ISO 27001 zertifizierte Softwareentwicklung: Sicherheit als Standard

Wenn Unternehmen einen Softwaredienstleister beauftragen, stellt sich früher oder später die Frage: Wie sicher arbeitet dieser Partner? Eine ISO 27001 Zertifizierung liefert die Antwort — nicht als Marketing-Behauptung, sondern als extern geprüfter Nachweis. TenMedia ist durch den TÜV Süd nach ISO 27001 zertifiziert. Was das für unsere Kunden konkret bedeutet, erklären wir auf dieser Seite.
Mitarbeitende stehen im Büro um einen Tisch herum. Sie prüfen Dokumente zur Zertifizierung nach ISO-27001.
© ReeseArcurs/peopleimages.com

Was unsere ISO 27001 Zertifizierung für Auftraggeber bedeutet

Eine ISO 27001 Zertifizierung bescheinigt, dass ein Unternehmen ein Informationssicherheits-Managementsystem (ISMS) eingeführt hat und dieses von einer unabhängigen Stelle geprüft wurde. Soweit die Theorie. In der Praxis bedeutet das für Auftraggeber eine Reihe konkreter Garantien.

Dokumentierte Prozesse. Jeder Schritt in der Softwareentwicklung und -wartung folgt definierten Abläufen. Wer was wann getan hat, ist nachvollziehbar — nicht weil wir es für sinnvoll halten, sondern weil die Norm es fordert und der TÜV es prüft.

Geregelte Zugriffsrechte. Nicht jeder im Team hat Zugriff auf alles. Wer auf Kundendaten, Produktionsserver oder Quellcode zugreift, ist durch ein Berechtigungskonzept gesteuert. Änderungen an Zugriffsrechten werden dokumentiert und regelmäßig überprüft.

Verschlüsselte Kommunikation. Daten werden in der Übertragung und — wo technisch sinnvoll — auch in der Speicherung verschlüsselt. Das betrifft E-Mails mit sensiblen Inhalten ebenso wie die Verbindung zu Entwicklungs- und Staging-Umgebungen.

Incident-Response-Plan. Für Sicherheitsvorfälle existiert ein definierter Ablauf: Erkennung, Bewertung, Eindämmung, Behebung, Nachbereitung. Kein Improvisieren unter Druck, sondern ein eingespielter Prozess mit klaren Verantwortlichkeiten.

Regelmäßige Audits. Das ISMS wird jährlich durch den TÜV Süd im Rahmen eines Überwachungsaudits geprüft. Alle drei Jahre folgt die vollständige Re-Zertifizierung. Zusätzlich führen wir interne Audits durch, um Schwachstellen zwischen den externen Prüfungen zu identifizieren.

Duale Zertifizierung: ISO 27001 und ISO 9001

TenMedia ist nicht nur nach ISO 27001 (Informationssicherheit) zertifiziert, sondern auch nach ISO 9001 (Qualitätsmanagement). Beide Zertifizierungen wurden vom TÜV Süd erteilt.

Was bringt die Kombination? ISO 9001 stellt sicher, dass unsere Prozesse systematisch auf Qualität und Kundenzufriedenheit ausgerichtet sind. ISO 27001 stellt sicher, dass diese Prozesse auch sicher sind. Die Überlappung ist gewollt: Beide Normen fordern kontinuierliche Verbesserung, dokumentierte Prozesse und regelmäßige Management-Reviews. Die Kombination erzeugt ein Managementsystem, das Qualität und Sicherheit nicht als getrennte Themen behandelt, sondern als zwei Seiten derselben Medaille.

Unter den vergleichbar großen Softwareagenturen in Berlin besitzen nur wenige beide Zertifizierungen. Für Auftraggeber, die sowohl auf Qualität als auch auf Informationssicherheit Wert legen — und das sind zunehmend alle, die mit sensiblen Daten arbeiten —, reduziert die duale Zertifizierung den Aufwand bei der Anbieterprüfung erheblich.

Für wen wir arbeiten: Branchen und Anforderungsprofile

Die ISO 27001 Zertifizierung öffnet Türen, die ohne Zertifikat verschlossen bleiben. Vier Zielgruppen profitieren besonders:

Behörden und öffentliche Auftraggeber. Immer mehr IT-Ausschreibungen der öffentlichen Hand fordern ISO 27001 als Eignungskriterium. Das gilt insbesondere für Projekte, die den Umgang mit Sozialdaten, Gesundheitsdaten oder behördlicher Infrastruktur umfassen. Als zertifizierter Dienstleister erfüllen wir diese Anforderungen und können bereits in der Bewerbungsphase den Nachweis erbringen. Details zum Vergaberecht finden Sie in unserem Leitfaden zu ISO 27001 in Ausschreibungen.

