Zum Inhalt springen
Binsfeld
IT-Sicherheitsaudits

Wo stehen Sie wirklich? Und was ist als nächstes dran?

Sicherheitsaudits, die nicht in einer 80-Seiten-PDF enden, sondern in einer priorisierten Maßnahmenliste mit konkretem Aufwand. Realistisch, umsetzbar, ohne Panikmache — und ohne dass Sie nachher 14 Tools von 9 Anbietern kaufen müssen.

Ablauf

Vier Phasen, klar getrennt.

Phase 01

Bestandsaufnahme

Inventarisierung von Systemen, Diensten, Identitäten, Netzwerksegmenten, Datenflüssen und externen Anbindungen. Wo Dokumentation fehlt oder veraltet ist, entsteht oder aktualisiert sie hier.

Phase 02

Schwachstellen-Analyse

Identifikation kritischer Lücken — von veralteten Systemen über fehlende MFA, ungehärtete Cloud-Konfigurationen bis zu offen exponierten Diensten. Inklusive Quick-Check entlang DIN SPEC 27076.

Phase 03

Bewertung & Priorisierung

Risikobewertung nach Eintrittswahrscheinlichkeit und Geschäfts-Impact. Klare Empfehlung, was zuerst, was später, was bewusst akzeptiert werden kann — verständlich auch für die Geschäftsführung.

Phase 04

Maßnahmenplan & Umsetzung

Konkreter, umsetzbarer Plan mit Zeit- und Budgetschätzung. Auf Wunsch begleite ich auch die Umsetzung — oder übergebe sauber dokumentiert an Ihr internes Team oder an einen vertrauten Dienstleister.

Audit-Formate

Vier Formate — passend zu Ihrer Reife und Ihrem Druck.

Nicht jedes Unternehmen braucht ein Vollaudit. Ein 25-Personen-Mittelständler mit drei Servern fährt mit dem CyberRisikoCheck besser als mit einer 200-Punkte-Checkliste. Ein 200-Personen-Betrieb mit eigener Cloud-Infrastruktur braucht etwas anderes. Was bei Ihnen passt, klären wir im Erstgespräch.

CyberRisikoCheck nach DIN SPEC 27076

Standardisierter BSI-Quickcheck für KMU. Idealer Einstieg, wenn noch nichts strukturiert dokumentiert ist — Ergebnis ist ein offizielles Risikoprofil mit Sofortmaßnahmen, häufig BAFA-förderfähig.

NIS2-Vorbereitung

Strukturierte Standortbestimmung entlang der NIS2-Anforderungen: Risikomanagement, Meldepflichten, Lieferkette, Incident-Response. Inklusive Klärung, ob Sie überhaupt betroffen sind (50 MA / 10 Mio € Schwelle).

E-Mail-Security-Audit

Tiefen-Audit Ihrer Mail-Security-Infrastruktur: Gateway-Konfiguration (Cisco ESA, Microsoft Defender, Proofpoint), SPF/DKIM/DMARC-Zustand, Phishing-Resistenz, BEC-Risiko, Forwarding-Edge-Cases.

Vollaudit nach BSI-Grundschutz-Logik

Wenn ein Quickcheck nicht reicht — strukturiertes Audit angelehnt an BSI-IT-Grundschutz. Modular durchführbar, fokussiert auf Ihre tatsächlich kritischen Geschäftsprozesse statt auf 1.500 Pseudo-Maßnahmen.

NIS2 — bin ich betroffen?

Die Schwelle ist niedriger, als viele denken.

NIS2 ist seit Ende 2025 in Deutschland in Kraft — ohne Übergangsfrist. Betroffen ist Ihr Unternehmen, sobald eine dieser Schwellen erreicht ist:

  • 50 oder mehr Mitarbeitende
  • Jahresumsatz oder Bilanzsumme über 10 Mio €
  • Tätigkeit in einem der NIS2-Sektoren (z.B. Energie, Gesundheit, IT-Dienstleister, Finanzwesen, Lieferanten kritischer Branchen)

Auch als Lieferant oder Dienstleister eines NIS2-pflichtigen Unternehmens kommen Anforderungen indirekt auf Sie zu. Die NIS2-Standortbestimmung klärt, was tatsächlich relevant ist — und was nicht.

