Im vergangenen Jahr schickte uns einer unserer Kunden einen 44-seitigen Fragebogen seiner Sicherheitsabteilung. Unter den Fragen befand sich diese: "Verfuegt der Softwareanbieter ueber eine ISO 27001-Zertifizierung oder eine gleichwertige?" Lautete die Antwort Nein, brauchte man nicht weiterzulesen.
Heute lautet die Antwort Ja. Am 21. April 2026 erhielt Odoo SA die Zertifizierung nach ISO/IEC 27001:2022. Das ist die aktuelle Fassung des Standards, die die vielen noch im Kopf gebliebene Version von 2013 abloest; der Unterschied ist nicht kosmetisch, und ernsthafte Auditoren pruefen zunehmend, welche Jahreszahl auf dem Zertifikat steht. Die Pruefung wurde von SGS durchgefuehrt, einer der groessten Zertifizierungsstellen der Welt, deren Stempel selten zu Rueckfragen einlaedt.
Eine wichtige Klarstellung, die in Wiedergaben gerne verlorengeht: Das Audit umfasste Odoo SA als Ganzes, nicht nur die Hosting-Plattform. Die Pruefer hoben besonders die Reife folgender Bereiche hervor: Backup-Management, logische Zugriffskontrolle, Secure Development Lifecycle, eine durchgaengige Sicherheitskultur unter den Mitarbeitenden und die persoenliche Verpflichtung der Geschaeftsleitung. Fuer einen Compliance-Verantwortlichen ist dieses Signal entscheidend: Sicherheit ist in der DNA der Organisation verankert, nicht in einem einzelnen Team oder Produkt isoliert.
Auf den ersten Blick ist das nur ein weiteres Kuerzel in einer Pressemitteilung. In der Praxis ist es die eine Zeile, ohne die Enterprise-Deals in Banken, Versicherungen, Bildungsholdings oder ueberall dort, wo eine Sicherheitsabteilung ein Vetorecht hat, nicht abgeschlossen werden.
Was ISO 27001 wirklich ist
Der Standard wird oft abstrakt beschrieben: "Management der Informationssicherheit". Auf Seite fuenfzehn ertrinkt der Leser. Streicht man den Nebel, bleibt etwas Einfaches: ISO 27001 betrifft nicht die Technologie, sondern den Prozess. Das Zertifikat bestaetigt, dass ein Anbieter nicht nur "beschlossen hat, Daten richtig zu schuetzen", sondern ein System aufgebaut hat, das dies wiederholbar tut: mit Richtlinien, Messungen und regelmaessigen externen Audits. Technische Massnahmen (Verschluesselung, Zugriffsverwaltung, Protokolle) sind ebenfalls Teil der Zertifizierung, aber sie sind sekundaer. Primaer ist die Behandlung von Sicherheit als ein technisch ausgereifter Prozess, der nicht zusammenbricht, wenn eine Schluesselperson das Unternehmen verlaesst.
Es lohnt sich, ISO 27001 von zwei verwandten Begriffen abzugrenzen, die im Gespraech haeufig vermischt werden:
- SOC 2 ist ein US-orientierter Standard fuer Dienstleister. Odoo.sh verfuegt bereits ueber diese Zertifizierung, und sie betrifft speziell die Hosting-Ebene.
- DSGVO-Compliance ist rechtliche Konformitaet, kein Prozessaudit.
ISO 27001 ist international. Anerkannt in der EU, Grossbritannien, den VAE, Japan und den meisten anderen Rechtsraeumen, in denen unsere Kunden taetig sind.
Was ein Rteam-Kunde praktisch davon hat
Wenn wir ein Unternehmen bei der Auswahl eines ERP unterstuetzen, durchlaeuft das Sicherheitsgespraech fast immer drei Stufen. ISO 27001 beim Anbieter schliesst die erste davon ein fuer alle Mal ab.
1. Vendor-Due-Diligence. Die Sicherheitsabteilung eines grossen Kaeufers muss nachweisen, dass die Prozesse des Anbieters ausgereift sind. Ohne Zertifikat bedeutet das Dutzende Seiten Fragebogen, Hin und Her mit dem CTO, manchmal ein Vor-Ort-Audit. Mit Zertifikat genuegt ein Link darauf und das beigefuegte Statement of Applicability. Deals, die frueher ein halbes Jahr im "Compliance-Fegefeuer" verbrachten, bewegen sich jetzt im Geschaefts-Tempo.
2. Ausschreibungen mit harter Anforderung. Oeffentliche Beschaffung, Ausschreibungen im Bankensektor und im Bildungsbereich nennen ISO 27001 zunehmend als zwingende Anforderung fuer Teilnehmer oder deren wichtige Unterauftragnehmer. Frueher ging Rteam in solche Ausschreibungen mit dem Vorbehalt: "Odoo SA ist nicht zertifiziert, aber hier ist unsere interne Richtlinie, aufgebaut auf den Prinzipien des Standards." Dieser Vorbehalt entfaellt jetzt.
