hagel IT-Services
Festpreis-Angebot
14 Min.

IT-Sicherheitsanalyse für kleine Unternehmen: Ablauf, Kosten & Ergebnisse in 4–6 Wochen

Jens Hagel
Jens Hagel in IT-Sicherheit

Inhalt in Kürze

  • Eine IT-Sicherheitsanalyse für kleine Unternehmen (10–30 Mitarbeiter) dauert 4–6 Wochen und kostet zwischen 1.500 und 4.500 Euro
  • Der BSI-CyberRisikoCheck nach DIN SPEC 27076 ist das ideale Einstiegsverfahren für Klein- und Kleinstunternehmen — ein Tag Aufwand, 27 Anforderungen, klarer Maßnahmenplan
  • Der Ablauf folgt fünf Phasen: Scoping → Scan → Pentest (optional) → Bericht → Umsetzung
  • Laut BSI-Lagebericht 2025 erfüllen KMU nur 56 % der Basis-Sicherheitsanforderungen — die meisten Lücken sind in einem Tag adressierbar, wenn man sie kennt

Die IT-Sicherheitsanalyse klingt nach Konzern-Thema. Ist sie nicht. Gerade kleine Unternehmen mit 10 bis 30 Mitarbeitern brauchen eine strukturierte Prüfung — weil sie im Alltag keine Zeit für Security-Themen haben und deshalb oft nicht wissen, wo sie wirklich stehen. Dieser Leitfaden zeigt, wie eine IT-Sicherheitsprüfung speziell für kleine Unternehmen abläuft, was sie kostet und welches Ergebnis realistisch ist.

Warum kleine Unternehmen eine eigene Prüf-Methodik brauchen

Die großen Audit-Frameworks (ISO 27001, BSI-Grundschutz) sind für Konzerne entwickelt. Ein Unternehmen mit 15 Mitarbeitern hat keinen Informationssicherheitsbeauftragten, kein dediziertes Risikomanagement und meist keinen dokumentierten Notfallplan. Trotzdem ist die Bedrohungslage identisch — KI-gestützte Massenangriffe unterscheiden nicht nach Firmengröße.

80 %
der Cyberangriffe treffen KMU (BSI)
119/Tag
neue IT-Schwachstellen (2025, +24 %)
56 %
Basis-Sicherheit in KMU erfüllt

Für kleine Unternehmen brauchen wir deshalb eine andere Prüfmethodik: pragmatisch, zeitlich kompakt, bezahlbar, mit klaren Handlungsempfehlungen statt 200-Seiten-Reports. Genau dafür hat das BSI zusammen mit dem DIN ein eigenes Format geschaffen: den CyberRisikoCheck nach DIN SPEC 27076.

Tipp für den Einstieg:

Wenn Sie zum ersten Mal eine IT-Sicherheitsanalyse machen lassen: Starten Sie mit einem CyberRisikoCheck nach DIN SPEC 27076. Ein Tag Aufwand, unter 2.500 Euro — und Sie haben eine belastbare Standortbestimmung. Wenn dabei kritische Lücken auftauchen, können Sie gezielt einen Pentest nachschieben.

Der Unterschied: IT-Sicherheitsanalyse vs. IT-Sicherheitsprüfung

Die Begriffe werden in der Praxis synonym benutzt. Präzise gesprochen ist die IT-Sicherheitsanalyse die breitere Betrachtung — Menschen, Prozesse, Technik. Die IT-Sicherheitsprüfung fokussiert stärker auf die technische Überprüfung einzelner Systeme. In Ihrem Unternehmen brauchen Sie beides: eine Analyse, die auch den Geschäftsführer mit den 14-Zeichen-Passwort im Passwort-Manager hinterfragt, und eine Prüfung, die technisch sagt, ob Ihr RDP-Zugang offen im Internet steht.

Die fünf Phasen einer IT-Sicherheitsanalyse für kleine Unternehmen

So läuft eine strukturierte Analyse bei uns typischerweise ab. Der Ablauf hat sich in hunderten Projekten bei Hamburger Mittelständlern bewährt — und lässt sich 1:1 auf Unternehmen mit 10 bis 30 Arbeitsplätzen anwenden.

