Key Takeaways
- ISO 27001 prüft, wie du die Informationssicherheit verwaltest. Bei den meisten Startups in der Frühphase liegt der Schwerpunkt des Audits auf drei Bereichen: wie Geräte verwaltet werden, wie Zugriff gewährt und entzogen wird und ob deine Prozesse dokumentiert und durchgesetzt werden.
- Der Großteil der technischen Grundlagen lässt sich automatisieren. Geräterichtlinien, die Bereitstellung von SaaS-Konten und Endpunktsicherheit erfordern keine manuelle Konfiguration oder ein internes IT-Team, wenn du eine Managed-IT-Plattform nutzt.
- Die IT-Ebene und die Compliance-Ebene sind getrennte Aufgaben. Deine Infrastruktur auditbereit zu machen, ist eine technische Aufgabe. ISMS-Dokumentation, Risikobewertungen und Auditorenmanagement sind Governance-Aufgaben.
- Die größten Audit-Risiken sind nicht technische Komplexität, sondern Lücken. Shadow-IT, unvollständiges Offboarding und fehlende Protokollaufbewahrung bringen mehr Startups ins Straucheln als jeder Konfigurationsfehler.
- deeploi kümmert sich um die technische Umsetzung, damit sich dein Compliance-Partner auf die Governance konzentrieren kann. Gerätemanagement, Zugriffskontrolle und Endpunktsicherheit werden für dich eingerichtet und gewartet, sodass du die Checkliste zur Auditbereitschaft am Ende dieses Leitfadens tatsächlich abhaken kannst.
ISO 27001 für Startups: So machst du dein IT-Setup ohne IT-Team auditbereit
Die Frage kommt meist ohne Vorwarnung. Ein potenzieller Unternehmenskunde schickt einen Sicherheitsfragebogen. Ein VC fragt während der Due Diligence: „Seid ihr nach ISO 27001 zertifiziert?" Du weißt, dass die Antwort irgendwann „Ja" lauten sollte. Aber du hast kein eigenes IT-Team, und die meisten Online-Anleitungen lesen sich so, als wären sie für Unternehmen mit einem CISO und einer 20-köpfigen Sicherheitsabteilung geschrieben worden.
Dieser Leitfaden ist anders. Er richtet sich an Gründer, die ihre IT-Umgebung auditfähig machen müssen, ohne zuvor eine interne IT-Abteilung aufzubauen. Er behandelt weder ISMS-Governance noch Risikomethodik oder die Auswahl eines Auditors. Er befasst sich mit den technischen IT-Grundlagen, auf die Auditoren achten, und wie man diese mit minimalem Aufwand umsetzt.
Am Ende weißt du, welche IT-Kontrollen für ein erstes Audit am wichtigsten sind, welche du schon heute automatisieren kannst und was du selbst übernehmen oder an einen Compliance-Partner delegieren musst. Es steht viel auf dem Spiel – laut IBMs „2024 Cost of a Data Breach Report" kostet ein Datenleck Unternehmen mit weniger als 500 Mitarbeitern durchschnittlich 4,88 Millionen Dollar.
Was ISO 27001 tatsächlich von deiner IT-Infrastruktur verlangt
ISO 27001 prüft nicht dein Produkt oder deinen Code. Es wird geprüft, ob du dokumentierte und durchgesetzte Kontrollen darüber hast, wie Personen auf Systeme zugreifen, wie Geräte verwaltet werden und wie du reagierst, wenn etwas schiefgeht. Für ein kleines Startup liegt der größte Aufwand in drei Bereichen: Gerätesicherheit, Zugriffsmanagement und Prozessdokumentation.
Was du brauchst, bevor du loslegst
Betrachte das als eine 15-minütige Übung, nicht als Projekt. Bevor du die folgenden Schritte durcharbeitest, stelle sicher, dass du Folgendes hast:
- Eine grobe Liste aller im Unternehmen verwendeten Geräte (auch eine einfache Tabelle reicht aus)
- Kenntnisse über deinen Identitätsanbieter: Google Workspace, Microsoft Entra ID oder ähnliches
- Eine Entscheidung darüber, ob du die IT-Infrastruktur intern oder über einen Managed-IT-Partner verwalten willst
- Einen Überblick darüber, welche SaaS-Tools dein Team täglich nutzt (muss noch nicht vollständig sein)
Schritt 1: Verschaffe dir einen Überblick über deine Geräte und Konten
Bevor du irgendetwas kontrollieren kannst, musst du es erst einmal sehen. Die meisten Startups in der Frühphase haben ihre Hardware oder SaaS-Konten noch nie offiziell inventarisiert. Das ist die erste Lücke, die ein Auditor untersuchen wird.
