| 24. April 2026 | 14 Min.

IT-Sicherheitsprüfung für den Mittelstand: So läuft ein Audit, das wirklich Schwachstellen findet

Inhalt in Kürze

Eine IT-Sicherheitsprüfung findet die Schwachstellen, die Sie im Alltag nicht sehen — bevor ein Angreifer sie findet
Für KMU mit 10–50 Mitarbeitern kostet ein Basis-Audit 1.500–4.500 €, ein Penetrationstest ab ca. 5.000 €
Seit NIS-2 (Dezember 2025) sind rund 29.500 Unternehmen in Deutschland zu regelmäßigen Security-Audits verpflichtet
Entscheidend ist nicht das Audit selbst, sondern die konsequente Umsetzung des Maßnahmenplans

Wer heute in Hamburg Geschäftsführer ist, kennt den Reflex: “IT-Sicherheitsprüfung? Machen wir, wenn wir Zeit haben.” Zeit hat niemand — und genau das ist der Punkt. Die Angreifer warten nicht. Dieser Leitfaden erklärt pragmatisch, was hinter einer IT-Sicherheitsprüfung steckt, welche Arten wirklich etwas bringen, was das kostet und wie Sie in 90 Minuten wissen, wo Sie stehen.

Was ist eine IT-Sicherheitsprüfung?

Eine IT-Sicherheitsprüfung ist eine systematische Untersuchung Ihrer gesamten IT-Landschaft auf Schwachstellen, Konfigurationsfehler und Compliance-Lücken. Geprüft werden Netzwerk, Endgeräte, Cloud-Dienste, Zugriffsrechte, Backups und Prozesse. Ergebnis ist ein priorisierter Maßnahmenplan — keine Panikliste, sondern ein umsetzbarer Fahrplan.

Der Unterschied zu einem einfachen Virenscan: Eine echte Prüfung betrachtet Menschen, Prozesse und Technik zusammen. Der beste Virenscanner nützt wenig, wenn der Chef seine Zugangsdaten auf einem Post-it notiert.

267 Mrd. €

Schaden durch Cyberkriminalität/Jahr (Bitkom 2025)

80 %

der Angriffe treffen KMU (BSI-Lagebericht)

29.500

NIS-2-pflichtige Unternehmen in Deutschland

Laut BSI-Lagebericht 2024 wurden im Berichtszeitraum rund 309.000 neue Schadprogramm-Varianten pro Tag beobachtet. Eine aktuelle Bitkom-Studie zur Wirtschaftsspionage 2024 beziffert den jährlichen Gesamtschaden für die deutsche Wirtschaft auf 267 Milliarden Euro — 81 Prozent der Unternehmen waren betroffen. Das Problem ist nicht mehr, ob Sie betroffen sind — sondern wann. Eine IT-Sicherheitsstrategie ohne regelmäßige Überprüfung ist wie ein Rauchmelder, den Sie nie testen.

Die 5 Arten der IT-Sicherheitsprüfung im Überblick

Nicht jede Prüfung macht für jeden Sinn. Hier die fünf wichtigsten Typen — was sie leisten, wann sie passen und was sie kosten.

Audit-Typ	Zweck	Dauer	Richtpreis KMU	Wer braucht es?
Schwachstellenanalyse	Automatisierter Scan auf bekannte Lücken	2–5 Tage	1.500–3.000 €	Jedes Unternehmen, jährlich
Penetrationstest	Aktive Angriffssimulation durch Experten	2–4 Wochen	5.000–15.000 €	Ab 30 MA, kritische Daten, NIS-2
Security-Audit (ISO 27001)	Prozess- und Compliance-Prüfung	3–6 Wochen	8.000–25.000 €	Zertifizierungspflichtige Unternehmen
Compliance-Check (DSGVO/NIS-2)	Rechtliche Anforderungen prüfen	1–2 Wochen	2.000–6.000 €	NIS-2-Pflichtige, DSGVO-sensibel
Red Team / Social Engineering	Realer Angriff inkl. Phishing, Physisch	4–8 Wochen	15.000–40.000 €	Banken, Kritis, Großunternehmen

Schwachstellenanalyse — das Minimum

Ein automatisierter Scan über Ihre Netzwerke und Systeme findet offene Ports, veraltete Software-Versionen, fehlende Patches und Fehlkonfigurationen. Tools wie Nessus, Qualys oder OpenVAS liefern nach wenigen Stunden einen Bericht mit hunderten Einträgen.

