Wir sind ein kleines Unternehmen. Lohnt sich IT-Sicherheit für uns?

Gerade für euch. 80 % der Ransomware-Angriffe in Deutschland treffen kleine und mittlere Unternehmen. Große Unternehmen haben eigene Security-Teams und Budgets. Ihr nicht. Dafür sind eure Strukturen überschaubarer: Mit einem CyberRisikoCheck für 500 € wisst ihr in einem Termin, wo ihr steht.

Was kostet IT-Sicherheit für den Mittelstand?

Ein CyberRisikoCheck nach DIN SPEC 27076 kostet 500 € netto (Festpreis). Ein Pentest liegt bei 2.000–10.000 €. Ein externer ISB beginnt bei 140 € monatlich. ISMS-Aufbau ab 4.000 €. Im Erstgespräch klären wir, was für euch sinnvoll ist — kostenlos und unverbindlich.

Wie läuft ein Erstgespräch ab?

15–30 Minuten, per Telefon oder Video — oder bei euch vor Ort in der Region Kassel. Wir stellen Fragen, ihr erzählt. Am Ende wisst ihr, ob wir die Richtigen seid. Kein Angebot vorab, kein Verkaufsgespräch.

Betrifft uns NIS2 — und was müssen wir tun?

NIS2 betrifft seit Oktober 2024 deutlich mehr Unternehmen — auch viele Mittelständler, die bisher nicht unter KRITIS fielen. Wir prüfen, ob ihr betroffen seid, und zeigen die konkreten Schritte — ohne Panik und ohne Juristendeutsch.

Brauchen wir wirklich eine ISO 27001-Zertifizierung?

Nicht unbedingt — und wir sagen euch ehrlich, wenn ihr sie nicht braucht. Für viele Mittelständler ist ein ISMS ohne Zertifizierung der sinnvollere erste Schritt — günstiger, schneller, trotzdem strukturiert.

Wir hatten schon einen Berater. Hat nichts gebracht.

Das hören wir oft. Meistens lag es daran, dass nach dem Bericht niemand bei der Umsetzung geholfen hat. Wir bleiben, bis die Maßnahmen stehen — nicht als Bericht, sondern als gelebte Praxis.

Können wir klein anfangen?

Ja — und das empfehlen wir sogar. Gute IT-Sicherheit für den Mittelstand muss nicht mit einem Großprojekt starten. Oft ist ein CyberRisikoCheck (500 €, ein Termin) der beste Einstieg.

Arbeitet ihr nur in der Region Kassel?

Unser Büro ist in Lohfelden bei Kassel. Viele Kunden sind in Nordhessen und Rhein-Main. Aber wir arbeiten auch bundesweit — vieles geht per Video und Remote.

Penetrationstest & Schwachstellenscan · Kassel & bundesweit · Für den Mittelstand

Ihr wisst, dass es Lücken gibt. Ihr wisst nur nicht, wo.

Ein ungutes Gefühl reicht als Grund. Wir finden heraus, wo eure IT angreifbar ist — und sagen euch, was davon wirklich dringend ist. Kein 80-Seiten-PDF. Ein klares Bild. Für Unternehmen in Kassel, Nordhessen und ganz Deutschland.

Ø 3 Tage

bis zu den ersten Ergebnissen — nicht drei Wochen, nicht „nach Projektabnahme“.

5 statt 80

Seiten — weil ein Bericht, den niemand liest, keine Sicherheit schafft.

1 Gespräch

Danach: Was ist dringend, was kann warten, was könnt ihr selbst schließen.

OSCP · CEH · CISSP · ISO 27001 zertifiziert

Was meistens schiefgeht — nicht beim Test, sondern danach.

Viele Unternehmen lassen einen Pentest machen und bekommen am Ende einen Bericht. 60, 80, manchmal über 100 Seiten. Voller CVSS-Scores und Fachbegriffe, die niemand im Tagesgeschäft entschlüsseln kann. Der Bericht wandert in einen Ordner. Nichts passiert.

Nicht aus Faulheit — sondern weil niemand die Brücke baut zwischen Befund und Handlung.

Genau das ist unser Job. Nicht nur Lücken finden. Sondern erklären, was sie bedeuten — und dranbleiben, bis sie geschlossen sind.

Für wen ist ein Pentest oder Schwachstellenscan?

Ihr habt eure IT noch nie systematisch prüfen lassen.

Ihr schützt euch — aber ob die richtigen Stellen geschützt sind, wisst ihr nicht. Ein Schwachstellenscan schafft in kurzer Zeit Klarheit: Was ist offen, was ist kritisch, was kann warten.

