Als IT-Auditor und Cybersecurity-Experte begleite ich Schweizer Unternehmen regelmässig durch den Prozess des ISO 27001 Audit Schweiz. Unternehmen wollen ein ISO 27001 Audit Schweiz beauftragen, aber sie wissen nicht genau, was sie dabei erwartet. Sie denken an Dokumente, Checklisten, Zertifikate. Das ist nicht falsch. Aber es greift zu kurz.
Ein Audit ist keine Prüfung, die man besteht oder nicht besteht. Es ist eine Bestandsaufnahme der Realität. Und die Realität sieht in den meisten Unternehmen anders aus als auf Papier.
Ich will hier erklären, was ein ISO 27001 Audit Schweiz konkret bedeutet, wie ein ISMS aufgebaut wird, was TISAX und NIS2 damit zu tun haben und warum ich der Überzeugung bin, dass pragmatische Sicherheit immer der bürokratischen Hochglanzlösung überlegen ist.
Was ein ISO 27001 Audit Schweiz wirklich bedeutet
ISO 27001 ist der international anerkannte Standard für Informationssicherheitsmanagementsysteme. Die aktuelle Version wurde Ende 2022 publiziert. Sie bringt 93 gestraffte Kontrollen, neue Anforderungen zu Cloud Security, Threat Intelligence und Datenmasking.
Das ist die Theorie.
Die Praxis sieht so aus: Ein Auditor kommt in dein Unternehmen, stellt Fragen, schaut sich Prozesse an, spricht mit Mitarbeitenden und gleicht ab, was dokumentiert wurde mit dem, was tatsächlich gelebt wird. Genau diese Lücke ist es, die über Erfolg oder Misserfolg eines ISO 27001 Audit Schweiz entscheidet.
Ich sage das aus Erfahrung. Nicht weil es auf irgendeiner Webseite so steht, sondern weil ich Unternehmen durch diesen Prozess begleite. Die meisten haben bereits mehr Sicherheitsmassnahmen im Einsatz als sie glauben. Das Problem ist nicht die fehlende Technik. Das Problem ist die fehlende Systematik und Dokumentation.
Mehr zur technischen Prüfung: Penetrationstests für Schweizer Unternehmen.
ISMS: Mehr als ein Ordner voller Richtlinien
Ein Informationssicherheitsmanagementsystem schützt drei Grundwerte: Vertraulichkeit, Integrität und Verfügbarkeit. Das sind keine abstrakten Konzepte. Das bedeutet konkret, dass nur berechtigte Personen auf Daten zugreifen können, dass Daten vollständig und unverfälscht bleiben und dass Systeme verfügbar sind, wenn sie gebraucht werden.
ISO 27001 fordert einen risikobasierten Ansatz. Das ISMS orientiert sich am PDCA-Zyklus: Plan, Do, Check, Act. Man analysiert den Ist-Zustand, leitet Massnahmen ab, setzt sie um, überprüft die Wirksamkeit und verbessert kontinuierlich.
Klingt gut. Aber wer hat Zugang zu welchen Daten? Welche Risiken wurden wirklich bewertet und welche wurden einfach ignoriert, weil sie unbequem waren? Das sind keine theoretischen Fragen.
Ich sehe in meiner Arbeit regelmässig ISMS-Dokumentationen, die für den Auditor gebaut wurden, nicht für das Unternehmen. Das ist das Gegenteil von dem, was die Norm verlangt. Ein gelebtes ISMS entsteht, wenn die Massnahmen in den Alltag integriert sind. Richtlinien, die niemand kennt, sind keine Massnahmen. Sie sind Papier.
Der Ablauf eines ISO 27001 Audit Schweiz in der Praxis
Wie läuft ein ISO 27001 Audit Schweiz konkret ab? Der Prozess gliedert sich in klar definierte Phasen.
