Wir sind ein kleines Unternehmen. Lohnt sich IT-Sicherheit für uns?

Gerade für euch. 80 % der Ransomware-Angriffe in Deutschland treffen kleine und mittlere Unternehmen. Große Unternehmen haben eigene Security-Teams und Budgets. Ihr nicht. Dafür sind eure Strukturen überschaubarer: Mit einem CyberRisikoCheck für 500 € wisst ihr in einem Termin, wo ihr steht.

Was kostet IT-Sicherheit für den Mittelstand?

Ein CyberRisikoCheck nach DIN SPEC 27076 kostet 500 € netto (Festpreis). Ein Pentest liegt bei 2.000–10.000 €. Ein externer ISB beginnt bei 140 € monatlich. ISMS-Aufbau ab 4.000 €. Im Erstgespräch klären wir, was für euch sinnvoll ist — kostenlos und unverbindlich.

Wie läuft ein Erstgespräch ab?

15–30 Minuten, per Telefon oder Video — oder bei euch vor Ort in der Region Kassel. Wir stellen Fragen, ihr erzählt. Am Ende wisst ihr, ob wir die Richtigen seid. Kein Angebot vorab, kein Verkaufsgespräch.

Betrifft uns NIS2 — und was müssen wir tun?

NIS2 betrifft seit Oktober 2024 deutlich mehr Unternehmen — auch viele Mittelständler, die bisher nicht unter KRITIS fielen. Wir prüfen, ob ihr betroffen seid, und zeigen die konkreten Schritte — ohne Panik und ohne Juristendeutsch.

Wir hatten schon einen Berater. Hat nichts gebracht.

Das hören wir oft. Meistens lag es daran, dass nach dem Bericht niemand bei der Umsetzung geholfen hat. Wir bleiben, bis die Maßnahmen stehen — nicht als Bericht, sondern als gelebte Praxis.

Können wir klein anfangen?

Ja — und das empfehlen wir sogar. Gute IT-Sicherheit für den Mittelstand muss nicht mit einem Großprojekt starten. Oft ist ein CyberRisikoCheck (500 €, ein Termin) der beste Einstieg.

Arbeitet ihr nur in der Region Kassel?

Unser Büro ist in Lohfelden bei Kassel. Viele Kunden sind in Nordhessen und Rhein-Main. Aber wir arbeiten auch bundesweit — vieles geht per Video und Remote.

ISMS-Aufbau & ISO 27001-Zertifizierung · Kassel & bundesweit

ISMS-Aufbau & ISO 27001-Zertifizierung für den Mittelstand — pragmatisch, lebbar, ohne Papiertiger.

Q: Brauchen wir wirklich eine ISO 27001-Zertifizierung?

Nicht unbedingt — und wir sagen euch ehrlich, wenn ihr sie nicht braucht. Für viele Mittelständler ist ein ISMS ohne Zertifizierung der sinnvollere erste Schritt — günstiger, schneller, trotzdem strukturiert.

ISO 27001, ISMS, Zertifizierung — klingt nach Konzern. Muss es aber nicht sein. Wir bauen mit euch ein System auf, das zu eurer Größe passt und das euer Team auch wirklich lebt. Kein Ordner im Schrank. Für Unternehmen in Kassel, Nordhessen und ganz Deutschland.

ab 4.000 €

Projektbezogen, abhängig von Ausgangslage und Umfang.

Ø 9 Monate

vom ersten Gespräch bis zum fertigen System — neben eurem Tagesgeschäft, nicht statt ihm.

Kein Dokument ohne Zweck — jede Richtlinie, die wir erstellen, hat einen konkreten Grund.

ISO 27001 Lead Auditor · ISO 27017/27018 · CISSP zertifiziert.

NIS2 betrifft euch? Ein ISMS ist der effizienteste Weg zur Compliance.

NIS2 verpflichtet betroffene Unternehmen unter anderem dazu, ein Risikomanagement für IT-Sicherheit einzuführen, technische und organisatorische Maßnahmen umzusetzen, Sicherheitsvorfälle zu dokumentieren und zu melden sowie die Geschäftsführung in die Verantwortung zu nehmen.

