Ein Audit ist eine systematische Überprüfung Ihrer IT-Sicherheitsmaßnahmen auf Basis anerkannter Standards oder gesetzlicher Vorgaben. Ziel ist die Identifikation von Abweichungen und Optimierungspotenzial. Eine Zertifizierung ist das offizielle Ergebnis eines erfolgreich bestandenen Audits – meist durch eine unabhängige Stelle bestätigt.

Wir bieten unter anderem Audits zu ISO 27001, BSI IT-Grundschutz sowie individuelle Cyber Security Audits an – inklusive GAP-Analysen, Reifegradbewertungen und technischen Prüfungen wie Pentests oder Red Teaming.

Ein Audit gliedert sich in mehrere Phasen: Zieldefinition, Dokumentenprüfung, Interviews mit Fachverantwortlichen, technische Analysen (falls gewünscht) und eine Abschlussbewertung mit Handlungsempfehlungen. Am Ende erhalten Sie einen Auditbericht inklusive priorisierter Maßnahmen.

Wir begleiten Sie Schritt für Schritt. Vorab sollten relevante Dokumente, Ansprechpartner und Zugänge bereitgestellt werden. Optional führen wir vorbereitende GAP-Analysen durch, um Sie optimal auf das Audit vorzubereiten.

Die Kosten hängen vom Umfang, der Unternehmensgröße, dem gewählten Standard und möglichen Zusatzleistungen wie Penetrationstests oder Awareness-Checks ab. Gerne erstellen wir Ihnen ein individuelles Angebot nach einem kurzen Beratungsgespräch.

Mindestens einmal jährlich oder bei wesentlichen Änderungen in der IT-Landschaft (z. B. Cloud-Migration, neue Standorte, neue regulatorische Anforderungen). Bei zertifizierten Unternehmen richten sich die Intervalle nach dem gewählten Standard (z. B. jährlich bei ISO 27001 Surveillance Audits).

Ja. Wir bieten im Rahmen unserer Audits oder separat buchbar Penetrationstests, Red Teaming, Social Engineering Audits und Schwachstellenanalysen an – jeweils abgestimmt auf Ihre IT-Umgebung und Sicherheitsbedürfnisse.

Im Rahmen einer Gap-Analyse wird das Delta zwischen IST und SOLL (bspw. normative Anforderungen der ISO 27001) ermittelt. Sie dient als Grundlage für Maßnahmenplanung und unterstützt eine strukturierte Zertifizierungsvorbereitung.

Sie dokumentiert gegenüber Kunden, Partnern und Behörden Ihre professionellen Sicherheitsstandards. Das stärkt Vertrauen, erhöht Wettbewerbschancen – z. B. bei öffentlichen Ausschreibungen – und hilft beim Nachweis gesetzlicher Pflichten.

Unsere Expert:innen sind erfahrene Security Consultants mit anerkannten Personenzertifizierungen (z. B. ISO 27001 Lead Auditor, BSI IT-Grundschutz-Praktiker). Für Zertifizierungen von Organisationen kooperieren wir mit akkreditierten Zertifizierungsstellen – wir bereiten Sie optimal darauf vor.

Penetrationstests sind eine Kategorie von IT-Sicherheitsüberprüfungen. Ziel dabei ist es, reale Angriffsszenarien zu simulieren und dadurch Lücken und Fehlkonfigurationen in IT-Systemen oder IT-Umgebungen aufzudecken. Ein erfolgreicher Pentest deckt nicht nur Lücken auf, sondern bietet dem Kunden zudem gezielte Handlungsempfehlungen, um diese zu schließen. Pentests sind i.d.R. zeitlich sehr genau eingegrenzt und finden häufig in enger Zusammenarbeit und im Austausch mit dem Kunden statt.

Pentests sind wichtig, um die Sicherheit von Unternehmen proaktiv zu verbessern und die Angriffsfläche zu minimieren. Ein Pentest kann nie vollständige Sicherheit garantieren, aber dazu beitragen Schwachstellen und Fehlkonfigurationen aufzudecken und deren Behebung zu ermöglichen.

