ISO 27001 Banner

ISO 27001 bei SYSTAG: Wie ein Standard unseren Alltag professioneller gemacht hat

Wie ISO 27001 uns verändert hat

 3 Perspektiven aus der Praxis bei SYSTAG

26. Februar 2026 Informationssicherheit ist längst kein „IT-Thema“ mehr, sondern Geschäftsgrundlage – gerade, wenn man wie SYSTAG in einem Umfeld mit NIS2, KRITIS und hohen Kundenerwartungen unterwegs ist.
Wir haben uns schon lange mit ISO 27001 beschäftigt und uns schließlich zertifizieren lassen. Aber was hat das ganz konkret verändert?

Wir haben drei Kolleg:innen gefragt, die den Weg von Anfang an mitgegangen sind – und sehr unterschiedliche Perspektiven mitbringen: Geschäftsführung, Informationssicherheitsbeauftragter und Projektverantwortlicher aus dem operativen Bereich.

In diesem Post haben wir die Kernaussagen und Lessons Learned zusammengefasst – in den kommenden Wochen folgen Posts aus den unterschiedlichen Blickwinkel der Beteiligten.

ISO 27001
(in Deutschland als DIN EN ISO/IEC 27001) ist der internationale Standard für Informationssicherheits-Managementsysteme. Nach dieser Norm habenwir unser Managementsystem für Informationssicherheit aufgebaut und zertifizieren lassen haben.

Warum wir ISO 27001 eingeführt haben

Die Auslöser waren vielfältig – aber alle liefen am Ende auf dasselbe hinaus: Sicherheit, Vertrauen und Professionalität.

Kundensicht

„Kunden sollen sich darauf verlassen können, dass wir gewissenhaft und sorgfältig vorgehen. Egal ob es um Daten geht, die wir von Kunden bekommen, oder um die gewissenhafte Erfüllung von Aufgaben.“ Niels Wiederanders, Projektverantwortlicher im ISO-27001-Team

Wettbewerb und Risikoreduktion

Wir wollten einen Wettbewerbsvorteil und gleichzeitig sicherer werden – weniger Angriffsfläche für Cyberangriffe bieten und besser auf Ausfälle, ob Maschinen oder Menschen, reagieren können.“ Ralf Schreg, Informationssicherheitsbeauftragter

Managementsicht – Regulierung und Existenzsicherung

„Mit NIS2 sind wir im Cybersicherheitsbereich Dienstleister von KRITIS-Unternehmen. Damit ist eine Umsetzung der Zertifizierung unumgänglich. Die Aufforderung eines sehr großen Kunden, zu berichten, was wir in Sachen 27001 tun, war der Startschuss: Da war klar, jetzt wird es ernst.“
Werner Theis, Geschäftsführung

Alle drei Perspektiven eint: ISO 27001 ist für SYSTAG kein „Nice to have“, sondern eine logische Antwort auf Kundenanforderungen, Regulatorik und den eigenen Anspruch.

Unser Bild von ISO 27001 – vor dem Start

Vor Projektbeginn herrschte Respekt – und auch ein bisschen Unsicherheit.

ISO 27001 Team
SYSTAG GmbH Info Info

„Wir haben bereits viel vorbereitet, wussten aber nicht so genau, was alles gemacht werden muss, in welchem Detailierungsgrad und in welcher Reihenfolge.“ Ralf Schreg,  Informationssicherheitsbeauftragter

„Sehr viel Arbeit liegt da vor uns. Und so war es dann auch. “ Niels Wiederanders, Projektverantwortliche im ISO-27001-Team

„Ich habe erwartet, dass die Hemdsärmeligkeit abnimmt – und gehofft, dass über Wissensmanagement Dinge schneller gefunden werden. Beides traf ein.“ Werner Theis, Geschäftsführung

ISO 27001 wurde also durchaus als „Berg“ wahrgenommen – aber als notwendiger. Wir haben schon in den letzten Jahren unsere Firmendokumentation 27001-angelehnt umgesetzt. Die Zertifizierung schließt bei SYSTAG eine bereits begonnene Entwicklung ab, sie ist nicht der Startpunkt.

Der wichtigste Schritt: Der richtige Partner und klare Priorität

Auf die Frage nach dem entscheidenden Erfolgsfaktor sind sich alle drei erstaunlich einig und von allen drei werden zwei Faktoren als kritisch bewertet.

