Die Gültigkeitserklärung ist das Zertifikat
"ISO 27001 zertifiziert" ist keine Ja-oder-Nein-Aussage über ein Unternehmen. Die eigentliche Behauptung ist die Gültigkeitserklärung im Zertifikat – und diese ist überprüfbar.

„Wir sind ISO 27001 zertifiziert“ wird von den Anbietern, die dies behaupten, und von den meisten Käufern, die es hören, als boolesche Aussage behandelt. Das ist es nicht. Ein Zertifikat zertifiziert kein Unternehmen; es zertifiziert ein Managementsystem, dessen Grenzen das Unternehmen selbst festgelegt hat. Die maßgebliche Aussage über diese Grenzen, die ein Käufer jemals zu sehen bekommt, ist die Gültigkeitserklärung in den Zertifizierungsdokumenten – der Satz, den, unserer Erfahrung nach, nur wenige Käufer tatsächlich lesen. Zwei Organisationen können Zertifikate derselben akkreditierten Stelle besitzen, dasselbe Siegel führen und dennoch völlig unterschiedliche Behauptungen aufstellen: Eine hat das System zertifiziert, das das Produkt entwickelt und betreibt, das ihre Kunden kaufen, die andere hat die IT-Abteilung am Hauptsitz zertifiziert, mit der der Kunde nie interagiert. Beide sind „ISO 27001 zertifiziert“. Nur eines dieser Zertifikate besagt direkt, dass das verkaufte Produkt innerhalb der definierten Grenzen liegt.
Unsere Position: Die Gültigkeitserklärung ist das Zertifikat, in dem Sinne, dass sie die substanzielle Behauptung trägt, die das Dokument aufstellt. Teams, die die Gültigkeit danach festlegen, was „das kleinste System ist, das wir einem Auditor verteidigen können“, optimieren die falsche Variable. Die Gültigkeitserklärung ist eine Entscheidung für das Kundenvertrauen, die zufällig an ein Audit geknüpft ist – nicht eine Entscheidung zur Kostensenkung für Audits, die zufällig für Kunden sichtbar ist.
Der Standard ist bewusst permissiv
ISO/IEC 27001:2022 (dritte Ausgabe, veröffentlicht am 2022-10-25; die Klimaschutzänderung Amd 1:2024, veröffentlicht am 2024-02-23, lässt die Klausel unberührt) behandelt die Gültigkeitserklärung in Klausel 4.3. Die Organisation bestimmt „die Grenzen und die Anwendbarkeit“ des ISMS, um dessen Gültigkeit festzulegen. Dabei muss sie die externen und internen Themen aus Klausel 4.1, die Anforderungen interessierter Parteien aus Klausel 4.2 sowie „Schnittstellen und Abhängigkeiten zwischen Aktivitäten, die von der Organisation durchgeführt werden, und solchen, die von anderen Organisationen durchgeführt werden“ berücksichtigen. Die Gültigkeit muss als dokumentierte Information verfügbar sein. Das ist die gesamte Klausel.
Achten Sie darauf, was sie nicht sagt. Es gibt keine Anforderung, dass die Gültigkeit das gesamte Rechtssubjekt, alle Standorte oder das Hauptprodukt abdecken muss. Der Standard ermöglicht es bewusst, dass ein Krankenhaus seine Aktenabteilung zertifiziert, ein Mischkonzern eine Tochtergesellschaft und ein Softwareunternehmen eine einzelne Plattform. Diese Flexibilität ist ein Feature: Sie macht die Zertifizierung in Phasen erreichbar und ermöglicht es Organisationen, dort Sicherheit zu schaffen, wo das Risiko tatsächlich liegt.
Die Zertifizierungsseite des Systems nutzt diese Freiheit dann auf wichtige Weise. ISO/IEC 17021-1:2015 (veröffentlicht am 2015-06-08), der Standard, dem akkreditierte Zertifizierungsstellen entsprechen müssen, verlangt in Klausel 8.2.2(f), dass Zertifizierungsdokumente „die Gültigkeit der Zertifizierung in Bezug auf die Art der Tätigkeiten, Produkte und Dienstleistungen an jedem Standort angeben – ohne irreführend oder mehrdeutig zu sein“. ISO/IEC 27006-1:2024 (erste Ausgabe, veröffentlicht am 2024-03-01) ergänzt die ISMS-spezifischen Regeln für diese Stellen. Die Absicht ist klar: Die Organisation darf die Grenze dort ziehen, wo sie sie rechtfertigen kann, und im Gegenzug müssen die Zertifizierungsdokumente präzise und lesbar angeben, wo diese Grenze liegt.
