Eure Kunden fordern die ISO 27001. NIS-2 schreibt ein Risikomanagement vor. Oder möchtest du es strukturiert aufbauen? In allen drei Fällen beginnt die Antwort hier.
isms. done. right.
Informationssicherheit schützt vertrauliche Daten, sichert die Verfügbarkeit von Systemen und gewährleistet die Integrität von Informationen. Sie schafft Vertrauen, reduziert Risiken und bildet die Grundlage für stabiles, regelkonformes Handeln in einer digitalen Welt.
carmasec begleitet dich beim Aufbau eines ISMS (Informationssicherheits-Managementsystem), das Bedrohungen standhält und regulatorischen Anforderungen gerecht wird.
Ein Großkunde stellt ISO 27001 als Vertragsvoraussetzung. NIS-2 verlangt ein dokumentiertes Risikomanagement. DORA schreibt Informationsrisikosteuerung für Finanzunternehmen vor. Der Zeitplan steht. Du brauchst einen klar abgegrenzten Scope, ein Statement of Applicability, das einem Audit standhält und ein Projekt, das dein Team nicht monatelang bindet.
Du verantwortest Informationssicherheit. Du weißt, dass Einzelmaßnahmen kein Fundament bilden. Du willst Assets systematisch erfassen, Risiken nach ISO 27001 bewerten und behandeln und einen PDCA-Zyklus etablieren, der in der Organisation tatsächlich gelebt wird.
Ein ISMS muss für euer Unternehmen weder überdimensioniert noch aufwendig sein. Im ersten Gespräch klären wir gemeinsam, welcher Umfang zu deiner Organisation passt und was realistisch umsetzbar ist.
Erstgespräch vereinbaren
Bevor wir aufbauen, verstehen wir, wo ihr steht. Wir gleichen euren Ist-Zustand mit den Anforderungen aus ISO 27001, BSI IT-Grundschutz, NIS-2, DORA, CRA und EU AI Act ab.
Risiken lassen sich nicht abhaken. Wir identifizieren eure schützenswerten Assets, bewerten Bedrohungsszenarien und leiten Controls aus eurem tatsächlichen Risikoprofil ab.
Dokumentation, die niemand liest, schützt niemanden. Wir erarbeiten Policies und Verfahrensanweisungen mit eurem Team, für Incident Management, Change Management und Access Management.
Ein ISMS, das nie geprüft wird, entwickelt sich nicht weiter. Wir planen und führen interne Audits durch, leiten Korrekturmaßnahmen ab und bereiten die Managementbewertung vor.
Technische Controls schützen. Menschen entscheiden. Wir schulen eure Informationssicherheitsbeauftragte:n für den eigenständigen ISMS-Betrieb und sensibilisieren Fachabteilungen dort, wo Risiken im Alltag entstehen.
Wir bereiten euer ISMS auf den externen Audit vor — mit internen Voraudits, Dokumenten-Reviews und Begleitung bis zur Zertifizierung.
Wir starten mit der Bestandsaufnahme.
Wir bauen das System gemeinsam mit deinem Team.
Du betreibst das System eigenständig.
Wie lange dauert ein ISMS-Aufbau?
Ein Basis-ISMS mit klar definiertem Scope ist in drei bis sechs Monaten machbar. Mit ISO 27001-Zertifizierung rechne mit neun bis zwölf Monaten. Entscheidend ist nicht allein die Unternehmensgröße. Klarheit über Scope, verfügbare interne Ressourcen und das Commitment der Geschäftsführung sind genauso ausschlaggebend. Wir klären das im Erstgespräch konkret.
Was ist der Unterschied zwischen ISMS und ISO 27001?
Das ISMS ist das Managementsystem: Prozesse, Verantwortlichkeiten, Risikobewertung, Controls. ISO 27001 ist der internationale Standard, nach dem dieses System zertifiziert werden kann. Ein ISMS ohne Zertifizierung ist vollständig valide, wenn kein externer Nachweis erforderlich ist. Wir bauen immer zertifizierungsfähig, auch wenn keine Zertifizierung geplant ist.
ISO 27001 oder BSI IT-Grundschutz?
ISO 27001 ist risikobasiert und international anerkannt. BSI IT-Grundschutz ist maßnahmenbasiert und in Deutschland besonders bei Behörden und KRITIS-Betreibern verbreitet. Beide Frameworks lassen sich kombinieren: Ein ISMS auf Basis von IT-Grundschutz-Bausteinen kann gleichzeitig ISO 27001-konform sein. Welcher Ansatz passt, hängt von Branche, Regulatorik und internem Kontext ab. Wir empfehlen nach Analyse, nicht nach Präferenz.
Wie viel Aufwand entsteht intern?
Wir übernehmen die Hauptlast. Plane mit ein bis zwei Tagen pro Woche für die verantwortliche Person auf deiner Seite. Dazu kommen punktuelle Workshops mit Fachabteilungen. Je klarer die Entscheidungswege intern, desto schneller kommen wir voran. Ein ISMS ist ein Managementsystem, kein IT-Projekt. Es braucht Beteiligung.
Richtlinien entfalten ihren Wert nicht auf dem Papier, sondern in gelebten Prozessen. Was mich antreibt: Kunden beauftragen Fachexpertise und brauchen häufig aber systemische Problemlösungen. Risikomanagement ist für mich kein Werkzeug, sondern eine Denkweise. Wer das verinnerlicht hat, baut kein ISMS für das Audit, sondern eins für die Organisation.
Till Bormann, Senior Security Consultant
Expert:in kontaktieren
»Professionell, flexibel, nahbar und vor allem: erfolgreich. carmasec hat geliefert, was versprochen wurde.«
Bruker Optics
»Mit carmasec fanden wir einen vertrauenswürdigen Partner, der uns bei der Umsetzung unterstützte und einen umfangreichen Ergebnisbericht lieferte. Wir empfehlen carmasec uneingeschränkt weiter.«
ELIGO
»Mit Unterstützung von carmasec haben wir KPIs definiert und einen höheren Grad an Transparenz und Akzeptanz geschaffen.«
DKV Mobility Services
»carmasec leistete einen nennenswerten Beitrag zur Sicherheit unserer Dienste. Professionelle Beratung, saubere Durchführung. Für Infrastruktur-Pentests empfehlen wir carmasec uneingeschränkt.«
tyntec GmbH
Information Security & Compliance|16.04.2026
Cloud & DevSecOps|11.06.2026
Information Security & Compliance|16.02.2026
Kontakt
In einem kostenlosen Beratungsgespräch erzählen wir dir gerne mehr. Einfach Formular ausfüllen und abschicken, dann melden wir uns.
Du brauchst Unterstützung oder willst einfach mal loswerden, was dich in Sachen Cybersecurity oder ISMS gerade beschäftigt? Wir nehmen’s ernst und melden uns zeitnah.
Noch kein Kunde?
Nützliche Links
Sie sehen gerade einen Platzhalterinhalt von Hubspot Embedded Content. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen