BLOG

ISO 27001 mit vier Menschen und ohne ISMS-Silo
01.25.2026

Wie wir Informationssicherheit wirklich leben und warum das für unsere Kunden entscheidend ist

ISO 27001 ist für viele kleine und mittelständische Unternehmen ein rotes Tuch. Zu teuer, zu aufwendig, zu bürokratisch. Oft hört man, dass sich das nur für Konzerne lohnt, mit eigenen Compliance-Abteilungen und ISO-Stabsstellen.

Wir sind vier Menschen.
Kein ISMS-Team. Kein Compliance-Silo. Keine ISO-Abteilung.

Und genau deshalb haben wir uns bewusst für die ISO 27001 Zertifizierung entschieden.

Nicht aus Marketinggründen. Nicht wegen eines Kunden. Sondern aus Verantwortung. Für unser Unternehmen, für unsere Mitarbeitenden und für unsere Kunden.

Warum wir uns für ISO 27001 entschieden haben

Der emotionale Kern hinter der Entscheidung

Der eigentliche Auslöser war kein Audit und keine Ausschreibung.
Der Auslöser war Unruhe.

Als Gründer habe ich gemerkt, dass extrem viel Wissen in meinem Kopf steckt. Sicherheitsentscheidungen, Abhängigkeiten, implizite Annahmen. Solange ich verfügbar bin, funktioniert das. Aber das ist keine belastbare Organisation. Das ist ein Risiko.

Ich wollte einen Zustand erreichen, in dem:

  • Entscheidungen nachvollziehbar sind

  • Sicherheit nicht von einzelnen Personen abhängt

  • Prozesse auch dann funktionieren, wenn jemand ausfällt

  • Kunden sich darauf verlassen können, dass wir Sicherheit ernst nehmen

ISO 27001 war für mich kein Ziel, sondern ein Werkzeug. Ein Rahmen, der uns zwingt, genau diese Fragen sauber zu beantworten.

Nicht theoretisch, sondern im Alltag.

ISO 27001 und Holakratie

Warum sich das besser ergänzt, als viele denken

Wir arbeiten holakratisch. Nicht, weil es modern klingt, sondern weil wir davon überzeugt sind, dass Menschen ihr volles Potenzial nur dann entfalten, wenn sie nicht in starre Stellenbeschreibungen gepresst werden.

In der Holakratie tragen Menschen Rollen. Mehrere, wenn es sinnvoll ist. Verantwortung ist klar, aber flexibel. Kompetenzen können dort wirken, wo sie gebraucht werden.

Für Informationssicherheit ist das ein enormer Vorteil.

Warum?
Weil Risiken nicht nur von einer ISMS-Rolle erkannt werden, sondern von allen, die täglich mit Systemen, Daten und Prozessen arbeiten.

Jede Rolle ist bei uns ein Sensor für Risiken.

Der reale Konflikt mit ISO

Und wie wir ihn gelöst haben

ISO 27001 geht von klassischen Organisationsstrukturen aus.
Oberstes Management, formale Freigaben, Unterschriften, Top-down-Entscheidungen.

Holakratie funktioniert anders.
Entscheidungen werden dort getroffen, wo die Kompetenz liegt. Änderungen erfolgen über Konsent. Eine Änderung gilt, solange es kein begründetes Veto gibt. Und ein Veto ist nur dann zulässig, wenn es einen konstruktiven Lösungsvorschlag enthält.

Das ist kein Kulturthema. Das ist Risikomanagement.

Unser ISMS-Aufbau

General Company Circle statt Parallelorganisation

Wir haben einen General Company Circle. Dieser Kreis bildet die Schnittstelle zwischen Organisation und Außenwelt.

Dort existieren Rollen wie:

  • Geschäftsführer als formale Außenrolle

  • Prokurist

  • Datenschutzbeauftragter

  • Gesellschafter

  • ISMS-Verantwortlicher, bei uns Sicherheits-Sentinel genannt

Die Rolle Geschäftsführer hat bei uns keine operative Macht. Sie dient ausschließlich der formalen Vertretung nach außen, zum Beispiel für Unterschriften, die ISO fordert.

Alle inhaltlichen Entscheidungen entstehen im operativen Kreis und werden sauber dokumentiert.

So erfüllen wir ISO-Anforderungen, ohne unsere Organisationslogik zu verbiegen.

Entscheidungen und Nachweise

Warum Meetings bei uns wichtiger sind als Dokumente

Sicherheitsentscheidungen treffen wir nicht in PDFs, sondern in Meetings.