Die Integrität dieses Abkommens hängt davon ab, dass die Behauptung mit der definierten Grenze verbunden bleibt. Die Mechanismen versuchen dies umzusetzen: Klausel 8.3 von ISO/IEC 17021-1 verlangt von Zertifizierungsstellen, die Verwendung ihrer Zertifikate und Marken durch Kunden zu regeln, und eine Zertifizierungsstelle kann gegen irreführende Verwendung vorgehen. Doch die Gültigkeitserklärung befindet sich in den Zertifizierungsdokumenten, während die operative Behauptung in Verkaufspräsentationen, Trust-Seiten und Ein-Wort-Feldern in Fragebögen steht, wo sie oft auf „zertifiziert“ verkürzt wird. Unsere Erfahrung zeigt, dass diese Lücke bestenfalls ungleichmäßig überwacht wird – und die Partei, die sie wahrscheinlich als Erste bemerkt, ist der Käufer, der das Zertifikat tatsächlich liest.
Warum eine Gültigkeit zur Prüfung rational ist – und wo sie scheitert
Die Versuchung, die Gültigkeit eng zu fassen, ist kein Zeichen von Faulheit, sondern von Kalkül. Das Modell für den Prüfungsaufwand in ISO/IEC 27006-1:2024 (Anhang C) beginnt mit der Anzahl der Personen, die unter der Kontrolle der Organisation arbeiten, und passt dann Faktoren wie Komplexität, Standorte und Outsourcing an. Eine engere Gültigkeit kann zwar den Prüfungsaufwand reduzieren, garantiert aber keine bestimmte Verringerung der Prüfungstage oder -kosten. Weniger Personen und Prozesse in der Gültigkeit bedeuten in der Regel weniger Interviews, weniger Dokumente und eine kleinere Implementierungsrechnung. Die unangenehmen Teile der Organisation – die Entwicklungsabteilung mit ihren eigenen Tools, die kürzlich erworbene Tochtergesellschaft, das Support-Team in einer anderen Jurisdiktion – sind genau die teuren Bereiche, die man lieber außen vor lässt. Unsere Erfahrung zeigt: Die Gültigkeit ist einer der effektivsten Kostensenkungshebel im gesamten Projekt, und sie wird oft genau aus diesem Grund genutzt.
Und es kann funktionieren – im engen Sinne: Ein eng gefasstes ISMS kann seine Prüfung auf Basis der eigenen Vorgaben bestehen. Die Zertifizierungsstelle bewertet die Konformität des Systems, das Sie definiert haben, nicht den Ehrgeiz der Definition. Ein Zertifikat für „das ISMS, das die IT-Abteilung unterstützt“, kann von einem kompetenten Auditor in bestem Glauben ausgestellt werden, weil es eine wahre Aussage über ein reales System ist.
Doch die Klausel wirkt stärker zurück, als Teams erwarten. Klausel 4.3 lässt Ihnen nicht zu, die Grenze im luftleeren Raum zu ziehen. Unter Klausel 4.2 sind Kunden häufig relevante interessierte Parteien, und ihre anwendbaren Sicherheitsanforderungen können direkt beeinflussen, wo die Grenze liegen muss. Punkt (c) zwingt Sie dann, Schnittstellen und Abhängigkeiten zu berücksichtigen. Eine zertifizierte Funktion, die von einer ausgeschlossenen Entwicklungsabteilung abhängt, hat eine Schnittstelle, die die Dokumentation benennen muss. Eine Gültigkeit, die das Produkt ausschließt, das Kunden tatsächlich kaufen, ist nicht automatisch unrechtmäßig. Aber es ist eine Position, die verteidigt werden muss: Die Analyse der interessierten Parteien muss mit dokumentierter Begründung darlegen, dass die Anforderungen der Kunden nicht anwendbar sind oder außerhalb des ISMS erfüllt werden. Unsere Erfahrung zeigt, dass die Prüfung von 4.3(b) und (c) durch Auditoren unterschiedlich streng ausfällt. Die Verteidigung wird in dem Moment auf die Probe gestellt, in dem jemand den Satz liest.