Der Haken: Der Scan sagt nur, was theoretisch eine Lücke sein könnte — nicht, ob sie in Ihrem Kontext tatsächlich ausnutzbar ist. Genau dafür braucht es erfahrene Augen.

Penetrationstest — die ehrliche Variante

Beim Penetrationstest versucht ein Security-Spezialist, gezielt in Ihre Systeme einzudringen — mit denselben Methoden wie ein echter Angreifer. Ziel: herausfinden, wie weit er wirklich kommt. Unterschieden wird nach Informationsstand:

Black Box: Der Tester weiß nichts — simuliert externen Angreifer
Grey Box: Teilinformationen wie ein ehemaliger Mitarbeiter
White Box: Volle Systemdokumentation — maximale Tiefe

Für einen Mittelständler mit 30–100 Mitarbeitern ist meist ein Grey-Box-Test das beste Preis-Leistungs-Verhältnis: realistisch, aber nicht überteuert.

Security-Audit nach ISO 27001

Wenn Ihre Großkunden ein ISO-27001-Zertifikat verlangen (zunehmend Standard bei Ausschreibungen), brauchen Sie ein komplettes Informationssicherheits-Managementsystem (ISMS). Das Audit prüft rund 93 Controls aus Anhang A der ISO/IEC 27001:2022 — von Passwort-Richtlinien über Backup-Prozesse bis zu physischem Zutritt.

Compliance-Check (NIS-2, DSGVO, BSI-Grundschutz)

Hier geht es um die Frage: Erfüllen Sie die gesetzlichen Anforderungen? Für NIS-2 sind das unter anderem Incident-Response-Plan, Risikomanagement, Meldepflichten innerhalb von 24 Stunden und persönliche Haftung der Geschäftsführung.

Red Team Assessment

Das ist das volle Programm: Ein Angreifer-Team kombiniert technische Angriffe, Phishing-Mails an Ihre Mitarbeiter und — wenn gewünscht — physisches Eindringen ins Gebäude. Überzogener Aufwand für ein Handwerksunternehmen. Pflicht für Banken, Versorger und kritische Infrastruktur.

Ablauf eines typischen IT-Audits — Schritt für Schritt

Ein guter Ablauf ist unspektakulär. Kein Theater, keine Panikmache — strukturierte Arbeit. So machen wir das bei hagel IT bei Hamburger KMU:

Kick-off-Gespräch (60 Min): Geschäftsführung + IT-Verantwortliche. Was ist kritisch? Welche Daten sind besonders schützenswert? Welche Standorte? Welche Cloud-Dienste? Das Ziel: Scope definieren.
Informations-Sammlung (3–5 Tage): Netzwerkdiagramme, Software-Inventar, Zugriffsmatrix, Backup-Strategie, Firewall-Regelwerk. Je besser dokumentiert, desto schneller das Audit.
Technische Prüfung (5–10 Tage): Schwachstellenscan, Konfigurations-Review (Active Directory, Microsoft 365, Firewall, Endpoints), ggf. Penetrationstest. Mitarbeiter merken davon meist nichts.
Auswertung & Priorisierung (2–3 Tage): Alle Findings werden nach CVSS-Score und Geschäftsauswirkung priorisiert — nicht jede Lücke ist gleich kritisch.
Abschlussworkshop (90 Min): Präsentation für Geschäftsführung. Klartext, kein Technik-Deutsch. Was muss sofort passieren? Was in 30 Tagen? Was in 6 Monaten?
Maßnahmen-Umsetzung (3–6 Monate): Kritische Punkte sofort. Mittelfristige Maßnahmen in Sprints. Monatliche Status-Calls.
Re-Audit (nach 12 Monaten): Prüfung, ob die Maßnahmen wirken. Neue Bedrohungslage, neue Systeme, neue Prioritäten.