1. Angreiferwissensprofil

Black-Box: keine Infos außer öffentlich verfügbaren.

White-Box: volle Infos (z. B. Quellcode, Netzwerkdiagramme).

Grey-Box: Teilinfos, z. B. Benutzerzugänge.

Weniger Infos = realistisch, mehr Infos = effizientere Tests (zeitlich begrenzt).

2. Zielarten

Infrastruktur: externe Systeme/Netzbereiche – Frage: Eindringen von außen möglich? Zugriff auf interne Daten?

Webapplikationen: Webseiten, APIs, Quellcode – Fokus: Zugriff/Manipulation von Daten, Sicherheit der Verschlüsselung.

Interner Pentest / Innentäter: interne Infrastruktur & AD-Berechtigungen – Szenario mit gültigen Zugangsdaten.

Assumed Compromise Breach: Start mit kompromittiertem System ohne Berechtigungen – Prüfung lateral movement & Rechteeskalation.

Red Teaming: umfassende, mehrstufige Simulation inkl. Technik, Phishing, physischem Zugang – Fokus: Erkennung, Reaktion, Prozesse.

Mobile Applikationen: Apps & APIs – Prüfung Datenzugriff, Speicherung, Manipulation, Verschlüsselung.

Pentests sind hochindividuell und müssen gemeinsam mit dem Kunden (Wissensprofil + Zielsysteme) genau definiert werden.

Professionelle Pentests werden von hochspezialisierten IT-Sicherheitsexperten durchgeführt, die meist ein abgeschlossenes Studium oder eine Ausbildung im Bereich der Informatik besitzen. Weiterhin besitzen die IT-Sicherheitsexperten oftmals technisch anspruchsvolle Zertifizierungen im Bereich Pentesting/Ethical Hacking.

Ein Penetrationstest lässt sich in vier Phasen unterteilen. In der Planung und Vorbereitung erfolgt zunächst ein Kickoff-Termin. Hierbei lernen sich die Beteiligten kennen, legen die Rahmenbedingungen fest und stimmen alle wichtigen Punkte ab – darunter die relevanten Ansprechpartner, das Angreiferwissensprofil, die zu testenden Systeme, technische Details sowie der konkrete Testzeitraum.

Darauf folgt die automatisierte Überprüfung, bei der Schwachstellenscanner eingesetzt werden. Ziel ist es, einen ersten Überblick über die Zielsysteme zu gewinnen, gängige Sicherheitslücken aufzudecken und potenziell besonders lohnende Angriffsziele zu identifizieren.

In der manuellen Überprüfung validieren die Pentester die zuvor gefundenen Schwachstellen, kombinieren diese miteinander und führen Angriffe durch, die automatisierte Tools nicht erkennen können. Diese Phase erfordert Kreativität, tiefes Fachwissen und variiert stark je nach Zielart. Häufig wechseln sich automatisierte und manuelle Tests mehrfach ab, um weitere Erkenntnisse zu gewinnen und tiefer in die Systeme vorzudringen.

Zum Abschluss folgt die Dokumentation und Ergebnisbesprechung. Alle validierten Schwachstellen und Angriffspfade werden in einem Bericht nachvollziehbar aufbereitet und mit konkreten Handlungsempfehlungen versehen. In einem Abschlussgespräch werden die Ergebnisse vorgestellt und offene Fragen des Kunden geklärt.

Es empfiehlt sich Pentests in regelmäßigen Abständen zu wiederholen. Außerplanmäßige Pentests sind besonders dann empfehlenswert, wenn z.B. größere Konfigurationsänderungen vorgenommen werden oder neue Produkte bzw. Produktänderungen auf den Markt gebracht werden.

Ein Pentest beinhaltet eine manuelle Überprüfung, die einen Schwachstellenscan (Vulnerability Scan) beinhalten kann, aber nicht muss. Schwachstellenscanner testen automatisiert katalogisierte Schwachstellen, können diese allerdings nicht immer verifizieren, wodurch False Positives auftreten können.

