Schutz, der hält wenn es ernst wird.
Informationssicherheit ist keine einmalige Aufgabe. Wir begleiten Sie von der ersten Gap-Analyse bis zur erfolgreichen Zertifizierung und darüber hinaus.
Das BKA verzeichnete 2025 über 333.000 Cybercrime-Fälle in Deutschland, ein neuer Höchststand. Der wirtschaftliche Schaden erreichte 202 Milliarden Euro, rund 4,5 Prozent des Bruttoinlandsprodukts. Laut BSI Bundeslagebild sind 80 Prozent aller Ransomware-Opfer kleine und mittlere Unternehmen. Zugleich zeigt die Schadensbilanz, dass 64 Prozent der betroffenen KMU ihre Daten nach einer Lösegeldzahlung nicht vollständig wiederherstellen können. Gleichzeitig wachsen die regulatorischen Anforderungen durch NIS2, KRITIS-DachG und den Cyber Resilience Act.
Ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) ist vor diesem Hintergrund keine Kür, sondern Grundlage für belastbare Geschäftsbeziehungen. Wir helfen Ihnen, die für Ihr Unternehmen relevanten Normen und gesetzlichen Anforderungen zu identifizieren, effizient umzusetzen und im Betrieb zu verankern. Ohne unnötigen Overhead.
Hintergrund
Zwei neue Anforderungsrahmen erweitern das Pflichtenprogramm für Hersteller und Betreiber digitaler Systeme: Der Cyber Resilience Act (CRA) ist seit Dezember 2024 in Kraft. Am 11. Juni 2026 wird der Notifizierungsrahmen für Konformitätsbewertungsstellen anwendbar. Ab 11. September 2026 greifen die Meldepflichten nach Art. 14 CRA: Hersteller müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an ENISA melden. Der vollständige Anforderungsrahmen gilt ab Dezember 2027. Parallel hat das BSI im April 2026 den ersten Leitfaden zur Methodik BSI-Grundschutz++ veröffentlicht. Grundschutz++ nutzt den maschinenlesbaren OSCAL-Standard, folgt dem PDCA-Zyklus und deckt Cloud- und KI-Umgebungen besser ab. Die parallele Nutzung beider Methoden ist bis 2028 möglich. Ab dann soll Grundschutz++ verbindlich werden.
Hintergrund
Das BSI hat im Mai 2026 kritische Schwachstellen in zwei weit verbreiteten Unternehmensanwendungen gewarnt: Ivanti EPMM (CVE-2026-1281, CVE-2026-1340, CVSS 9.8) erlaubt Remote Code Execution ohne Authentifizierung; deutsche Behörden und KRITIS-Betreiber waren betroffen. Fortinet-Produkte (CVE-2026-24858, CVSS 9.8) umfassen FortiOS, FortiAnalyzer, FortiManager und FortiProxy und ermöglichen über eine Schwachstelle in der SAML-SSO-Schnittstelle die vollständige Systemübernahme.
Das BSI-CVD-Team hat seit dem 4. Mai 2026 keine neuen Schwachstellenmeldungen außerhalb der Bundesverwaltung veröffentlicht. Betreiber kritischer Systeme sollten BSI-Sicherheitswarnungen aktiv beziehen und Patches priorisieren.
Wir helfen beim Aufbau & Betrieb
ISMS aufbauen & betreiben
Von der Scoping-Entscheidung über Risikobehandlung bis zum laufenden Betrieb. Wir strukturieren Ihre Informationssicherheit nachhaltig und auditfest.
Risikomanagement
Strukturierte Risikoidentifikation, -bewertung und -behandlung nach ISO 27005. Verständlich dokumentiert und direkt in den ISMS-Betrieb integriert.
Informationssicherheits-Audits
Interne Audits, Gap-Analysen und Zertifizierungsbegleitung. Wir bereiten Ihr ISMS auf externe Prüfungen vor und begleiten Sie durch den gesamten Auditprozess.
Schulung & Awareness
Technische Maßnahmen greifen nur, wenn Menschen sie mittragen. Wir entwickeln zielgruppengerechte Schulungen, die im Alltag ankommen.
Sicherheitsvorfälle
Strukturierte Reaktion auf Sicherheitsvorfälle: von der ersten Einschätzung über die Meldepflicht bis zur Dokumentation und Ursachenanalyse.