3. Niedrigere Versicherungspraemien. Cyber-Versicherungen, deren Preise sich in den letzten zwei Jahren vervielfacht haben, werten einen zertifizierten ERP-Anbieter als mildernden Faktor. In der Praxis sehen wir Rabatte im Bereich von 10 bis 25 Prozent bei Policen von Kunden, die auf Enterprise laufen. Die genaue Zahl haengt vom Versicherer ab und davon, was Sie selbst auf Ihrer Seite tun.
Was die Zertifizierung NICHT bietet
Hier ist Ehrlichkeit wichtiger als Marketing. Ein Missverstaendnis an dieser Stelle erzeugt eine Sicherheitsillusion, die teurer ist als gar keine Sicherheit.
ISO 27001 bei Odoo SA bestaetigt die Reife des Anbieters. Sie bestaetigt nicht die Sicherheit Ihrer konkreten Installation. Wenn jemand aus Ihrem Team ein Custom-Modul aus einem ungeprueften Repository installiert hat, wenn Zugriffsrechte nach dem Motto "alle bekommen Administrator, sicherheitshalber" verteilt wurden, wenn Backups auf demselben Server wie die Produktion liegen, korrigiert kein Anbieterzertifikat dieses Bild.
Die Sicherheit einer Enterprise-Installation lebt in zwei Schichten. Die erste Schicht ist der Anbieter, jetzt durch ein SGS-Zertifikat bestaetigt. Die zweite Schicht ist Ihre Installation und Ihre operativen Praktiken. Diese Schicht liegt in der Verantwortung des Integrationspartners und Ihrer IT, und der Standard deckt sie per Definition nicht ab.
Wie wir die zweite Schicht aufbauen
Bei Rteam behandeln wir ISO 27001 bei Odoo als Fundament, auf dem wir all das auf bauen, was der Standard nicht beschreibt, aber fuer ein bestimmtes Unternehmen entscheidend ist. Unser Basis-Enterprise-Paket umfasst aus Sicherheitssicht:
- Getrennte Umgebungen (Dev, Staging, Production) ohne uebergreifende Zugriffe
- Protokollierung der Benutzeraktionen mit Aufbewahrungsfristen gemaess dem Recht des Kunden
- Quartalsweises Audit der Zugriffsrechte mit Bericht fuer die Sicherheitsabteilung
- Verschluesselte Backups mit regelmaessigen Wiederherstellungsuebungen: nicht "Backups existieren", sondern "Backups werden in einer Stunde wiederhergestellt"
- Incident-Checklisten und Kontaktprozeduren griffbereit fuer den diensthabenden Mitarbeiter
- Pruefung von Drittanbieter-Modulen vor der Installation in Produktion
Jede Position dieser Liste ist keine Marketingphrase. Es ist eine Prozedur, die wir vor der Uebergabe durchlaufen und ohne die wir die Projektabnahme nicht unterzeichnen.
Was jetzt zu tun ist
Wenn Sie bereits auf Odoo arbeiten, lohnen sich drei Schritte:
1. Fordern Sie bei Odoo SA eine Kopie des Zertifikats und des Statement of Applicability an und legen Sie diese Ihrem Compliance-Paket bei. 2. Geben Sie die Dokumente Ihrer Sicherheitsabteilung und Ihren Auditoren. Auf deren langer Checkliste schliesst dies einen der schwergewichtigeren Punkte. 3. Nutzen Sie die Zertifizierung als Anlass, Ihre eigene zweite Schicht zu pruefen. Wenn das letzte Audit der Zugriffsrechte ein Jahr zurueckliegt, ist jetzt ein guter Moment.
Wenn Sie noch ein ERP auswaehlen, hat sich das Bild leise, aber wesentlich verschoben. Die Zertifizierung von Odoo stellt es jetzt mit SAP und Microsoft Dynamics genau in dem Gespraech auf eine Stufe, in dem Open Source frueher als riskante Wette galt. Das Argument "wir setzen alles auf einer kommerziellen Plattform mit ISO ein" zaehlt nicht mehr.
Kurz gesagt
Sicherheit gewinnt selten Deals. Ihre Abwesenheit verliert sie. Die Zertifizierung von Odoo nach ISO/IEC 27001:2022 macht die Plattform nicht unverwundbar; sie verschiebt sie lediglich aus der Spalte "erklaeren, warum sie sicher ist" in die Spalte "Zertifikat vorzeigen". Fuer Kunden, deren Sicherheitsabteilung ein Vetorecht hat, ist das der Unterschied zwischen einer sechsmonatigen Genehmigung und einem abgeschlossenen Deal.
Wenn Sie Odoo Enterprise evaluieren oder pruefen moechten, wie gut Ihr aktuelles Projekt dem entspricht, was Ihr Compliance-Verantwortlicher erwartet, schreiben Sie uns. Wir zeigen, wo das Anbieterzertifikat Fragen bereits schliesst und wo auf Ihrer Seite noch Arbeit ansteht.
Quelle: offizieller Odoo-Blog, "Odoo has officially achieved ISO/IEC 27001:2022 certification", 21. April 2026.