  1. Scoping-Workshop (90 Minuten). Geschäftsführung, IT-verantwortliche Person, ggf. externer Dienstleister am Tisch. Wir erfassen: Geschäftsprozesse, kritische Daten, verwendete Systeme, bekannte Probleme, Compliance-Anforderungen (z. B. DSGVO, NIS-2-Relevanz, Kammer-Vorgaben).
  2. Automatisierter Schwachstellenscan (2–3 Tage). Mit Werkzeugen wie OpenVAS oder Nessus Essentials scannen wir Ihr internes Netz auf bekannte Schwachstellen, offene Ports, veraltete Software, Fehlkonfigurationen. Dazu ein Credentialed Scan der wichtigsten Server für tiefere Einblicke.
  3. Konfigurations-Review (2 Tage). Wir prüfen Microsoft 365 (MFA-Abdeckung, Admin-Rollen, bedingter Zugriff), Firewall-Regeln, Backup-Konfiguration und -Wiederherstellungstest, Endpoint-Protection, Netzwerksegmentierung, Benutzerrechte.
  4. Menschen & Prozesse (1 Tag). Kurzinterviews mit 3–5 Mitarbeitern. Optional: Phishing-Simulation als Stichprobe. Wir prüfen Dokumentation, Passwort-Hygiene, Notfall-Kontakte, Onboarding/Offboarding-Prozesse.
  5. Bericht & Workshop (1 Woche). Sie bekommen einen Bericht mit priorisiertem Maßnahmenplan (kritisch/hoch/mittel/niedrig). Im Abschlussworkshop gehen wir die Ergebnisse mit der Geschäftsführung durch — klar, ohne IT-Jargon, mit Umsetzungsreihenfolge.
Audit-Checkliste mit Stift — Scoping einer IT-Sicherheitsprüfung für kleine Unternehmen
Der Scoping-Workshop entscheidet über die Qualität der gesamten Prüfung — hier wird festgelegt, welche Systeme, Prozesse und Szenarien im Umfang liegen.

Was in welcher Phase wirklich geprüft wird

PhaseDauerWas wird geprüftWer ist involviert
Scoping90 Min.Geschäftsprozesse, Kritikalität, Compliance-AnforderungenGeschäftsführung, IT-verantwortlich
Schwachstellenscan2–3 TageNetzwerk, Server, Endgeräte, Patchstand, offene PortsExtern (ohne Eingriff ins Tagesgeschäft)
Konfigurations-Review2 TageMicrosoft 365, Firewall, Backup, MFA, ZugriffsrechteIT-verantwortliche Person
Menschen & Prozesse1 TagInterviews, Phishing-Stichprobe, Dokumentations-Check3–5 Mitarbeiter (je 20 Min.)
Bericht & Workshop1 WocheAuswertung, Priorisierung, AbschlussgesprächGeschäftsführung + IT

Kosten-Realismus: Was eine IT-Sicherheitsprüfung für ein kleines Unternehmen wirklich kostet

Die Pauschalaussage “Pentest kostet 10.000 bis 30.000 Euro” ist für KMU meist unrealistisch — und zielt oft an dem vorbei, was Sie wirklich brauchen. Für ein Unternehmen mit 10 bis 30 Arbeitsplätzen gibt es pragmatischere Pakete:

1.500–2.500 €
BSI-CyberRisikoCheck (DIN SPEC 27076)
2.500–4.500 €
Vollständige IT-Sicherheitsanalyse (10–30 MA)
ab 5.000 €
Zusätzlicher Penetrationstest mit Exploit

Kostenfaktoren im Detail

Die Preisspanne ergibt sich aus vier Stellschrauben:

  • Anzahl der Arbeitsplätze und Server. 15 Clients + 2 Server sind schneller geprüft als 30 Clients + 5 Server + Nebenstandort.
  • Cloud-Nutzung. Ein Unternehmen komplett in Microsoft 365 ist schneller zu prüfen als eines mit 7 eigenen Servern im Keller.
  • Pentest-Tiefe. Automatisierter Schwachstellenscan (OpenVAS/Nessus) ist Standard und günstig. Manueller Pentest mit Social-Engineering kostet deutlich mehr — und ergibt nur Sinn, wenn das Basis-Niveau sitzt.
  • Compliance-Nachweis. Soll das Ergebnis als Nachweis für Cyberversicherung oder NIS-2 taugen? Dann brauchen Sie zertifizierte Verfahren wie DIN SPEC 27076 oder einen dokumentierten Pentest — das kostet etwas mehr, ist aber belastbar.
Praxis:

