Die meistgestellte Frage von Mittelständlern, die eine ISO 27001-Zertifizierung planen: „Was kostet das wirklich?“ Die meisten Antworten sind entweder unrealistisch niedrig („Festpreis ab 5.000 €“) oder nebulös („kommt drauf an, Tagessatz 1.200 €“). Beide Varianten helfen Ihnen nicht bei der Budgetplanung. Dieser Artikel liefert Ihnen konkrete Zahlen für die Unternehmensgrößen 10 bis 500 Mitarbeiter — basierend auf über 100 realen Zertifizierungsprojekten.

Die drei Kostenblöcke einer ISO 27001-Zertifizierung

Bevor wir zu den Zahlen kommen, müssen Sie verstehen, woraus die Gesamtkosten bestehen. Wer nur den Beratungspreis sieht, bekommt ein falsches Bild.

1. Beratung und Implementierungsunterstützung

Das ist der externe Teil: Gap-Analyse, Risikomanagement-Aufbau, Dokumentation, Controls-Umsetzung, interne Audit-Begleitung. Je nach Unternehmensgröße und Branche sind das 40 bis 70 Prozent der Gesamtkosten.

Große Beratungen rechnen nach Tagessätzen (1.000 bis 2.000 € pro Tag). Boutiquen und spezialisierte KMU-Berater arbeiten zunehmend mit Festpreis-Modellen. Der Unterschied: Festpreis ist kalkulierbar, Tagessatz kann explodieren, wenn das Projekt sich verzögert.

2. Externes Audit durch akkreditierte Zertifizierungsstelle

Für das Zertifikat brauchen Sie einen unabhängigen Auditor — z.B. DQS, TÜV, DEKRA, BSI Group. Diese prüfen in zwei Stufen: Stage 1 (Dokumenten-Review) und Stage 2 (Vor-Ort-Audit). Die Audit-Kosten sind getrennt von den Beratungskosten und liegen typischerweise bei:

• Kleine Unternehmen (1-20 MA): 3.500 bis 5.500 € pro Zyklus
• Mittelständler (21-150 MA): 5.500 bis 12.000 € pro Zyklus
• Große KMU (150-500 MA): 12.000 bis 22.000 € pro Zyklus

Im dritten Jahr kommt eine Rezertifizierung hinzu — die kostet etwa 70 bis 80 Prozent des Erst-Audits.

3. Interne Aufwände und Tooling

Diese werden gerne unterschätzt. Ihre Mitarbeiter brauchen Zeit für Dokumentation, Meetings, Schulungen. Außerdem benötigen Sie ein ISMS-Tool, in dem Sie Ihre Richtlinien, Risikoanalysen, Audits und Controls verwalten. Excel funktioniert — ist aber nach dem ersten externen Audit kein Spaß mehr.

Realistische interne Aufwände:

• 1-20 MA: 6-10 Stunden pro Woche für 3-5 Monate
• 21-50 MA: 10-16 Stunden pro Woche für 5-7 Monate
• 51-150 MA: 14-22 Stunden pro Woche für 6-9 Monate
• 150+ MA: 0,5 bis 1 FTE über 8-12 Monate

Die realistische Kostentabelle für 2026

Hier sind die Zahlen, die wir in der Praxis bei KMU-Zertifizierungsprojekten sehen. Diese umfassen alle drei Blöcke: Beratung, externes Audit, Tooling.

Unternehmensgröße	Gesamtkosten	Zeitrahmen	Folgekosten/Jahr
1-5 Mitarbeiter	8.000 – 11.000 €	3-5 Monate	3.500 – 5.000 €
6-20 Mitarbeiter	11.000 – 15.000 €	4-6 Monate	5.000 – 7.000 €
21-50 Mitarbeiter	14.500 – 20.500 €	5-7 Monate	7.500 – 10.500 €
51-150 Mitarbeiter	19.000 – 27.000 €	6-9 Monate	10.000 – 14.000 €
150+ Mitarbeiter	28.000 – 44.000 €	8-12 Monate	14.000 – 20.000 €

Hinweis: Diese Zahlen gelten für strukturierte KMU aus IT-affinen Branchen (Software, Dienstleistungen, E-Commerce). Für regulierte Branchen (Finanz, Gesundheit, KRITIS) kommen 10-20 Prozent Aufschlag hinzu.

Was treibt die Kosten? Die vier Haupthebel

Hebel 1: Mehrere Standorte

Für jeden zusätzlichen Standort, der im Scope liegt, rechnen Sie mit 15-25 Prozent Aufschlag. Der externe Auditor muss potenziell alle Standorte besuchen; die Dokumentation wird komplexer.

Praktischer Tipp: Definieren Sie den Scope bewusst. Nicht jede Niederlassung muss im Zertifikat sein. Oft reicht das Headquarter + wesentliche IT-Operations.

Hebel 2: Ausgangslage und ISO-Vorerfahrung

Ein Unternehmen mit bestehendem ISO 9001-Zertifikat hat bereits strukturierte Prozesse — das spart 15-25 Prozent. Ein Unternehmen, das bei null anfängt (keine dokumentierten Prozesse, kein Risikomanagement, keine klaren Verantwortlichkeiten), braucht den vollen Aufwand.

Hebel 3: Branche und regulatorische Auflagen

Finanzdienstleister (DORA!), KRITIS-Betreiber und Gesundheitswesen haben regulatorische Zusatzanforderungen. Das bedeutet mehr Controls, tiefere Dokumentation, aufwendigere Audits. Rechnen Sie 10-20 Prozent mehr.

