Cyber Security & ISO 27001-Beratung
Strategische und operative Informationssicherheit für deutsche Unternehmen: ISO 27001-Aufbau, BSI-Grundschutz, NIS2-Umsetzung, Security-Operations und Penetrationstests. Vom Gap-Assessment bis zur zertifizierungsreifen Dokumentation.
Vertrauenspartner führender Unternehmen
Unsere Cyber-Security-Leistungen
ISO 27001-Beratung und -Zertifizierung
Aufbau eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001:2022 — von der Erst-Analyse bis zur erfolgreichen Zertifizierung durch eine akkreditierte Stelle (TÜV, DEKRA, DQS). Inklusive aller 93 Anhang-A-Kontrollen.
BSI IT-Grundschutz-Umsetzung
BSI-Grundschutz-Profil, Bausteine-Auswahl, Modellierung und Umsetzung der elementaren und Standard-Anforderungen. Für KRITIS-Betreiber, öffentliche Stellen und Unternehmen mit BSI-regulierter Kundschaft.
NIS2-Umsetzung und KRITIS-Betreuung
Scoping, Gap-Analyse gegen Art. 21 NIS2 und BSIG, Registrierung beim BSI, Meldewege und Umsetzung der Mindestanforderungen — für wesentliche und wichtige Einrichtungen nach NIS-2-Umsetzungsgesetz.
Penetrationstests und Red-Teaming
Strukturierte Penetrationstests nach OWASP ASVS und BSI-Leitfaden — Web-Anwendungen, APIs, interne Netze, Cloud-Umgebungen. Inkl. Re-Test nach Behebung und prüfungsfähiger Nachweis.
Security Operations und SOC-Beratung
SIEM-Konzeption, Use-Case-Entwicklung, SOC-Aufbau oder -Auswahl (MSSP). Incident-Handling-Playbooks, Threat-Intelligence-Integration und Red-Team-Übungen.
Cloud-Security und DevSecOps
Sichere Cloud-Architektur nach CIS Benchmarks und BSI C5, IaC-Security (Terraform, Kubernetes), Pipeline-Security, Secrets-Management und Shift-Left-Security in der Software-Entwicklung.
Die Realität von Cyberangriffen in Deutschland
Jeder zweite deutsche Betrieb war in den letzten 12 Monaten von einem Cyberangriff betroffen (Bitkom 2024). Die Folgen gehen weit über direkte IT-Schäden hinaus.
Ø 4,88 Mio. € Schaden pro Datenpanne
IBM Cost of a Data Breach Report 2024 für Deutschland. Inkl. Incident-Response, forensischer Untersuchung, Rechtskosten, Benachrichtigungen, Bußgelder und entgangenem Geschäft.
Haftung der Geschäftsleitung
Nach § 38 NIS-2-UmsuCG und § 91 Abs. 2 AktG haftet die Geschäftsleitung persönlich für angemessene IT-Sicherheit. Direct & Officers-Versicherungen decken Vorsatz nicht ab.
Betriebsstillstand nach Ransomware
Durchschnittliche Wiederherstellungsdauer nach Ransomware: 23 Tage. Für produzierende Unternehmen oder Banken bedeutet das einen existenzbedrohenden Umsatzausfall.
Aufsichtsrechtliche Konsequenzen
BSI, BaFin und zuständige Datenschutzbehörden können Prüfungen anordnen, Maßnahmenpläne erzwingen und im Extremfall Geschäftstätigkeit einschränken — besonders bei KRITIS-Betreibern.
Die drei Säulen wirksamer Informationssicherheit
Effektive Cyber Security ist kein Tooling-Projekt, sondern ein strukturiertes Zusammenspiel aus Governance, technischen Kontrollen und gelebter Kultur. Wir liefern alle drei Säulen.
Governance und ISMS
- Informationssicherheits-Leitlinie mit Geschäftsleitungs-Freigabe
- ISMS nach ISO 27001:2022 oder BSI-Grundschutz
- Rollenmodell: CISO, ISB, Datenschutzbeauftragter, Notfallbeauftragter
- Risiko-Assessment und -Behandlungsplan (Risk Treatment Plan)
- Regelmäßige Management-Reviews und KPI-Berichterstattung
- Internes Audit-Programm und Vorbereitung externer Zertifizierungsaudits
Technische und organisatorische Kontrollen
- Multi-Faktor-Authentifizierung und Privileged-Access-Management (PAM)
- Netzwerksegmentierung, Zero-Trust-Architektur, Firewalls und VPN
- Endpoint-Protection (EDR/XDR), Patch-Management, Schwachstellen-Scans
- Kryptographie und Schlüssel-Management (nach BSI TR-02102)
- SIEM, SOC und Threat Intelligence
- Backup-Strategie (3-2-1-Regel) und Disaster-Recovery-Tests
Awareness, Training und Incident-Readiness
- Rollenbasierte Schulungen (Entwicklung, IT, HR, Vertrieb, Führungsebene)
- Phishing-Simulationen mit messbarer Klickraten-Entwicklung
- Tabletop-Übungen für Incident-Response-Teams
- Red-Team- / Blue-Team-Übungen
- Business Continuity und Krisenmanagement nach ISO 22301
- 24/7-Incident-Response-Prozesse und -Eskalationen
Unser Vorgehen zur ISO 27001 / BSI-Konformität
Phase 1: Scope und Gap-Analyse
Festlegung des Geltungsbereichs (ISMS-Scope), Dokumentensichtung, Interviews mit IT, Sicherheit, Datenschutz und Geschäftsleitung. Gap-Bericht gegen ISO 27001 Anhang A oder BSI-Grundschutz.