Behördenkommunikation
Art. 33 Datenpannen-Meldungen, NIS2/BSI-Meldepflichten, Behördenanfragen: Wir begleiten Sie bei der Kommunikation mit Aufsichtsbehörden. Sicher und fristgerecht.
Audit-Services
Systematischer Soll-Ist-Abgleich gegen die relevante Norm oder den Prüfrahmen — für alle relevanten Compliance-Bereiche.
Richtlinien & Dokumentation
IS-Policy, Passwort- und Zugriffsrichtlinien sowie operative Vorgaben. Das Fundament jeder prüfungsfesten Informationssicherheitsorganisation.
Standards, die wir umsetzen
ISO 27001
Der führende internationale Standard für Informationssicherheitsmanagementsysteme. Wir begleiten Sie von der Gap-Analyse bis zum Zertifizierungsaudit.
TISAX
Branchenstandard der Automobilindustrie (VDA ISA). Pflicht für Zulieferer und Dienstleister. Wir bereiten Sie effizient auf die TISAX-Prüfung vor.
DORA
Digital Operational Resilience Act ist seit Januar 2025 verpflichtend für Finanzunternehmen und ihre IKT-Dienstleister. Wir sichern Ihre Compliance.
SOC 2
Sicherheitsnachweis für internationale Kunden und Partner: Wir begleiten Sie durch die Trust Service Criteria und den Auditprozess für Typ I und Typ II.
NIS2
Erweiterte Cybersicherheitsanforderungen für 18 Sektoren. Wir prüfen Ihre Betroffenheit, strukturieren die Umsetzung und übernehmen die Meldeprozesse.
KRITIS
Besondere Anforderungen nach NIS2UmsuCG und KRITIS-DachG für Betreiber kritischer Infrastrukturen. Von der Betroffenheitsanalyse bis zum Nachweis geeigneter Maßnahmen.
BSI C5
Cloud Computing Compliance Controls Catalogue des BSI. Pflichtanforderung für Behörden und zunehmend Standard im Unternehmenseinsatz.
Cyber Resilience Act
EU-Verordnung für Hersteller von Produkten mit digitalen Elementen. Meldepflichten ab September 2026, vollständige Anforderungen ab Dezember 2027.
BSI C5:2026
Systematischer Abgleich Ihrer bestehenden C5:2020-Basis mit den neuen Anforderungen. Rechtzeitig auf den Prüfrahmen 2026 vorbereiten.
Hintergrundwissen zur Informationssicherheit.
BSI IT-Grundschutz
Methodik, Absicherungsstufen, Kompendium und Zertifizierung. Und wie IT-Grundschutz und ISO 27001 zusammenhängen.
Post-Quanten-Kryptographie
Quantencomputer bedrohen RSA und ECC. NIST-Standards, BSI-Empfehlungen und wie die Migration zu quantenresistenter Kryptographie gelingt.
NIS2-Prüfphase
Sektorcheck, Größenschwellen, Einrichtungstyp und BSI-Registrierung. Die NIS2-Betroffenheit strukturiert feststellen und die Umsetzung planen.
Ransomware-Prävention
Wie Ransomware-Angriffe ablaufen, was Double Extortion bedeutet und welche Schutzmaßnahmen KMU konkret ergreifen sollten.
SBOM & CRA-Anforderungen
Was eine Software Bill of Materials ist, warum der Cyber Resilience Act sie vorschreibt und wie die Umsetzung für KMU aussieht.
Phishing-resistente MFA
Warum TOTP nicht mehr reicht, was AiTM-Angriffe sind und wie FIDO2 und Passkeys die NIS2-Anforderung an phishing-resistente Authentifizierung erfüllen.
NIS2-Checkliste
Bin ich NIS2-pflichtig? Schritt-für-Schritt-Prüfung für Unternehmen: Sektorzuordnung, Schwellenwerte und konkreter Handlungsbedarf.
KRITIS-Checkliste
Bin ich KRITIS-Betreiber nach KRITIS-DachG? Sektorprüfung, Schwellenwerte, Registrierungspflicht und Fristen auf einen Blick.
DORA-Checkliste
Bin ich DORA-pflichtig? Betroffenheitsprüfung für Finanzunternehmen und IKT-Drittdienstleister mit konkreten Handlungsschritten.
Welche Norm ist für Sie relevant?
Nicht jede Anforderung trifft jedes Unternehmen. Im kostenlosen Erstgespräch analysieren wir Ihren Kontext und empfehlen den richtigen Einstieg.
Erstgespräch buchen