Hebel 4: Qualität der Beratung

Billige Beratung ist oft teuer. „ISO 27001 in 4 Wochen für 5.000 €“ endet häufig damit, dass das Unternehmen im Zertifizierungsaudit durchfällt — und dann doppelt zahlt. Gute Beratung kalkuliert ehrlich und schließt Audit-Bestehen als Erfolgsmaß ein.

Tagessatz vs. Festpreis: Der wichtigste Unterschied

Nach über 100 Projekten können wir sagen: Festpreis schlägt Tagessatz in 9 von 10 Fällen. Die Gründe:

• Kalkulierbarkeit: Sie wissen zu Beginn, was das Projekt kostet. Keine Überraschungen.
• Aligned Incentive: Der Berater hat kein Interesse, das Projekt zu verlängern. Er wird effizient.
• Qualitätssicherung: Festpreise beinhalten meist „Audit-Bestehen garantiert“ — der Berater muss so gut arbeiten, dass der Zertifizierungsaudit beim ersten Mal klappt.

Tagessätze lohnen sich nur bei sehr unspezifischen Projekten (z.B. reiner Beratungsauftrag ohne klares Ziel). Für die Zertifizierung ist Festpreis der Standard — und Sie sollten sich keinen Berater aufschwatzen lassen, der das nicht anbietet.

Folgekosten: Was kostet die Aufrechterhaltung?

Das Zertifikat gilt drei Jahre. In diesen drei Jahren fallen an:

• Jährliches Überwachungsaudit: ca. 50-60 % des Erst-Audits
• Interne Audits: 1-2 Tage pro Jahr (intern oder als Service)
• Dokumentationspflege: Policies, Risiko-Reviews, Incident-Protokolle
• Mitarbeiter-Awareness: Schulungen mindestens jährlich
• ISMS-Plattform/Tooling: 149 bis 299 € pro Monat
• Optional: Externer ISB: 399 bis 800 € pro Monat

Insgesamt rechnen Sie mit etwa 25-30 Prozent der Erstkosten pro Jahr an laufenden Aufwänden.

So sparen Sie ohne Qualitätsverlust

1. Ready-Kit statt Full-Service bei kleinen Unternehmens

Wenn Sie unter 20 Mitarbeiter sind und IT-affin, kann ein Ready-Kit mit 100+ Dokumentvorlagen die Basis für Ihr ISMS legen. Das kostet 790 € einmalig statt 10.000 € Beratung. Sie müssen dann selbst arbeiten — aber Sie haben die Vorlagen. Danach reicht ein kleines Beratungsbudget, um Lücken zu schließen.

2. Kombi mit NIS-2, TISAX oder ISO 42001

ISO 27001 überlappt sich zu 60-80 Prozent mit NIS-2, TISAX und ISO 42001. Wer mehrere Normen gleichzeitig aufbaut, spart pro Norm 30-50 Prozent. Strategisch planen, nicht einzeln.

3. ISMS-Plattform statt Excel

Klingt kontraintuitiv, aber: Eine ISMS-Plattform spart vom ersten Tag an Zeit. Richtlinien-Templates, automatische Risikoanalysen, Audit-Vorbereitung mit einem Klick. Das reduziert interne Aufwände um 30-40 Prozent.

4. Externer ISB statt Vollzeit-Stelle

Ein interner ISB mit 50 Prozent Stelle kostet 35.000-50.000 € pro Jahr. Ein externer ISB ab 399 €/Monat = 4.788 €/Jahr. Solange Ihre Organisation nicht mehr als 150 Mitarbeiter hat, ist das die wirtschaftlichere Lösung.

Der ehrliche Zeitplan

Die Zertifizierungsphase besteht aus sieben Phasen. Wer die ernst nimmt, schafft die Zertifizierung beim ersten Versuch:

1. Gap-Analyse (2-3 Wochen) — Wo stehen Sie, wo fehlt etwas?
2. Scope & Struktur festlegen (1-2 Wochen) — Was gehört ins ISMS?
3. Risiken und Assets erfassen (3-5 Wochen) — Das Herzstück des ISMS
4. Richtlinien & Dokumentation (4-6 Wochen) — Aber bitte keine kopierten Vorlagen ohne Anpassung!
5. Schulung & Umsetzung (3-5 Wochen) — Mitarbeiter-Awareness ist Pflicht
6. Internes Audit & Management-Review (2-3 Wochen) — Der Realitäts-Check
7. Externes Audit (Stage 1 + Stage 2, 4-8 Wochen Gesamtdauer)

Rechnen Sie mindestens 5 Monate ein, bei größeren Projekten 9 Monate. Jede Abkürzung rächt sich im Audit.

Fazit: Was sollten Sie jetzt tun?

Wenn Sie ernsthaft über ISO 27001 nachdenken, sind das Ihre nächsten Schritte:

1. Ihren konkreten Aufwand schätzen: Nutzen Sie unseren ISO 27001 Kostenrechner — 3 Minuten, individualisiert, ohne Anmeldung.
2. Reifegrad prüfen: Der Readiness-Check zeigt Ihnen in 3 Minuten, wo Sie heute stehen.
3. Leitfaden herunterladen: Unser ISO 27001-Leitfaden (PDF, 18 Seiten) erklärt alle Anforderungen und typischen Stolpersteine.
4. Kostenloses Erstgespräch vereinbaren: In einem 30-Minuten-Gespräch klären wir Scope, Budget und Zeitrahmen — ohne Verkaufsdruck.

ISO 27001 ist eine Investition, die sich für die meisten KMU nach 12-18 Monaten amortisiert — durch gewonnene Aufträge, reduzierte Cyber-Risiken und günstigere Cyberversicherungen. Aber nur, wenn Sie von Anfang an mit realistischen Zahlen planen.