Wir starten jede Zusammenarbeit mit einer Cyber-Risikoanalyse gemeinsam mit der Geschäftsführung. Nicht um Angst zu machen, sondern um ehrlich zu sehen, wo Sie stehen — und was als Erstes passieren muss.

Jens HagelGeschäftsführer, hagel IT-Services GmbH

Security-Auditor präsentiert Ergebnisse der IT-Sicherheitsprüfung im Geschäftsführer-Gespräch — Der Abschlussworkshop ist der wichtigste Termin: Klartext für die Geschäftsführung, priorisierter Maßnahmenplan — kein Technik-Kauderwelsch.

Was kostet eine IT-Sicherheitsprüfung? Richtpreise nach Unternehmensgröße

Die ehrliche Antwort: Es hängt vom Scope ab. Ein Ein-Standort-Unternehmen mit 15 Cloud-Arbeitsplätzen ist anders zu bewerten als ein Produktionsbetrieb mit 3 Standorten und Legacy-Servern. Trotzdem gibt es belastbare Richtwerte.

Unternehmensgröße	Basis-Audit	Penetrationstest	NIS-2 Compliance-Check
5–20 Mitarbeiter (1 Standort)	1.500–2.500 €	4.000–6.000 €	1.500–3.000 €
20–50 Mitarbeiter	2.500–4.500 €	6.000–10.000 €	3.000–5.000 €
50–150 Mitarbeiter (1–2 Standorte)	4.500–8.000 €	10.000–18.000 €	5.000–9.000 €
150+ Mitarbeiter	ab 8.000 €	ab 18.000 €	ab 9.000 €

Was die Kosten treibt

Anzahl der Standorte und Systeme — jeder zusätzliche Standort = mehr Scan-Aufwand
Komplexität der IT-Landschaft — reine Cloud-Umgebung ist günstiger als Hybrid mit Altsystemen
Branchen-Anforderungen — Arztpraxen, Kanzleien, Finanzdienstleister haben mehr Compliance-Pflichten
Detailgrad — Manuelle Prüfung kostet mehr als automatisierter Scan, liefert aber belastbarere Ergebnisse

Tipp für Hamburger KMU:

Lassen Sie sich zuerst eine kostenlose Risikoeinschätzung geben — 60–90 Minuten mit der Geschäftsführung reichen, um grob zu sehen, was tatsächlich Priorität hat. hagel IT macht das für Hamburger Unternehmen kostenlos, siehe Cybersecurity Hamburg.

NIS-2 und die Prüfungspflicht: Was Sie ab 2026 wissen müssen

Seit dem Inkrafttreten der NIS-2-Richtlinie sind in Deutschland rund 29.500 Unternehmen direkt betroffen. Relevant sind: Energie, Verkehr, Gesundheit, Finanzen, Wasserwirtschaft, digitale Infrastruktur, öffentliche Verwaltung — und deren Zulieferer.

Die NIS-2-Pflichten im Kern:

Risikomanagement-Maßnahmen dokumentiert und regelmäßig überprüft
Incident-Response-Plan mit klaren Meldeketten
Meldepflicht bei Sicherheitsvorfällen: Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden, Abschlussbericht nach 30 Tagen
Jährliche Überprüfung aller Sicherheitsmaßnahmen (= IT-Sicherheitsprüfung)
Persönliche Haftung der Geschäftsleitung bei Verstößen — bis zu 10 Mio. € Bußgeld oder 2 % des weltweiten Umsatzes
Schulungspflicht für Geschäftsführung und Mitarbeiter

Ob Ihr Unternehmen konkret betroffen ist, klären Sie am schnellsten mit unserem kostenlosen NIS-2-Betroffenheits-Check. Für Detailberatung empfehlen wir die NIS-2 & IT-Compliance-Leistung.