Partnerwahl

„Der wichtigste Schritt war die Auswahl des richtigen Partners. Dieser sollte uns – ohne einen riesigen Papiertiger zu konstruieren – auf einem Weg zur Zertifizierung führen, der von allen gelebt werden kann.“ Ralf Schreg, Informationssicherheitsbeauftragter

„Es ist von größter Bedeutung, dass man einen pragmatischen und kompetenten ISO-Berater hat, wo auch der Nasenfaktor stimmt. Man muss viel diskutieren, und das muss sich konstruktiv anfühlen.“ Niels Wiederanders, Projektverantwortliche im ISO-27001-Team

Priorisierung

 „Hätten wir das Zertifizierungsprojekt nicht zu Prio 1 erhoben, wären wir gescheitert. Außerdem haben wir den richtigen Berater ausgewählt und sind mit dem richtigen Mindset an dieses Projekt gegangen.“ Werner Theis., Geschäftsführung

Pragmatik statt Papiertiger und Top-Priorität statt Nebenbei-Projekt – ohne das wäre es deutlich schwerer geworden. ISO 27001 benötigt klare Priorität und einen fachlich wie kulturell passenden Partner.

Was sich im Arbeitsalltag wirklich verändert hat

Heute ist ISO 27001 bei SYSTAG kein Sonderprogramm mehr, sondern Teil des Tagesgeschäfts.

Weniger Einzelentscheidungen, mehr Klarheit

„Ich muss weniger individuelle Entscheidungen treffen, z.B. ob ein neues Software-System eingeführt werden darf oder nicht, weil es klare Regeln gibt, was erlaubt ist und was nicht.“ Niels Wiederanders, Projektverantwortliche im ISO-27001-Team

„Bei allem, was getan wird, stellt sich für mich die Frage: Passt das zu unseren Richtlinien, ist es für das Erhaltungs-Audit wichtig?“  Ralf Schreg, Informationssicherheitsbeauftragter

Das klingt nach mehr Formalität – und ist es auch. Aber der Effekt ist positiv: Entscheidungen werden systematisiert; individuelle Ad-hoc-Bewertungen werden durch vordefinierte Kriterien ersetzt.

Struktur statt „Arbeiten auf Zuruf“

„Die Arbeit ist sachlicher und strukturierter. Wir arbeiten anders – und, wie ich meine, besser zusammen. (…) Dass das Arbeiten auf Zuruf durch ein Arbeiten nach Auftrag und klarem Rahmen ersetzt worden ist, hat uns eher gutgetan. Und der Arbeitsqualität einen kleinen Booster versetzt.“ Werner Theis, Geschäftsführung

Zertifikat: ISO IEC 27001 2022Wissensmanagement als Rückgrat

Ein zentraler Baustein war der Aufbau eines Unternehmenswikis auf Basis von Confluence:

„Die Dokumentation von Wissen und Prozessen in Confluence war für uns ein Schlüssel. Confluence ist ein mächtiges Werkzeug zum Wissensmanagement. Wir haben gelernt, wann wir welche Prozesse oder Dokumente in welchen Abständen und in welcher Teamkonstellation am besten überprüfen und verbessern können.“ Niels Wiederanders, Projektverantwortliche im ISO-27001-Team

Dazu kam ein professionelles Dokumenten-Management mit Versionierung, Freigaben und zentraler Ablage – weg von verstreuten Dateien hin zu einem verbindlichen Informationsbestand.

„Wir haben ein (…) Dokumenten-Management, d.h. Versionierung, Freigabe und zentrale Ablage von Dokumenten eingeführt. Abläufe wurden in allen Bereichen dokumentiert bzw. die vorhandene Dokumentation verbessert.“Ralf Schreg, Informationssicherheitsbeauftragter

Leichter als gedacht – und zäher als gehofft

Was viele überrascht hat:

„Leichter als gedacht war das Audit selbst. Auch die Erstellung der Dokumentation war deutlich entspannter.“ Ralf Schreg, Informationssicherheitsbeauftragter

Ähnlich beim Asset Management:

„Vor dem Assetmanagement hatte ich großen Respekt, das war am Ende aber doch nicht so kompliziert.“ Niels Wiederanders, Projektverantwortliche im ISO-27001-Team

Zäh wurde es an anderer Stelle:

„Zäh waren Themen von Abteilungen, wo kein Mitarbeiter direkt im Projektteam dabei war, wie z.B. Personal oder Innendienst. Entscheidungen konnten hier nicht schnell getroffen werden.“ Niels Wiederanders, Projektverantwortliche im ISO-27001-Team

„Zäher waren die Absprachen und Wartezeiten, so dass wir mit manchen Punkten (endlich) weiter machen konnten.“ Ralf Schreg, Informationssicherheitsbeauftragter

Die größte Herausforderung war also weniger die Norm selbst – sondern die interne Abstimmung über Bereichsgrenzen hinweg.

Aha-Momente: Von IT-Notfällen bis „ISO geht pragmatisch“

Drei Aha-Momente aus dem Projektverlauf:

  • Pragmatismus statt Papierflut
    „Aha – ISO 27001 geht auch pragmatisch, ohne riesigen, z.T. sinnlosen Dokumentationsaufwand.“ Ralf Schreg, Informationssicherheitsbeauftragter
  • Wert eines guten Beraters
    „Es ist von größter Bedeutung, dass man einen pragmatischen und kompetenten ISO-Berater hat, wo auch der Nasenfaktor stimmt. Man muss viel diskutieren, und das muss sich konstruktiv anfühlen.“ Niels Wiederanders, Projektverantwortliche im ISO-27001-Team
  • IT-Notfallmanagement
    „Die Erkenntnis, dass gerade beim IT-Notfall-Management einige Prozesse fehlen. Schon beim nächsten Notfall konnten wir davon profitieren, die Dokumentation verbessert zu haben.“ Werner Theis, Geschäftsführung

Die Norm hat uns geholfen, echte Lücken zu identifizieren – und nicht nur Dokumente zu produzieren.

