Informationssicherheit
BSI Grundschutz, NIS2, ISO27001
Praxisnahe Informationssicherheit – mittelstandstauglich, ohne bürokratischen Overhead
Gelebte Informationssicherheit entscheidet heute über Handlungsfähigkeit, Vertrauen und Compliance. Ziel unserer Arbeit ist nicht nur das Erfüllen von Vorgaben, sondern echte Resilienz: Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Informationen – nachweisbar und wirksam im Alltag. Wir begleiten Sie von der ersten IST-Aufnahme über Risiko- und Maßnahmenplanung bis hin zur Auditreife, schließen technische wie organisatorische Lücken und etablieren belastbare Prozesse. So adressieren wir die Faktoren, die viele Vorfälle begünstigen: fehlende Kapazitäten, unklare Verantwortlichkeiten und nicht erkannte Schwachstellen.
BSI Grundschutz Wofür?
Der BSI-Grundschutz bietet ein praxisnahes, in Deutschland etabliertes Vorgehen, um IT-Systeme, Anwendungen und Geschäftsprozesse systematisch abzusichern – mit klar strukturierten Bausteinen und Maßnahmen. Er eignet sich für Unternehmen jeder Größe und Branche und ist besonders für den Mittelstand eine solide Grundlage für gelebte Informationssicherheit.
Was liefern wir?
IT-Strukturanalyse und Schutzbedarfsfeststellung, Modellierung nach BSI-Grundschutz, Auswahl und Umsetzung von Basis- und Zusatzmaßnahmen, Umsetzungsplan sowie die erforderliche Dokumentation – passgenau auf Ihre Organisation zugeschnitten.
Mehrwert:
Standardisiertes, prüfbares Sicherheitsniveau, konsistente Dokumentation und eine robuste Basis, um Standards – wie aus ISO 27001 oder NIS2 – zielgerichtet zu integrieren.
ISO 27001 Wofür?
ISO 27001 definiert einen international anerkannten Standard für den Aufbau und Betrieb eines risikobasierten Informationssicherheits-Managementsystems (ISMS) – mit klaren Anforderungen an Organisation, Prozesse und Nachweise und der Option auf Zertifizierung.
Was liefern wir?
Scope und Sicherheitsleitlinie, Risikoanalyse und Behandlung, Statement of Applicability, Richtlinien und Verfahren, Rollen- und Verantwortlichkeitsmodelle, interne Audits und Management-Reviews – inklusive strukturierter Vorbereitung auf externe Audits.
Mehrwert:
Transparente Verantwortungen, gelebte Sicherheitsprozesse und prüffähige Nachweise, die nicht nur für den Zertifizierungstermin tragen, sondern den Sicherheitsstandard im Unternehmen nachhaltig verbessern.
NIS2 Wofür?
NIS2 definiert EU-weit verbindliche Anforderungen an Cybersicherheit und Meldepflichten – nicht nur für kritische Infrastrukturen, sondern auch für viele mittelständische Unternehmen, die bestimmte Kriterien erfüllen oder Teil relevanter Lieferketten sind. Die Verantwortlichkeiten der Geschäftsleitung sind dabei ausdrücklich hervorgehoben.
Was liefern wir?
Betroffenheitscheck, GAP-Analyse, Melde- und Krisenprozesse, technische und organisatorische „Stand der Technik“-Maßnahmen sowie praxistaugliche Vorlagen für Dokumentation und Reporting.
Mehrwert:
Haftungs- und Sanktionsrisiken reduzieren, Verantwortlichkeiten klar regeln und die Betriebsfähigkeit auch im Ernstfall absichern
Kick-off & Scope
Geltungsbereich, Ziele, Organisation und relevanter Rechtsrahmen (inkl. Datensouveränität) werden klar definiert.
GAP & Risiken
Soll-/Ist-Abgleich je Framework, Schutzbedarfsanalyse und eine priorisierte Maßnahmenliste bilden die Arbeitsgrundlage.
Umsetzung
Erstellung und Schärfung von Policies, Rollen und Prozessen sowie Aufbau einer Technik-Baseline (z. B. IAM/MFA, Backup-Tests, Härtung).
Nachweise & Wirksamkeit
Schulungen, Kompetenznachweise, interne Audits und Management-Reviews belegen die Wirksamkeit der Maßnahmen.
Auditvorbereitung & Betrieb
Planung der Audittermine, Schließen verbleibender Abweichungen und Übergang in einen laufenden Betrieb mit Managed Audit und Awareness.
