Das akkreditierte ISO 27001-Zertifikat: die neue Währung des Vertrauens

Claudia Furger

Claudia Furger

Veröffentlicht am: 24.06.2026

Lesedauer

ca. 3 Minuten

ISO/IEC 27001-Zertifikate boomen weltweit. Doch nicht jedes Zertifikat hat denselben Wert. Entscheidend ist laut den Marktteilnehmenden, ob die Zertifizierungsstelle akkreditiert ist.

Es passierte am 14. Juni 2023. An diesem Mittwoch tauchte ein Datenpaket mit rund 1,3 Millionen Objekten im Darknet auf. Die Hackergruppe «Play» hatte die Daten vorgängig bei der Firma Xplain mit einem Ransomware-Angriff gestohlen. Unter den veröffentlichten Daten: klassifizierte Informationen und besonders schützenswerte Personendaten aus der Bundesverwaltung.

Xplain ist kein Einzelfall. Laut economiesuisse sind seit 2023 über 200 Schweizer Unternehmen Opfer von Ransomware-Angriffen geworden. Die unmittelbaren finanziellen Schäden gehen in die Millionen. Noch grösser und schwerwiegender ist der Verlust von Reputation und Vertrauen. Die Lehre daraus ist unbequem. Auch wenn ein Unternehmen die eigenen Systeme gut schützt: Wer mit unsicheren Dienstleistern, Zulieferern oder Software-Partnern zusammenarbeitet, ist verwundbar.

Das hat die Art verändert, wie Unternehmen über Informationssicherheit nachdenken. Und darüber, wie sie sie kommunizieren. Gegenüber Kunden. Gegenüber Partnern. Gegenüber Behörden. Wer heute vertrauenswürdig sein will, muss mehr liefern als Beteuerungen. Er muss Belege vorweisen.

Einen solchen Beleg liefert eine Zertifizierung nach der ISO/IEC 27001. Die internationale Norm bietet Unternehmen einen anerkannten Rahmen, um Informationssicherheit systematisch zu steuern, kontinuierlich zu verbessern und dies gegenüber Kundinnen und Kunden, Partnern und Behörden nachvollziehbar vorzuweisen. Das Interesse daran ist gross: Laut der ISO Survey waren 2024 weltweit fast 100’000 Zertifikate in Kraft. Tendenz rasch steigend.

Diesen Boom bestätigt Prof. Dr. Rika Koch von der Berner Fachhochschule. Sie ist Co-Leiterin der Fachgruppe Public Procurement and Law, die zu Fragen des öffentlichen Beschaffungswesens, der Digitalisierung und Nachhaltigkeit forscht. Ihr Befund ist eindeutig: «Spätestens seit dem Hackerangriff auf Xplain ist bei öffentlichen Ausschreibungen ein deutlicher Anstieg der Bedeutung von Cybersecurity-Standards zu beobachten. Früher wurde das Thema teilweise vernachlässigt. Nun schwingt das Pendel in die andere Richtung, und wir sehen schon fast einen Overkill an solchen Zertifizierungsanforderungen.» 

Die Spreu vom Weizen trennen

Doch je mehr Zertifikate in Umlauf kommen, desto wichtiger und dringlicher wird die Frage: Wer hat das Zertifikat eigentlich ausgestellt? Denn vielen ist nicht bewusst: Zertifikat ist nicht gleich Zertifikat. Entscheidend ist die Stelle, die es ausstellt. Grundsätzlich darf eine beliebige Stelle ISO-Managementsysteme zertifizieren. Ob die Zertifikate national und international anerkannt sind, hängt davon ab, ob die Zertifizierungsstelle akkreditiert ist.

Das System hinter der Akkreditierung

Das internationale Akkreditierungssystem ist mehrstufig aufgebaut und schafft auf jeder Ebene Verbindlichkeit. 

 

 

Vertrauen braucht Nachweise

Hört man sich im Markt um, wird schnell klar: Eine Akkreditierung ist keine abstrakte Feinheit. Für Unternehmen wie Endress+Hauser, deren Softwarelösungen weltweit zum Einsatz kommen, ist sie die Voraussetzung dafür, dass ihre Sicherheitskompetenz international verstanden und anerkannt wird. Ähnlich sehen es regional tätige Unternehmen wie die Regionalwerke AG Baden: Informationssicherheit ist laut IT-Leiter Philippe Bähler für Kundinnen und Kunden, Partner und Stakeholder heute eine Selbstverständlichkeit, die transparent und nachvollziehbar belegt werden müsse. 

 

Besonders deutlich wird das dort, wo das Kerngeschäft selbst auf Vertrauen beruht. Matthias Teuscher, Chief Information Security Officer bei der Securiton AG, sagt: «Als Anbieter von Sicherheitslösungen ist Vertrauen die Grundlage unserer Arbeit. Die akkreditierte ISO/IEC-27001-Zertifizierung durch die SQS schafft dafür die objektive und international anerkannte Grundlage.»

Eine akkreditierte Zertifizierung nach der ISO/IEC 27001 ist darum weit mehr als ein Managementinstrument. Sie ist der sichtbare Nachweis für Vertrauenswürdigkeit. Für viele Unternehmen ist sie so zur Voraussetzung geworden, um neue Märkte zu erschliessen, Partnerschaften einzugehen oder öffentliche Aufträge zu gewinnen. 

 

Unser Newsletter bringt relevante und interessante Inhalte zu Ihnen

Möchten Sie informiert werden, wenn wir einen neuen Beitrag aufschalten? Dann abonnieren Sie unseren SQS-Blog-Newsletter. Sie können sich jederzeit wieder abmelden.