

Bevor Sie gehen — sichern Sie sich die ISO 27001 Checkliste

26 Seiten, 5 Kapitel, kostenlos als PDF.

  • Ihr Weg zur Zertifizierung — Einstieg und Überblick
  • Aufbau Ihres ISMS — die acht Komponenten
  • Risikobewertung & -behandlung — strukturiert vorgehen

Wir schicken Ihnen das PDF und gelegentlich praxisnahe Tipps. Abmeldung jederzeit per Klick. Keine Weitergabe an Dritte.