Was im NIS2-Audit konkret geprüft wird

  • Risikomanagement-Prozesse: existieren sie, werden sie gelebt?
  • Incident-Response: Erkennung, Meldung an BSI binnen 24h, Eskalation
  • Lieferketten-Risiko: welche Drittparteien haben Zugriff worauf?
  • Zugriffskontrolle, MFA, Privileged Access
  • Verschlüsselung in Ruhe und in Transit
  • Backup-, Recovery- und Notfallpläne — getestet, nicht nur dokumentiert
  • Awareness-Schulungen: Pflicht, nachweisbar
  • Geschäftsleitungs-Verantwortung: persönliche Haftung
Schwerpunkte

Worauf ich besonders achte.

Audits enden oft generisch. Diese Punkte werden in 80 % der Fälle übersehen oder zu oberflächlich behandelt — bei mir nicht. Mein Hintergrund in Banking-IT bringt einen Bias zu E-Mail-Security, Logging-Tiefe und Notfall-Wiederanlauf mit, den ich offenlege statt zu verstecken.

E-Mail-Authentifizierung (SPF, DKIM, DMARC) bis zu p=reject
Zugriffsrechte & Privileged-Access-Management
Backup- und Recovery-Tests (nicht nur Backup-Existenz)
Patch-Management & End-of-Life-Systeme
Logging und SIEM-Anbindung
Phishing-Resistenz & Awareness-Reife
Cloud-Konfigurationen (Microsoft 365, Azure, AWS)
NIS2-Compliance-Lücken
Lieferanten- und Drittparteien-Risiken
Notfall- und Wiederanlauf-Pläne
Häufige Fragen zum IT-Sicherheitsaudit

Was Sie sonst noch wissen wollen.

Die Fragen, die in Erstgesprächen am häufigsten kommen — von Audit-Kosten über NIS2-Betroffenheit bis zu staatlicher Förderung.

