ISO 27001 Beratung — Informationssicherheit systematisch
Die ISO 27001 ist der weltweit führende Standard für Informationssicherheits-Managementsysteme (ISMS). Sternberg Consulting begleitet Sie durch Gap-Analyse, Risikobewertung, Dokumentation und Zertifizierungsaudit — mit klarem Fokus auf pragmatische Umsetzung statt Compliance-Theater.
Vertrauen von führenden Unternehmen
Was ist ISO 27001?
ISO 27001 definiert die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS). Das System identifiziert Risiken für Ihre Informationen, legt Schutzmaßnahmen fest und überwacht deren Wirksamkeit kontinuierlich.
Die aktuelle Version ISO/IEC 27001:2022 umfasst 93 Kontrollen in vier Gruppen (organisatorisch, personell, physisch, technisch). Der Anhang A wurde gegenüber der 2013er-Fassung deutlich modernisiert.
Eine ISO 27001-Zertifizierung ist oft Voraussetzung für Kunden im Finanz-, Gesundheits- und öffentlichen Sektor. Im Kontext von NIS2 wird sie für viele Unternehmen faktisch zum Pflichtthema.
Kostenlose Erstberatung anfragen
Ich melde mich innerhalb von 24 Stunden — unverbindlich und persönlich.
Vielen Dank!
Ich melde mich innerhalb von 24 Stunden persönlich bei Ihnen.
- ✓Unverbindlich
- ✓BAFA-Förderung möglich
- ✓Antwort in 24 Stunden
Persönlich betreut — von Anfang bis Audit.
Ich bin Jonathan Sternberg, zertifizierter ISO-Berater und Auditor. Jedes Projekt wird von mir persönlich geführt — kein Junior-Team, keine Subcontractor.
Meine Arbeitsweise ist remote-first und bundesweit. Sie bekommen klare Kommunikation, feste Termine und ein Managementsystem, das Ihr Team tatsächlich nutzt.
Meine nachweisbaren Lead-Auditor-Nachweise: CQI IRCA PR328 (ISO 9001), ULN 606399, Course ID 1792 sowie CQI IRCA PR357 (ISO 45001), ULN 606399, Course ID 1885.
Bei Zertifizierungsprojekten koordiniere ich mit Zertifizierungsstellen, die z. B. unter DAkkS-, UKAS- oder ANAB-Akkreditierung arbeiten.
- ✓IRCA-anerkannte Lead-Auditor-Kurse: PR328 (ISO 9001) und PR357 (ISO 45001)
- ✓Arbeit mit akkreditierten Zertifizierungsstellen, z. B. unter DAkkS-, UKAS- oder ANAB-Aufsicht
- ✓100 % Erfolgsquote beim ersten Zertifizierungsaudit
- ✓Sitz in Sachsen, bundesweit tätig
Wer braucht ISO 27001?
IT-Dienstleister und SaaS-Anbieter
Kunden erwarten einen belastbaren ISMS-Nachweis. Ohne ISO 27001 verlieren Sie Deals an zertifizierte Wettbewerber.
NIS2-betroffene Unternehmen
Viele Branchen fallen ab 2025 unter die NIS2-Richtlinie. Ein ISO 27001-ISMS erfüllt die NIS2-Anforderungen weitgehend.
Finanz- und Versicherungsdienstleister
BaFin, DORA und branchenspezifische Aufsicht erwarten strukturiertes Risikomanagement auf ISO 27001-Niveau.
Gesundheitssektor
DSGVO, KHZG und Patientendatenschutz — ISO 27001 ist die etablierte Grundlage.
Der Weg zu Ihrem ISMS
Von der ersten Frage bis zum Zertifikat an der Wand — und darüber hinaus.
Kostenlose Erstberatung
30 Minuten für Ziele, Scoping und Zeitplan. Angebot innerhalb 24 Stunden.
Gap-Analyse
Abgleich Ihrer aktuellen Sicherheitslage gegen die 93 Kontrollen des Anhang A. Ergebnis: priorisierter Maßnahmenplan.
Risikobewertung
Identifikation Ihrer Informationswerte, Bedrohungen und Schwachstellen. Daraus leiten wir die konkreten Schutzmaßnahmen ab.
ISMS-Dokumentation
Informationssicherheitsleitlinie, Statement of Applicability, Maßnahmenkatalog, Notfallpläne — schlank und auditfest.
Awareness & Schulung
Mitarbeiter werden zu Phishing, Passwortsicherheit und Incident Reporting geschult. Ohne Awareness kein funktionierendes ISMS.