Regelmäßige Schwachstellenscans sind eine gute Ergänzung zu regelmäßigen Pentests und können z.B. sinnvoll als Teil der Patch Management Strategie eines Unternehmens eingesetzt werden. Sie bieten jedoch keinen adäquaten Ersatz für einen umfassenden Pentest, da sie keine tiefergehenden Überprüfungen durchführen können.

Alle Maßnahmen zur Erkennung, Eindämmung und Bewältigung von IT-Sicherheitsvorfällen.

Wenn Sie einen Cyberangriff vermuten und selbst nicht die Expertise besitzen diese Bedrohungslage aktiv zu lösen. Wir agieren u.a. als Sparringspartner und stehen Ihnen in der Bedrohungslage zur Seite.

Unsere Experten sind kurzfristig verfügbar.

Wir helfen bei der strukturierten Umsetzung.

Untersuchung betroffener Systeme, Artefakte, Logdaten, Angriffsvektoren.

Wenn Sie bereits ACD-Kunde sind, zahlen Sie eine monatliche Gebühr und wir berechnen nach Aufwand bei einem Angriff. Die Kosten hängen immer von dem jeweiligen Cyberangriff ab.

Wenn interne Ressourcen fehlen, Fachwissen erforderlich ist oder kurzfristig eine Besetzung der ISB-Rolle benötigt wird.

Unsere Berater helfen Ihnen bei der Umsetzung der folgenden Standards: ISO 27001, BSI IT-Grundschutz, branchenspezifischen Standards und regulatorischen Vorgaben (z. B. NIS-2).

Individuell abgestimmt – regelmäßig vor Ort, hybrid oder vollständig remote. Wir integrieren uns flexibel in Ihre Strukturen.

Ja, wir übernehmen bestehende Systeme und entwickeln sie auf Wunsch gezielt weiter.

Unsere Live-Hacking-Events dauern je nach Wunsch zwischen 1,5 und 3 Stunden. Wir passen die Dauer flexibel an Ihr Zeitfenster und Ihre Zielsetzung an.

Nein, unsere Events sind für alle Teilnehmer verständlich aufbereitet. Technisches Vorwissen ist nicht erforderlich.

Nein, Live-Hacking-Events finden ausschließlich als Präsenzveranstaltung statt.

In einem Vorgespräch stimmen wir Inhalte, Dauer und Schwerpunkte individuell auf Ihre Branche, Unternehmensgröße und Zielgruppe ab.

Unsere Live-Hacking-Events sind flexibel skalierbar – von kleinen Teams bis hin zu großen Gruppen auf Messen oder Konferenzen.

Beispielhafte Themen sind Phishing, Social Engineering, Drive-by-Downloads, Passwort-Hacking, WLAN-Angriffe und Smartphone-Sicherheit. Weitere Inhalte stimmen wir individuell mit Ihnen ab.

Ja. Unsere Demonstrationen erfolgen ausschließlich in kontrollierter Umgebung und ohne reale Eingriffe in produktive Systeme oder personenbezogene Daten.

Security Awareness Days, interne Schulungen, Kick-Offs, Kundenveranstaltungen, Messen, KRITIS-Workshops oder Awareness-Kampagnen.

Nach Ihrer Anfrage klären wir alle Details in einem kurzen Vorgespräch, erstellen ein individuelles Eventkonzept und begleiten Sie bis zur Durchführung.

Weil Cyber-Risiken sichtbar und emotional erlebbar werden. Teilnehmer erkennen konkrete Gefahren und nehmen Schutzmaßnahmen ernst, die ihnen abstrakt oft nicht bewusst wären.

Notfallmanagement fokussiert sich auf die operative Reaktion im akuten Krisenfall – also Maßnahmen zur Alarmierung, Eskalation und Wiederherstellung. BCM ist strategischer ausgerichtet und umfasst langfristige Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs.