Security-Analystin prüft Hardware und Netzwerk-Komponenten — technische Sicherheitsprüfung im Rahmen des IT-Audits — Technische Prüfung: Ein Security-Analyst scannt Systeme auf bekannte Schwachstellen — die Basis jeder fundierten Audit-Auswertung.

Wir wären ein leichtes Opfer — das weiß ich. Da hätte ich gerne einen verlässlichen Partner, der davon mehr versteht als ich als Laie.

Frank Schröder · Maschinenbau/Hydraulik, 35 Mitarbeiter

DIY vs. externer Dienstleister: Wann was Sinn macht

Der häufigste Einwand: “Können wir das nicht selber machen?” Teilweise ja — aber mit klaren Grenzen.

Was Sie selbst prüfen können

Cybersicherheits-Checkliste durcharbeiten (kostenlos bei uns verfügbar)
Microsoft 365 Secure Score prüfen — integrierter Security-Score von Microsoft
Passwort-Hygiene im Team: MFA aktiv? Alte Accounts deaktiviert?
Backup-Test: Wiederherstellen Sie einmal exemplarisch eine Datei vom Vortag. Klappt das? Wie schnell?
Phishing-Sensibilität mit einer einfachen internen Test-Mail prüfen

Wofür Sie externe Experten brauchen

Penetrationstests — interne Kräfte haben den “Betriebs-Blick” und sehen blinde Flecken nicht
Compliance-Nachweise für NIS-2, ISO 27001 oder Cyberversicherer — müssen extern attestiert sein
Tiefe technische Audits von Active Directory, Firewall-Regeln, Cloud-Konfigurationen
Forensik nach Vorfällen — hier ist jede Minute bares Geld wert
Branchenspezifische Audits — z. B. KRITIS, TISAX (Automotive), HIPAA

Typische Einwände und unsere ehrlichen Antworten

Einwand	Unsere Antwort
”Wir sind zu klein — lohnt sich das?”	Gerade KMU sind Hauptziel automatisierter Massenangriffe. Ein Basis-Audit kostet weniger als eine Woche Betriebsausfall.
”Unser IT-Dienstleister macht das doch schon.”	Der eigene Dienstleister prüft sich selbst — das ist wie beim TÜV der Mechaniker, der das Auto repariert hat. Ein externer Auditor findet genau das, was übersehen wurde.
”Wir haben doch eine Firewall.”	Eine moderne UTM-Firewall ist Pflicht, aber nur eine von vielen Schichten. Firewall + MFA + Backup + Awareness = Basis.
”Wir hatten noch nie einen Angriff.”	Das wissen Sie nicht. Viele Cyberangriffe laufen monatelang unbemerkt. Ein Audit deckt genau das auf.

Wie Sie den richtigen Auditor auswählen

Der Markt ist voll von “Cybersecurity-Beratern” — von Ein-Mann-Buden bis zu großen Prüfgesellschaften. Worauf Sie achten sollten:

Zertifizierungen prüfen: CISA, CISSP, OSCP oder BSI-zertifizierter IT-Sicherheitsdienstleister. Keine Garantie, aber ein sinnvoller Filter.
Referenzen aus Ihrer Branche: Ein Auditor, der schon drei Hamburger Kanzleien geprüft hat, kennt die typischen Fallstricke. Fragen Sie explizit nach.
Festpreisangebot verlangen: Keine offenen Stundenrechnungen. Ein seriöser Auditor kann nach einem Scoping-Gespräch einen Festpreis nennen.
Berichtsqualität prüfen: Lassen Sie sich einen anonymisierten Beispielbericht zeigen. Ist der verständlich? Gibt es klare Priorisierung? Oder nur technischer Brei?
Umsetzungsbegleitung: Der beste Auditbericht nützt nichts, wenn ihn niemand umsetzt. Prüft der Anbieter die Umsetzung, oder verschwindet er nach Bericht-Abgabe?
Unabhängigkeit: Ein reiner Auditor ist strenger als einer, der Ihnen hinterher auch Produkte verkaufen will. Wir machen beides transparent — und sagen vorher, was unser Interesse ist.

