CyberRisikoCheck nach DIN SPEC 27076. Einordnung statt Annahme.
Der CyberRisikoCheck ist eine strukturierte IT-Sicherheitsbewertung nach BSI-Standard DIN SPEC 27076 für Unternehmen mit 10 bis 250 Mitarbeitenden — als Festpreis, ohne IT-Vorkenntnisse, in zwei bis drei Wochen.
2–3 Wochen vom Erstgespräch bis zum Bericht
KMU 10–250 Mitarbeitende ohne strukturierte Sicherheitsbewertung
Risikoeinstufung nach BSI-Standard + priorisierte Handlungsempfehlungen
Geschäftsführung & IT-Leitung gemeinsam, 90 Min Interview
IT-Security ist kein Technik-Thema.
Sondern Strukturfrage.
IT-Security wird häufig als technisches Thema verstanden. In der Praxis entscheiden nicht Tools über Sicherheit — sondern Struktur, Verantwortung und Einordnung.
Der CyberRisikoCheck nach DIN SPEC 27076 ist ein vom BSI entwickeltes Analyseverfahren für Unternehmen bis 250 Mitarbeitende. Er schafft eine strukturierte, nachvollziehbare Bewertung — ohne IT-Vorwissen, ohne Wochenprojekt.
Das Ergebnis: Ein klares Bild Ihrer Sicherheitslage. Priorisierte Handlungsempfehlungen. Ein Dokument, das Sie intern weiternutzen können.
Acht Bereiche.
Strukturiert geprüft.
Organisatorisch und technisch — nach BSI-Logik. Jeder Bereich wird in einem strukturierten Interview erhoben und im Bericht priorisiert.
Netzwerk & Infrastruktur
Firewall · Segmentierung · Zugänge
Wie ist das Netzwerk aufgebaut? Welche Übergänge sind kontrolliert? Wer kommt von wo ins System?
Identitäten & Zugriffsrechte
Wer darf was
Intern und extern: Berechtigungen, Multi-Faktor-Authentifizierung, Lifecycle. Häufigste Lücke im Mittelstand.
Datensicherung & Wiederherstellung
Backup · Recovery
Wie wird gesichert? Wie schnell ist eine Wiederherstellung — und wann wurde sie zuletzt getestet?
Patch- & Update-Management
Aktualität der Systeme
Wer ist verantwortlich? Welche Systeme bleiben hinten dran? Welche Lücken sind bekannt aber nicht geschlossen?
Incident Response
Wenn etwas passiert
Wer wird wann informiert? Wer entscheidet? Wer dokumentiert? Was wird zuerst getan, was später?
Dienstleister & Abhängigkeiten
Externe Risiken · SLAs
Welche Drittparteien haben Zugriff? Welche SLAs gelten? Was passiert bei Ausfall des Dienstleisters?
Organisatorische Maßnahmen
Verantwortung · Doku
Wer trägt IT-Sicherheit im Unternehmen? Was ist dokumentiert? Wo gibt es nur mündliche Übereinkünfte?
Awareness & Verhalten
Menschliche Faktoren
Wie geschult sind Mitarbeitende? Wie gut werden Phishing-Versuche erkannt? Welche Routinen sind etabliert?
Drei Schritte.
Kein Wochenprojekt.
-
01
Erstgespräch
Kostenfrei, ohne Vorbereitung. Wir klären, ob der CyberRisikoCheck zu Ihrer Situation passt — und was Sie konkret erwartet.
20 Min · remote oder vor Ort
-
02
Strukturiertes Interview
Ein geführtes Gespräch nach DIN SPEC 27076. Keine Fragebögen, keine Technik-Überflutung. Ich frage, Sie antworten — ich übersetze das in eine Sicherheitsbewertung.
90 Min · semistrukturiertes Leitfadeninterview
-
03
Ergebnisbericht & Nachgespräch
Sie erhalten einen schriftlichen Bericht: Bewertung, Risikoeinstufung, priorisierte Maßnahmen. Wir besprechen ihn gemeinsam. Was Sie danach tun, entscheiden Sie.
Bericht + Nachgespräch · in der Regel 2–3 Wochen ab Erstgespräch
Wer den Check
wirklich braucht.
- + KMU mit 10–250 Mitarbeitenden ohne bisherige strukturierte Sicherheitsbewertung.
- + Unternehmen, die NIS‑2-Pflichten einschätzen oder erfüllen müssen.
- + Geschäftsführer, die persönliche Haftungsrisiken verstehen wollen.
- + Unternehmen vor Abschluss oder Prüfung einer Cyberversicherung.
- + Jedes Unternehmen, das wissen will: Wo sind wir heute angreifbar?
Was ich nach 30 Jahren Mittelstandspraxis
immer wieder sehe.
Nicht weil diese Unternehmen nachlässig sind — sondern weil IT-Sicherheit im Alltag zwischen Betrieb, Zeitdruck und fehlendem Fachwissen oft liegen bleibt.
Passwort-Richtlinien ohne Durchsetzung
Passwörter
In der überwiegenden Mehrheit der CyberRisikoChecks fehlt eine durchgesetzte Passwort-Richtlinie. Multi-Faktor-Authentifizierung ist die Ausnahme, nicht die Regel — auch für administrative Zugänge.