„Informationssicherheit ist kein Haken in einer Checkliste, sondern zentral für den souveränen Umgang mit Daten und Informationen. Unser EDV-COMPAS-Framework verbindet etablierte Standards zu einem praxisnahen, mittelstandstauglichen Ansatz – mit echtem Mehrwert statt bürokratischem Overhead.“
IT-Notfallmanagement
IT-Notfallmanagement entscheidet, wie schnell ein Unternehmen nach einem Sicherheitsvorfall, Systemausfall oder Datenverlust wieder handlungsfähig ist. Unser Ansatz verbindet Incident Response, Wiederherstellungsstrategien (RTO/RPO) und klare Rollenmodelle zu einem durchgängigen Konzept – von der technischen Erstreaktion bis zur Krisenkommunikation. Wir strukturieren Notfallhandbuch, Entscheidungswege und Wiederanlaufpläne so, dass sie im Ernstfall wirklich nutzbar sind und nicht nur im Ordner liegen. Regelmäßige Tests und Übungen zeigen, ob Maßnahmen greifen – und wo nachgeschärft werden muss, bevor ein echter Notfall eintritt.
Incident Response / Akuter Cyberangriff – Soforthilfe
Akuter Cyberangriff? Jetzt zählt jede Minute. Wir koordinieren die Erstreaktion – auch in uns unbekannten Umgebungen – gemeinsam mit Sophos Emergency Incident Response (qualifizierter BSI APT-Response-Dienstleister).
Was passiert unmittelbar?
unerkannte Risiken identifizieren
Resilientes IT-Notfallmanagement statt Ad-hoc-Reaktion
Schutzbedarfsfeststellung & Business Impact Analyse (BIA)
Ein spezialisiertes Security Operations Center überwacht Ihre Umgebung 24/7 – auch nachts, an Wochenenden und Feiertagen. Sicherheitsexperten und erfahrene IT-Forensiker erkennen Angriffe frühzeitig, prüfen und priorisieren eingehende Alarme und leiten sofort geeignete Gegenmaßnahmen ein. So werden Ihre geschäftskritischen Daten und Prozesse wirksam und kontinuierlich geschützt.
Erstmaßnahmen & Stabilisierung
Sichere Isolation betroffener Systeme, strukturierte Erfassung relevanter Daten und Koordination mit MDR/IR-Team – mit priorisiertem Wiederanlaufplan.
Kommunikation & Meldepflichten
Leitfäden für interne und externe Kommunikation, Stakeholder-
Matrix und strukturierte Triage möglicher Meldepflichten.
Notfallhandbuch (digital)
Arbeitsnahes, digitales Notfallhandbuch mit optionaler Integration in das DMS – inklusive Checklisten, Kontaktlisten, Vorlagen und Formularen für den Ernstfall.
Rollen, Meldeketten, Eskalation
Verantwortlichkeiten in IT, Management, Datenschutz und Kommunikation werden definiert – inklusive Erstmeldung, Bewertungskriterien und klarer Eskalationsstufen.
Wiederherstellung & Prioritäten
Stufenweiser Wiederanlauf nach Schutzbedarf: vom sauberen Basisbetrieb (Clean OS) über Daten und Anwendungen bis zur fachlichen Abnahme und Validierung.
Backups & Tests
Aufbewahrungs- und Offline-Strategien, regelmäßige Restore-Test und dokumentierte Ergebnisse – Wiederherstellung wird als zentraler Baustein der Resilienz verstanden.
Übungen & Lessons
Learned Table-Top-Übungen und technische Proben überprüfen die Praxistauglichkeit. Nach Vorfällen sorgen strukturierte Nachbereitung und Maßnahmenlisten für echte Verbesserung.
Dokumentation & Assetmanagement (Docusnap)
Belastbare Informationssicherheit braucht Transparenz: Ohne aktuelle Dokumentation sind Schutzbedarfe, Risiken und Maßnahmen kaum sauber steuerbar. Mit Docusnap erfassen wir Systeme, Abhängigkeiten und Verantwortlichkeiten automatisiert und schaffen damit die Grundlage für ISMS, BSI-Grundschutz und NIS2. Docusnap ist als IT-Grundschutz-Tool beim BSI gelistet.
Haben Sie Fragen
oder benötigen ein
persönliches Angebot?
PenTests und Schwachstellenmanagement
Penetrationstests & CVE-basierte Schwachstellenanalyse – BSI-orientiert, KRITIS-erprobt, praxisnah umsetzbar.