Internes Audit & Zertifizierung
Internes Audit, Schwachstellen beheben, Zertifizierungsaudit begleiten. 100 % Erfolgsquote beim Erstaudit.
Warum ISO 27001 mit Sternberg Consulting?
NIS2-Readiness inklusive
Das ISMS wird so gebaut, dass es die NIS2-Anforderungen direkt miterfüllt — kein doppeltes Setup nötig.
Praxisnahes Risikomanagement
Keine Risikobewertung um ihrer selbst willen. Jedes Risiko hat einen klaren Business-Kontext und eine konkrete Maßnahme.
Schlanke Dokumentation
Moderne Tools statt 400-Seiten-Wordvorlagen. Audit-Dokumente die Ihr Team tatsächlich liest.
Integration mit ISO 9001/14001
Harmonisierte Managementsysteme — gemeinsame interne Audits und Managementbewertung.
DSGVO-Synergien
Das ISMS liefert gleich die Grundlagen für ein DSGVO-konformes Datenschutzmanagement.
BAFA-förderfähig
Bis zu 80 % der Beratungskosten können erstattet werden.
Bis zu 80 % der Beratungskosten erstattet.
Die BAFA fördert KMU-Beratung über das Programm „Förderung unternehmerischen Know-hows“. Ich übernehme die komplette Antragstellung.
„Elan und Einsatz haben uns voll überzeugt. 2 Standorte und zwei Managementsysteme in nur 6 Wochen waren nur möglich, weil wir bereits in der Ausschreibung stehen hatten, dass wir zertifiziert sind, und deshalb so schnell wie möglich zertifiziert werden mussten.“
Ebenfalls relevant für Sie
Häufige Fragen.
Was kostet eine ISO 27001 Beratung?
Je nach Unternehmensgröße und IT-Komplexität zwischen 8.000 und 25.000 €. Mit BAFA-Förderung liegt der Eigenanteil oft bei 2.000 bis 6.000 €. Ich erstelle nach dem Erstgespräch ein präzises Festpreisangebot.
Wie lange dauert der Aufbau eines ISMS?
Typisch 10 bis 16 Wochen. Der größte Zeitfaktor ist die Risikobewertung und die Umsetzung der identifizierten Maßnahmen. Mit vorhandenen Sicherheitsprozessen kann es deutlich schneller gehen.
Erfüllt ISO 27001 die NIS2-Anforderungen?
Weitgehend ja. Die NIS2-Mindestanforderungen aus Artikel 21 decken sich zu etwa 85 % mit dem ISO 27001 Anhang A. Der Rest lässt sich mit wenigen Zusatzmaßnahmen ergänzen. Ein zertifiziertes ISMS ist die wirtschaftlichste NIS2-Umsetzung.
Brauche ich für ISO 27001 eigene IT-Security-Tools?
Nicht zwingend. Wir nutzen, was Sie bereits haben — Microsoft 365, Google Workspace oder OpenSource-Lösungen. Wo Lücken bestehen, empfehle ich konkrete, bezahlbare Tools.
Was ist das Statement of Applicability (SoA)?
Das SoA ist das zentrale Dokument des ISMS. Es listet für alle 93 Kontrollen des Anhang A, ob sie anwendbar sind, warum und wie sie umgesetzt werden. Ich erstelle das SoA in Abstimmung mit Ihrem Team.
Deckt ISO 27001 auch die Lieferkette ab?
Ja. Das Kapitel „Information security in supplier relationships“ verlangt eine Bewertung aller Dienstleister mit Zugriff auf Informationen. Wir bauen einen pragmatischen Lieferanten-Due-Diligence-Prozess auf.
Wie oft müssen Mitarbeiter geschult werden?
Die Norm verlangt regelmäßige Awareness-Maßnahmen. Wir empfehlen mindestens ein jährliches Pflichttraining plus anlassbezogene Updates (z.B. nach Incidents).
Lassen Sie uns sprechen.
Erzählen Sie mir, wo Sie stehen und was Sie brauchen.
Innerhalb von 24 Stunden erhalten Sie eine erste Einschätzung und einen konkreten Terminvorschlag, kostenlos und unverbindlich.
- ✓20 Minuten Erstgespräch
- ✓Persönliche Einordnung Ihres Vorhabens
- ✓Fördermittel auf Wunsch direkt mitgeprüft
Vielen Dank!
Ihre Anfrage ist angekommen. Sie erhalten innerhalb von 24 Stunden eine Antwort von mir persönlich.