Ein ISMS nach ISO 27001 erfüllt genau diese Anforderungen — strukturiert, nachweisbar, auditfest. Statt NIS2, DSGVO und ISO 27001 als drei separate Projekte anzugehen, baut ihr einmal ein System, das alle drei abdeckt.

Das bedeutet: Wer ohnehin ein ISMS aufbauen muss oder will, erfüllt NIS2-Anforderungen quasi im selben Schritt. Kein Doppelaufwand, kein separates NIS2-Projekt.

Was meistens schiefgeht — nicht an der Norm, sondern an der Umsetzung.

Jemand sagt: Wir brauchen ein ISMS. Also werden Templates heruntergeladen, Richtlinien geschrieben, Dokumente erstellt. Drei Monate später hat niemand mehr reingeschaut. Das ISMS existiert — auf dem Papier. Im Alltag merkt es keiner.

Oder: Ein Berater baut ein System auf, das für 5.000 Mitarbeiter gedacht ist. Für euer 80-Personen-Unternehmen ist es unbenutzbar. Zu komplex, zu aufwändig, zu weit weg vom Tagesgeschäft.

Das Problem ist nicht die Norm. Es ist ein System, das niemand lebt.

Für wen ist ein ISMS oder eine ISO 27001-Zertifizierung richtig?

Ein Kunde, Partner oder Großauftraggeber verlangt den Nachweis.

ISO 27001 ist in vielen Branchen zum Standard-Qualifikationsmerkmal geworden — besonders in IT-Dienstleistung, Automotive (TISAX), Finanzdienstleistung und im regulierten Gesundheitswesen. Wer ohne Zertifizierung aus Ausschreibungen fliegt, braucht einen klaren Plan.

NIS2 betrifft euch — und ihr wollt es einmal richtig machen.

Statt NIS2 als separates Compliance-Projekt zu behandeln, baut ihr ein ISMS, das NIS2, DSGVO und ISO 27001 gleichzeitig abdeckt. Effizient, nachweisbar, zukunftssicher.

Ihr habt IT-Sicherheitsmaßnahmen — aber kein System dahinter.

Firewall, Virenscanner, Backup — gut. Aber wer ist verantwortlich, wenn etwas schiefgeht? Was passiert bei einem Vorfall? Wer darf auf was zugreifen? Ein ISMS beantwortet diese Fragen strukturiert.

Ihr habt schon mit einem ISMS angefangen — und es ist eingeschlafen.

Das passiert häufig. Wir schauen uns an, was da ist, und bauen darauf auf. Kein Neustart, wenn es nicht sein muss.

Wie wir vorgehen — kein System von der Stange, aber ein klarer roter Faden.

Nicht sicher, ob ihr ein ISMS braucht? Unser CyberRisikoCheck (500 €, ein Termin) zeigt euch, wo ihr steht — und ob ein ISMS der richtige nächste Schritt ist.

Sichten: Was habt ihr schon — und was davon ist brauchbar?

Wir starten mit einer ehrlichen Bestandsaufnahme. Richtlinien, Prozesse, Dokumentation, frühere Audits — was existiert, was davon taugt, was fehlt. Viele Unternehmen haben mehr als sie denken. Es fehlt nur die Struktur. Wir fangen nicht bei null an, wenn es nicht sein muss.

Ergebnis: Ihr wisst, was fehlt — und was ihr euch sparen könnt.

Bestandsaufnahme · Gap-Analyse · Bestehendes nutzen

Aufbauen: Nur, was ihr wirklich braucht.

Richtlinien, Prozesse, Dokumentation — aber ausschließlich das, was zu eurer Größe und eurem Alltag passt. Kein Dokument ohne konkreten Zweck. Kein Prozess, den niemand lebt. Wir schreiben keine Templates, wir bauen euer System.

Ergebnis: Ein ISMS, das euer Team versteht und tatsächlich anwendet.

Richtlinien · Prozesse · Dokumentation · Maßnahmen

Zertifizieren: Wenn und falls ihr es braucht.