Wir prüfen Ihre IT gezielt auf ausnutzbare Schwachstellen – von der automatisierten, CVE-basierten Analyse bis zum manuell verifizierten Penetrationstest. Die Bewertung erfolgt nach CVSS, ergänzt um Kontext und Abgleich mit BSI-Sicherheitsmeldungen und CERT-Hinweisen; für KRITIS-Umgebungen orientieren wir uns an den etablierten Meldewegen und Prozessen des BSI. Am Ende steht ein priorisierter Maßnahmenplan mit optionalem Re-Test, der die Wirksamkeit der Behebung nachvollziehbar bestätigt.
Warum jetzt handeln?
DSGVO / Datenschutz
Rechtskonformer Datenschutz im Unternehmen lässt sich nicht „nebenbei“ erledigen, sondern erfordert ein strukturiertes, nachvollziehbares Vorgehen. Die DSGVO setzt auf einen risikobasierten Ansatz und verlangt wirksame technische und organisatorische Maßnahmen für alle Prozesse mit personenbezogenen Daten. Gleichzeitig gilt die Rechenschaftspflicht: getroffene Maßnahmen müssen jederzeit nachweisbar und überprüfbar sein. Das gelingt nur mit einem geplanten Datenschutzkonzept, klaren Verantwortlichkeiten und regelmäßigen Reviews.
ITQ Sicherheitschecks für den Mittelstand
ITQ – Der Sicherheitscheck-Standard im deutschen Mittelstand
Gemeinsam mit dem ITQ Institut für Technologiequalität setzen wir auf standardisierte Prüfverfahren, um die Informationssicherheit im Mittelstand messbar und vergleichbar zu machen. Die ITQ-Checks basieren u. a. auf dem BSI- Grundschutz und konkretisieren Anforderungen wie ISO 27001 oder NIS2 in klaren Fragenkatalogen und Berichten. Unternehmen erhalten eine transparente Risikoübersicht und priorisierte Maßnahmenlisten – eine ideale Grundlage für weitere Projekte wie ISMS, technische Härtung oder Managed Security.
ITQ-Basisprüfung –
Einstieg in die Informationssicherheit
Die ITQ-Basisprüfung ist ein mittelstandsgerechtes Prüfverfahren auf Basis des BSI-Grundschutzes und erfasst den IT-Sicherheitsstatus von Bestands- und Neukunden. Ergebnis ist ein ausführlicher Bericht mit Risikoübersicht und bis zu rund 120 konkreten Maßnahmenempfehlungen zur gezielten Verbesserung der Informationssicherheit.
ITQ-Cybersicherheitsanalyse – tiefgehende Sicherheitsbewertung
Die ITQ-Cybersicherheitsanalyse erfasst den Status der Informationssicherheit anhand von über 2.000 Prüfpunkten und betrachtet sowohl technische als auch organisatorische Anforderungen. Sie schließt mit einem detaillierten Bericht, der konkrete Maßnahmen zur Risikoreduktion und nachhaltigen Verbesserung des Sicherheitsniveaus enthält.
ITQ-Infrastrukturanalyse – Klarheit über Systeme und Dienste
Die ITQ-Infrastrukturanalyse bietet eine strukturierte und effiziente Möglichkeit, die gesamte IT-Infrastruktur schnell zu erfassen. Sie liefert eine klare Übersicht über alle wesentlichen Systeme und Anwendungen und bildet so die Grundlage für maßgeschneiderte Angebote und ein zielgerichtetes Beratungskonzept.
ITQ-Ransomware Checkup – Fokus auf Erpressungsszenarien
Der ITQ-Ransomware Checkup bewertet den Schutzstatus speziell gegen Ransomware-Angriffe auf Basis der Empfehlungen von BSI, Cyberversicherern und Datenschutzbehörden. Unternehmen erhalten eine detaillierte Analyse, eine präzise Risikobewertung und bis zu rund 80 priorisierte Maßnahmenempfehlungen zur Erhöhung ihrer Ransomware-Resilienz.
ITQ-Backup Security – Qualität & Resilienz der Datensicherung
ITQ-Backup Security richtet den Blick gezielt auf Backup-Strategie und Wiederherstellbarkeit: geprüft werden Architektur (z. B. 3-2-1-Regel), Aufbewahrungsfristen, technische Umsetzung (z. B. Offline-, Immutable- und Secure-Backups) sowie regelmäßige Restore-Tests. Das Ergebnis ist eine klare Einschätzung, ob Backup und Recovery heutigen Anforderungen an Cyberresilienz und Prüfungen durch Auditoren standhalten.
