Teamstudie: ISO 27001 im Team

Was diese Teamstudie Ihrem Team gibt

ISO 27001 im Team durcharbeiten – von Controls bis Audit-Vorbereitung.

ISO 27001 im Team

Das Budget-Meeting, das fast scheiterte – und wie es doch gelang

Unternehmen	FuturaTech AG, Winterthur
Branche	Technologieunternehmen, 70 Mitarbeitende
Regulierung	ISO/IEC 27001 – Informationssicherheits-Managementsystem
Konfliktauslöser	Budget: 30.000 CHF verfügbar, Vorschläge summieren sich auf mehr
Kernfrage	Wie entscheidet ein Team unter Druck, wenn alle recht haben?
Lernpunkt	Konflikte entstehen nicht wegen schöner Projekte, sondern wegen falscher Reihenfolge

Einordnung

Diese Teamstudie zeigt exemplarisch, wie ein ISO-27001-Budgetmeeting durch unterschiedliche Arbeitslogiken eskaliert – und wie strukturierte Moderation aus einem drohenden Abbruch eine tragfähige Entscheidung macht.

Die Ausgangslage

Die FuturaTech AG aus Winterthur bereitet sich auf die ISO-27001-Zertifizierung vor. Die ersten Workshops liefen gut – bis es um die konkrete Tool-Entscheidung geht. Im Budget stehen maximal 30.000 CHF. Die Vorschläge des Teams summieren sich auf mehr als das.

Die Stimmung ist angespannt. Und bevor überhaupt ein Wort über Priorisierung gesagt wird, ist klar: Hier sprechen vier Menschen, die über dasselbe Thema in vollständig verschiedenen Sprachen reden.

Das Modell: Vier Arbeitslogiken

ISO 27001 ist ein Gemeinschaftsprojekt. Es braucht Tiefe für die Risikoanalyse, Exploration für die Lösungsentwicklung, Struktur für die Entscheidungsfindung und Resonanz für die Umsetzbarkeit. Das Problem: Alle vier reden gleichzeitig.

System	Arbeitslogik	Fokus	In diesem Meeting
A	Resonanz	Menschen, Klima, Wirkung	Thomas – Vorstand
B	Struktur	Pflichten, Relevanz, Entscheidungen	Sarah – Head of Legal
C	Exploration	Ideen, Optionen, Innovation	Martin – IT-Leiter
D	Tiefe	Analyse, Risiken, Abhängigkeiten	Luca – CISO

Die Konfliktlage

System D – Tiefe

Luca

„Ohne SIEM fallen wir schon im Stage-1-Audit durch.“

System C – Exploration

Martin

„Wir brauchen Ordnung – bevor wir Raketenwissenschaft betreiben.“

System B – Struktur

Sarah

„Ein integriertes Asset-Inventar ist nicht nett-zu-haben. Es ist die Grundlage für alles andere.“

System A – Resonanz

Thomas

„Warum klingt das alles so kompliziert?“

Die Eskalation

Das Meeting beginnt sachlich, doch innerhalb von Minuten entsteht eine toxische Mischung.

Luca: „Ohne SIEM können wir die Anforderungen aus Annex A nicht erfüllen. Es geht nicht um Meinung, sondern um Pflichten!“ Martin: „Ein SIEM bringt uns gar nichts, wenn wir nicht einmal eine saubere Asset-Liste haben!“ Thomas: „Können wir bitte bei den Fakten bleiben? Ich verstehe kein Wort mehr.“

Der Druck steigt. Niemand hört dem anderen zu. Der Ton wird härter. Das Meeting steht kurz vor dem Abbruch.

Die Wende: Sarah übernimmt

Sarah hebt die Hand.

„Stopp. Wir machen jetzt eine strukturierte 4-Phasen-Runde.“

Thomas schaut erleichtert. Luca und Martin eher skeptisch – aber sie wissen, dass es so nicht weitergeht. Sarah zeichnet vier Kreise an das Whiteboard.

