Swiss Room · Fallstudie 360°
14 Monate, 45 Mitarbeitende, null Vorerfahrung – und was am Ende mehr war als ein Zertifikat
Was diese Fallstudie Ihnen zeigt
Wie ein klassisches Schweizer Industrie-KMU ohne IT-Abteilung und ohne Vorerfahrung in 14 Monaten die ISO-27001-Zertifizierung erreicht – und was dabei über das Unternehmen selbst sichtbar wird. Sieben Perspektiven, darunter die des externen Auditors.
Diese Fallstudie beschreibt exemplarisch, wie ein Schweizer KMU ISO 27001 nicht als bürokratisches Compliance-Projekt umgesetzt hat, sondern als unternehmensweite Reifetransformation – mit sieben Menschen, die alle ein anderes Stück der Wirklichkeit sehen. Die Namen und Unternehmen sind fiktiv. Die Dynamiken sind es nicht.
Die Kunz & Partner AG aus Winterthur ist ein klassisches Schweizer Industrie-KMU. 45 Mitarbeitende. Spezialisiert auf industrielle Sensorlösungen für Maschinenbauer in Europa. Das Unternehmen läuft seit 22 Jahren erfolgreich. Die Qualität der Produkte ist unbestritten. Die IT wurde von Leo Schmid quasi im Alleingang aufgebaut – pragmatisch, funktional, gewachsen.
In den letzten 18 Monaten häuften sich Kundenfragen: «Haben Sie ein Informationssicherheits-Managementsystem?» «Können Sie die Sicherheit Ihrer Software-Updates nachweisen?» Der Verkaufsleiter Markus Zingg antwortete auf solche Fragen meist mit: «Wir sind ein KMU – das betrifft eher die Grossen.» Das funktionierte bis zu dem Tag, an dem es nicht mehr funktionierte.
«Wir schätzen die langjährige Zusammenarbeit mit Kunz & Partner sehr. Unsere Qualitätsanforderungen verpflichten uns jedoch, ab 2026 ausschliesslich mit Lieferanten zu arbeiten, die eine gültige ISO-27001-Zertifizierung vorweisen können. Bitte teilen Sie uns bis Ende des Quartals mit, ob und bis wann Sie diesen Nachweis erbringen können.»
Absender: Qualitätsmanagement, ein süddeutscher Maschinenbauer. Vertragsvolumen: 31 % des Jahresumsatzes. Der Auftrag stand. Markus Zingg informierte die Geschäftsführerin Claudia Meier noch am selben Nachmittag.
Claudia Meier sagte nach einer kurzen Pause: «Gut. Dann machen wir es. Aber richtig.» Diese zwei Sätze definierten den gesamten Prozess der nächsten 14 Monate.
Der externe CISO Tobias Frei erklärte im ersten Meeting der gesamten Führungsebene: «ISO 27001 bedeutet nicht nur Passwörter und Firewalls. Es geht um Prozesse. Um Risikomanagement. Um die Frage, welche Information für Ihr Unternehmen kritisch ist – und was passiert, wenn sie verloren geht oder kompromittiert wird.»
Die erste Risikoanalyse drei Wochen später öffnete vielen die Augen:
Passwort-Management: Ein Entwickler hatte alle Admin-Passwörter in einer unverschlüsselten Excel-Datei. Diese Datei war über ein gemeinsames Laufwerk zugänglich, zu dem sechs weitere Personen Zugang hatten.
Backups: Täglich erstellt, unverschlüsselt, auf einem Server im selben Raum wie die Primärsysteme. Nie auf Wiederherstellbarkeit getestet.
Zugriffsrechte: Historisch gewachsen. Drei ehemalige Mitarbeitende hatten noch aktive Logins. Zwei Personen hatten Admin-Rechte auf Systemen, die sie nicht mehr betreuten.
Lieferantenbewertung: Nicht vorhanden. Software-Komponenten wurden beschafft, ohne dass die Lieferanten auf ihre eigenen Sicherheitspraktiken hin geprüft wurden.
Incident Response: Konzeptionell vorhanden. Nie geübt. Die drei Personen, die im Notfallplan benannt waren, wussten nicht, dass sie benannt waren.
