Zum Hauptinhalt springen
Zurück zum Blog
Sicherheit

ISO 27001 für KI-Anbieter – muss die Agentur zertifiziert sein?

Muss die KI-Agentur ISO 27001 zertifiziert sein oder genügt Konformität? Unterschiede, Anforderungen, Checkliste für Sicherheit und Compliance.

ai4one Team
24. Jan 2026
9 Min. Lesezeit
ISO 27001 für KI-Anbieter – Zertifizierung oder Konformität?

TL;DR – Das Wichtigste in Kürze

ISO 27001-Zertifizierung ist teuer (15.000-50.000€) und zeitaufwändig (6-12 Monate). Für die meisten Unternehmen genügt ISO 27001-Konformität: Implementierung der Controls ohne externes Audit. ai4one ist ISO 27001-konform, Zertifizierung Q2/2026 geplant.

Was ist ISO 27001?

ISO/IEC 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Er definiert Best Practices für:

  • Identifikation von Sicherheitsrisiken
  • Implementierung von Sicherheitskontrollen
  • Management von Informationssicherheit
  • Kontinuierliche Verbesserung

Zertifizierung vs. Konformität: Der Unterschied

ISO 27001-Konformität

Bedeutung: Das Unternehmen hat die Anforderungen der ISO 27001 implementiert, aber OHNE externes Audit.

Vorteile:

  • ✅ Deutlich günstiger (interne Kosten nur)
  • ✅ Schneller umsetzbar (2-4 Monate)
  • ✅ Flexibler (keine jährlichen Re-Audits)
  • ✅ Gleiche Sicherheitsmaßnahmen wie bei Zertifizierung

Nachteile:

  • ❌ Kein offizielles Zertifikat
  • ❌ Keine externe Validierung
  • ❌ Bei Ausschreibungen potentiell nachteilig

ISO 27001-Zertifizierung

Bedeutung: Das Unternehmen wurde von akkreditierter Stelle (TÜV, BSI, etc.) auditiert und zertifiziert.

Vorteile:

  • ✅ Offizielles Zertifikat
  • ✅ Externe Validierung durch Auditor
  • ✅ Marketing-Vorteil ("ISO 27001-zertifiziert")
  • ✅ Pflicht bei vielen Enterprise-Ausschreibungen

Nachteile:

  • ❌ Sehr teuer (15.000-50.000€ einmalig + jährlich)
  • ❌ Zeitaufwändig (6-12 Monate bis Zertifizierung)
  • ❌ Jährliche Überwachungsaudits erforderlich
  • ❌ Bürokratischer Overhead

Wann ist Zertifizierung wirklich nötig?

✅ Zertifizierung ERFORDERLICH für:

  • Öffentliche Ausschreibungen (oft Pflicht-Kriterium)
  • Enterprise-Kunden (Konzerne, Banken, Versicherungen)
  • Kritische Infrastruktur (KRITIS-Unternehmen)
  • Regulierte Branchen (Finanz, Gesundheit, Telekommunikation)

⚠️ Konformität GENÜGT für:

  • Mittelstand und KMUs
  • Startups und Scale-ups
  • B2B-SaaS-Anbieter (ohne Enterprise-Fokus)
  • Dienstleister ohne regulatorische Anforderungen

Die 14 Kontrollfamilien der ISO 27001

ISO 27001:2022 definiert 93 Controls in 4 Kategorien:

Organisatorische Controls (37 Controls)

  • Informationssicherheits-Policy
  • Rollen und Verantwortlichkeiten
  • Risikomanagement
  • Asset Management
  • Zugriffskontrollen
  • Incident Management
  • Business Continuity

People Controls (8 Controls)

  • Mitarbeiter-Screening
  • Vertraulichkeitsvereinbarungen
  • Sicherheitsschulungen
  • Disziplinarverfahren

Physical Controls (14 Controls)

  • Physische Zugangskontrollen
  • Sichere Bereiche
  • Equipment Security
  • Sichere Entsorgung

Technological Controls (34 Controls)

  • Netzwerksicherheit
  • Verschlüsselung
  • Secure Development
  • Vulnerability Management
  • Logging & Monitoring
  • Backup & Recovery

ai4one: ISO 27001-Konformität im Detail

Implementierte Controls (Auswahl):

5.7 Threat Intelligence

✅ CVE-Monitoring, Security Bulletins, Automated Vulnerability Scanning

5.23 Information Security bei Cloud Services

✅ AWS mit ISO 27001/SOC 2-Zertifizierung, EU-Region (Frankfurt)

8.1 User Endpoint Devices

✅ MDM für Mitarbeiter-Devices, Disk-Encryption, Remote Wipe

8.3 Information Backup

✅ Automatische Backups (täglich), 30-Tage-Retention, Geo-Redundanz

8.5 Secure Authentication

✅ MFA für alle Accounts, SSO, Password Policies (12+ Zeichen, Complexity)

