ISO 27001 und externe Automatisierungspartner: Worauf Mittelständler bei der Auswahl achten sollten

ISO 27001 als Auswahlkriterium für Automatisierungspartner: Was das Zertifikat wirklich belegt und was Mittelständler stattdessen prüfen sollten.

Handgezeichnete Skizze: eine Hand haelt eine Lupe ueber ein Dokument mit rundem Pruefsiegel

Wer einen externen Partner mit der Automatisierung von Rechnungseingang, CRM oder Bewerbermanagement beauftragt, gibt diesem zwangsläufig Zugriff auf sensible Daten: Kundendatensätze, Finanzzahlen, teilweise auch Personalakten. Die Frage "ist der Anbieter ISO 27001-zertifiziert" taucht deshalb in Ausschreibungen und Erstgesprächen immer häufiger auf. Viele Mittelständler wissen aber nicht genau, was das Zertifikat belegt und was es nicht abdeckt. Dieser Beitrag ordnet ein, worauf es bei der Auswahl eines Automatisierungspartners tatsächlich ankommt.

Was ISO 27001 als Zertifikat überhaupt aussagt

ISO/IEC 27001:2022 legt die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) fest und ist damit kein Siegel für ein einzelnes Tool, sondern ein Nachweis für systematische, wiederholt überprüfte Prozesse im gesamten Unternehmen. Der Anhang A der Norm enthält 93 Controls in vier Kategorien: 37 organisatorische, 8 personenbezogene, 14 physische und 34 technologische Maßnahmen, wie die Fachanalyse von secjur zur aktuellen Fassung zeigt. Die Vorgängerversion von 2013 kannte noch 114 Controls, die Reduktion auf 93 ging mit einer klareren Struktur und elf neuen Maßnahmen einher, etwa zu Cloud-Sicherheit und Aktivitätsüberwachung.

Es gibt zwei Wege zum Zertifikat: nativ nach ISO/IEC 27001:2022 mit freier Methodenwahl, oder auf Basis von IT-Grundschutz nach der Methodik des Bundesamts für Sicherheit in der Informationstechnik (BSI, Standards 200-1 bis 200-4). Beide Wege führen laut BSI zum international anerkannten ISO-27001-Zertifikat, der Grundschutz-Weg ist beim BSI-Zertifikatsschema öffentlich dokumentiert und die erteilten Zertifikate sind dort einsehbar. Für die Auswahl eines Partners ist das relevant, weil beide Wege gleichwertig gelten, aber unterschiedlich detailliert nachprüfbar sind.

Warum die Sicherheit des Automatisierungspartners direkt dein eigenes Risiko ist

Der Gesamtschaden durch Datendiebstahl, Spionage und Sabotage in der deutschen Wirtschaft lag 2025 bei 289,2 Milliarden Euro, davon entfielen laut der Bitkom-Studie Wirtschaftsschutz 2025 202,4 Milliarden Euro (70 Prozent) auf Cyberangriffe. 34 Prozent der befragten Unternehmen waren von Ransomware betroffen, fast dreimal so viele wie 2022. Ein RPA-Bot, ein n8n-Workflow oder ein Copilot-Agent braucht Zugangsdaten und API-Zugriffe auf ERP, CRM oder DATEV, um überhaupt automatisieren zu können. Wird der Automatisierungspartner selbst kompromittiert, ist das ein direkter Weg in die Systeme des Kunden. Die Informationssicherheit des Partners ist deshalb keine formale Nebensache, sondern eine echte Erweiterung der eigenen Angriffsfläche.

Was du konkret prüfen solltest, wenn ein Anbieter mit ISO 27001 wirbt

Ein vorgezeigtes Zertifikat allein sagt wenig aus, ohne dass Gültigkeit und Geltungsbereich (Scope) geprüft werden. Vier Punkte lohnen sich konkret:

  • Geltungsbereich: Deckt das Zertifikat tatsächlich die Abteilung oder den Standort ab, der dein Automatisierungsprojekt betreut, oder nur eine Tochtergesellschaft?
  • Zertifizierungsweg: nativ oder über BSI-IT-Grundschutz, beide gültig, beim Grundschutz-Weg lässt sich das Zertifikat in der öffentlichen BSI-Zertifikatsdatenbank gegenprüfen.
  • Rezertifizierungszyklus: Eine BSI-Grundschutz-Zertifizierung ist drei Jahre gültig, dazwischen liegen jährliche Überwachungsaudits, also lohnt die Frage nach dem letzten Audit-Datum.
  • Ausstellende Stelle: Wurde das Zertifikat von einer akkreditierten, unabhängigen Zertifizierungsstelle vergeben, nicht von einer internen Prüfung?