KRITIS-nahe Unternehmen. Betreiber kritischer Infrastrukturen und Unternehmen im Geltungsbereich der NIS-2-Richtlinie müssen nachweisen, dass auch ihre Dienstleister angemessene Sicherheitsstandards einhalten. Eine ISO 27001 Zertifizierung des Softwarepartners ist dafür der gängigste Nachweis.

KMU mit sensiblen Daten. Mittelständische Unternehmen im Gesundheitswesen, in der Finanzbranche oder im Personalbereich verarbeiten hochsensible Daten. Ein zertifizierter Softwarepartner gibt diesen Unternehmen die Sicherheit, dass ihre Daten nach international anerkannten Standards geschützt werden — und liefert gleichzeitig einen Nachweis gegenüber eigenen Aufsichtsbehörden.

Konzerne mit Lieferketten-Compliance. Großunternehmen, die selbst nach ISO 27001 zertifiziert sind, müssen ihre gesamte Lieferkette absichern. Ein Softwaredienstleister ohne eigene Zertifizierung wird zum Risiko — und damit zum Ausschlussgrund bei der Anbieterauswahl.

Sichere Softwareentwicklung nach ISO 27001

Eine Zertifizierung, die nur das Management betrifft, aber den Entwicklungsprozess unberührt lässt, wäre für eine Softwareagentur wertlos. Deshalb umfasst unser ISMS den gesamten Softwareentwicklungs- und Wartungszyklus.

Dazu gehören ein Secure Software Development Lifecycle (SDLC) mit definierten Sicherheitsanforderungen in jeder Phase, verpflichtende Code Reviews nach dem Vier-Augen-Prinzip, automatisierte Sicherheitsprüfungen in der CI/CD-Pipeline, die strikte Trennung von Entwicklungs-, Test- und Produktionsumgebungen sowie ein dokumentiertes Change Management für jede Änderung an Produktivsystemen.

Was diese Maßnahmen in der Praxis bedeuten und welche Annex-A-Controls die Softwareentwicklung betreffen, beschreibt unsere Detailseite zur sicheren Softwareentwicklung nach ISO 27001.

Sichere Wartung und Betrieb

ISO 27001 endet nicht mit dem Go-live. Gerade in der Wartungsphase — wenn die Aufmerksamkeit nachlässt und die Software „einfach laufen” soll — entstehen Sicherheitsrisiken. Veraltete Abhängigkeiten, ungepatchte Schwachstellen, schleichende Konfigurationsdrift.

Unsere Wartungsverträge für Individualsoftware integrieren die ISO-27001-Anforderungen in den laufenden Betrieb. Das umfasst systematisches Patch Management: Abhängigkeiten werden kontinuierlich überwacht, Sicherheitspatches bewertet und nach Test in der Staging-Umgebung eingespielt. Software-Monitoring erkennt Anomalien, bevor sie zu Vorfällen werden. Bei kritischen Fehlern greift der Incident-Response-Prozess mit definierten Reaktionszeiten — vertraglich gesichert durch SLAs.

Konkrete Preismodelle und Rechenbeispiele für Wartungsverträge finden sich in unserem Artikel Was kostet Softwarewartung?.

TÜV Süd: Unser Zertifizierungspartner

Nicht jede Zertifizierungsstelle genießt dasselbe Vertrauen. TenMedia hat sich bewusst für den TÜV Süd entschieden — eine der renommiertesten akkreditierten Stellen in Deutschland.

Warum das relevant ist: Die Strenge des Auditprozesses variiert zwischen Zertifizierungsstellen. Der TÜV Süd ist für gründliche, mehrtägige Audits bekannt, bei denen nicht nur Dokumentation geprüft wird, sondern die praktische Umsetzung im Arbeitsalltag. Das Ergebnis: Ein TÜV-Süd-Zertifikat wird von Behörden, Konzernen und Aufsichtsstellen als besonders belastbar anerkannt.

Die Unterschiede zwischen echten und fragwürdigen Zertifizierungen — und worauf Auftraggeber bei der Prüfung achten sollten — haben wir in unserem Artikel ISO 27001-Zertifikat vs. ISO 27001-Standard ausführlich beschrieben.

Weiterführende Informationen

Hinweis: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für verbindliche Auskünfte zu regulatorischen Anforderungen empfehlen wir die Konsultation einer spezialisierten Rechtsberatung.