Phase 2: Risk Assessment und Richtlinien
Risikoanalyse nach ISO 27005 oder BSI 200-3, Erstellung der Pflicht-Richtlinien (Information Security Policy, Access Control, Incident Management u. a.) und der Statement of Applicability (SoA).
Phase 3: Technische Umsetzung und Nachweise
Umsetzung der Kontrollen mit Ihrem Team, Aufbau des Nachweis-Repositories, Internal Audit, Management-Review und Behebung identifizierter Findings.
Phase 4: Stage-1- und Stage-2-Audit
Begleitung durch das externe Zertifizierungsaudit (TÜV, DEKRA, DQS), Unterstützung bei Behebung etwaiger Minor-Findings, offizielle ISO 27001-Urkunde nach erfolgreichem Abschluss.
Häufige Fragen zur Cyber-Security-Beratung
ISO 27001 ist der internationale Quasi-Standard und bei mittelständischen und global tätigen Unternehmen die erste Wahl. BSI-Grundschutz ist besonders für öffentliche Stellen, KRITIS-Betreiber und Zulieferer des Bundes relevant. TISAX gilt für Automobilzulieferer. Für Cloud-Anbieter mit öffentlichen Kunden empfiehlt sich zusätzlich BSI C5. Wir empfehlen im Erstgespräch die passende Zertifizierung.
Bei gut aufgestelltem Unternehmen (IT-Organisation vorhanden, Grundprozesse dokumentiert): 6–9 Monate bis zur erfolgreichen Zertifizierung. Ohne bestehende Strukturen: 9–15 Monate. Der Engpass ist selten die Beratung, sondern die Umsetzung interner Maßnahmen. Wir liefern einen realistischen Zeitplan nach dem Scoping.
Beratungskosten: ca. 35.000–80.000 € für ein Unternehmen mit 100–500 Mitarbeitenden (Gap-Analyse + Begleitung bis zur Zertifizierung). Zertifizierungsaudit durch TÜV/DEKRA/DQS: 8.000–25.000 € (Stage 1 + Stage 2). Internes Effort: 0,5–1 FTE über die Projektlaufzeit. Festpreis-Angebot nach dem Scoping-Gespräch.
NIS2 ist eine europäische Richtlinie (in Deutschland: NIS-2-UmsuCG) mit spezifischen gesetzlichen Anforderungen an Informationssicherheit für regulierte Sektoren. ISO 27001 ist ein internationaler Standard für Informationssicherheits-Managementsysteme (ISMS) — eine valide Methode zur NIS2-Umsetzung. BSI-Grundschutz ist der deutsche Sicherheitsstandard mit detailliertem Maßnahmenkatalog (BSI-Bausteine) — inhaltlich vergleichbar mit ISO 27001 + Anhang A, aber stärker strukturiert.
Eine etablierte ISO-27001-Zertifizierung deckt ca. 70–80 % der NIS2-Anforderungen aus Art. 21 ab. NIS2-spezifische Zusatzanforderungen bleiben: Meldepflichten nach § 32 BSIG, Registrierung beim BSI, Geschäftsleitungs-Haftung nach § 38 NIS-2-UmsuCG, erweiterte Lieferketten-Risikobewertung. Wir führen ein NIS2-Delta-Assessment auf Basis Ihrer bestehenden ISO-27001-Zertifizierung durch.
Ja — für NIS2-betroffene Einrichtungen, KRITIS-Betreiber und ISO-27001-zertifizierte Unternehmen ist die Benennung eines Informationssicherheitsbeauftragten organisatorisch erforderlich. Wir übernehmen diese Rolle als externer ISB (ähnlich dem externen DSB) oder begleiten interne Benennungen fachlich.
Schwerpunkte: Finanzdienstleistungen (DORA, BaFin), Energieversorger und Telekommunikation (KRITIS), Automobilzulieferer (TISAX), Gesundheitswesen (MDR, Patientendaten) und Technologieunternehmen (ISO 27001, SOC 2, Cloud-Sicherheit). Für jeden Sektor kennen wir die regulatorischen Besonderheiten.
Ja. Wir bieten strukturierte Penetrationstests nach OWASP ASVS und dem BSI-Leitfaden: Web-Anwendungen, mobile Apps, APIs, interne Netze, Wi-Fi, Cloud-Umgebungen (AWS/Azure/GCP). Standardumfang inklusive Re-Test nach Behebung und prüfungsfähiger Nachweis. Größere Red-Team-Simulationen über Partnernetzwerk.
Wir etablieren ein KPI-Set: Mean Time to Detect/Respond, Patch-Compliance-Rate, Phishing-Klick-Rate, Zahl offener Findings nach Priorität, Audit-Ergebnisse. Diese KPIs werden quartalsweise an die Geschäftsleitung berichtet und im Rahmen des Management-Reviews bewertet.
Wir sind kein „Kommando"-Berater, sondern arbeiten als externer Partner Ihres Teams. Wir liefern Frameworks, Richtlinien, Nachweise und Transfer-Wissen — Ihr Team behält die operative Hoheit. Klare Rollenabgrenzung und wöchentliche Status-Meetings sind fester Bestandteil unserer Arbeitsweise.
Verwandte Leistungen
Branchen mit besonderen Cyber-Anforderungen
Bereit für wirksame Cyber Security?
Kostenloses Erstgespräch — 30 Minuten. Wir prüfen Ihre Ausgangslage, empfehlen die passende Zertifizierung (ISO 27001, BSI-Grundschutz, TISAX) und erstellen ein Festpreis-Angebot.