Sie denken darüber nach ein ISMS nach ISO 27001 aufzubauen?


SYSTAG hat den Weg selbst durchlaufen und begleitet Sie mit praxiserprobten Ansätzen – von der Partnerwahl bis zur gelebten Sicherheitskultur.

Calendar Calendar Unverbindliches Strategiegespräch

Kleine Geschichten aus dem Alltag: Brezeln und Schredder

Informationssicherheit ist ein ernstes Thema – aber ohne Humor wird es anstrengend. Eine Episode hat bei uns für viel Gelächter gesorgt:

„Als ich Auslöse wegen eines nicht gesperrten Bildschirms in Form eines Korbes voller Laugenbrezeln leisten musste, amüsierte sich die ganze Firma. So kann es gehen. Bei uns fressen die internen 

 Revolutionen aber zum Glück Brezeln und nicht ihre Kinder.“

Ein anderer „Fun Fact“:
Der DIN-konforme Aktenvernichter sorgte zunächst für Kopfschütteln – bis klar war, was dahinter steckt. Seitdem heißt es:

„Ab sofort schreddern wir nach DIN.“

Und was anfangs für Stirnrunzeln sorgte – Türschlösser, Pflicht zum Bildschirmsperren, Räume abschließen – ist heute selbstverständlich und wird auch von der Geschäftsleitung vorgelebt.

Unsere Tipps für Unternehmen, die ISO 27001 vor sich haben

Aus unseren drei Perspektiven lassen sich drei klare Empfehlungen ableiten:

  1. Den richtigen Partner auswählen
    • „Einen vernünftigen Partner raussuchen und den Weg einfach mal gehen – es ist ggfs. leichter als man denkt!“
    • „Ggf. schon bezahlte Workshops machen. Das Geld spart man am Ende wieder ein.“
  2. Management-Commitment sicherstellen
    • „Das Management muss 100 % dahinterstehen. Eine IT-Abteilung kann nicht einfach so die Zertifizierung für die Firma machen, nur damit es gemacht ist.“
    • „Hätten wir das Zertifizierungsprojekt nicht zu Prio 1 erhoben, wären wir gescheitert.“
  3. Früh mit Wissensmanagement starten
    • „Wenn man sich vor der Zertifizierung durch Kodifizierung des Firmenwissens warmläuft, macht es nachher die Arbeit leichter.“
    • IT-Grundschutz, Business Continuity und eine 27001-angelehnte Dokumentation vorab aufzubauen, verkürzt den Weg später deutlich.
ISO 27001 Tipps

ISO 27001 in einem Satz – unsere drei Blickwinkel

Zum Abschluss haben wir unsere drei Kolleg:innen gebeten, ISO 27001 in einem Satz zu beschreiben:

    • „Mit System nachhaltig immer sicherer werden.“
    • „Die ISO 27001 zwingt Dich, Deinen Job professioneller zu machen, wovon alle anderen profitieren.“
    • „Wer einen Cyberangriff ohne größeren Schaden bewältigen können will, sollte sich DIN 27001 zertifizieren lassen – und dann die Norm leben.“

Für uns bei SYSTAG ist ISO 27001 genau das:
Ein Rahmen, der uns hilft, systematisch sicherer und professioneller zu werden – zum Vorteil unserer Kunden, Partner und unserer eigenen Zukunftsfähigkeit.

In den kommenden Wochen gibt es noch drei weitere Episoden zum Thema ISO 27001 – wir werden darin auf die unterschiedlichen Blickwinkel der Beteiligten eingehen.

Wie SYSTAG Sie unterstützt

SYSTAG ist IT-Dienstleister mit Fokus auf Security und Softwareentwicklung und betreibt ein nach ISO/IEC 27001 zertifiziertes Informationssicherheits-Managementsystem (ISMS).

  • Planung und Umsetzung standardkonformer Sicherheitskonzepte
  • Aufbau und Betrieb technischer Schutzmechanismen
  • Integration von Security in Entwicklungs- und Betriebsprozesse
  • Awareness-Maßnahmen für Mitarbeitende

Franka Theis
Strategic Account Managerin Cyber Security

E-Mail: Franka.Theis@systag.com
Telefon: +49 7123 / 92 02 – 16

Nachricht senden
Cyber Security für Entscheider*innenCyberSecurity für EntscheiderSYSTAG
Zum Inhalt springen