Im Ernstfall entscheidet eine schnelle, koordinierte Reaktion über Schadensausmaß und Reputationsverlust. Ohne klare Abläufe drohen Chaos, Fehlentscheidungen, Meldeversäumnisse und langfristige Folgen für Organisation und Kundenvertrauen.

Typische Szenarien sind Cyberangriffe, IT-Ausfälle, Naturkatastrophen, Stromausfälle, menschliche Fehler oder auch Pandemien. Ein gutes System berücksichtigt verschiedene Szenarien und erlaubt eine flexible Reaktion.

Insbesondere für KRITIS-Unternehmen, Krankenhäuser, Behörden, Hochschulen sowie mittelständische Unternehmen mit digitalisierten Prozessen. Auch Unternehmen mit NIS-2-, ISO 27001- oder BSI-Anforderungen benötigen ein geprüftes Notfallmanagement.

Das Notfallhandbuch enthält alle notwendigen Informationen zur Reaktion im Krisenfall: Rollen, Kommunikationswege, Checklisten, Eskalationsstufen und Meldeverfahren. Es ist Grundlage für Schulungen, Audits und den Ernstfall.

Mindestens einmal jährlich – idealerweise durch realitätsnahe Übungen oder Planspiele. Nur so kann die Wirksamkeit der Pläne überprüft und das Krisenteam trainiert werden.

Je nach Branche und Unternehmensgröße gelten Vorgaben aus der DSGVO, NIS-2-Richtlinie, dem BSI-Gesetz oder branchenspezifischen Compliance-Richtlinien. Unsere Beratung unterstützt bei der rechtskonformen Umsetzung.

Ja – unser Ansatz ist vollständig integrierbar. Notfallmanagement lässt sich optimal mit bestehenden Sicherheits- und Compliance-Systemen wie ISMS, BCM oder dem Active Cyber Defense Service verzahnen.

Wir bieten Awareness-Formate, gezielte Trainings für Notfall- und Krisenteams sowie realitätsnahe Planspiele. Auch Führungskräfte-Coachings und Layer8-Kommunikationsmodule gehören dazu.

Zunächst erfolgt eine GAP-Analyse Ihrer bestehenden Strukturen. Darauf aufbauend entwickeln wir ein maßgeschneidertes Notfallmanagement-System inkl. Handbuch, Schulung, Meldeplänen und Audit-Vorbereitung – individuell, branchenspezifisch, modular.

Je nach Unternehmensgröße und Ausgangslage zwischen wenigen Wochen und mehreren Monaten. Viele Leistungen wie Schulungen oder Handbucherstellung sind kurzfristig umsetzbar.

Die Kosten hängen vom Projektumfang und den gewünschten Modulen ab. In einem kostenlosen Erstgespräch klären wir gemeinsam Bedarf, Zeitrahmen und Aufwand.

Ja – wir stellen geprüfte Templates zur Verfügung, die individuell angepasst werden. So sparen Sie Zeit und erfüllen dennoch branchenspezifische Anforderungen.

Ja – wir begleiten Sie bei der Vorbereitung auf interne/externe Audits (z. B. ISO 27001, BSI-Grundschutz, NIS-2) und liefern prüffähige Dokumentationen.

Unbedingt. Gerade KMU verfügen oft nicht über eigene Krisenstäbe oder Ressourcen. Unsere Beratung ist modular aufgebaut und skalierbar – auch für kleinere Unternehmen.

Ja – fordern Sie gern unser Whitepaper an oder buchen Sie eine kostenfreie Demo. Wir zeigen Ihnen live, wie praxisnahes Notfallmanagement funktioniert.

Unsere Berater:innen verfügen über operative Erfahrung aus realen Krisenfällen, bieten branchenspezifische Lösungen und kombinieren strategische Beratung mit praxiserprobter Umsetzung.

Ja – wir unterstützen auch bei der Koordination standortübergreifender Notfallstrukturen, inklusive mehrsprachiger Dokumente und Prozesse.