Governance Meetings sind Arbeiten an der Organisation. Rollen, Verantwortlichkeiten und Policies werden dort verändert.
Tactical Meetings sind Arbeiten in der Organisation. Konkrete Entscheidungen, Maßnahmen und Risiken werden dort behandelt.

Alle Entscheidungen werden in Glassfrog als Meeting Notes dokumentiert. Mit Zeitstempel, Verantwortlichkeit und Historie. Zusätzlich werden sie per E-Mail archiviert.

Das ist für uns gelebtes Informationssicherheitsmanagement.

Warum wir bewusst kein ISMS-Silo aufgebaut haben

Viele Unternehmen bauen ein ISMS neben der eigentlichen Organisation auf. Eigene Tools, eigene Prozesse, eigene Verantwortlichkeiten.

Für uns wäre das gescheitert.

Zu viele Tools bedeuten:

  • Informationen sind verteilt

  • Verantwortung verwässert

  • ISMS wird nicht gelebt

Ein ISMS, das nicht Teil des Alltags ist, ist wertlos.

SharePoint-Listen als Rückgrat

Einfach, aber effektiv

Wir nutzen (aktuell) nur vier SharePoint-Listen:

  • SOA  Anhang

  • Asset-Liste

  • Risiko-Liste

  • Maßnahmen-Liste inklusive Risikoreduktion

Mehr nicht.

Kein Dokumentenfriedhof. Keine ISO-Theaterkulisse.

Ein echtes Beispiel aus dem Alltag

Wir wollten einen Business-Flow über eine Automationsplattform laufen lassen. In einem Tactical Meeting meldet jemand eine Spannung. Nicht aus dem ISMS, sondern aus dem operativen Alltag.

Frage: Wo laufen welche Daten? Welche Risiken entstehen?

Ergebnis:

  • Neues Risiko wurde aufgenommen

  • Entscheidung wurde bewusst getroffen

  • Maßnahme wurde definiert und dokumentiert

So funktioniert Informationssicherheit, wenn sie gelebt wird.

Der Audit-Moment

Wann Skepsis zu Vertrauen wurde

Der kritischste Punkt im Audit war unsere Art der Dokumentation.
Keine klassischen PDFs. Keine Versionsnummern-Logik. Stattdessen zentrale Policies in Glassfrog mit klarer Zuordnung zu Annex A.

Ungewöhnlich. Aber nachvollziehbar.

Der Auditor hat verstanden, dass wir nicht für das Audit dokumentieren, sondern für den Betrieb.

Die ehrliche Grenze

Versionierung und Geschwindigkeit

Wir ändern Dinge schnell. Wir optimieren iterativ. Manchmal gehen wir einen Schritt zurück.

Das funktioniert nicht mit starren Versionsnummern.
Wir arbeiten mit gültigen Versionen und sauberer Historie.

Das ist ein bewusster Trade-off. Und er passt zu unserer Geschwindigkeit.

Für wen dieser Ansatz passt

Und für wen nicht

Dieser Weg passt für Unternehmen mit etwa 50 bis 1000 Mitarbeitenden. Für Geschäftsführer und IT-Leitungen, die Verantwortung übernehmen wollen. Für Organisationen, die Sicherheit als Teil ihrer Wertschöpfung sehen.

Er passt nicht für politisch getriebene Organisationen, reine Dokumenten-Compliance oder Dienstleister-Beziehungen ohne Augenhöhe.

Warum das für unsere Kunden relevant ist

Unsere Kunden kaufen keine ISO-Zertifikate.
Sie kaufen Vertrauen.

Sie wollen sicher sein, dass wir das, was wir zu Security, Compliance und Microsoft 365 erzählen, selbst leben. Und dass es überprüft wurde.

ISO 27001 ist für uns kein Marketinginstrument.
Es ist ein extern bestätigtes Versprechen.

Lass uns sprechen

Wenn du merkst, dass Sicherheit bei euch zu sehr im Kopf einzelner Personen steckt, Prozesse unscharf sind oder Compliance-Druck wächst, dann lass uns reden.

30 Minuten. Unverbindlich. Ehrlich.

Unsere Schwerpunkte:
Microsoft 365, Security, Compliance und Device Management. Purview, Intune und Defender von Anfang bis Ende.

Wenn wir nicht die Richtigen sind, sagen wir das. Und empfehlen jemanden aus unserem Partnernetzwerk.

Blog | Microsoft Security

Cubic Solutions Background Scroller