Die 7 häufigsten Fehler bei IT-Sicherheitsprüfungen

Aus 18 Jahren Praxis in Hamburg — das sehen wir immer wieder:

Scope zu eng gefasst. "Nur die Firewall prüfen" reicht nicht — Angreifer kommen meist über E-Mail oder gestohlene Zugangsdaten rein, nicht durch die Firewall.
Audit ohne Umsetzung. Der Bericht liegt in der Schublade, in 12 Monaten wird er beim nächsten Audit peinlich. Immer mit Umsetzungsplan arbeiten.
Geschäftsführung nicht involviert. IT-Sicherheit ohne GF-Commitment ist Zeitverschwendung. Der Workshop muss ins Chefzimmer, nicht ins Serverkeller.
Nur Technik, keine Menschen. 80 % der erfolgreichen Angriffe starten mit einem Menschen (Phishing, Social Engineering). Ein Audit ohne Awareness-Test ist unvollständig.
Backups nicht mitgeprüft. Was nützt der beste Schutz, wenn nach dem Angriff kein Backup da ist? Backup-Strategie nach 3-2-1-Regel ist Pflichtbestandteil.
Kein Re-Audit. Ein Audit ist eine Momentaufnahme. Neue Software, neue Mitarbeiter, neue Bedrohungen — ohne jährlichen Re-Check werden Sie wieder unsicher.
Dokumentation fehlt. Ohne Netzwerkdiagramm, Inventar und Prozessbeschreibungen wird jedes Audit zur Detektivarbeit. Das kostet Geld und Zeit.

Checkliste: So bereiten Sie Ihre IT-Sicherheitsprüfung vor

Wenn Sie diese Punkte vor dem Audit klären, sparen Sie bis zu 30 % der Kosten — weil der Auditor nicht recherchieren muss, was Sie längst wissen.

Aktuelles Netzwerkdiagramm (Standorte, VLANs, Internet-Anschlüsse, Firewalls)
Software-Inventar: Welche Server-Betriebssysteme? Welche Cloud-Dienste? M365-Lizenzen?
Benutzer-Liste inkl. aktivem/inaktivem Status, Admin-Rechten, externen Zugriffen
Backup-Konzept: Was wird gesichert? Wie oft? Wo gelagert? Wann zuletzt getestet?
Firewall-Regelwerk als Export oder Screenshot
Incident-Response-Plan (falls vorhanden — sonst offen kommunizieren)
Ansprechpartner benennen: Wer entscheidet was? Wer kann IT-Systeme anfassen?
Kritische Geschäftsprozesse identifizieren: Was darf maximal 2 h / 1 Tag / 1 Woche ausfallen?
Vorhandene Dokumente: Passwort-Richtlinie, DSGVO-Verfahrensverzeichnis, vorherige Audits
NIS-2-Betroffenheit geklärt (via NIS-2-Check)

Aus der Praxis: Was wir bei Hamburger KMU regelmäßig finden

In unserer Praxis als IT-Systemhaus in Hamburg prüfen wir jeden Monat mittelständische Unternehmen. Das sind die wiederkehrenden Muster:

Ungenutzte Admin-Accounts von ehemaligen Mitarbeitern — monatelang aktiv nach Weggang
MFA nur teilweise aktiviert — meist auf Chef-Accounts, aber nicht auf Service-Accounts
Backups ohne Immutability — Ransomware verschlüsselt auch das Backup, weil es im selben Netz liegt
Firewall-Regeln “Any/Any” — übrig geblieben von Tests vor 5 Jahren, nie aufgeräumt
Veraltete Windows-Server ohne Support (Windows Server 2012 R2 End-of-Life seit 2023!)
Cloud-Apps ohne Conditional Access — externe Logins aus 40 Ländern technisch möglich
Keine Notfallkontakte dokumentiert — im Ernstfall weiß niemand, wen man anruft

Unsere ausführliche Fallstudie zum 1-Stunden-IT-Audit zeigt, wie schnell schon ein Kurzcheck kritische Befunde liefern kann. Die Cyber-Risikoanalyse-Fallstudie beschreibt einen kompletten Umsetzungsprozess über 6 Monate.