Zuerst kommt die GAP-Analyse: Ich schaue mir an, wo dein Unternehmen heute steht und identifiziere Abweichungen von der Norm. Das ist ehrliche Bestandsaufnahme, keine Verkaufspräsentation.
Danach folgen der Aufbau oder die Verbesserung des ISMS sowie die Risikobewertung. Welche Assets existieren? Welche Bedrohungen sind realistisch? Welche Massnahmen sind angemessen? Das ist keine akademische Übung, das ist operative Sicherheitsarbeit.
Vor dem externen Zertifizierungsaudit führe ich ein internes Audit durch. Das ist die Generalprobe. Unabhängige Prüfung, klare Handlungsempfehlungen, keine Überraschungen beim eigentlichen ISO 27001 Audit Schweiz.
Das externe Audit läuft in zwei Stufen. Stufe 1 ist die Dokumentenprüfung: Die Zertifizierungsstelle prüft, ob die Grundlagen vorhanden sind. Stufe 2 ist die Systemprüfung: Der Auditor befragt Mitarbeitende, prüft Logs und schaut sich die tatsächliche Umsetzung an. Das Zertifikat gilt drei Jahre, danach folgt eine Rezertifizierung. Jährliche Überwachungsaudits bestätigen die laufende Konformität.
Ein ISO 27001 Audit Schweiz bei mir startet ab CHF 4’400. Die finalen Kosten hängen von der Unternehmensgrösse, der Anzahl Standorte und der Komplexität des Scope ab.
Jetzt unverbindliches Erstgespräch buchen
TISAX: Wenn die Automobilindustrie klopft
TISAX ist kein Standard, den man freiwillig wählt. Wer in der Automobilindustrie Geschäfte macht, wer als Zulieferer oder Dienstleister mit OEM-Daten arbeitet, der bekommt TISAX von seinen Kunden vorgeschrieben. Das ist die Realität.
TISAX basiert auf dem ISA-Katalog und ist inhaltlich eng mit ISO 27001 verwandt. Wer also bereits ein gut aufgebautes ISMS hat, ist für TISAX gut vorbereitet. Der entscheidende Unterschied liegt im Scope und im Prüfverfahren. Bei ISO 27001 definiert das Unternehmen den Scope des eigenen ISMS selbst. Bei TISAX ist der Scope vorgegeben und umfasst alle Standorte, die von den Anforderungen betroffen sind.
Die Prüfung erfolgt durch unabhängige Auditoren in einem Dreijahreszyklus. Das TISAX-Label ist über die ENX-Datenbank einsehbar. Das ist ein wichtiger Punkt: Transparenz ist hier kein Bonus, sondern Teil des Systems.
Meine Einschätzung ist klar: TISAX ist substanziell. Es ist kein bürokratisches Spielzeug, sondern ein Prüfverfahren, das auf echten Sicherheitsanforderungen basiert. Gleichzeitig gilt: Wer TISAX-konform ist, hat damit noch nicht automatisch alle gesetzlichen Anforderungen erfüllt, die auf nationaler Ebene gelten.
Weiterführende Informationen: ENX Association – TISAX-Informationen.
NIS2 und die Schweiz: Was jetzt gilt
Hier beginnt meine Skepsis. Nicht gegenüber der Substanz von NIS2, sondern gegenüber der Kommunikation rund um dieses Thema in der Schweiz.
NIS2 ist eine EU-Richtlinie. Die Schweiz ist kein EU-Mitglied. Das klingt nach Entwarnung. Ist es aber nicht. Wer als Schweizer Unternehmen Kunden oder Lieferanten in der EU hat, kann über die Lieferkette indirekt von NIS2-Anforderungen betroffen sein. EU-Unternehmen verlangen von ihren Schweizer Zulieferern zunehmend den Nachweis über Cybersicherheitsmassnahmen.
Zusätzlich hat die Schweiz mit dem Informationssicherheitsgesetz (ISG) und der Cybersicherheitsverordnung (CSV) eigene Regulierungen eingeführt, die für bestimmte Organisationen verpflichtend sind. Das ist keine europäische Politik. Das ist Schweizer Recht.