Wichtig für die Erwartungshaltung: Ende 2022 waren in Deutschland nur rund 1.582 Unternehmen nach ISO 27001 zertifiziert, wie Zahlen von Statista zeigen, bei rund 3,1 Millionen Unternehmen insgesamt. Ein fehlendes Zertifikat ist damit kein automatisches Ausschlusskriterium für einen kompetenten Automatisierungspartner, es verschiebt aber die Beweislast auf andere, ebenso prüfbare Nachweise.

Wenn der Partner nicht zertifiziert ist: Welche Nachweise stattdessen zählen

Ohne ISO-27001-Zertifikat sind ein sauberer Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und dokumentierte technische und organisatorische Maßnahmen (TOMs) das Mindestmaß, das jeder seriöse Automatisierungspartner vorlegen können muss. Der AVV ist ohnehin verpflichtend, sobald personenbezogene Daten verarbeitet werden, unabhängig von jeder Zertifizierung. Ergänzend lohnt sich die Frage nach dem Serverstandort (Deutschland oder EU), nach Zugriffskonzepten für einzelne Automatisierungen und danach, ob Vorfälle in der Vergangenheit dokumentiert und gemeldet wurden.

Auch NordFlux tritt gegenüber Kunden nicht mit einem eigenen ISO-27001-Zertifikat auf, sondern mit einem AVV je Kunde, dokumentierten TOMs und Datenhaltung in deutschen beziehungsweise europäischen Rechenzentren. Genau diese Transparenz, nicht allein ein Siegel, ist der Maßstab, den wir Mittelständlern für die Auswahl jedes Automatisierungspartners empfehlen. Diese Fragen gehören deshalb in jede KI-Beratung vor dem ersten Projekt, weil sie am Ende genau die Schnittstellen-Integration betreffen, über die sensible Daten fließen.

Von Simon Glowik, veröffentlicht am 9. Juli 2026.

Häufige Fragen

Ist ISO 27001 für einen Automatisierungspartner gesetzlich vorgeschrieben?

Für die meisten Branchen nein. Nur in regulierten Bereichen wie KRITIS-Betrieben oder Teilen des Finanzsektors kann eine Zertifizierung faktisch vorausgesetzt werden. Für den Mittelstand ist ISO 27001 heute eher eine zunehmend übliche Auftraggeber-Anforderung als eine gesetzliche Pflicht.

Was bedeutet "ISO 27001 auf Basis von IT-Grundschutz"?

Das ist der alternative Zertifizierungsweg über die BSI-Methodik statt freier Methodenwahl. Ein vom BSI zugelassener Auditor prüft Referenzdokumente und führt eine Vor-Ort-Prüfung durch, das BSI entscheidet danach über die Ausstellung des ISO-27001-Zertifikats.

Wie lange ist ein ISO-27001-Zertifikat gültig?

Eine Zertifizierung auf Basis von IT-Grundschutz gilt drei Jahre, danach ist eine Rezertifizierung nötig. Dazwischen finden jährliche Überwachungsaudits statt. Es lohnt sich also, nach dem Datum des letzten Audits zu fragen, nicht nur nach dem Zertifikat selbst.

Reicht eine Selbstauskunft ohne Zertifikat als Nachweis?

Eine reine Selbstauskunft ohne Substanz reicht nicht. Ein belastbarer Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und dokumentierte technische und organisatorische Maßnahmen sind das Mindestmaß, das jeder Automatisierungspartner unabhängig von einer ISO-Zertifizierung vorlegen können sollte.

Wie prüfe ich, ob ein vorgelegtes ISO-27001-Zertifikat echt ist?

Bei Zertifikaten auf Basis von IT-Grundschutz lässt sich die Erteilung in der öffentlichen Zertifikatsliste des BSI nachschlagen. Bei nativen ISO-27001-Zertifikaten hilft ein Blick auf die Akkreditierung der ausstellenden Zertifizierungsstelle, etwa bei der Deutschen Akkreditierungsstelle (DAkkS), oder eine direkte Rückfrage bei der Stelle.

Über NordFlux

NordFlux UG (haftungsbeschränkt)

NordFlux baut Organisationen digitale Mitarbeiter: Automatisierungen und KI-Agenten, die wiederkehrende Arbeit abnehmen. Sie behalten die Kontrolle.

Mehr über uns
Kostenlose Erstanalyse

Konkrete Fragen zu Automatisierung oder KI?

In der kostenlosen Erstanalyse besprechen wir Ihren Fall direkt. Unverbindlich.

ISO 27001 bei Automatisierungspartnern: Auswahlkriterien