Was Sie heute noch tun können — auch ohne sofortiges Audit

Nicht jedes Unternehmen kann morgen ein 5.000 €-Audit beauftragen. Diese Sofortmaßnahmen bringen messbar Sicherheit — ohne externe Kosten:

MFA auf allen Accounts aktivieren. Microsoft 365 Admin-Center → Sicherheitsstandards aktivieren. 15 Minuten Arbeit, verhindert laut BSI rund 99 % der Kontenübernahmen. Details: MFA & Passwort-Sicherheit.
Backup-Wiederherstellungstest durchführen. Eine beliebige Datei von gestern wiederherstellen. Klappt das in unter 30 Minuten? Wenn nein: Problem.
Alle inaktiven User-Accounts prüfen. AD oder M365 Admin: Wer war in den letzten 60 Tagen nicht eingeloggt? Deaktivieren.
Windows-Updates erzwingen. Alle Workstations und Server auf aktuellem Patch-Stand? Gruppenrichtlinie setzen, nicht optional machen.
Phishing-Simulation durchführen. Eine einfache interne Test-Mail — wer klickt? Das Ergebnis ist oft schockierend.
Incident-Kontaktliste erstellen. IT-Partner, Datenschutzbeauftragter, Cyberversicherung, BSI-Meldestelle — Telefonnummern und E-Mail-Adressen dokumentieren. Ausdrucken und physisch ablegen (falls die Server offline sind).

Achtung — häufiger Irrtum:

"Unser Antivirus warnt uns schon, wenn was passiert." Moderne Ransomware erkennt Antivirus-Scanner und legt sich schlafend. Erst bei einem konkreten Trigger wird verschlüsselt — oft Wochen nach dem Eindringen. Nur Endpoint Detection & Response (EDR) erkennt Verhaltensmuster. Siehe Security Tools Vergleich 2026.

Fazit: IT-Sicherheitsprüfung ist kein Luxus, sondern Hygienefaktor

Eine jährliche IT-Sicherheitsprüfung ist für jedes Unternehmen ab 10 Mitarbeitern heute Standard — unabhängig von NIS-2-Pflicht. Die Kosten für ein solides Basis-Audit entsprechen etwa drei Tagen Betriebsausfall. Das Schadenspotenzial eines erfolgreichen Angriffs: ein Vielfaches davon, oft Existenzbedrohung.

Wichtig ist der Dreiklang: Risikoanalyse → Maßnahmen umsetzen → Jährlich re-auditieren. Ein Audit, das nur im Ordner liegt, ist verbranntes Geld. Ein Audit mit strukturierter Umsetzung und Review ist die beste Investition in den Bestand Ihres Unternehmens.

Das Wichtigste: Eine IT-Sicherheitsprüfung ist kein einmaliges Event, sondern ein Prozess. Basis-Audit, Umsetzung in 3–6 Monaten, Re-Audit nach 12 Monaten — so bauen Sie echte Cybersecurity auf. Ohne Panik, ohne Millionenbudget, aber mit konsequenter Umsetzung. Für Hamburger KMU bieten wir einen kostenfreien Einstieg — 60 Minuten mit der Geschäftsführung reichen, um grob zu wissen, wo Sie stehen.

Sie wollen wissen, wie es um Ihre IT-Sicherheit steht?