Erstelle zunächst ein Bestandsverzeichnis, das zwei Dinge erfasst: welche Geräte vorhanden sind und wer sie nutzt, sowie welche SaaS-Konten im gesamten Unternehmen aktiv sind. Das muss keine manuelle Aufgabe sein. Eine MDM-Lösung (Mobile Device Management) befüllt automatisch ein Live-Geräteinventar, sobald ein Laptop registriert wird. Die mit Onboarding- und Offboarding-Workflows verknüpfte SaaS-Bereitstellung erstellt ein natürliches Kontenverzeichnis, ohne dass jemand eine Tabelle pflegen muss.
Mit der IT-Management-Plattform von deeploi geschieht das standardmäßig. Die Plattform führt ein aktuelles Geräteverzeichnis, verfolgt, welcher Mitarbeiter welches Gerät nutzt, und dokumentiert SaaS-Konten, die über ihre Onboarding-Workflows erstellt wurden. Wenn ein Auditor dein Bestandsverzeichnis einsehen möchte, ist das eine Sache von fünf Minuten – kein Stress.
Schritt 2: Setze grundlegende Geräterichtlinien über MDM durch
Das ist der technische Kern deiner Compliance- und Sicherheitslage. Auditoren wollen nicht nur hören, dass du Festplattenverschlüsselung „empfiehlst". Sie wollen sehen, dass Gerätekonfigurationen durchgesetzt werden, nicht nur empfohlen.
Vier grundlegende Kontrollen sind für praktisch jedes Startup wichtig, das ISO 27001 anstrebt:
- Festplattenverschlüsselung (FileVault auf Mac, BitLocker auf Windows) zum Schutz ruhender Daten
- Bildschirmsperr-Timeout, um unbefugten physischen Zugriff zu verhindern
- Durchsetzung von Betriebssystem-Updates, um bekannte Schwachstellen zu schließen
- Fernlöschfunktion, um bei Verlust oder Diebstahl eines Geräts reagieren zu können
MDM macht diese Richtlinien überprüfbar. Du kannst einem Auditor nachweisen, dass eine Richtlinie auf jedem Gerät aktiv ist und nicht nur als vorhanden angenommen wird. deeploi stellt diese Richtlinien auf macOS-, Windows- und iOS-Geräten bereit und verwaltet sie. Der Gründer muss die Richtlinien nicht manuell konfigurieren. deeploi setzt die Basiskonfiguration standardmäßig durch.
Noch etwas, das du wissen solltest: deeploi ist selbst nach ISO 27001 zertifiziert. Die Infrastruktur, auf der du aufbaust, erfüllt bereits den Standard, auf den du hinarbeitest.
Schritt 3: Zentralisiere die Zugriffsverwaltung und setze MFA durch
Die Zugriffskontrolle ist einer der am gründlichsten geprüften Bereiche bei jedem ISO 27001-Audit. Auditoren wollen sehen, dass der Zugriff bewusst gewährt, über seinen gesamten Lebenszyklus nachverfolgt und umgehend entzogen wird, wenn jemand das Unternehmen verlässt.
Für die meisten Startups bedeutet das drei Dinge, die zusammenwirken müssen:
- Single Sign-On (SSO) über Google Workspace oder Microsoft Entra ID, damit jede Anmeldung über eine einzige Identitätsschicht läuft
- Multi-Faktor-Authentifizierung (MFA), die für alle geschäftskritischen Tools durchgesetzt wird
- Saubere Onboarding- und Offboarding-Prozesse, die Konten über einen dokumentierten Workflow erstellen und widerrufen
deeploi automatisiert die Bereitstellung von SaaS-Konten, wenn jemand neu hinzukommt, und die Aufhebung des Zugriffs, wenn jemand das Unternehmen verlässt. So entsteht ein natürlicher Prüfpfad: Konten werden über einen protokollierten Workflow eröffnet und geschlossen, statt ad hoc von demjenigen bearbeitet, der gerade daran denkt. In Kombination mit der MFA-Durchsetzung durch den Identitätsanbieter deckt das einen wesentlichen Teil der Nachweise zum Zugriffsmanagement ab, die Auditoren erwarten.
Einen Punkt solltest du beachten: Rollenbasierte Zugriffsentscheidungen (wer Zugriff auf was haben soll) sind eine Frage der Unternehmensführung und nicht etwas, das eine IT-Plattform vorschreibt. Diese Verantwortung liegt beim Gründer oder dem Compliance-Partner. Mehr über das Gesamtbild erfährst du in diesem IT-Compliance-Leitfaden für kleine Unternehmen.
Schritt 4: Dokumentiere IT-Richtlinien und -Prozesse knapp, nicht erschöpfend
An dieser Stelle kommen viele Startups ins Stocken. „Dokumentation" weckt Assoziationen mit monatelangen Projekten und 50-seitigen Richtlinienhandbüchern. In Wirklichkeit erfordert ein ISO 27001-Audit in der Frühphase nur eine Handvoll klarer, ehrlicher Dokumente.
