ISMS Copilot
Sicherheit

Warum wir noch nicht ISO 27001-zertifiziert sind

Bei ISMS Copilot sind wir bestrebt, „zu praktizieren, was wir predigen“. Als Tool, das von und für Informationssicherheitsexperten entwickelt wurde, setzen wir viele der Maßnahmen um, die wir unseren Kunden ermöglichen – wie obligatorische MFA, Datentrennung auf Zeilenebene (Row-Level Security), automatisiertes Code-Scanning und Echtzeit-Überwachung. Unsere Architektur orientiert sich bereits an den zentralen Anforderungen von ISO 27001:2022 Anhang A und den SOC 2 Trust Services Criteria.

Dennoch sind wir transparent: ISMS Copilot ist noch nicht ISO 27001-zertifiziert oder SOC 2-geprüft. Hier ist der Grund dafür und unser pragmatischer Plan für die Zukunft.

Warum wir noch nicht zertifiziert sind

Wir sind ein Bootstrapped-Startup ohne Investoren oder externe Finanzierung. Unser kleines Team wird vom Gründer/CEO geleitet, der viele Prozesse von der Produktentwicklung bis zum Compliance-Management übernimmt und gleichzeitig als CEO, CISO, DSB, Compliance-Beauftragter, Product Owner und Finanzleiter fungiert.

Diese Realität schafft spürbare Herausforderungen, die eine ISO 27001-Zertifizierung in unserer aktuellen Managementstruktur schwierig machen:

Managementstruktur

ISO 27001 setzt Organisationsstrukturen mit Funktionstrennung und unabhängiger Aufsicht voraus. In unserem aktuellen Setup bedeutet das:

  • Ich schreibe und genehmige meine eigene Dokumentation – Von Sicherheitspolicies bis hin zu Risikobewertungen gibt es keine unabhängigen Prüfer, da ich die meisten Rollen selbst ausfülle. Selbst wenn das Engineering eine separate Rolle wäre, bliebe ich der Genehmiger für die meisten Richtlinien, die ich schreibe.

  • Management-Reviews = Selbstreflexion – Wenn „Management-Review“ bedeutet, dass ich meine eigene Arbeit überprüfe, handelt es sich um eine Selbsteinschätzung ohne die vielfältigen Perspektiven, die Auditoren erwarten. Selbst wenn wir externe Berater für interne Audits hinzuziehen, um einen anderen Blickwinkel auf das ISMS zu erhalten, kann das Management-Review nicht ausgelagert werden.

  • Führung und Implementierung überschneiden sich – Ich bekenne mich als CEO zur Sicherheit und setze sie gleichzeitig als CISO um. Dies bietet nicht die Rollentrennung, die ISO 27001 empfiehlt, um klare Verantwortlichkeitsebenen zu gewährleisten (Kapitel 5.1 und 5.3). Als Gründer trage ich die volle Verantwortung für alle Aspekte, aber die Absicht der Norm erfordert für eine formelle Zertifizierung eine strukturiertere Aufteilung.

Wir können interne Audits auslagern, um die Anforderungen an die Unabhängigkeit zu erfüllen, und wir nutzen unser eigenes Tool, um Dokumentationen effizient zu erstellen. Die Herausforderung ist nicht die Kompetenz, sondern die Organisationsstruktur, die der Geist der ISO 27001-Anforderungen buchstäblich verlangt.

Ressourcen-Priorisierung

Als Bootstrapped-Unternehmen wachsen wir, indem wir unsere Kunden glücklich machen – Cybersicherheitsberater, Auditoren und Compliance-Teams, die sich bei ihren ISO 27001-Implementierungen auf uns verlassen. Wir haben folgende Schwerpunkte gesetzt:

  • Konkrete Sicherheitsmaßnahmen, die Nutzer direkt schützen (Verschlüsselung, Zugriffskontrollen, Monitoring), statt formeller Zertifizierungsprozesse.

  • Produktfunktionen, die unseren Kollegen im Bereich ISO 27001 und GRC helfen, bei ihren eigenen Compliance-Projekten erfolgreich zu sein.