Ihr müsst ISO 27001, NIS2 oder Kundenanforderungen erfüllen.

Viele Zertifizierungen und Compliance-Anforderungen setzen eine dokumentierte Schwachstellenprüfung voraus. Wir liefern die Ergebnisse in einer Form, die auch bei einem Audit standhält.

Ihr habt neue Systeme oder Infrastruktur eingeführt.

Jede Veränderung in eurer IT kann neue Angriffsflächen schaffen — auch wenn sie gut geplant war. Ein gezielter Pentest nach größeren Änderungen ist keine Vorsichtsmaßnahme. Er ist Standard.

Ihr hattet einen Vorfall — oder habt ein ungutes Gefühl.

Eine verdächtige E-Mail, ein unklarer Netzwerkzugriff, ein Angriff auf ein ähnliches Unternehmen in eurer Branche. Ein ungutes Gefühl reicht als Grund. Wir schauen hin — ehrlich, ohne Panikmache.

Zwei Wege, Schwachstellen zu finden — welcher richtige ist, hängt von eurer Situation ab.

Was ist bekannt angreifbar — und warum ist es noch offen?

Schwachstellenscan: der schnelle, systematische Überblick

Ein Schwachstellenscan ist ein automatisierter, systematischer Check eurer IT-Infrastruktur. Er zeigt in kurzer Zeit, wo bekannte Sicherheitslücken bestehen: veraltete Software, offene Ports, Fehlkonfigurationen, ungepatchte Systeme. Der richtige Einstieg, wenn ihr noch keine systematische Prüfung hattet — oder regelmäßig prüfen wollt, ob neue Lücken entstanden sind.

Automatisiert · Infrastruktur · Netzwerksicherheit · Erstüberblick · Ab 2.000 € netto

Was könnte ein echter Angreifer wirklich tun?

Penetrationstest: der manuelle Tiefgang

Ein Penetrationstest ist ein kontrollierter, manueller Angriff auf eure Systeme — durchgeführt von unseren zertifizierten Experten, so wie es ein echter Angreifer tun würde. Wir testen nicht nur, ob eine Lücke existiert, sondern ob sie ausnutzbar ist, wie weit ein Angreifer damit käme und was konkret auf dem Spiel stünde. Der richtige Schritt, wenn ihr gezielt kritische Systeme, Anwendungen oder Infrastruktur prüfen wollt.

Manuell · Gezielt · Angriffsszenarien · Tiefenanalyse · Ab 4.000 € netto

Noch nicht sicher, was ihr braucht?

Unser CyberRisikoCheck (500 €, ein Termin) zeigt euch, wo ihr steht — und ob ein Scan, ein Pentest oder etwas anderes der richtige nächste Schritt ist.

Euer Ablauf in drei Schritten.

Verstehen, bevor wir testen.

Bevor wir irgendetwas prüfen, reden wir. Was habt ihr für Systeme? Was wurde schon mal gemacht? Wo drückt der Schuh? Welche Systeme sind besonders kritisch? Erst wenn wir das verstehen, entscheiden wir gemeinsam: Scan, Pentest oder beides.

Ergebnis: Klarer Umfang, verbindliche Einschätzung, kein Scope-Creep.

Testen, ohne euren Betrieb zu stören.

Wir prüfen eure Systeme — je nachdem, was wir gemeinsam entschieden haben. Ihr wisst vorher, was passiert, wann es passiert und was wir uns anschauen. Bei sensiblen Systemen stimmen wir Zeitfenster ab. Keine Überraschungen, kein Blackbox-Gefühl.

Ergebnis: Vollständige Prüfung, euer Betrieb läuft normal weiter.

Besprechen, nicht nur berichten.

Das Ergebnis landet nicht als PDF in eurem Postfach. Wir setzen uns zusammen — persönlich oder per Video — und gehen alles durch. Was bedeutet das für euer Unternehmen? Was ist dringend? Was könnt ihr selbst schließen? Wo braucht ihr Hilfe?

Resultat: Ihr verlasst das Gespräch mit einem priorisierten Maßnahmenplan, den auch eure Geschäftsführung versteht.

AUS DER PRAXIS

„Wir wussten, dass wir Lücken haben. Wir wussten nur nicht, wo — und ob jemand sie schon gefunden hat."

Ein Maschinenbauunternehmen mit 38 Mitarbeitern aus Nordhessen. Keine IT-Abteilung, ein externer Dienstleister, der die Systeme betreut — aber niemand, der sich um Sicherheit kümmert. Die Cyberversicherung verlangte bei der Verlängerung erstmals einen Nachweis über durchgeführte Sicherheitsprüfungen. Den gab es nicht. Der Geschäftsführer wollte wissen, wo er wirklich steht — bevor jemand anderes es herausfindet.