Die Botschaft ist einfach: Wer auf Europa wartet, bis NIS2 auch formal in der Schweiz relevant wird, verschläft die Entwicklung. Die Anforderungen kommen. Sie kommen über Kundenanforderungen, über Partnerverträge, über die eigene Risikolage.
Wer jetzt ein solides ISMS nach ISO 27001 aufbaut, ist auf NIS2 vorbereitet. Nicht zu 100 Prozent und nicht ohne Anpassungen. Aber die Basis stimmt. Ein professioneller ISO 27001 Audit Schweiz ist der richtige erste Schritt.
Hintergrundinformationen: Cybersicherheitsgesetze Schweiz und EU 2025.
Was ein ISO 27001 Audit Schweiz mit mir als Auditor bedeutet
Ich bin kein Zertifizierungsdienstleister im klassischen Sinne. Ich bin IT-Auditor, Cybersecurity-Experte und Lean Six Sigma Black Belt. Das bedeutet: Ich kombiniere strukturierte Prozessanalyse mit echtem Sicherheitsverständnis.
Kein Over-Engineering. Keine Dokumentenberge, die niemand liest. Keine Empfehlungen, die am Ende teurer sind als das Risiko, das sie adressieren.
Mein Ansatz ist modular. Ich passe den Umfang an die tatsächliche Situation des Unternehmens an. Ein kleines KMU ohne ausgelagerte IT braucht einen anderen Scope als ein Dienstleistungsunternehmen mit Cloud-Infrastruktur und mehreren Standorten.
Was ich konkret anbiete beim ISO 27001 Audit Schweiz: GAP-Analyse und Bestandsaufnahme, ISMS-Aufbau und Risikomanagement, interne Audits als Zertifizierungsvorbereitung, Begleitung beim externen Audit, jährliche Überwachungsaudits und TISAX-Vorbereitung. Ergänzend dazu Mitarbeiterschulungen und Security Awareness, weil die beste Dokumentation nichts nützt, wenn Mitarbeitende auf Phishing-Mails klicken.
Interessiert? Buche jetzt einen unverbindlichen Erstgesprächstermin. Ich erstelle dir eine pauschale Offerte nach einem kurzen Kennenlernen.
Fazit: Sicherheit ist kein Zustand – ISO 27001 Audit Schweiz als Grundlage
Das ist keine Meinung, das ist die Realität.
ISO 27001 ist kein Projekt, das man abschliesst. Es ist ein Managementsystem, das lebt. Die Bedrohungslage verändert sich. Technologien verändern sich. Regulierungen verändern sich. Ein ISMS, das nicht kontinuierlich weiterentwickelt wird, veraltet schneller als sein Zertifikat.
TISAX und NIS2 sind keine zusätzlichen Bürokratiemonster. Sie sind Reaktionen auf eine Realität, in der Informationssicherheit über Geschäftserfolg und Geschäftsausfall entscheidet. Schweizer Unternehmen, die das verstehen und jetzt handeln, haben einen echten Wettbewerbsvorteil. Nicht weil sie ein Label tragen. Sondern weil sie tatsächlich sicherer sind.
Wer strukturiert vorgeht, regelmässig prüft und konsequent verbessert, der hat die richtige Grundlage. Wenn du wissen willst, wo dein Unternehmen heute steht, dann ist ein ISO 27001 Audit Schweiz durch einen erfahrenen Experten der richtige erste Schritt.
Guido Marsch ist Head of Cybersecurity und Artificial Intelligence bei der Netsafe AG in St. Gallen sowie IT-Auditor und Lean Six Sigma Black Belt. Er begleitet Schweizer Unternehmen bei ISO 27001 Audits, ISMS-Aufbau, TISAX-Vorbereitung und Cybersecurity-Projekten. Guido Marsch 2025.