  • Kundennutzen durch KI-gestützte Dokumentenerstellung, Framework-Mapping und Compliance-Automatisierung.

Wir reinvestieren die Einnahmen von zufriedenen Nutzern in stetige Verbesserungen, anstatt erhebliche Ressourcen in eine Zertifizierung zu lenken, solange wir noch ein sehr kleines Team sind.

Wir verlassen uns auf zertifizierte Unterauftragsverarbeiter (Mistral AI ISO 27001:2022, Stripe PCI-DSS Level 1, AWS/Supabase ISO 27001 und SOC 2 Typ II), um unser Sicherheitsniveau zu stärken, während wir bezüglich unseres eigenen Zertifizierungsstatus transparent bleiben.

Wann wir die Zertifizierung planen

Wir werden die ISO 27001-Zertifizierung und SOC 2-Prüfung anstreben, sobald wir unser Team erweitern – etwa durch Rollen wie einen spezialisierten Compliance-Experten und zusätzliche Ingenieure. Dieses Wachstum wird organisch durch den Erfolg unserer Kunden erfolgen: Indem wir ISO 27001- und GRC-Experten helfen, ihre Arbeit zu optimieren, generieren wir den Umsatz für eine verantwortungsvolle Skalierung.

Sobald das Team größer ist, werden wir die verbleibenden organisatorischen Anforderungen formalisieren:

  • Unabhängige Management-Reviews mit mehreren Stakeholdern

  • Dokumentierte Risikobehandlungspläne mit getrennten Genehmigungsworkflows

  • Business-Continuity-Verfahren mit zugewiesenen Verantwortlichkeiten

  • Interne Audit-Programme mit echter Unabhängigkeit

Wir werden unser eigenes Produkt nutzen, um diesen Prozess zu beschleunigen – wir praktizieren, was wir predigen, indem wir ISMS Copilot verwenden, um unsere Richtlinien zu aktualisieren, Kontrollen zuzuordnen und Nachweise zu verwalten.

In der Zwischenzeit implementieren wir ein an ISO 27001 orientiertes ISMS: Wir führen Risikobewertungen und -behandlungen durch, etablieren Maßnahmen zur Betriebskontinuität und Disaster Recovery, betreiben Incident Management sowie Bedrohungsüberwachung und sammeln Nachweise über Tools wie Logs und Dashboards. Wenn die Teamerweiterung erfolgt, wird die Zertifizierung unsere bestehenden Stärken untermauern, anstatt dass wir bei Null anfangen müssen.

Unser aktuelles Sicherheitsniveau

Obwohl wir noch nicht zertifiziert sind, haben wir robuste Sicherheitskontrollen implementiert, die sich an Industriestandards orientieren:

  • Obligatorische Multi-Faktor-Authentifizierung

  • Row-Level Security für die vollständige Datentrennung zwischen Workspaces

  • Automatisiertes Code-Scanning mit priorisierter Ergebnisauswertung

  • Point-in-Time-Recovery für erhöhte Resilienz

  • Echtzeit-Fehlerverfolgung und Monitoring

  • Verschlüsselung im Ruhezustand (at rest) und bei der Übertragung (in transit)

  • DDoS-Schutz und Rate Limiting

  • DSGVO-Konformität durch Privacy by Design mit nutzergesteuerter Datenaufbewahrung

Weitere Details zu unseren implementierten Kontrollen finden Sie in unserer Sicherheits- & Datenschutzübersicht und unseren Sicherheitsrichtlinien.

Fragen zu unserer Sicherheit?

Gerne besprechen wir mit Ihnen, wie unser aktuelles Sicherheitsniveau Ihre Anforderungen unterstützt. Wenn Sie als Kunde oder Interessent Fragen zu unseren Kontrollen, dem Compliance-Status oder unserer Zertifizierungs-Roadmap haben, kontaktieren Sie uns bitte. Sobald wir über ausreichende Ressourcen verfügen, um eine bestimmte Kontrolle umzusetzen, tun wir dies gerne oder planen es zumindest ein – zögern Sie also nicht, nachzufragen.

War das hilfreich?