ITQ-Cybersecurity Dashboard – Sicherheitslage im Überblick
Das ITQ-Cybersecurity Dashboard visualisiert die Ergebnisse aus Basisprüfung und NIS2 Status-Check und macht Risiko- und Reifegrade auf einen Blick sichtbar. Es unterstützt bei der laufenden Überwachung und Optimierung der Sicherheitsmaßnahmen und ist damit eine sinnvolle Grundlage für Managed-Security-Ansätze.
ITQ-Richtlinienpaket – gelebte Sicherheit im Alltag
Das ITQ-Richtlinienpaket liefert praxistaugliche Richtlinien und Konzepte zur sicheren Nutzung von IT-Systemen und zur Verarbeitung sensibler Informationen, orientiert an BSI-Standards. Es unterstützt bei der Dokumentation von Audits und Zertifizierungen und dient als Nachschlagewerk für Mitarbeitende und Administratoren.
ITQ-Basisprüfung –
Einstieg in die Informationssicherheit
Die ITQ-Basisprüfung ist ein mittelstandsgerechtes Prüfverfahren auf Basis des BSI-Grundschutzes und erfasst den IT-Sicherheitsstatus von Bestands- und Neukunden. Ergebnis ist ein ausführlicher Bericht mit Risikoübersicht und bis zu rund 120 konkreten Maßnahmenempfehlungen zur gezielten Verbesserung der Informationssicherheit.
ITQ-Cybersicherheitsanalyse – tiefgehende Sicherheitsbewertung
Die ITQ-Cybersicherheitsanalyse erfasst den Status der Informationssicherheit anhand von über 2.000 Prüfpunkten und betrachtet sowohl technische als auch organisatorische Anforderungen. Sie schließt mit einem detaillierten Bericht, der konkrete Maßnahmen zur Risikoreduktion und nachhaltigen Verbesserung des Sicherheitsniveaus enthält.
ITQ-Infrastrukturanalyse – Klarheit über Systeme und Dienste
Die ITQ-Infrastrukturanalyse bietet eine strukturierte und effiziente Möglichkeit, die gesamte IT-Infrastruktur schnell zu erfassen. Sie liefert eine klare Übersicht über alle wesentlichen Systeme und Anwendungen und bildet so die Grundlage für maßgeschneiderte Angebote und ein zielgerichtetes Beratungskonzept.
ITQ-Ransomware Checkup – Fokus auf Erpressungsszenarien
Der ITQ-Ransomware Checkup bewertet den Schutzstatus speziell gegen Ransomware-Angriffe auf Basis der Empfehlungen von BSI, Cyberversicherern und Datenschutzbehörden. Unternehmen erhalten eine detaillierte Analyse, eine präzise Risikobewertung und bis zu rund 80 priorisierte Maßnahmenempfehlungen zur Erhöhung ihrer Ransomware-Resilienz.
ITQ-Backup Security – Qualität & Resilienz der Datensicherung
ITQ-Backup Security richtet den Blick gezielt auf Backup-Strategie und Wiederherstellbarkeit: geprüft werden Architektur (z. B. 3-2-1-Regel), Aufbewahrungsfristen, technische Umsetzung (z. B. Offline-, Immutable- und Secure-Backups) sowie regelmäßige Restore-Tests. Das Ergebnis ist eine klare Einschätzung, ob Backup und Recovery heutigen Anforderungen an Cyberresilienz und Prüfungen durch Auditoren standhalten.
ITQ-Backup Security – Qualität & Resilienz der Datensicherung
ITQ-Backup Security richtet den Blick gezielt auf Backup-Strategie und Wiederherstellbarkeit: geprüft werden Architektur (z. B. 3-2-1-Regel), Aufbewahrungsfristen, technische Umsetzung (z. B. Offline-, Immutable- und Secure-Backups) sowie regelmäßige Restore-Tests. Das Ergebnis ist eine klare Einschätzung, ob Backup und Recovery heutigen Anforderungen an Cyberresilienz und Prüfungen durch Auditoren standhalten.
ITQ-Richtlinienpaket – gelebte Sicherheit im Alltag
Das ITQ-Richtlinienpaket liefert praxistaugliche Richtlinien und Konzepte zur sicheren Nutzung von IT-Systemen und zur Verarbeitung sensibler Informationen, orientiert an BSI-Standards. Es unterstützt bei der Dokumentation von Audits und Zertifizierungen und dient als Nachschlagewerk für Mitarbeitende und Administratoren.
UNSER PARTNER IM BEREICH ITQ Sicherheitschecks für den Mittelstand