Bei vielen unserer Neukunden in Hamburg reicht zunächst der CyberRisikoCheck völlig aus. Die häufigsten Lücken sind nicht "Zero-Day in der Firewall" sondern: MFA nicht flächendeckend aktiv, Backup wird nicht getestet, Admin-Accounts werden für den Alltag genutzt. Für diese Erkenntnisse braucht niemand einen 15.000-Euro-Pentest.

Der BSI-CyberRisikoCheck: Das wichtigste Prüfverfahren für kleine Unternehmen

Das BSI hat zusammen mit dem DIN einen Standard entwickelt, der speziell für kleine und Kleinstunternehmen gedacht ist: die DIN SPEC 27076. Der darauf basierende CyberRisikoCheck ist in vielen Fällen das sinnvollste Einstiegsformat.

Die Kernfakten

  • Geprüft werden 27 Anforderungen aus sechs Themenbereichen (Organisation, Sensibilisierung, Identitäts- und Berechtigungsmanagement, Datensicherung, Patch- und Änderungsmanagement, Schutz vor Schadprogrammen)
  • Ein zertifizierter IT-Dienstleister interviewt Geschäftsführung und IT-verantwortliche Person — meist an einem einzigen Tag
  • Ergebnis: ein standardisierter Bericht mit klarer Ampel-Bewertung pro Anforderung und priorisierten Handlungsempfehlungen
  • Der Check ist förderfähig — in vielen Bundesländern gibt es Zuschüsse zwischen 50 und 80 Prozent

Für welche Unternehmen eignet sich das Format?

  • Unternehmen bis ca. 50 Mitarbeiter. Der Check ist explizit für Kleinst- und Kleinunternehmen gedacht — die Fragen sind auf diese Größe zugeschnitten.
  • Erstprüfung ohne Vorbelastung. Wenn Sie noch nie eine Security-Analyse gemacht haben, liefert der CyberRisikoCheck die perfekte Standortbestimmung.
  • Unternehmen mit Förderwunsch. DIN SPEC 27076 ist ein anerkanntes Verfahren — Landeswirtschaftsförderungen bezuschussen den Check häufig.
  • Unternehmen als NIS-2-Zulieferer. Wenn Sie Auftragnehmer eines NIS-2-pflichtigen Kunden sind, verlangt dieser oft einen Nachweis — der CyberRisikoCheck reicht meist aus.

Ich rate meinen Kunden immer: Nicht übertreiben, einfach anfangen. Die perfekte IT-Lösung gibt es nicht — aber eine, die morgen schon besser ist als heute. Und in drei Monaten sind Sie überrascht, wie weit Sie gekommen sind.

Jens Hagel, Geschäftsführer hagel IT-Services Jens HagelGeschäftsführer, hagel IT-Services GmbH

NIS-2: Wann werden auch kleine Unternehmen prüf-pflichtig?

Die NIS-2-Richtlinie ist in Deutschland seit Dezember 2025 in Kraft. Viele Geschäftsführer kleiner Unternehmen halten sich für nicht betroffen — das ist häufig ein Irrtum.

Die Schwellenwerte für “wichtige” und “besonders wichtige” Einrichtungen

KategorieMitarbeiterJahresumsatzBilanzsumme
Klein (meist nicht direkt betroffen)< 50< 10 Mio. €< 10 Mio. €
Wichtige Einrichtung50–249< 50 Mio. €< 43 Mio. €
Besonders wichtige Einrichtung≥ 250≥ 50 Mio. €≥ 43 Mio. €

Das wichtige Kleingedruckte: Selbst wenn Sie unter 50 Mitarbeiter haben, können Sie betroffen sein — etwa als kritischer Dienstleister der öffentlichen Hand, als Teil einer Lieferkette eines NIS-2-pflichtigen Kunden oder bei Sektoren mit “spezieller Relevanz” (z. B. digitale Infrastruktur, DNS-Provider, bestimmte Gesundheitsdienstleister).