Phase 1 — Exploration (System C)

Keine Bewertung. Keine Einwände. Niemand widerspricht. Martin darf beginnen. Er erklärt das zentrale Asset-Tool, die doppelte Arbeit, die chaotischen Excel-Listen und wie das System drei Anforderungen gleichzeitig löst: Asset Inventory, Demand Management, Lizenzverwaltung. Der Vorstand nickt zum ersten Mal. Luca ergänzt die Abhängigkeiten zu Vulnerability Management und Incident Response. Zum ersten Mal hört man sich zu – ohne Gegenwehr.

Phase 2 — Analyse (System D)

Was ist zwingend? Was sind die Risiken? Luca analysiert: Ohne SIEM fehlen Auditfähigkeiten. Ohne Penetrationstest kennt man die wahre Risikolage nicht. Ohne Monitoring müssen alle Prüfungen manuell erfolgen. Martin analysiert: Ohne saubere Asset-Basis funktionieren SIEM und Penetrationstest nicht richtig. Thomas versteht plötzlich: Die Systeme hängen voneinander ab.

Phase 3 — Struktur (System B)

Pflichten, Empfehlung, Reihenfolge. Sarah fasst zusammen. Zwingend für ISO: Asset Inventory, Monitoring relevanter Systeme, risikobasierte Tests. Empfohlene Reihenfolge: 1. Asset-Tool als Fundament. 2. Penetrationstest mit Handlungsempfehlungen. 3. SIEM für laufende Sicherheit. Thomas atmet hörbar aus.

Phase 4 — Kommunikation (System A)

ROI erklären, Verantwortung sichern, Vertrauen herstellen. Sarah richtet sich an den Vorstand: „Thomas, Sie haben gefragt, warum wir über 30.000 CHF ausgeben sollen. Ohne Asset-Inventar ist alles andere wertlos. Der Penetrationstest spart im Ernstfall Hunderttausende. Das SIEM schützt uns 24/7 – günstiger als ein einziger Security-Vorfall. Und Ihr persönliches Risiko als Organ sinkt massiv.“ Thomas lehnt sich zurück: „Zum ersten Mal habe ich das Gefühl, ich verstehe es.“

Das Ergebnis

Der Vorstand beschliesst: Asset-Tool (8.000 CHF + Implementierung), Penetrationstest (12.000 CHF), SIEM-System (10.000 CHF/Jahr). Gesamt rund 32.000 CHF – freigegeben.

Das Team verlässt den Raum nicht nur mit einer Entscheidung, sondern mit Vertrauen. Nicht weil die Menschen sich verändert haben. Sondern weil die Struktur stimmte.

Learnings

1	Konflikte waren nicht fachlich	D-Systeme brauchen Tiefe. C brauchen Entscheidungsfreiheit. B brauchen Struktur. A brauchen Orientierung und Sicherheit.
2	Ohne Ordnung kollabiert jedes Meeting	Egal wie kompetent das Team ist. Die 4-Phasen-Moderation löst Konflikte nicht – sie macht sie produktiv.
3	ISO ist ein Gemeinschaftsprojekt	Legal sieht Relevanz. IT sieht Realität. CISO sieht Risiko. Vorstand sieht Verantwortung. Alle Perspektiven sind notwendig.
4	Die Werkzeuge sind nicht teuer	Teuer ist es, sie nicht zu haben – und es erst im Audit oder nach einem Vorfall zu merken.
5	Reihenfolge = Erfolg	C → D → B → A. Erst Ideen, dann Risiken, dann Struktur, dann Kommunikation. Wer das umkehrt, verliert das Meeting.

Kernaussage

ISO 27001 ist ein Gemeinschaftsprojekt. Wer die Arbeitslogiken seines Teams kennt und die richtige Reihenfolge anwendet, macht aus einem Budget-Konflikt eine tragfähige Entscheidung.

NBK Legal ·

Die vorliegende Teamstudie ersetzt keine Rechtsberatung.

Weiter vertiefen

Leitfaden Leitfaden ISO 27001 ISO 27001 als Vorbereitung lesen. Lesen → Self-Check Self-Check Governance Governance-Readiness prüfen. Lesen → Fallstudie Fallstudie ISO 27001 ISO-Zertifizierung in der Praxis. Lesen →