Wir empfehlen regelmäßige Reviews, Tests und Schulungen. Auf Wunsch begleiten wir Sie langfristig mit Managed Services oder punktueller Unterstützung.

Vereinbaren Sie ein unverbindliches Erstgespräch – wir analysieren gemeinsam Ihre aktuelle Situation und erarbeiten einen maßgeschneiderten Fahrplan.

Eine EU-Richtlinie, die Unternehmen zu verbindlichen Cybersicherheitsmaßnahmen verpflichtet – mit konkreten Anforderungen, Haftung und Berichtspflichten.

Alle Unternehmen bestimmter Sektoren ab gewissen Größen (z. B. IT, Gesundheit, Versorgung, Finanzen, Verwaltung) – auch viele Mittelständler.

Bußgelder bis 10 Mio. €, Reputationsverlust, persönliche Haftung der Geschäftsleitung.

ISMS, Risikomanagement, TOMs, Meldeprozesse, Schulungen, Governance-Strukturen und Nachweise.

Die Fristen zur Umsetzung sind national geregelt – Unternehmen sollten 2025 spätestens NIS-2-ready sein.

Mit GAP-Analyse, Umsetzungspartnern, Tools, Awareness-Formaten, Audits, Coaching und Dokumentationsunterstützung.

KRITIS steht für kritische Infrastrukturen – also Organisationen, deren Ausfall erhebliche Folgen für Gesellschaft, Staat oder Wirtschaft hätte.

Unternehmen aus den Bereichen Energie, Wasser, Gesundheit, IT, Transport, Verwaltung, Finanzen u. a. – abhängig von Größe und Relevanz.

BSI-KritisV, IT-Sicherheitsgesetz, NIS-2-Richtlinie sowie branchenspezifische Standards (z. B. B3S).

Nachweise eines hohen Sicherheitsniveaus, ISMS, BCM, Meldepflichten, regelmäßige Audits und Dokumentation.

Mit GAP-Analyse, ISMS, BCM, B3S-Integration, Awareness-Formaten, Tools (DocSetMinder) und vollständiger Auditvorbereitung.

Die Kosten richten sich nach Branche, Reifegrad und Umfang – wir erstellen gern ein individuelles Angebot.

Ein Informationssicherheits-Managementsystem (ISMS) strukturiert alle Maßnahmen zur Sicherung sensibler Informationen – technisch, organisatorisch und personell.

Zur Abwehr von Angriffen, Minimierung von Risiken, Nachweisbarkeit bei Vorfällen und Erfüllung gesetzlicher Anforderungen.

ISO/IEC 27001, BSI IT-Grundschutz, branchenspezifische Ableitungen (z. B. NIS-2).

Abhängig vom Reifegrad: von wenigen Monaten bis zu einem Jahr – wir strukturieren den Prozess effizient.

Mit GAP-Analyse, Roadmap, Tools, Dokumentation, Schulung, Awareness, Audits und Coaching – individuell skalierbar.

Die Kosten richten sich nach Unternehmensgröße, Zielsetzung und gewünschtem Leistungsumfang – wir erstellen gern ein Angebot.

Ein strukturierter Abgleich zwischen dem IST-Zustand Ihrer Sicherheitsmaßnahmen und den SOLL-Anforderungen aus Normen wie ISO 27001, BSI oder NIS-2.

Immer dann, wenn Sie eine Sicherheitsbewertung, eine Zertifizierungsvorbereitung oder eine strategische Standortbestimmung benötigen.

Interviews, Dokumentenprüfung, Reifegradmodelle und normbasierte Bewertungsverfahren.

Je nach Umfang zwischen wenigen Tagen und mehreren Wochen – wir passen uns Ihrem Zeitplan an.

Ja. Unsere GAP-Analysen sind skalierbar – von KMU bis KRITIS.

Ja. Sie erhalten einen priorisierten Maßnahmenkatalog mit Aufwand-Nutzen-Bewertung.