Auf der IT-Seite umfasst das, was Auditoren in der Regel verlangen, Folgendes:
- Eine Richtlinie zur akzeptablen Nutzung, die beschreibt, wie Mitarbeiter Unternehmensgeräte und -konten nutzen sollen
- Eine Richtlinie zur Zugriffsverwaltung, die darlegt, wie Zugriff gewährt, überprüft und widerrufen wird
- Ein Verfahren zur Reaktion auf Vorfälle, das erklärt, was passiert, wenn ein Sicherheitsvorfall eintritt
- Grundlegende Datenschutzdokumentation, die den Umgang mit personenbezogenen Daten regelt
Diese müssen nicht lang sein. Sie müssen vorhanden sein, versioniert werden und widerspiegeln, wie ihr tatsächlich arbeitet. Wenn euer Onboarding-Prozess bereits über eine Managed-IT-Plattform automatisiert ist, verschafft euch der dokumentierte Workflow dahinter einen Vorsprung. Eure IT-Prozesse sind durch die Funktionsweise der Plattform bereits teilweise dokumentiert. Ein Compliance-Partner oder ihr selbst werdet auf dieser Grundlage die formellen Richtlinien verfassen.
Der häufigste Fehler ist das Verfassen von Richtlinien, die Prozesse beschreiben, die niemand tatsächlich befolgt – Auditoren erkennen den Unterschied zwischen einem gelebten Dokument und einem, das erst in der Woche vor dem Audit erstellt wurde.
Schritt 5: Richte Endpunktsicherheit vor deinem ersten Audit ein
Endpunktschutz wird von ISO 27001 nicht immer ausdrücklich verlangt, wird aber zum Zeitpunkt des Audits erwartet – insbesondere wenn du mit sensiblen Kundendaten umgehst. Wenn du ihn vor dem Audit einrichtest, vermeidest du Hektik in letzter Minute und zeigst, dass du operative Sicherheit ernst nimmst.
Endpoint Detection and Response (EDR)-Software überwacht Geräte auf böswillige Aktivitäten, verdächtige Prozesse und bekannte Bedrohungssignaturen. Für Teams, die hauptsächlich mit Macs arbeiten, ist SentinelOne zur Standardwahl geworden. Doch Software allein reicht für Audit-Zwecke nicht aus. Du musst nachweisen, dass Sicherheitsereignisse überwacht und bearbeitet werden – nicht nur in einer Konsole protokolliert, die niemand überprüft.
deeploi setzt SentinelOne als Add-on auf allen verwalteten Geräten ein. Das Support-Team von deeploi überwacht Warnmeldungen und reagiert auf Vorfälle, sodass du über eine dokumentierte Reaktionskette verfügst und nicht nur über ein unbeaufsichtigtes Dashboard. Dieser Unterschied ist für ISO 27001 entscheidend: Die Kontrollen in Anhang A zum Vorfallmanagement erwarten den Nachweis, dass jemand die Lage beobachtet und reagiert.
Die 3 IT-Lücken, die Startup-Audits am häufigsten zum Scheitern bringen
Nach der Zusammenarbeit mit Hunderten von wachsenden Unternehmen zeichnen sich bestimmte Muster ab. Diese drei Lücken bringen Startups häufiger ins Straucheln als alle anderen.
Shadow-IT. Aktiv genutzte SaaS-Tools, die nicht im Bestandsverzeichnis aufgeführt sind und außerhalb des ISMS-Geltungsbereichs liegen. In schnell wachsenden Teams melden sich Mitarbeiter regelmäßig für Tools an, bevor jemand daran denkt, diese zu dokumentieren – und zum Zeitpunkt des ersten Audits ist die Lücke zwischen dem, was im Bestandsverzeichnis steht, und dem, was tatsächlich genutzt wird, meist größer, als Gründer erwarten.
Unvollständiges Offboarding. Ehemalige Mitarbeiter mit aktiven SaaS-Konten. Dies wird oft erst während eines Audits entdeckt, nicht vorher. Wenn der Zugriff nicht umgehend entzogen wird, sehen Auditoren einen systemischen Fehler im Zugriffsmanagement. Die Lösung: automatisierte Deaktivierung, verknüpft mit einer Offboarding-Checkliste, die ausgelöst wird, sobald der letzte Arbeitstag einer Person bestätigt ist.
