Zertifizierung ist nicht das Ziel

Der Weg, eine Firma fit für ISMS zu machen

Zertifizierung ist nicht das Ziel – Der Weg, eine Firma fit für ISMS zu machen

Jedes Audit trifft mich emotional. Es fühlt sich an, als würde meine gesamte Arbeit auf den Prüfstand gestellt, als müsste ich beweisen, dass all die Strukturen, Prozesse und Maßnahmen wirklich etwas bewirken. Dabei weiß ich genau: Die eigentliche Herausforderung liegt nicht im Audit selbst – sondern in der monatelangen Arbeit davor.

Ein ISMS ist mehr als eine Sammlung von Dokumenten. Es ist eine Denkweise. Doch warum sind die echten Erfolge eines ISMS so oft unsichtbar für die C-Level-Ebene? Weil es nicht um schnelle Erfolge oder greifbare Kennzahlen geht, sondern um eine nachhaltige Transformation. Und die passiert leise, ohne großes Aufsehen. In den letzten fünf Jahren habe ich zwei Unternehmen von Grund auf zur ISO 27001-Zertifizierung geführt. Nicht als IT-Projekt, sondern als organisatorische Herausforderung. Und immer wieder war es nicht die Technik, die versagte – sondern das Fehlen eines strukturierten, gelebten Prozesses. Ohne PDCA gibt es kein echtes ISMS, sondern nur historisches Arbeiten. Dokumente werden geschrieben, aber nicht genutzt. Risiken bleiben bestehen, weil sie nicht aktiv gemanagt werden.

Gelernt habe ich bei all dem, dass ein ISMS ist nur dann erfolgreich, wenn es verstanden und gelebt wird. Doch wie schafft man es, aus einem Pflichtprogramm eine funktionierende Sicherheitskultur zu machen? Genau darum geht es in diesem Artikel.