Claudia Meier sagte nach der Präsentation der Risikoanalyse das, was alle im Raum dachten: «Gut, dass wir das jetzt sehen. Lieber so als im Audit.»
IT-Asset-Inventar
312 Assets
Vollständig inventarisiert, klassifiziert nach Kritikalität und Owner zugewiesen. Vorher: keine strukturierte Übersicht
Audit-Ergebnis
0 Major NC
Null Major Nonconformities in Stage 1 und Stage 2. Zwei Minor NCs im Stage 2 wurden noch während des Audits behoben
Neue Kunden
2 Grosskunden
Zwei neue europäische Maschinenbauer haben explizit die ISO-27001-Zertifizierung als Entscheidungsgrund genannt. Geschätztes Volumen: CHF 650k jährlich
Support-Tickets
–40 %
Zugangsbezogene Support-Tickets (Passwort-Reset, Zugriffsanfragen, Fehlkonfigurationen) um 40 % gesunken. Leo Schmid: «Das war die grösste Überraschung.»
Lieferanten
23 bewertet
Strukturierter Bewertungsprozess eingeführt. 4 Verträge neu verhandelt, 1 Lieferant terminiert wegen fehlender Sicherheitsnachweise
Schatten-IT
Deutlich reduziert
12 nicht autorisierte Software-Installationen identifiziert und bereinigt. Neuer Beschaffungsprozess für Software verhindert künftige Schatten-IT strukturell
Das Zertifikat war das Ziel. Aber es war nicht das Wichtigste. Das Wichtigste war, dass wir zum ersten Mal wirklich wussten, was in unserer IT passiert.
Dieselbe Organisation, derselbe Prozess, 14 Monate – erlebt durch sieben Menschen, die alle ein anderes Stück der Wirklichkeit sehen. Inklusive der Person, die von aussen schaut.
Bis die Realität uns eingeholt hat, war Sicherheit für mich eher im gesunden Menschenverstand verankert als in formalen Standards. Wir hatten keine grossen Vorfälle. Unsere Daten waren nie kompromittiert worden. Ich dachte: Wir machen das gut.
«Die Risikoanalyse hat gezeigt, dass wir vieles gut machen – und einiges überhaupt nicht. Das Schwierige war, dass das Überhaupt-Nicht-Gemachte kein Versagen war. Es war einfach nie eine Entscheidung.»Die härteste Führungsentscheidung war, den Prozess nicht an Leo zu delegieren. ISO 27001 als Gemeinschaftsprojekt zu definieren – mit Ressourcen, Management-Zeit und echtem Engagement aller Abteilungen – das kostete politisches Kapital in einem Unternehmen, das schnell und pragmatisch funktioniert.
Ein Jahr nach der Zertifizierung sage ich: Es war die beste Investition, die wir je in die eigene Organisation gemacht haben. Nicht wegen der zwei neuen Kunden. Sondern weil wir ein Unternehmen sind, das jetzt weiss, was es tut.
Als Claudia mir sagte, wir führen ISO 27001 ein, war mein erster Gedanke: Ich habe keine Zeit für so etwas Grosses. Ich war schon davor mit dem Tagesgeschäft ausgelastet. Und jetzt soll ich 312 Assets inventarisieren, Policies schreiben und Audits vorbereiten?
«Was mich gerettet hat: Claudia hat es wirklich zur Chefinnensache gemacht. Ich war nicht allein. Das war entscheidend.»Der Moment, der mich am meisten überraschte: Der Backup-Test. Wir hatten Backups. Täglich. Ich war stolz darauf. Dann haben wir getestet, ob wir damit tatsächlich wiederherstellen können – und bei zwei von fünf kritischen Systemen war die Antwort: nicht vollständig. Das war ernüchternd und lehrreich zugleich.
Was ich heute anders sehe: ISO 27001 hat mir nicht mehr Arbeit gegeben. Es hat mir Übersicht gegeben. Ich weiss, welche Systeme kritisch sind, wer für was verantwortlich ist, und was ich tun muss, wenn etwas schiefgeht. Das ist ein qualitativer Unterschied zu vorher.