8.9 Configuration Management

✅ Infrastructure as Code (Terraform), Version Control, Change Management

8.10 Information Deletion

✅ Automatische Löschung nach Retention Period, Secure Deletion (DoD 5220.22-M)

8.16 Monitoring Activities

✅ Centralized Logging (ELK Stack), SIEM, Alerting, 90-Tage-Retention

8.23 Web Filtering

✅ WAF (Web Application Firewall), DDoS Protection, Rate Limiting

8.24 Use of Cryptography

✅ TLS 1.3, AES-256 Encryption at Rest, Key Management (AWS KMS)

Dokumentation:

  • ✅ Information Security Policy (20 Seiten)
  • ✅ Risk Assessment & Treatment Plan
  • ✅ Asset Inventory
  • ✅ Incident Response Plan
  • ✅ Business Continuity Plan
  • ✅ Supplier Security Assessment

Checkliste: ISO 27001-Konformität selbst erreichen

Phase 1: Preparation (Monat 1)

  1. ☑️ Management Commitment sichern
  2. ☑️ ISMS-Team benennen (3-5 Personen)
  3. ☑️ Scope definieren (welche Systeme, Prozesse?)
  4. ☑️ Asset Inventory erstellen

Phase 2: Risk Assessment (Monat 2)

  1. ☑️ Risiken identifizieren (Threat Modeling)
  2. ☑️ Risiken bewerten (Likelihood × Impact)
  3. ☑️ Risiken priorisieren
  4. ☑️ Controls auswählen (welche der 93?)

Phase 3: Implementation (Monat 3-4)

  1. ☑️ Policies & Procedures schreiben
  2. ☑️ Technische Controls implementieren
  3. ☑️ Mitarbeiter schulen
  4. ☑️ Dokumentation vervollständigen

Phase 4: Review & Improvement (laufend)

  1. ☑️ Quartalsweise interne Audits
  2. ☑️ Jährliches Management Review
  3. ☑️ Kontinuierliche Verbesserung

Kosten-Vergleich: Konformität vs. Zertifizierung

ISO 27001-Konformität (Self-Assessment)

Kostenposition Einmalig Jährlich
Personalaufwand (intern) 500-800h à 80€ 40.000-64.000€
Tools & Software 2.000-5.000€ 1.000-3.000€
Training 3.000-5.000€ 1.000-2.000€
Gesamt 45.000-74.000€ 2.000-5.000€

ISO 27001-Zertifizierung (mit Audit)

Kostenposition Einmalig Jährlich
Vorbereitung (wie oben) 45.000-74.000€ -
Externer Berater (optional) 10.000-25.000€ -
Zertifizierungsaudit 15.000-30.000€ -
Überwachungsaudit - 8.000-15.000€
Gesamt 70.000-129.000€ 8.000-15.000€

Häufige Fragen (FAQ)

Kann ich "ISO 27001-konform" im Marketing verwenden?

Ja, aber: Sie dürfen NICHT "ISO 27001-zertifiziert" sagen ohne Zertifikat. Formulierung: "ISO 27001-konform", "Basierend auf ISO 27001", "ISO 27001-aligned".

Wie lange dauert eine Zertifizierung?

6-12 Monate (4 Monate Vorbereitung + 2 Monate Audit-Prozess). Konformität: 2-4 Monate.

Muss ich alle 93 Controls implementieren?

Nein. Sie wählen die relevanten Controls basierend auf Ihrem Risk Assessment. Typisch: 60-80 Controls.

Verliere ich Kunden ohne Zertifikat?

Bei Enterprise-Kunden: Potentiell ja (oft K.O.-Kriterium). Bei KMUs: Meist nein (Konformität genügt).

"Wir haben zunächst ISO 27001-Konformität erreicht (4 Monate, interne Kosten nur). Das genügte für 95% unserer Kunden. Die Zertifizierung folgt 2026 für Enterprise-Deals." - CTO, ai4one

Fazit: Konformität first, Zertifizierung später

Empfehlung für die meisten Unternehmen:

  1. Phase 1: ISO 27001-Konformität erreichen (2-4 Monate, günstiger)
  2. Phase 2: Im Betrieb verbessern, Prozesse etablieren
  3. Phase 3: Zertifizierung angehen, wenn Enterprise-Kunden es verlangen

Der Sicherheitsgewinn ist bei Konformität identisch zur Zertifizierung. Der Unterschied liegt nur im externen Audit und dem offiziellen Zertifikat.

Nächster Schritt: Laden Sie die kostenlose ISO 27001-Self-Assessment-Checkliste herunter (Excel, 93 Controls) und starten Sie Ihre Konformitäts-Reise.

Bereit für Ihren KI-Agenten?

Lassen Sie uns gemeinsam die perfekte KI-Lösung für Ihr Unternehmen entwickeln.