Der Satz ist nun überprüfbar
Das Lesen des Satzes wird einfacher. Die IAF CertSearch-Datenbank, entwickelt und betrieben von Quality Trade als Joint Partner von ISO und IAF, unterstützt die Überprüfung teilnehmender akkreditierter Zertifikate – inklusive Status und Gültigkeit, vorbehaltlich von Abdeckungs- und Vertraulichkeitsbeschränkungen: Nicht jedes Zertifikat wird hochgeladen, und Datensätze können als vertraulich markiert werden. (Separat wurden IAF und ILAC durch die Global Accreditation Cooperation Incorporated ersetzt, die am 2026-01-01 ihren Vollbetrieb aufgenommen hat.) Dennoch konsolidieren sich die Zertifizierungsdaten: Die ISO Survey, die jährliche Zertifikatszählung von ISO, nutzt seit ihrer Ausgabe 2024 (veröffentlicht 2025) CertSearch-Daten für ihre Ergebnisse. Die Ausgabe 2024 meldete 96.709 gültige ISO/IEC 27001-Zertifikate gegenüber 48.671 in der Ausgabe 2023. Diese beiden Zahlen sind nicht direkt vergleichbar, und die Differenz ist kein Beleg dafür, dass sich die Zertifizierungen verdoppelt haben: Das Ergebnis 2023 war durch fehlende Teilnahme der chinesischen Akkreditierungsstelle beeinträchtigt, und die Erhebungsmethode hat sich zwischen den Ausgaben geändert. Die Konsolidierung ist diese methodische Änderung selbst – eine gemeinsame Datenbank, die zunehmend sowohl für die Überprüfung als auch für die offizielle Zählung genutzt wird.
Gleichzeitig professionalisiert sich die Nachfrageseite. Unsere Erfahrung zeigt, dass Sicherheitsfragebögen zunehmend nach dem Zertifikat selbst fragen, statt nach einer Ja/Nein-Bestätigung, und die Gültigkeitserklärung steht darin. Ein Einkäufer, der sie liest, braucht nicht lange, um zu erkennen, dass die zu bewertende SaaS-Plattform nicht von den genannten Tätigkeiten, Dienstleistungen und Grenzen abgedeckt wird.
Hier liegt die Asymmetrie, die dies zu einer Vertrauensentscheidung statt zu einer Compliance-Frage macht. Ein Anbieter ohne Zertifikat und mit der ehrlichen Aussage „Wir arbeiten an der Zertifizierung unserer Plattform“ befindet sich in einer reparierbaren Position. Ein Anbieter, der „Wir sind ISO 27001 zertifiziert“ behauptet und dessen Zertifikat bei näherer Betrachtung eine Backoffice-Funktion in einem anderen Gebäude abdeckt, steht in einer viel schwächeren Position. Denn Käufer bewerten solche Entdeckungen selten als Nuance. Es kann wie geliehene Sicherheit wirken – ein Versuch, das Siegel für mehr gelten zu lassen, als die Zertifizierungsdokumente stützen. Und sobald ein Käufer dies so interpretiert, erbt jede andere Antwort im Fragebogen diesen Zweifel. Die enge Gültigkeit war legitim. Der Eindruck, den das Unternehmen insgesamt darauf aufgebaut hat, war es nicht – und er hat gerade einen Leser gefunden.
Eine Gültigkeit, die etwas bedeutet
Die Lösung besteht darin, die Richtung der Übung umzukehren. Gültigkeit-zum-Bestehen beginnt beim Organigramm und fragt, was weggelassen werden kann. Gültigkeit-die-etwas-bedeutet beginnt mit dem Satz, den Sie einem Kunden in die Hand geben können – etwa „das ISMS, das Entwicklung, Betrieb und Support von [dem Produkt, das sie kaufen] abdeckt“ – und arbeitet sich rückwärts zu den Personen, Prozessen, Standorten und Lieferanten vor, die dieser Satz Ihnen verpflichtet. Klausel 4.3(c) leistet dann nützliche Arbeit für Sie statt gegen Sie: Die Verfolgung von Schnittstellen und Abhängigkeiten nach außen vom kundenorientierten Service ist genau der Weg, um zu finden, was in die Gültigkeit gehört.