15 Minuten. Kostenlos. Ehrliche Einschätzung durch Jens Hagel — keine Vertriebsshow.

Erstgespräch buchen →

Ihr nächster Schritt

hagel IT betreut über 200 Unternehmen in Hamburg und Norddeutschland — von der 8-Personen-Werbeagentur bis zum 150-Mitarbeiter-Maschinenbauer. Jede Zusammenarbeit startet mit einer strukturierten Risikoeinschätzung. Unsere Managed IT Services beinhalten jährliche Security-Audits standardmäßig — Sie müssen nichts extra beauftragen, nichts vergessen.

Wenn Sie Ihre IT-Landschaft erst einmal verstehen wollen, bevor Sie Verträge unterschreiben: Buchen Sie ein kostenloses 15-Minuten-Erstgespräch. Danach wissen Sie, ob überhaupt Handlungsbedarf besteht — und wenn ja, in welcher Reihenfolge.

Jens Hagel

Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Frage stellen Profil ansehen

Inhalt

Alle Kundenstimmen

4,9

Kostenlos & unverbindlich

Wie sicher ist Ihre IT wirklich?

Kostenloser Security-Check in 15 Minuten — wir zeigen Ihnen, wo Ihre Lücken sind.

Unverbindlich anfragen Oder Termin buchen

Häufig gestellte Fragen

Bei einem Mittelständler mit 10–50 Mitarbeitern liegt ein Basis-Audit (Schwachstellenscan + Konfigurations-Check + Berichtsworkshop) typischerweise zwischen 1.500 und 4.500 Euro. Ein vollständiger Penetrationstest mit Social-Engineering-Simulation kostet ab ca. 5.000 Euro. hagel IT bietet Erstgespräch und strukturierte Risikoeinschätzung kostenlos an.

Einmal jährlich ist Mindestpflicht. Zusätzlich nach jeder größeren IT-Änderung (neue Firewall, Cloud-Migration, neuer Standort) sowie nach jedem Sicherheitsvorfall. NIS-2-pflichtige Unternehmen müssen ihre Maßnahmen mindestens jährlich nachweislich überprüfen.

Eine Schwachstellenanalyse scannt automatisiert Ihre Systeme auf bekannte Lücken (z. B. fehlende Updates, offene Ports). Ein Penetrationstest ist die aktive Ausnutzung: Ein Security-Experte versucht wie ein echter Angreifer, in Ihre Systeme einzudringen — manuell, kreativ, mit Social Engineering. Beides hat seine Berechtigung, der Scan kostet einen Bruchteil.

Nicht gesetzlich zwingend für alle — aber faktisch ja. Seit NIS-2 (seit Dezember 2025) sind rund 29.500 Unternehmen in Deutschland unmittelbar verpflichtet. Cyberversicherer verlangen Audits als Voraussetzung für Policen. Und die Geschäftsführung haftet persönlich für grobe Fahrlässigkeit — ohne Audit-Nachweis wird das im Schadensfall teuer.

Teilweise — für eine Eigeneinschätzung lohnt sich eine Checkliste wie unsere Cybersicherheits-Checkliste. Für belastbare Ergebnisse, Compliance-Nachweise und Versicherungsanforderungen ist ein externer Auditor unverzichtbar. Interne Kräfte kennen ihre eigene Umgebung zu gut — sie sehen blinde Flecken nicht, ein externer Blick findet genau die.

Ein fokussiertes Basis-Audit für ein KMU mit 20 Arbeitsplätzen dauert 1–2 Wochen (inkl. Scan, Interviews, Auswertung). Ein vollständiger Penetrationstest mit Bericht: 3–4 Wochen. Die aktive Prüfung selbst beansprucht Ihre Mitarbeiter nur wenige Stunden — Interviews und ein Abschlussworkshop.

Sie erhalten einen priorisierten Maßnahmenplan (kritisch / hoch / mittel / niedrig). Kritische Punkte werden sofort adressiert (oft innerhalb von Tagen), der Rest in einem strukturierten Rollout über 3–6 Monate. Ein Re-Audit nach 12 Monaten prüft die Umsetzung. Bei hagel IT begleiten wir Sie durch die Umsetzung — das Audit ist der Startpunkt, nicht das Ergebnis.