Was passiert konkret, wenn Sie betroffen sind?

NIS-2 fordert unter anderem: ein dokumentiertes Risikomanagement, regelmäßige Security-Audits, Meldepflichten bei Vorfällen (24 Stunden Erstmeldung), Schulungen der Geschäftsleitung, technische Mindestmaßnahmen (MFA, Verschlüsselung, Backup-Strategie, Incident-Response-Plan). Die Geschäftsführung haftet persönlich — das steht explizit im Umsetzungsgesetz. Details in unserem Artikel zur NIS-2 Beratung in Hamburg.

Pentest vs. Schwachstellenscan: Was brauche ich als kleines Unternehmen?

Diese beiden Begriffe werden oft verwechselt — sind aber grundverschieden. Für kleine Unternehmen ist die Entscheidung meist klar: Schwachstellenscan ja, Pentest später.

Die Unterschiede im Detail

Wichtig zu verstehen:

Ein Schwachstellenscan ist automatisiert. Tools wie OpenVAS oder Nessus Essentials scannen Ihre Systeme gegen eine Datenbank bekannter Schwachstellen. Ergebnis: eine Liste mit CVE-Nummern und Risiko-Bewertung. Kostet wenig, geht schnell, findet 80 % der technischen Probleme.

Ein Penetrationstest ist manuell. Ein Security-Experte versucht wie ein echter Angreifer, in Ihre Systeme einzudringen — mit kreativen Techniken, Social Engineering, ggf. individuellen Exploits. Kostet deutlich mehr, geht tief, findet die 20 %, die der Scan übersieht.

Die ehrliche Empfehlung für kleine Unternehmen

Wenn Sie bei Ihrer ersten Sicherheitsanalyse sind, investieren Sie Ihr Budget nicht in einen Pentest, sondern in einen soliden Scan + einen sauberen Konfigurations-Review + die Umsetzung der gefundenen Lücken. Erst wenn die Basis-Hygiene sitzt, ergibt ein Pentest wirklich Sinn. Ein Pentest, der 15 kritische Lücken aus dem automatisierten Scan auflistet, ist rausgeworfenes Geld — die hätten Sie für einen Bruchteil auch so gefunden.

Ein konkretes Beispiel aus unserer Arbeit: Wir haben bei einem Hamburger Handelsunternehmen mit 22 Mitarbeitern einen Schwachstellenscan gemacht. Ergebnis: 3 kritische Lücken (darunter ein öffentlich erreichbarer RDP-Port), 11 hohe Risiken (u. a. fehlende MFA bei externen Mailboxen), 34 mittlere. Kosten: 2.800 Euro. Einen Pentest haben wir bewusst weggelassen — das Geld ist besser in die Umsetzung investiert.

Die häufigsten Lücken, die wir in kleinen Unternehmen finden

Nach hunderten Prüfungen bei Hamburger Mittelständlern sind die Top-Befunde erstaunlich immer gleich. Die gute Nachricht: fast alle sind ohne großes Budget zu schließen.

  • MFA nicht flächendeckend aktiv. Geschäftsführung, Buchhaltung und externe Mitarbeiter haben oft keine Multi-Faktor-Authentifizierung. Beheben: 30 Minuten pro Account.
  • Backup wird nicht getestet. 72 Prozent der KMU haben noch nie eine vollständige Wiederherstellung geprobt. Krypto-Trojaner schlummern oft wochenlang — das Backup von letzter Woche enthält den Trojaner bereits.
  • Admin-Accounts im Alltag. Der Chef arbeitet mit einem Konto, das globale Administrator-Rechte in Microsoft 365 hat. Ein Klick auf die falsche E-Mail, und der Angreifer übernimmt alles.
  • Veraltete Firmware. Firewalls, Switches, NAS-Geräte mit Firmware von vor zwei Jahren sind in jedem zweiten Unternehmen zu finden.
  • Ex-Mitarbeiter noch aktiv. Konten von vor Jahren ausgeschiedenen Mitarbeitern, die technisch noch funktionieren — ein klassisches Einfallstor.
  • Keine Netzwerksegmentierung. Gäste-WLAN, Buchhaltung und Produktion im selben Netz. Wenn ein PC infiziert wird, breitet sich der Angriff in Minuten aus.
  • Shadow IT. Mitarbeiter nutzen private Dropbox-Accounts oder WhatsApp für Geschäftsdaten — unbemerkt, unkontrolliert, DSGVO-relevant.
IT-Sicherheitsanalyse Abschlussbericht — Team bespricht den Maßnahmenplan mit der Geschäftsführung
Der Abschlussworkshop übersetzt die technischen Befunde in geschäftliche Entscheidungen — Priorität, Budget, Verantwortlichkeit pro Maßnahme.