Das ist kein Plädoyer dafür, dass jede Gültigkeit das gesamte Unternehmen umfassen muss. Echt getrennte Geschäftsbereiche mit echter organisatorischer und technischer Trennung sind legitime Ausschlüsse, und eine stufenweise Zertifizierung bleibt sinnvoll. Der Test, den wir für jeden Ausschluss vorschlagen würden, ist symmetrisch zum Vertrauensproblem: Könnten Sie dem Kunden, dessen Daten der Grenze am nächsten liegen, den Ausschluss in einem Absatz erklären – und würde die Erklärung seine Nachfrage überstehen? Ein Ausschluss, der diesen Test besteht („Die Sparte für Industrieprodukte teilt keine Systeme, Mitarbeiter oder Daten mit der Plattform“), wurde aus strukturellen Gründen definiert. Ein Ausschluss, der scheitert („Die Entwicklungsabteilung war in diesem Zyklus nicht in der Gültigkeit“), deutet auf eine Gültigkeit hin, die zum Bestehen definiert wurde – und der Absatz, den Sie nicht schreiben können, verrät Ihnen, wofür der Ausschluss wirklich stand.
Stufenweise Erweiterung, ehrlich umgesetzt, unterliegt derselben Regel: Stufe eins sollte bereits den kundenorientierten Service abdecken, denn das ist die Behauptung, die der Markt hören wird. Unsere Erfahrung zeigt, dass die Erweiterung einer sinnvollen Gültigkeit in späteren Zyklen die weniger disruptive Richtung ist und als Reifezeichen wahrgenommen wird. Eine hohle Gültigkeit zu reparieren, ist schwieriger: Nach ISO/IEC 17021-1:2015 (Klausel 9.6.4.1) prüft die Zertifizierungsstelle den Antrag und bestimmt, welche Prüfaktivitäten für die Erweiterung erforderlich sind – möglicherweise kombiniert mit einem Überwachungsaudit. Die Zertifizierungsdokumentation wird nur dann aktualisiert, wenn die Erweiterung gewährt wird. Die Zwischenzeit, in der das Zertifikat etwas anderes aussagt als das, was Kunden glauben, ist die kostspieligste Phase.
Die Regel, die es wert ist, beibehalten zu werden
Ein Zertifikat zertifiziert ausschließlich seine Gültigkeit. Der Standard gewährt echte Freiheit bei der Festlegung der Grenzen, und die eine nicht verhandelbare Anforderung der Zertifizierungsmechanismen, die hier zählt – aus Klausel 8.2.2 von ISO/IEC 17021-1 –, ist, dass die Grenze ohne Irreführung oder Mehrdeutigkeit angegeben wird. Ihre eigenen Behauptungen über das Zertifikat derselben Prüfung zu unterziehen, ist keine regulatorische Pflicht. Es ist einfach die einzige Gültigkeitsstrategie, die auch nach dem Lesen des Zertifikats durch einen Prospect noch gut dasteht – und das Lesen wird nur einfacher.
Eine Grenze zu ziehen, die Sie sowohl im Audit als auch im Verkaufsgespräch verteidigen können, ist die Arbeit von Klausel 4.3: interessierte Parteien, Abhängigkeiten und der dokumentierte Satz, der beide Lesarten übersteht. Genau diese Art von Gültigkeitsfrage ist es, für die ISMS Copilot entwickelt wurde, um Sie Anforderung für Anforderung zu begleiten. Das Siegel ist auf jedem Zertifikat dasselbe. Der Satz darunter ist das Produkt.
Verwandte Beiträge

Die CRA ist ein Problem für 2026 – nicht für 2027
Die Meldepflicht aus dem Cyber Resilience Act gilt ab dem 11. September 2026 – mehr als ein Jahr vor den wesentlichen Anforderungen. Teams, die ihre CRA-Vorbereitung rückwärts vom CE-Zeichen 2027 aus planen, arbeiten in der falschen Reihenfolge.

Die 5x5-Risikomatrix übersteht Audits – aber nicht kritischer Prüfung
ISO 27001 verlangt nie eine Heatmap. Was der Standard tatsächlich fordert (konsistente, valide und vergleichbare Ergebnisse), ist der Test, den die meisten Risikomatrizen nicht bestehen.

Die Verzögerung bei Hochrisiko-KI-Systemen im AI Act ist keine Atempause
Die EU hat die Fristen für Hochrisiko-KI-Systeme auf Dezember 2027 und August 2028 verschoben. Der Grund für diese Verschiebung sollte Ihre Interpretation ändern: Es handelt sich um eine Warnung zu Ihrem Geltungsbereich, nicht um zusätzlichen Spielraum für Ihre Roadmap.
