Zeiterfassung ohne Risiko: Wie TimeTac mit ISO 27001 Ihre Daten schützt

von Gabriele Kaier, 18.11.2025

TimeTac hat kürzlich die ISO 27001-Zertifizierung erfolgreich erlangt. In einem Interview mit Petra Schneider, die die Einführung und Umsetzung des Informationssicherheits-Managementsystems als externe Expertin begleitet hat, zeigen wir Ihnen was die Zertifizierung bedeutet, welcher Aufwand dahinter steckt und welchen konkreten Nutzen die Kundinnen und Kunden daraus ziehen.

Sichere Zeiterfassung für Ihr Unternehmen mit ISO 27001

Die Informationssicherheit spielt heute eine zentrale Rolle – gerade dort, wo sensible Daten verarbeitet werden. Aus diesem Grund hat TimeTac in den letzten Monaten intensiv auf die ISO 27001-Zertifizierung hingearbeitet – jetzt ist sie offiziell erreicht. Doch was steckt hinter dieser Norm, welcher Aufwand ist damit verbunden – und welchen konkreten Nutzen haben unsere Kundinnen und Kunden davon? Darüber sprechen wir mit Petra Schneider, Information Security Managerin, Quality Managerin, Umweltbeauftragte, interne Auditorin für Informationssicherheit und Qualitätsmanagement, die TimeTac bei der Einführung und Umsetzung des Informationssicherheits-Managementsystems begleitet hat.

Was ist die ISO 27001-Zertifizierung?

Petra Schneider:

ISO 27001 ist ein international anerkannter Standard für Informationssicherheits-Managementsysteme (ISMS). Ein nach ISO 27001-zertifiziertes Unternehmen hat ein strukturiertes und geprüftes System eingeführt, um Risiken rund um Informationssicherheit zu erkennen, zu bewerten und zu behandeln – durch klare Prozesse, geregelte Zugriffsrechte und definierte Abläufe im Ernstfall. Kurz gesagt: Die Zertifizierung zeigt, dass ein Unternehmen verantwortungsvoll mit Informationen umgeht und sich an definierte Sicherheitsstandards hält.

Warum ist diese Zertifizierung wichtig?

Petra Schneider:

Die Bedrohungslage ändert sich ständig – Cyberangriffe werden komplexer, Sicherheitslücken treten an unerwarteten Stellen auf. Die ISO 27001 sorgt dafür, dass Unternehmen diese Risiken systematisch managen. Dabei geht es nicht nur um die technische Infrastruktur, sondern auch um Prozesse und Menschen. Alle drei Bereiche – Technik, Abläufe und Mitarbeitende – werden betrachtet. Das Ergebnis: Risiken werden frühzeitig erkannt, geeignete Maßnahmen eingeleitet und der Schutz sensibler Daten dauerhaft verbessert.

Welchen konkreten Vorteil hat eine ISO-zertifizierte Zeiterfassung für die Kundinnen/Kunden von TimeTac?

Petra Schneider:

Für die Kundinnen/Kunden von TimeTac bedeutet die Zertifizierung in erster Linie Vertrauen und Sicherheit. Konkret heißt das:

• Schutz von Informationen: Klare Prozesse schützen personenbezogene und geschäftskritische Daten vor unbefugtem Zugriff, Verlust oder Missbrauch.
• Systematisches Risikomanagement: Risiken werden laufend identifiziert, bewertet und behandelt.
• Gesetzeskonformität: Ein ISMS unterstützt die Einhaltung von Gesetzen wie beispielsweise der DSGVO.
• Fortlaufende Verbesserung: Regelmäßige Audits sorgen dafür, dass das Managementsystem und Sicherheitsmaßnahmen überprüft und weiterentwickelt werden.
• Zuverlässigkeit: Kundinnen/Kunden können sich auf die Verfügbarkeit der Systeme und Daten verlassen.

So zeigt ein zertifiziertes Unternehmen wie TimeTac, dass Informationssicherheit nicht nur versprochen, sondern aktiv gelebt wird.