Fehlende Prüfpfade. Standard-Protokolleinstellungen, die Ereignisse vor Ablauf der von Auditoren erwarteten Aufbewahrungsfrist löschen. Die meisten Identitätsanbieter und SaaS-Tools verfügen über konfigurierbare Aufbewahrungsfristen, aber Gründer passen die Standardeinstellungen selten an. Die Lösung: Überprüfe vor dem Audit die Log-Aufbewahrungseinstellungen deines Identitätsanbieters und der wichtigsten SaaS-Tools. ISO 27001 schreibt kein Minimum vor; die Erwartungen deines Auditors hängen vom Umfang deines ISMS und geltenden Vorschriften wie der DSGVO oder NIS2 ab. Im Zweifelsfall sind 12 Monate ein sicherer Richtwert, den du mit deinem Compliance-Partner besprechen solltest.
Auditbereit werden ohne großen Aufwand
Das Audit erfordert keine perfekte IT-Infrastruktur. Es erfordert eine kontrollierte und dokumentierte. Wenn du die technischen Grundlagen frühzeitig schaffst, verbringt dein Compliance-Partner weniger Zeit damit, Lücken zu schließen, und mehr Zeit damit, dich auf das Bestehen vorzubereiten.
Hier ist deine Checkliste für die IT-Auditbereitschaft:
- Bestandsverzeichnis erstellt und aktuell gehalten (Geräte und SaaS-Konten)
- Festplattenverschlüsselung auf allen Unternehmensgeräten durchgesetzt
- Bildschirmsperre, Betriebssystem-Updates und Fernlöschung über MDM aktiviert
- MFA für alle geschäftskritischen Tools durchgesetzt
- SSO über deinen Identitätsanbieter konfiguriert
- Bereitstellung von SaaS-Konten an einen dokumentierten Onboarding-Workflow geknüpft
- Deaktivierung von SaaS-Konten an einen dokumentierten Offboarding-Workflow geknüpft
- Endpunktschutz (EDR) auf allen Geräten installiert und überwacht
- Zentrale IT-Richtlinien ausgearbeitet (akzeptable Nutzung, Zugriffsverwaltung, Reaktion auf Vorfälle)
- Log-Aufbewahrungseinstellungen anhand des vom Auditor erwarteten Zeitraums überprüft
- Shadow-IT-Prüfung abgeschlossen, sodass alle aktiven Tools im Geltungsbereich erfasst sind
Möchtest du wissen, wie viel davon deine aktuelle IT-Umgebung bereits abdeckt? Buche eine 30-minütige Überprüfung mit dem deeploi-Team.
FAQ
Brauche ich ein internes IT-Team, um die ISO 27001-Zertifizierung zu erhalten?
Nein. Die technischen Kontrollen (Geräteverwaltung, Zugriffskontrolle, Endpunktsicherheit) können vollständig von einem externen IT-Partner wie deeploi übernommen werden. Die Governance-Ebene (ISMS-Dokumentation, Risikobewertung, Auditorenmanagement) wird in der Regel vom Gründer oder einem Compliance-Berater verantwortet. Du musst für beides niemanden einstellen.
Was ist der Unterschied zwischen dem, was eine IT-Plattform abdeckt, und dem, was ein Compliance-Partner abdeckt?
Eine IT-Management-Plattform kümmert sich um die technische Infrastruktur: Geräterichtlinien, SaaS-Kontoverwaltung, Endpunktsicherheit und die Durchsetzungsnachweise, nach denen Auditoren suchen. Ein Compliance-Partner kümmert sich um die ISMS-Dokumentation, die Risikomethodik und die Vorbereitung auf den Audit. Beide sind für eine vollständige ISO 27001-Zertifizierung notwendig; sie decken verschiedene Ebenen desselben Ziels ab.
Zählt die Durchsetzung von MDM-Richtlinien als Nachweis für die Kontrollen gemäß Anhang A der ISO 27001?
Ja. Per MDM durchgesetzte Richtlinien wie Festplattenverschlüsselung, Passwortanforderungen und Betriebssystem-Updates lassen sich direkt mehreren Kontrollen aus Anhang A zuordnen (insbesondere A.8 zu Asset-Management und Richtlinien für Endgeräte). Wenn diese über ein MDM durchgesetzt und nachweislich dokumentiert sind, reduziert sich der Aufwand für die Nachweissammlung vor einem Audit erheblich.
Wie lange dauert es, von Grund auf auditbereit zu werden?
Wenn du eine Managed-IT-Plattform nutzt, die Geräteregistrierung, Richtliniendurchsetzung und Kontoeinrichtung übernimmt, kann die technische Grundlage in der Regel innerhalb von ein bis zwei Wochen geschaffen werden. Der größere Zeitaufwand liegt meist auf der Governance-Seite: Richtlinien verfassen, die Risikobewertung durchführen und den Audit selbst planen.
Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine Rechts-, Compliance- oder Auditberatung dar. Für auf dein Unternehmen zugeschnittene Empfehlungen wende dich an einen qualifizierten ISO 27001-Compliance-Partner oder zertifizierten Auditor.