Aus der Praxis: Hamburger Handelsunternehmen mit 22 Mitarbeitern

Wir begleiten seit Jahren Mittelständler in Hamburg durch ihre erste strukturierte Sicherheitsanalyse. Ein typischer Fall: Ein Handelsunternehmen aus Altona, 22 Mitarbeiter, eigene IT-verantwortliche Person (aber kein dediziertes Security-Team), Microsoft 365, ein Synology-NAS für Backups, eine Sophos-Firewall.

Wir hatten den Eindruck, bei uns wäre alles in Ordnung — Backup lief, Virenscanner war aktiv. Dann kam der Sicherheitscheck und wir standen bei drei kritischen Lücken. Eine davon: Unser Remote-Desktop war offen im Internet, aus alten Homeoffice-Zeiten. Das hatte uns keiner gesagt.

Frank Schröder · Geschäftsführer, Maschinenbau/Hydraulik, 35 Mitarbeiter

Der Ablauf in diesem Fall:

  • Scoping-Workshop mit Geschäftsführung und IT-Kollegen (90 Minuten)
  • Schwachstellenscan über 3 Tage — parallel zum Tagesbetrieb
  • Konfigurations-Review von Microsoft 365, Firewall, NAS, Backup-Strategie
  • 3 Mitarbeiter-Interviews (je 20 Minuten)
  • Bericht mit 48 Findings nach Priorität, Abschlussworkshop 2 Stunden
  • Kosten insgesamt: 3.200 Euro + 4 Wochen Umsetzungsbegleitung

Das Ergebnis nach 8 Wochen Umsetzung: RDP-Port geschlossen, MFA flächendeckend, Backup-Restore erfolgreich getestet, Admin-Accounts getrennt, veraltete Firmware aktualisiert, Ex-Mitarbeiter-Accounts deaktiviert. Kein einziges neues Gerät musste angeschafft werden — alles Konfigurationsthemen.

Was Sie als Geschäftsführer vor der Prüfung wissen sollten

Eine IT-Sicherheitsanalyse ist keine Technikveranstaltung — es ist eine Geschäftsführungsaufgabe. Was wir vor jedem Audit mit unseren Kunden besprechen:

  1. Die Ergebnisse sind Ihre Ergebnisse. Sie bekommen einen Bericht über Lücken in Ihrem Unternehmen. Das ist unangenehm — und wichtig. Die schlimmste Reaktion ist, die Ergebnisse ungelesen abzuheften.
  2. Keine Prüfung ohne Umsetzungsplan. Ein Audit ohne anschließenden Rollout der Maßnahmen ist rausgeworfenes Geld. Planen Sie von Anfang an 3–6 Monate Umsetzungszeit ein.
  3. Kritische Lücken nicht liegen lassen. Bei kritischen Befunden (z. B. offener RDP-Port, fehlendes Backup) reagieren wir oft noch am selben Tag — warten bis nächstem Quartal ist keine Option.
  4. Dokumentieren Sie den Prozess. Ein strukturierter Audit mit Bericht ist später Gold wert — für Cyberversicherung, NIS-2-Nachweis, Due Diligence beim Firmenverkauf, gegenüber Kunden mit Security-Anforderungen.
  5. Re-Audit nach 12 Monaten einplanen. Die IT-Landschaft verändert sich, neue Schwachstellen tauchen täglich auf. Ein jährlicher Check ist Mindeststandard.
Das Wichtigste: Eine IT-Sicherheitsanalyse ist kein Einmal-Event, sondern der Startpunkt eines strukturierten Sicherheitsprozesses. Die 3.000 Euro für die Prüfung sind billig — rausgeworfen wären sie nur, wenn der Bericht ungelesen im Schrank landet.