Wenn ISO 27001 euer Ziel ist, bereiten wir euch vollständig auf das externe Audit vor. Wenn nicht, bekommt ihr trotzdem ein System, das hält — auch ohne Zertifikat an der Wand. Wir sagen euch ehrlich, ob die Zertifizierung für eure Situation sinnvoll ist.

Ergebnis: Zertifizierung wenn sinnvoll — solides ISMS in jedem Fall.

ISO 27001 · Audit-Vorbereitung · Zertifizierung · ab 4.000 €

Aus der Praxis · Kassel

„Unser vorheriger Dienstleister hat uns nicht weitergebracht. NIS2 lief ab — und wir standen ohne funktionierendes ISMS da."

Ein Müllheizkraftwerk mit 80 Mitarbeitern aus Kassel — KRITIS-Unternehmen, von NIS2 direkt betroffen. Die gesetzlichen Fristen liefen. Ein ISMS existierte auf dem Papier, aber nicht in der Praxis. Der bisherige Dienstleister hatte weder geliefert noch Vertrauen geschaffen. Der Zeitdruck war real — und die Ausgangslage schlechter als gedacht.

Was wir gemacht haben:

Gap-Analyse des Ist-Zustands gegen ISO 27001 und NIS2-Anforderungen. Organisatorische und technische Beratung, Unterstützung bei der Dokumentation, internes Audit und vollständige Vorbereitung auf das Zertifizierungsaudit — alles neben dem laufenden Betrieb. In knapp einem Jahr zum Zertifikat.

BRANCHE

Stromerzeugung (KRITIS)

GRÖSSE

80 Mitarbeiter

DAUER

Ca. 1 Jahr

ERGEBNIS

ISO 27001 zertifiziert / externer ISB beauftragt

Was sich danach ändert.

01

Ihr habt ein System, das zu eurer Größe passt — nicht zu groß, nicht zu klein, nicht für einen Konzern gebaut.

02

Ihr könnt Kunden, Versicherungen und Auditoren zeigen, wo ihr steht. Nicht mit einem Bauchgefühl, sondern mit Dokumentation, die standhält.

03

Euer Team weiß, was zu tun ist. Nicht nur die IT — alle. Weil das System verständlich ist und wirklich gelebt wird.

Und wenn sich Vorschriften ändern — NIS2-Updates, neue Kundenanforderungen, DSGVO-Anpassungen — habt ihr ein System, das man erweitern kann. Kein Neustart, sondern eine Grundlage.

Was wir nicht versprechen.

Ein ISMS macht euch nicht über Nacht sicher. Es ist ein Rahmen, kein Schutzschild. Wer euch sagt, nach der Zertifizierung seid ihr fertig, hat nicht verstanden, wie IT-Sicherheit funktioniert. Ein ISMS ist kein Projekt, das man abschließt — es ist ein System, das man lebt.

Was wir versprechen.

Ein System, das lebt. Das zu eurem Unternehmen passt. Das euer Team auch ein Jahr nach dem Audit noch nutzt — nicht nur am Tag des Audits. Wir sind für euch da. Auch wenn Fragen kommen oder sich Anforderungen ändern.

HÄUFIG KOMBINIERT

Bewusstsein schaffen

Ein System funktioniert nur, wenn euer Team es versteht und lebt. Security Awareness Training schließt die menschliche Lücke

LANGFRISTIG

Euer Sicherheitsmensch

Jemand, der das ISMS weiterentwickelt und lebt — als externer ISB, der eure Systeme kennt wie seine eigenen. Ab 140 €/Monat.

BEI BEDARF

Schwachstellen finden

Euer ISMS definiert Maßnahmen. Ein Pentest prüft, ob sie greifen — und ob neue Lücken entstanden sind.

Fragen zum ISMS-Aufbau und zur ISO 27001-Zertifizierung.

Was ist ein ISMS — und brauchen wir wirklich eines?

