ISO 27001 im Mittelstand: Was es wirklich kostet (und was nicht)
Die häufigste Frage im Erstgespräch, die seltenste ehrliche Antwort im Netz. Hier sind realistische Spannen für Unternehmen mit 20 bis 250 Mitarbeitenden, aufgeschlüsselt nach dem, was tatsächlich Geld kostet: Aufbau, Audit und Betrieb.
Was die ISO 27001 verlangt
Ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001:2022: Risikoanalyse, Sicherheitsziele, dokumentierte Prozesse und 93 Maßnahmen (Controls) in vier Themenfeldern, von Zugriffssteuerung bis Lieferantenmanagement. Zertifiziert wird in einem 3-Jahres-Zyklus: Erstaudit (Stufe 1 + 2), danach jährliche Überwachungsaudits, im dritten Jahr Re-Zertifizierung.
Kostenblock 1: Aufbau des ISMS
- 20–50 Mitarbeitende, einfache IT: extern begleitet realistisch 15.000–35.000 €, Projektdauer 4–8 Monate.
- 50–250 Mitarbeitende, mehrere Standorte/Produkte: 30.000–70.000 €, 6–12 Monate.
- Größter versteckter Posten: interne Zeit. Rechnen Sie mit 0,2–0,5 Stellen über die Projektlaufzeit (Koordination, Interviews, Umsetzung der Maßnahmen).
Kostenblock 2: Zertifizierung
- Erstzertifizierung durch akkreditierte Stelle: je nach Größe und Scope 6.000–18.000 €.
- Überwachungsaudits (Jahr 2 und 3): je etwa ein Drittel bis die Hälfte des Erstaudits.
- Audittage sind über die Akkreditierungsregeln an die Unternehmensgröße gekoppelt, hier lässt sich wenig verhandeln. Sparen können Sie nur über einen sauber zugeschnittenen Scope.
Kostenblock 3: Laufender Betrieb
Ein ISMS ist kein Projekt, sondern ein Betriebssystem: interne Audits, Management-Review, Risiko-Updates, Schulungen, Kennzahlen. Realistisch 5.000–20.000 € pro Jahr (extern begleitet) plus interne Zeit. Wer diesen Block wegplant, verliert das Zertifikat beim ersten Überwachungsaudit oder erkauft es mit Panik-Aktionen.
Wann Sie das Zertifikat NICHT brauchen
- Kein Kunde, keine Ausschreibung und keine Regulierung verlangt es: Dann reicht oft die Substanz ohne Zertifikat (ISMS light, an NIS2 orientiert). Das kostet die Hälfte.
- Nur ein einzelner Kunde fragt: Erst klären, ob ein Nachweis (z. B. Selbstauskunft, TISAX im Automotive-Umfeld, SOC 2 bei US-Kunden) genügt.
- Als reines Marketing: Ein Zertifikat ohne gelebtes System fliegt im Kundenaudit auf.
Die ehrliche Rechnung
Für einen typischen 80-Personen-Mittelständler: rund 40.000–60.000 € im ersten Jahr (Aufbau + Erstaudit) und 10.000–25.000 € pro Folgejahr. Dagegen stehen gewonnene Ausschreibungen, NIS2-Konformität als Nebeneffekt und ein deutlich kleineres Risiko beim Cyber-Versicherer.
Zertifikat, Substanz oder erstmal gar nichts?
Der kostenlose Pre-flight-Check zeigt in 90 Sekunden, welcher Weg zu Ihrer Lage passt. Danach reden wir über Festpreise, nicht über Tagessätze.
Pre-flight-Check starten →Hinweis: Alle Spannen sind Erfahrungswerte für den DACH-Mittelstand (Stand Juli 2026) und ersetzen kein individuelles Angebot.