Als ISO 27001 angekündigt wurde, dachte ich zuerst: Endlich. Ein Rahmen, der Ordnung in unser Risikomanagement bringt. Ich hatte schon länger das Gefühl, dass wir in bestimmten Bereichen strukturelle Lücken hatten – aber ohne einen gemeinsamen Referenzrahmen war es schwer, das intern zu kommunizieren.
«ISO 27001 hat mir die Sprache gegeben, die ich vorher nicht hatte. Risikomanagement, Kontrollziele, Nachweispflichten – plötzlich konnte ich benennen, was ich meinte.»Der unerwartetste Aspekt: Die Lieferantenbewertung. Wir hatten jahrelang Software-Komponenten beschafft, ohne die Anbieter auf deren eigene Sicherheitspraktiken zu prüfen. Ein Anbieter – jahrelanger Partner – konnte bei der Bewertung keine grundlegenden Nachweise erbringen. Wir haben den Vertrag terminiert. Das war keine angenehme Entscheidung. Sie war richtig.
Als ich in das Projekt kam, war vieles typisch für ein KMU: gute Menschen, viele Ideen, wenig Zeit – und eine IT, die alles gleichzeitig stemmen muss. Leo ist ausgezeichnet. Er hat das System so weit gebracht, wie ein Einzelner es bringen kann. Aber ein ISMS baut man nicht im Alleingang.
«Mein erster Schritt war immer: Wer weiss was? Wer trägt Verantwortung für was? Bei Kunz & Partner war die Antwort ehrlicher als bei vielen grösseren Unternehmen: «Wir wissen es nicht genau.» Das ist ein guter Ausgangspunkt.»Die Backup-Situation war mein wichtigster früher Befund. Backups, die nie getestet werden, sind Hoffnung – keine Strategie. Der Moment, in dem Leo das erste Mal einen vollständigen Restore durchgeführt hat und gesehen hat, was nicht funktioniert – das war der grösste Lernmoment des gesamten Projekts.
Was mich bei diesem Unternehmen beeindruckt hat: Claudia Meier hat den Prozess nie als Kostenstelle behandelt. Sie hat ihn als Investition behandelt. Das ist selten. Und es macht den Unterschied zwischen einem ISMS, das lebt, und einem, das in der Schublade liegt.
Security war nie mein Thema. Ich schreibe Code. Security war das, was die IT macht. Als ISO 27001 angekündigt wurde, dachte ich: Das gibt Bürokratie. Passwort-Policies, Schulungen, Prozesse, die meine Arbeit verlangsamen.
«Das Secure-Coding-Training hat meine Meinung verändert. Nicht wegen der Compliance. Weil ich verstanden habe, welche Schwachstellen ich in Code einbaue, ohne es zu wissen.»Was sich in meiner täglichen Arbeit verändert hat: Ich validiere Eingaben konsequenter. Ich denke bei jedem externen Aufruf an Fehlerbehandlung und Timeouts. Ich dokumentiere Sicherheitsentscheidungen im Code-Review. Das kostet ein paar Minuten mehr – und hat uns schon einmal vor einer potenziellen Injection-Schwachstelle bewahrt, die ich vor dem Training vielleicht nicht gesehen hätte.
Für mich war IT-Security immer «ein IT-Problem». Plötzlich musste ich MFA nutzen, obligatorische Schulungen besuchen und durfte keine USB-Sticks mehr einstecken. Mein erster Gedanke: Die legen uns Steine in den Weg.
«Das hat sich geändert, als ich zum ersten Mal aktiv mit «ISO 27001-zertifiziert» bei einem Kunden punkten konnte. Das war kein kleines Detail – das war ausschlaggebend für einen Auftrag.»Ich bin jetzt der Überzeugung, dass ISO 27001 das beste Verkaufsargument ist, das wir je hatten – und es kostet uns als Vertrieb nichts ausser dem Verständnis, warum es wichtig ist. Wenn ein Kunde fragt: «Wie schützen Sie unsere Daten?» habe ich jetzt eine Antwort, die zählt. Früher hatte ich ein allgemeines Versprechen. Heute habe ich ein Zertifikat und einen Prozess, den ich erklären kann.