Wie läuft eine Zertifizierung typischerweise ab?

Petra Schneider:

Die Zertifizierung wird von einer akkreditierten Zertifizierungsstelle durchgeführt und ist drei Jahre gültig. Während dieser Zeit finden jährliche Überwachungsaudits statt. Nach Ablauf der drei Jahre kann durch ein Rezertifizierungsaudit erneut ein Zertifikat erlangt werden. Der Aufwand hängt stark von der Größe und Komplexität des Unternehmens ab. Der anfängliche Implementierungsaufwand ist meist höher als das anschließende Betreiben des Managementsystems. Voraussetzung dafür ist die Integration des ISMS in den bereits bestehenden Prozessen.

Was ändert sich für Kundinnen/Kunden, wenn der Anbieter zertifiziert ist?

Petra Schneider:

Die Kundinnen/Kunden erhalten mehr Transparenz und Nachvollziehbarkeit. Dazu gehören standardisierte Nachweise wie Zertifikate oder Auditberichte, definierte Ansprechpartner/innen und Reaktionszeiten im Falle von Sicherheitsvorfällen. Wichtig ist auch: Während der Anbieter für die Sicherheit der Plattform oder des Dienstes verantwortlich ist, liegt es bei den Kundinnen/Kunden, z. B. ein gutes Berechtigungsmanagement umzusetzen oder starke Passwörter zu verwenden. So entsteht ein gemeinsames Sicherheitsverständnis.

Was passiert hinter den Kulissen auf dem Weg zur Zertifizierung?

Petra Schneider:

Die Vorbereitung ist intensiv. Zunächst wird ein Projektteam gebildet, häufig unterstützt durch externe Expertinnen/Experten. In einer sogenannten Gap-Analyse werden bestehende Prozesse mit den Anforderungen der Norm abgeglichen. Auf Basis der Ergebnisse werden Sicherheitsrichtlinien, Prozesse und Risikobewertungen erstellt. Mitarbeitende werden geschult, um die neuen Abläufe im Alltag umzusetzen. Sicherheitsmaßnahmen wie Zugriffskontrollen oder Verschlüsselung werden implementiert und überprüft.

Dazwischen finden regelmäßige Abstimmungen statt. Bei TimeTac gab es Meetings im Zweiwochenrhythmus und in heißen Phasen wie vor Mitarbeiter-Trainings aller TimeTac-Mitarbeiter/innen, vor internen Audits oder dem 2-stufigen externen Audit sogar wöchentliche Meetings mit dem ISMS-Kernteam rund um Christian Nösterer, der für den gesamten Bereich der Informationssicherheit im Unternehmen verantwortlich ist.

Was hier besonders hervorgestochen ist für mich: das Engagement jedes Einzelnen, die Bereitschaft und die Motivation, etwas zu verändern bzw. zu verbessern. Bei TimeTac ist bereits davor ein sehr hohes Sicherheitsbewusstsein positiv aufgefallen. Selbst der CEO Christoph Lückl hat an jedem einzelnen Meeting aktiv teilgenommen. Das kommt bei anderen Unternehmen nur sehr selten vor und zeigt, wie ernst dieses Thema von der Geschäftsführung genommen wird und wie sie mit Vorbildwirkung vorangeht.

Am Ende steht das Zertifizierungsaudit: Eine unabhängige Stelle prüft Dokumentation, Prozesse und deren Umsetzung. Auch nach erfolgreicher Zertifizierung bleibt die Arbeit nicht stehen – es gilt, sich fortlaufend zu verbessern, um das Sicherheitsniveau weiterhin hochzuhalten.

Welchen Aufwand und wie viel Zeit steckt ein Unternehmen in diesen Prozess?