Wie hagel IT kleine Unternehmen durch die Sicherheitsanalyse führt

Wir betreuen seit über 20 Jahren als IT-Systemhaus Hamburg kleine und mittlere Unternehmen in Hamburg und Norddeutschland. Unser Fokus liegt auf Unternehmen zwischen 5 und 150 Mitarbeitern — also genau in der Größe, für die eine klassische ISO-27001-Zertifizierung meist überdimensioniert ist.

Unser Ablauf für kleine Unternehmen

  • Kostenloses Erstgespräch (15 Minuten). Wir klären, welches Prüfformat zu Ihrem Unternehmen passt — CyberRisikoCheck, klassische Sicherheitsanalyse oder gezielter Pentest.
  • Festpreis statt Stundenkalkulation. Sie wissen vorher, was der Audit kostet. Keine Überraschungen am Monatsende.
  • Geschäftsführer-Tauglicher Bericht. Kein IT-Jargon, klare Priorisierung, konkrete Umsetzungsempfehlungen.
  • Begleitete Umsetzung (optional). Wenn Sie möchten, schließen wir die gefundenen Lücken direkt im Rahmen unserer Cybersecurity-Dienstleistungen oder als Teil einer Managed IT Services Vereinbarung.
  • Jährliches Re-Audit. Wir planen den Folge-Check bereits beim ersten Audit mit ein — so wird Sicherheit zum Prozess, nicht zum Einmal-Event.

Wir starten jede Zusammenarbeit mit einer Cyber-Risikoanalyse gemeinsam mit der Geschäftsführung. Nicht um Angst zu machen, sondern um ehrlich zu sehen, wo Sie stehen — und was als Erstes passieren muss.

Jens Hagel, Geschäftsführer hagel IT-Services Jens HagelGeschäftsführer, hagel IT-Services GmbH

Lesenswert zum Thema

Fazit: Nicht warten, strukturiert anfangen

Die beste IT-Sicherheitsanalyse ist die, die Sie tatsächlich machen — nicht die perfekte, die nie startet. Für ein Unternehmen mit 10 bis 30 Mitarbeitern in Hamburg reicht ein CyberRisikoCheck oder eine kompakte Sicherheitsanalyse für 1.500 bis 4.500 Euro. In 4–6 Wochen wissen Sie, wo Sie stehen — und haben einen klaren Plan für die nächsten 90 Tage.

Unsere Cybersicherheits-Checkliste für KMU bietet 20 konkrete Punkte zum Abhaken — als Selbsteinschätzung vor einer formellen Analyse. Keine Registrierung, direkter PDF-Download.

IT-Sicherheitsanalyse für Ihr Unternehmen starten?

15 Minuten. Kostenlos. Ohne Vertriebsdruck. Wir klären, welches Prüfformat zu Ihrem Unternehmen passt.

Erstgespräch buchen →

Weiterführende Quellen

Jens Hagel
Jens Hagel
Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Frage stellen Profil ansehen
Thorsten Eckel

«Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.»

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
Fallstudie · Rechtsanwaltskanzlei
Case Study Hamburg: Von heterogener IT zur sicheren Kanzlei-Umgebung in 30 Tagen
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Alle ansehen
Kostenlos & unverbindlich

Wie sicher ist Ihre IT wirklich?

Kostenloser Security-Check in 15 Minuten — wir zeigen Ihnen, wo Ihre Lücken sind.

Festpreis-Angebot anfordern Lieber direkt Termin?

Häufig gestellte Fragen

Eine IT-Sicherheitsanalyse ist eine strukturierte Untersuchung Ihrer IT-Landschaft auf Schwachstellen, Konfigurationsfehler und Prozesslücken. Bei kleinen Unternehmen mit 10–30 Mitarbeitern umfasst sie in der Regel: Scoping-Gespräch, automatisierter Schwachstellenscan (Netzwerk, Server, Clients), Konfigurations-Check der Kernsysteme (Microsoft 365, Firewall, Backup) und einen Ergebnisbericht mit priorisiertem Maßnahmenplan. Kein Konzern-Jargon, kein 200-Seiten-Report — ein umsetzbarer Fahrplan.