Was kostet ein IT-Sicherheitsaudit für KMU?
Das hängt vom Format ab. Ein CyberRisikoCheck nach DIN SPEC 27076 liegt typischerweise bei 1–2 Tagessätzen für ein KMU bis ca. 50 Mitarbeitende — und ist in vielen Fällen über das BAFA-Förderprogramm „Modul Cybersicherheit" gefördert. Eine NIS2-Standortbestimmung oder ein modulares BSI-Grundschutz-Audit bewegt sich je nach Tiefe und Umgebungsgröße zwischen 3 und 15 Tagessätzen. Im Erstgespräch klären wir kostenlos, welches Format passt — und ob für Sie eine Förderung in Frage kommt.
Was ist NIS2 und betrifft mich das?
NIS2 ist die EU-Richtlinie zur Cyber-Sicherheit, die seit Ende 2025 in Deutschland nationales Recht ist. Betroffen sind Unternehmen ab 50 Mitarbeitenden oder 10 Mio € Jahresumsatz/Bilanzsumme, sofern sie in einem der 18 NIS2-Sektoren tätig sind (u.a. Energie, Gesundheit, IT-Dienstleister, Finanzwesen, Transport, Wasser, Lebensmittel, kritische Lieferanten). Auch indirekt — als Lieferant oder Dienstleister eines NIS2-pflichtigen Unternehmens — können Anforderungen über Verträge auf Sie zukommen. Die NIS2-Standortbestimmung klärt in 1–2 Tagen, was tatsächlich relevant ist.
Wie lange dauert ein IT-Sicherheitsaudit?
Ein CyberRisikoCheck ist typischerweise in 1–2 Tagen vor Ort plus 1 Tag Auswertung abgeschlossen. Eine NIS2-Standortbestimmung für ein 50–200-Mitarbeitenden-KMU dauert 3–5 Tage. Ein vollständiges Grundschutz-orientiertes Audit mit allen kritischen Geschäftsprozessen kann je nach Tiefe 2–6 Wochen umfassen. Wir starten immer mit einem Scoping-Gespräch — auf dieser Basis benenne ich vor Auftragsannahme realistische Aufwände, nicht nachträglich Eskalationen.
Was ist der Unterschied zu einer ISO-27001-Zertifizierung?
ISO 27001 ist eine formale, durch externe Zertifizierungsstellen ausgestellte Zertifizierung Ihres Information Security Management Systems (ISMS). Ein IT-Sicherheitsaudit bei mir ist eine inhaltliche Überprüfung Ihres tatsächlichen Sicherheitszustands ohne Zertifikats-Anspruch. Mein Audit kann Sie auf eine spätere ISO-27001-Zertifizierung vorbereiten oder ihre Zwischenstände begleiten — es ersetzt sie aber nicht. Für die Zertifizierung selbst benötigen Sie eine akkreditierte Stelle wie TÜV, DEKRA oder DQS.
Welche Unterlagen brauchen Sie für das Audit?
So wenig wie möglich, so viel wie nötig. Hilfreich sind: aktuelle Netzwerk- und Systemdokumentation (auch unvollständig), eine Liste der Hauptanwendungen (Bürosoftware, Branchensoftware, Cloud-Dienste), Zugriffskontroll-Konzepte (Active Directory, IAM), bestehende Sicherheitsrichtlinien oder Notfallpläne. Wenn nichts Strukturiertes existiert, sagen Sie das offen — das ist der häufigste Ausgangspunkt und kein Problem. Im Audit dokumentieren wir den Ist-Stand neu auf, statt bestehende Lücken anzuprangern.
Wird der CyberRisikoCheck staatlich gefördert?
Ja — der CyberRisikoCheck nach DIN SPEC 27076 ist im Förderprogramm „BAFA Förderung von Beratungsleistungen für KMU" sowie im BMWK-Programm „go-digital" gelistet und damit häufig zu 50–80 % förderfähig. Voraussetzung: KMU-Status nach EU-Definition und ein registrierter Berater. Ich helfe Ihnen, das passende Programm zu finden und die Antragstellung mit zu unterstützen — die Förder-Recherche ist Teil des Erstgesprächs.
Begleiten Sie auch die Umsetzung der Maßnahmen?
Ja — wenn es zu meinem Schwerpunkt passt. E-Mail-Security, DMARC-Härtung, Mail-Gateway-Optimierung, Cisco-ESA-Themen setze ich selbst um. Microsoft-365-Härtung, Endpoint-Protection-Rollouts, Backup-Konzepte begleite ich beratend, die operative Umsetzung machen meist Sie oder Ihr Systemhaus. Spezialthemen wie ISO-27001-Zertifizierung, Pentests, OT-Security oder physische Sicherheit vermittle ich an spezialisierte Kollegen — ehrlicher als so zu tun, als könnte ich alles.
Vertiefend

Vertiefend zu NIS2 & IT-Sicherheit

Standort & Verfügbarkeit

Audits vor Ort im Rheinland.

IT-Sicherheitsaudits funktionieren am besten vor Ort — Begehung der Server-Räume, Gespräche mit IT-Operations, Blick auf reale Netzwerk-Topologie. Kein Audit ist mit Webex-Screenshare so gut wie mit Vor-Ort-Termin. Anfragen bekomme ich vor allem aus Leverkusen und Umgebung — Köln, Düsseldorf, Bonn, Bergisch Gladbach, Solingen, Langenfeld, Leichlingen, Monheim am Rhein. Anfahrt unter 30 Minuten, keine Anfahrtspauschale. NIS2-Standortbestimmungen und reine DIN-SPEC-27076-CyberRisikoChecks gehen auch bundesweit, dann allerdings mit Reise-Tagessatz.

Audit anfragen

Sagen Sie mir grob, wie Ihre Umgebung aussieht (Anzahl Mitarbeitende, Hauptsysteme, ggf. NIS2-Betroffenheit) — ich melde mich mit einem konkreten Vorschlag, welches Audit-Format passt und was es kostet.

Anfrage stellen