Petra Schneider:

Je nach Größe und Struktur kann der gesamte Prozess zwischen 6 Monaten und 1,5 Jahren dauern. Die Kosten variieren ebenfalls stark, liegen aber für mittelgroße Unternehmen häufig zwischen 30.000 und 100.000 Euro – abhängig von Anzahl der Mitarbeitenden, externer Beratung, Schulungen und Investitionen in die physische Sicherheit und Softwaretools.

Und was sagen Sie Unternehmen, die meinen: „Das klingt alles nach Bürokratie – was bringt mir das?“

Petra Schneider:

Die Frage ist berechtigt – aber hinter der Zertifizierung steckt weit mehr als Bürokratie. Wer sein ISMS im Daily Business integriert, so wie es TimeTac gemacht hat, genießt viele Vorteile:

• Mehr Sicherheit: Ihre Daten sind besser geschützt vor Missbrauch oder Verlust.
• Mehr Transparenz: Prozesse sind abgestimmt, dokumentiert und nachvollziehbar.
• Klare Abläufe im Ernstfall: Es gibt definierte Zuständigkeiten und Notfallpläne.
• Langfristige Verlässlichkeit: Sicherheitsmaßnahmen entwickeln sich kontinuierlich weiter. Die TimeTac-Software ist für ihre Kunden stets verfügbar.

TimeTac ist ein Paradebeispiel dafür, dass das ISMS an das Daily Business angepasst wurde und nicht parallel ein Managementsystem betrieben wird. Zweiteres endet nämlich definitiv in Bürokratie und Unwillen unter den Mitarbeitenden. Informationssicherheit ist viiiiiieeel weitläufiger, als die meisten denken.

Meiner Meinung nach der größte Gewinn für TimeTac: Kernprozesse wurden identifiziert und Flowcharts erstellt – mit Input, Output und RASCI-Verantwortlichkeitsmatrix pro Prozessschritt und einer anschließenden Risikoanalyse dazu. Das kostet Zeit, mehrere Durchgänge sind nötig, bis die erste finale Version steht. Das hilft allerdings nicht nur beim Onboarding neuer Mitarbeitender, sondern schafft klare Abläufe für bestehende Mitarbeitende.

Kleine Störquellen und Unklarheiten, für deren Auflösung man sich im Alltag keine Zeit nimmt und die mit Murmeln und Ärgernis hingenommen werden, werden aufgelöst. Ich bin ein Fan von sinnvollen Prozessen, das bedeutet, die Prozesse haben sich an das Unternehmen und die Mitarbeitenden anzupassen und nicht umgekehrt. Das nenne ich Happy ISMS-Working :).

Kurz gesagt: ISMS ist eine Investition in Sicherheit, Vertrauen und eine stabile Zusammenarbeit – und ein echter Mehrwert für alle Beteiligten.

Bedeutet ISO 27001 „absolute Sicherheit“?

Petra Schneider:

Nein – absolute Sicherheit gibt es nicht. Aber ISO 27001 bedeutet, man hat sich mit seinen Assets und Geschäftsprozessen intensiv beschäftigt. Risiken werden aktiv gemanagt, um das definierte Sicherheitsniveau selbst in Krisenlagen aufrechtzuerhalten. Angreifern wird es dadurch schwieriger gemacht und sollte ein Sicherheitsvorfall auftreten, sind die Mitarbeitenden geschult und wissen, wie darauf reagiert werden muss.

TimeTac ist ISO 27001-zertifiziert!

TimeTac ist seit dem 25.09.2025 nach ISO 27001-zertifiziert – und bietet Ihnen damit noch mehr Sicherheit, Transparenz und Effizienz. Für Sie bedeutet das: weniger Aufwand bei Lieferantenaudits, klar strukturierte Abläufe im Ernstfall und eine verlässliche Grundlage für Ihre eigene Compliance.

Informationssicherheit ist bei TimeTac nicht nur ein Versprechen, sondern gelebte Praxis: Sie wird aktiv umgesetzt, regelmäßig überprüft und kontinuierlich verbessert. So können Sie darauf vertrauen, dass Ihre Daten bei uns jederzeit bestens geschützt sind.