Ein Informationssicherheits-Managementsystem (ISMS) ist ein strukturiertes System aus Richtlinien, Prozessen und Maßnahmen, das IT-Sicherheit in einem Unternehmen systematisch und nachweisbar umsetzt. Ob ihr eines braucht, hängt von eurer Situation ab: Wenn Kunden oder Partner einen Nachweis verlangen, NIS2 euch betrifft oder ihr IT-Sicherheit endlich strukturiert angehen wollt, ist ein ISMS der sinnvollste Weg. Wir beraten euch ehrlich — auch wenn das Ergebnis ist, dass ihr keins braucht.

Brauchen wir wirklich ISO 27001?

Nicht unbedingt. Eine ISO 27001-Zertifizierung lohnt sich, wenn Kunden oder Partner sie verlangen, ihr im regulierten Umfeld arbeitet (KRITIS, Finanzdienstleistung, Automotive/TISAX) oder ihr nachweisbar zeigen wollt, dass IT-Sicherheit bei euch System hat. Für viele Mittelständler ist ein ISMS ohne Zertifizierung der bessere erste Schritt — gleiche Struktur und Sicherheit, ohne den Audit-Aufwand. Falls ihr später zertifizieren wollt, ist die Basis bereits gelegt.

Hilft ein ISMS auch bei NIS2 und DSGVO?

Ja — und das ist einer der größten praktischen Vorteile. Ein ISMS nach ISO 27001 deckt einen Großteil der NIS2-Anforderungen ab: Risikomanagement, technische und organisatorische Maßnahmen, Dokumentation, Incident Management. Auch für die DSGVO ist ein ISMS die strukturierte Grundlage, um den Schutz personenbezogener Daten nachweisbar umzusetzen. Wer regulatorischen Anforderungen gegenübersteht, ist mit einem ISMS-Aufbau oft effizienter als mit drei separaten Compliance-Projekten.

Wie lange dauert der Aufbau eines ISMS?

In der Regel 6–12 Monate, abhängig von eurer Ausgangslage und Unternehmensgröße. Wenn ihr schon Dokumentation habt, geht es schneller. Wenn ihr bei null startet, planen wir realistisch. Wichtig: Wir bauen das ISMS neben eurem Tagesgeschäft auf — in Schritten, die in euren Alltag passen.

Wir haben schon ein ISMS angefangen. Es ist eingeschlafen.

Das passiert häufig — meistens weil nach dem ersten Schwung niemand mehr drangeblieben ist, oder weil das System zu komplex für eure Größe war. Wir schauen uns an, was da ist: Was ist brauchbar? Was fehlt? Was ist überflüssig? Oft müssen wir nicht von vorne anfangen, sondern das Bestehende auf eure Realität zuschneiden. Das ist günstiger und schneller als ein Neustart.

Was kostet ein ISMS-Aufbau oder eine ISO 27001-Zertifizierung?

Der ISMS-Aufbau beginnt ab 4.000 € netto. Der genaue Preis hängt von eurer Unternehmensgröße, eurer Ausgangslage und dem angestrebten Umfang ab. Die ISO 27001-Begleitung bis zum Audit ist umfangreicher und liegt entsprechend höher. Im Erstgespräch schätzen wir den Aufwand ehrlich ein — ohne versteckte Kosten. Alle Orientierungswerte findet ihr auf unserer Seite So arbeiten wir.

Macht ihr das auch außerhalb von Kassel?

Ja. Unser Büro ist in Lohfelden bei Kassel, viele Kunden kommen aus Nordhessen und dem Rhein-Main-Gebiet. ISMS-Aufbau und ISO 27001-Begleitung machen wir aber auch bundesweit — vieles läuft per Video und remote, für Workshops und Vor-Ort-Termine kommen wir zu euch.

Echte Menschen. Kein Chatbot. Kein Callcenter.

Wenn ihr bis hierher gelesen habt, beschäftigt euch das Thema — wahrscheinlich schon länger als ihr zugeben würdet. Meldet euch für ein ehrliches Gespräch darüber, ob und wie ein ISMS zu euch passt.

Lieber direkt anrufen?

0561 9402 6666

Mo–Fr · 08:00–16:30 · Timm, Philipp oder Jan gehen ran.

Lieber selbst einen Termin wählen?

15–30 Min · kostenlos · unverbindlich Ihr bekommt kein Angebot, das ihr nicht wollt.