Das Passwort „Sommer2024!“ schützt Ihr Unternehmen nicht. Es gibt Angreifern nur etwas mehr Zeit.
Backups, die nie getestet wurden
Backup
Bei fast allen geprüften Unternehmen existiert eine Backup-Lösung. Bei den wenigsten wurde der Restore jemals getestet. Der Unterschied ist der zwischen einer Versicherungspolice und einer, die im Schadensfall auch zahlt.
Ein Backup das nie getestet wurde ist kein Backup — es ist ein gutes Gefühl mit unbekanntem Ablaufdatum.
Blindes Vertrauen in Tools
Firewall & Virenschutz
Firewall und Virenschutz sind notwendig — aber kein Sicherheitskonzept. In der Praxis ersetzen sie häufig das Nachdenken über Architektur, Segmentierung und Verantwortlichkeiten.
Eine Firewall schützt Sie vor dem, was sie kennt. Alles andere kommt trotzdem durch.
Keine strukturierte Mitarbeitersensibilisierung
Awareness
Technische Maßnahmen fangen viel ab — aber nicht alles. Der Mensch bleibt der häufigste Einfallsweg. In den meisten KMU gibt es keine strukturierte Awareness: keine Schulung, kein Test, keine Routine.
Ihre Firewall hat noch nie auf einen Phishing-Link geklickt. Ihre Mitarbeitenden schon.
Genau diese Muster macht der CyberRisikoCheck nach DIN SPEC 27076 sichtbar — strukturiert, priorisiert, ohne IT-Vorkenntnisse.
Orientierung
zum Aufwand.
Festpreis statt Stundenabrechnung. Die Tabelle dient der sachlichen Orientierung — beide Pakete enthalten das volle Interview, den schriftlichen Bericht und ein Ergebnisgespräch.
| Leistung | Basis | Plus |
|---|---|---|
| Erstgespräch | ✓ kostenfrei | ✓ kostenfrei |
| Analyse-Interview (90 Min.) | ✓ enthalten | ✓ enthalten |
| Auswertung & Risikoeinstufung nach DIN SPEC 27076 | ✓ enthalten | ✓ enthalten |
| Schriftlicher Ergebnisbericht | ✓ enthalten | ✓ enthalten |
| Ergebnisgespräch | ✓ enthalten | ✓ enthalten |
| Priorisierter Maßnahmenplan | — | ✓ enthalten |
| Vertiefendes Nachgespräch | — | ✓ enthalten |
| Festpreis netto | 800 € | 1.200 € |
Hinweis auf verfügbare Förderprogramme (BAFA, Landesprogramme) im Abschlussbericht enthalten, soweit anwendbar.
Bis zu 50 % über das NRW-Programm MID-Digitale Sicherheit.
Für KMU mit Sitz in Nordrhein-Westfalen ist die strukturierte Ist-Analyse als Schwerpunkt A über MID-Digitale Sicherheit förderfähig. 50 % Förderquote, maximal 15.000 € pro Vorhaben.
Wichtig: Auftragnehmer und Auftraggeber müssen unterschiedlich sein. Ich übernehme die Ist-Analyse — den Antrag stellen Sie selbst. Eine antragsfertige PDF-Vorlage schicke ich Ihnen kostenfrei zu.
Kontinuität statt Einmal-Beratung. Je nach Zusammenarbeit stehen Orientierung, Dokumentation und der aktuelle Stand zusätzlich über das Service-Cockpit zur Verfügung.
Was Entscheider
zum CyberRisikoCheck fragen.
01 Brauche ich IT-Vorkenntnisse? +
Nein. Das Interview ist so aufgebaut, dass ich die technische Übersetzung übernehme. Sie antworten auf konkrete Fragen zu Ihrer Organisation — ich bewerte die Sicherheitslage daraus.
02 Wie lange dauert das? +
In der Regel zwei bis drei Wochen von Erstgespräch bis Bericht. Terminierung und Durchführung lassen sich in einem Tag bündeln.
03 Ist das ein Penetrationstest? +
Nein. Der CyberRisikoCheck ist eine strukturierte Sicherheitsbewertung — organisatorisch und technisch. Kein Angriffssimulations-Test. Er ist breiter angelegt und für KMU ohne großes IT-Budget konzipiert.
04 Gilt das für NIS-2? +
Der Check ist kein NIS‑2-Audit. Er deckt jedoch viele der relevanten Bereiche ab und kann als Grundlage für NIS‑2-Maßnahmen dienen. Was danach zu tun ist, besprechen wir im Nachgespräch — mehr Details zur Compliance-Triade.
05 Was passiert mit den Informationen? +
Das Interview wird nicht aufgezeichnet. Alle Informationen werden vertraulich behandelt. Der Bericht gehört Ihnen.
Wissen, wo Sie stehen —
bevor es jemand anderes zeigt.
Erstgespräch anfragen — 20 Minuten, kostenfrei, ohne Vorbereitung. Kein Verkaufsgespräch, ehrliche Einordnung.