Für ein Unternehmen mit 10–30 Mitarbeitern liegt eine solide IT-Sicherheitsanalyse typischerweise zwischen 1.500 und 4.500 Euro. Ein BSI-CyberRisikoCheck nach DIN SPEC 27076 kostet ca. 1.500–2.500 Euro (teilweise förderfähig). Ein ergänzender Penetrationstest mit manueller Exploit-Prüfung startet ab ca. 5.000 Euro. hagel IT bietet das Erstgespräch und eine strukturierte Risikoeinschätzung kostenlos an — Sie wissen danach, ob sich der Aufwand lohnt.

Vom Scoping bis zum fertigen Bericht rechnen wir 4–6 Wochen. Die aktive Scan-Phase dauert 2–5 Tage, die Auswertung und Berichtserstellung 1–2 Wochen, Rückfragen und Abschlussworkshop eine weitere Woche. Ihre Mitarbeiter sind dabei nur wenige Stunden gebunden — hauptsächlich für Interviews mit Geschäftsführung und IT-verantwortlicher Person.

Üblich sind eine Kombination aus: automatisiertem Schwachstellenscan (z. B. OpenVAS, Nessus Essentials) für Netzwerk und Systeme, Konfigurations-Review für Microsoft 365, Firewall und Backup, Interviews mit Geschäftsführung und Schlüsselpersonen, Phishing-Simulation als Stichprobe und Dokumentations-Check. Bei Bedarf ein manueller Penetrationstest mit Social-Engineering-Szenarien.

Nicht direkt für alle. Aber: Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz fallen häufig unter NIS-2 und müssen ihre Security-Maßnahmen nachweislich prüfen. Cyberversicherer fordern Audits als Voraussetzung für Policen. Und die Geschäftsführung haftet persönlich für grobe Fahrlässigkeit — ohne Prüf-Nachweis wird das im Schadensfall teuer. Faktisch ist eine jährliche Analyse Pflicht, auch wenn sie nicht im Gesetzbuch steht.

Der CyberRisikoCheck nach DIN SPEC 27076 ist ein vom BSI entwickeltes Prüfverfahren speziell für kleine und Kleinstunternehmen. Ein zertifizierter IT-Dienstleister interviewt das Unternehmen zu 27 Anforderungen aus sechs Themenbereichen. Der Check dauert meist nur einen Tag und liefert eine klare Ist-Aufnahme mit Empfehlungen. Ideal als Einstieg für Unternehmen bis ca. 50 Mitarbeiter, die noch nie eine Security-Prüfung gemacht haben.

Sie erhalten einen priorisierten Maßnahmenplan mit vier Stufen: kritisch (sofort handeln, oft innerhalb weniger Tage), hoch (innerhalb eines Monats), mittel (im Quartalsrollout) und niedrig (optional). Kritische Lücken schließen wir bei Bedarf direkt in der Umsetzung. Nach 12 Monaten ein Re-Audit, um den Fortschritt zu messen. Die Analyse ist der Startpunkt, nicht das Ergebnis.

Für belastbare Ergebnisse ja. Interne Kräfte kennen ihre eigene IT zu gut — sie sehen die blinden Flecken nicht, die ein externer Auditor sofort entdeckt. Für eine erste Selbsteinschätzung reicht eine strukturierte Checkliste, etwa unsere Cybersicherheits-Checkliste mit 20 Punkten. Für Compliance-Nachweise (NIS-2, Versicherung) und belastbare Ergebnisse brauchen Sie einen externen Prüfer.

Das könnte Sie auch interessieren

IT-Sicherheit

Externer Datenschutzbeauftragter Hamburg: Die 10 besten Anbieter 2026 (ehrlicher Vergleich)
IT-Sicherheit

IT-Sicherheitsprüfung für den Mittelstand: So läuft ein Audit, das wirklich Schwachstellen findet
IT-Sicherheit

Disaster Recovery Plan: So schützen Sie Ihr Unternehmen vor dem Totalausfall