pretix

ISO 27001 Re-Zertifizierung: pretix bleibt sicher (und was wir dabei gelernt haben)

12. Juni 2026

Lesezeit: 5 Minuten

Seit Mai 2023 ist die pretix GmbH nach ISO/IEC 27001 zertifiziert. Wir haben uns unter anderem für diesen Schritt entschieden, um die bei pretix bereits gelebte Informationssicherheit zu formalisieren und dies unseren Kund*innen gegenüber transparent darzustellen.

Für Sie hat das den Vorteil, dass Sie pretix in Ihr Dienstleistermanagement unkompliziert aufnehmen können, da Sie auf die ISO27001-Zertifizierung vertrauen können. Um die Gültigkeit zu überprüfen, rufen Sie auf unserer Website das aktuelle Zertifikat ab.

Wenn Sie den Geltungsbereich des Zertifikats bewerten möchten, ist das bei pretix leicht möglich: Die gesamte Wertschöpfungskette von der Entwicklung über den Betrieb bis hin zur Vermietung und zum Verkauf passender Hardware ist inbegriffen. Wer den QR-Code auf dem Zertifikat scannt und die dort hinterlegte Website der Zertifizierungsstelle TÜV Austria GmbH aufruft, bekommt dort die Gültigkeit und den Gültigkeitszeitraum des Zertifikats bestätigt.

Sämtliche Informationen, Prozessbeschreibungen, Richtlinien, Risikobewertungen und vieles mehr werden zu einem sogenannten Informationssicherheitsmanagementsystem (abgekürzt ISMS) zusammengefasst. Dieses vollständige System wird durch die Zertifizierung bewertet und bestätigt. Ein solches ISO27001-Zertifikat ist für drei Jahre gültig. Nach erfolgreicher Zertifizierung können wir in diesem Zeitraum jedoch nicht die Füße hochlegen. Denn ein komplexes System wie ein ISMS darf nicht als statisches System verstanden werden. Es unterliegt einem ständigen Zyklus aus Überprüfung sowie Verbesserung (einem PDCA-Zyklus) und muss im Alltag dokumentiert gelebt werden. Zu diesem Zyklus gehört ein internes Audit sowie ein Überwachungsaudit durch unabhängige Auditor*innen pro Jahr, die nicht am Betrieb und Aufbau des ISMS beteiligt sind.

Re-Zertifizierung 2026

Bevor ein Zertifikat abläuft, steht vor der Dreijahresfrist eine vollständige Re-Zertifizierung auf dem Plan. Dazu prüfen externe, unabhängige Auditor*innen in einem mehrtägigen Audit nicht nur die Erfüllung der Norm-Anforderungen. Sie bewerten auch, ob das bereits erwähnte, selbst aufgestellte Informationssicherheitsmanagementsystem auch im laufenden Betrieb tatsächlich so umgesetzt wurde. Dazu zählt die Steuerung von Risiken und die Prüfung, ob die Kontrollen und Maßnahmen über die Jahre wirklich funktioniert haben. Es wird auch betrachtet, ob es nachweislich regelmäßige Korrektur- und Verbesserungsprozesse gab, um das ISMS an sich verändernde Bedrohungen und Umstände anzupassen.

Wir haben dieses Re-Zertifizierungs-Audit erfolgreich im März 2026 abgeschlossen und freuen uns, dass der kontinuierliche, normgerechte Betrieb unseres ISMS festgestellt wurde. Wir haben das ISO27001-Zertifikat erneut für drei Jahre erhalten.

3 Learnings aus unserer ISMS-Praxis

Da wir unser ISMS nun schon seit einigen Jahren betreiben, lernen wir ständig dazu, erweitern und verändern unsere Prozesse. Falls Sie aktuell auch ein ISMS betreiben oder demnächst aufbauen möchten, interessiert Sie vielleicht eine Auswahl unserer Learnings:

  • Einführung eines Single-Point-Of-Truth: Wir nutzen seit Anfang an ein Wiki, um den Großteil der Dokumente zu verwalten und sind darüber sehr glücklich. Die Dokumente haben einen Single-Point-Of-Truth, es gibt keine Unsicherheiten, ob sie aktuell sind, und sie sind versioniert. Die Verantwortlichen können kollaborativ an den Unterlagen arbeiten. Wir nutzen ein differenziertes Rechtemanagement für Lese- und Schreibrechte. Dadurch gibt es für alle Kolleg*innen einen zentralen Ort, an dem sie lesenden Zugriff auf die nötigen Informationen haben.
  • Weniger ist mehr bei den KPIs: Die ISO-Norm verlangt messbare Informationssicherheitsziele. Diese müssen passend für die jeweilige Organisation sein und können selbst gewählt werden. Wir sind mit zu vielen Leistungskennzahlen (sogenannten KPIs) zur ständigen Messung gestartet. Wenn sich eine Kennzahl im Laufe der Zeit gar nicht oder nur wenig ändert, sollte die Aussagekraft eines solchen Indikators genau geprüft werden. Aus heutiger Perspektive würden wir eher mit wenigen KPIs starten und die Anzahl im Laufe der Zeit und bei Bedarf erweitern.
  • Excel stößt schnell an Grenzen: Fast jede Organisation, die ein ISMS aufbaut, nutzt Excel-Tabellen. Das haben wir anfangs auch getan. Diese sind aber sehr unhandlich, wenn es um einen störungsfreien Betrieb geht. Außerdem läuft man Gefahr, die Übersicht zu verlieren, welche Version aktuell und wo diese zu finden ist. Die erste Zeit haben wir u.a. unsere Assets und das Risikomanagement auch mit Excel-Tabellen abgewickelt, aber wir waren damit so unglücklich, dass wir mit PRISMA (pretix Information Security Management Automation) ein maßgeschneidertes Tool entwickelt haben. Damit steuern wir unsere Dienstleister, Assets, KPIs und das Risiko-Management an einem zentralen Ort.

Screenshot

Wir sind für den laufenden Betrieb unseres ISMS gut aufgestellt, leben unsere Sicherheitsprozesse und schauen den nächsten Audits und der nächsten Re-Zertifizierung zuversichtlich entgegen.

Wenn Sie noch Fragen zu unserer ISO27001-Zertifizierung haben oder Einblick in die Anwendbarkeitserklärung benötigen, melden Sie sich gerne bei unserem Support.

Jochen Siebert

Jochen ist bei pretix für die Kundenberatung und als ISB für unser Informationssicherheitsmanagement zuständig. Seine Kernkompetenz ist die Kommunikation auf Augenhöhe und sämtliche Anforderungen der Kund*innen mit der entsprechenden Lösung in pretix zu verbinden. In seiner Freizeit wandert er gerne auf hohe Berge, fährt Fahrrad, liest und besucht Ausstellungen.

Mehr Blog-Posts lesen

Noch Fragen?
support@pretix.eu
+49 6221 32177-50 Mo-Fr 09:00-17:00 Uhr