Ich auditiere seit zwölf Jahren KMU und grosse Konzerne. Ich habe alles gesehen: perfekte Handbücher und chaotische Implementierungen. Brillante Technik hinter zerbrochenen Prozessen. Und gelegentlich das Gegenteil: bescheidene Dokumentation, aber eine Organisation, die wirklich lebt, was sie beschreibt.
«Als ich zur Kunz & Partner AG kam, sah ich sofort: Die Menschen sind nervös, aber nicht verängstigt. Das ist ein gutes Zeichen. Wer das ISMS wirklich lebt, fürchtet den Auditor nicht.»Die zwei Minor Nonconformities im Stage 2 wurden noch während des Audits behoben – das ist aussergewöhnlich. Was mich beeindruckt hat: Das war nicht Schnelligkeit um der Schnelligkeit willen. Die Massnahmen waren durchdacht. Das Team hat die Nonconformity verstanden, nicht nur behoben.
Was ich an dieser Fallstudie für typisch halte: Der grösste Gewinn von ISO 27001 für KMU ist nicht das Zertifikat. Es ist die Übersicht, die sie vorher nie hatten. 312 Assets, inventarisiert. Lieferanten, bewertet. Zugriffsrechte, bereinigt. Das ist kein Compliance-Output – das ist unternehmerische Reife.
Learning 1
ISO 27001 ist ein Gemeinschaftsprojekt – und das muss vom Management kommen
Kein CISO, kein externer Berater und kein IT-Leiter kann ISO 27001 allein einführen. Das Management muss Ressourcen bereitstellen, Verantwortlichkeiten klar zuweisen und das Projekt aktiv tragen. Claudia Meiers frühe Entscheidung – «Nicht delegieren» – war die wichtigste des gesamten Prozesses.
Learning 2
Das Unsichtbare ist das grösste Risiko
Fast alle Schwachstellen, die die Risikoanalyse aufdeckte, existierten bereits. Die ungetesteten Backups. Die Zugriffsrechte ehemaliger Mitarbeitender. Die nie geübten Notfallpläne. ISO 27001 macht das Unsichtbare sichtbar. Das ist unbequem – und der erste Schritt zur Steuerung.
Learning 3
Nicht getestete Pläne sind Hypothesen
Zwei von fünf kritischen Systemen konnten bei der ersten Backup-Wiederherstellung nicht vollständig restauriert werden. Niemand wusste das – weil niemand es je getestet hatte. ISO 27001 verlangt getestete Massnahmen. Das ist kein bürokratisches Detail. Es ist der Unterschied zwischen Sicherheit und dem Glauben an Sicherheit.
Learning 4
Dokumentation ist Schutz – nicht Bürokratie
Was nicht dokumentiert ist, existiert im Streitfall nicht. Policies, Logs, Zugriffshistorien und Nachweise sind nicht Papier um des Papiers willen – sie sind Haftungsschutz, Entscheidungsgrundlage und das Fundament jeder Auditfähigkeit. Der 40-prozentige Rückgang an zugangsbezogenen Support-Tickets war der sichtbarste operative Effekt einer Massnahme, die zunächst wie Overhead wirkte.
Learning 5
ISO 27001 verändert das Unternehmen – nicht nur die IT
Ein Jahr nach der Zertifizierung: zwei neue Grosskunden. Weniger Ausfälle. Strukturiertere Beschaffungsprozesse. Kaum noch Schatten-IT. Ein Vertriebsmitarbeiter, der ISO 27001 als Verkaufsargument nutzt. Eine Entwicklerin, die Sicherheit als Teil ihrer Arbeit versteht. Das Zertifikat war die Bestätigung – nicht das Ziel.
ISO 27001 hat uns nicht nur sicherer gemacht – es hat uns zu einem besser geführten Unternehmen gemacht. Das war nicht der Plan. Das war das Ergebnis.
Hinweis
Diese Fallstudie ist ein fiktives Beispiel. Namen und Unternehmen sind erfunden. Die beschriebenen Anforderungen und Dynamiken basieren auf den geltenden Vorgaben der ISO/IEC 27001:2022. Sie ersetzen keine individuelle rechtliche oder technische Beratung.