Was wir gemacht haben:

Schwachstellenscan der gesamten Infrastruktur, anschließend gezielter Pentest auf die zwei kritischsten Systeme. Ergebnis: vier ausnutzbare Lücken, darunter ein ungepatchtes VPN-System mit öffentlich bekanntem Exploit. Alles in drei Tagen — ohne Betriebsausfall. Vier Wochen später waren alle kritischen Punkte geschlossen, der Versicherungsnachweis lag vor.

BRANCHE

Maschinenbau

GRÖSSE

38 Mitarbeiter

DAUER

3 Tage Prüfung

ERGEBNIS

4 kritische Lücken geschlossen

Was sich danach ändert.

01

Ihr seht, wo eure IT angreifbar ist — nicht als Vermutung, sondern als Fakt. Mit Priorität, nicht als Liste von 80 gleichwertigen Punkten.

02

Ihr wisst, was dringend ist und was warten kann. Nicht alles auf einmal — die richtige Reihenfolge.

03

Ihr habt Ergebnisse, die auch eure Geschäftsführung versteht. Keine CVSS-Scores — sondern klare Sätze, die zeigen, was auf dem Spiel steht.

Was wir nicht versprechen.

Kein Test der Welt macht ein Unternehmen dauerhaft sicher. Wer euch das verspricht, lügt. IT-Sicherheit ist kein Zustand, den man einmal erreicht — Systeme ändern sich, Angriffe ändern sich.

Was wir versprechen.

Danach wisst ihr, wo ihr steht. Ihr habt Kontrolle statt Bauchgefühl. Und ihr könnt Entscheidungen treffen, die auf Fakten basieren — nicht auf Angst. Wir sind für euch da. Auch drei Monate später, wenn eine neue Frage auftaucht.

HÄUFIG KOMBINIERT

Bewusstsein schaffen

Die meisten Schwachstellen sitzen nicht im Netzwerk — sondern vor dem Bildschirm. Security Awareness Training schließt diese Lücke.

LANGFRISTIG

Euer Sicherheitsmensch

Ein Pentest ist eine Momentaufnahme. Jemand, der eure Sicherheit dauerhaft im Blick hat, macht den Unterschied — ab 140 €/Monat.

NÄCHSTER SCHRITT

Sicherheit aufbauen

Der Pentest zeigt, wo es brennt. Ein ISMS sorgt dafür, dass es nicht wieder brennt — systematisch, nicht nur punktuell. Ab 4.000€ für ISMS Aufbau.

Fragen zum Pentest & Schwachstellenscan — ehrlich beantwortet.

Was ist der Unterschied zwischen Schwachstellenscan und Penetrationstest?

Ein Schwachstellenscan ist ein automatisierter Check eurer Systeme — er zeigt in kurzer Zeit, wo bekannte Sicherheitslücken bestehen. Ein Penetrationstest geht tiefer: Hier versuchen wir manuell und gezielt, in eure Systeme einzudringen, so wie es ein Angreifer tun würde. Der Scan gibt euch den Überblick, der Pentest die Tiefe. Welcher Weg der richtige ist, hängt davon ab, was ihr schon über eure IT wisst und wie hoch euer Risiko ist.

Was brauchen wir — Scan oder Pentest?

Wenn ihr noch nie prüfen lassen habt, ist ein Schwachstellenscan meistens der beste Einstieg. Er zeigt schnell, wo die offensichtlichen Lücken sind. Wenn ihr schon einen Scan hattet oder gezielte Risiken bewerten wollt — ein neues System, ein Webportal, kritische Infrastruktur — ist ein Pentest der sinnvollere Schritt. Im Erstgespräch klären wir gemeinsam, was für eure Situation passt.

Wird unser Betrieb während des Tests beeinträchtigt?

In der Regel nicht. Schwachstellenscans laufen im Hintergrund ohne Betriebsunterbrechung. Bei Pentests stimmen wir Zeitfenster und Umfang vorher genau mit euch ab, damit kritische Systeme nicht betroffen sind. Falls es ein Risiko gibt, sprechen wir das vorher an — keine Überraschungen.

Was passiert, wenn ihr eine kritische Lücke findet?

Dann informieren wir euch sofort — nicht erst im Abschlussbericht. Wir erklären, was die Lücke bedeutet, wie dringend sie ist und was ihr konkret tun müsst. Wenn ihr Hilfe bei der Behebung braucht, sind wir da.

Macht ihr Pentests auch remote — oder nur vor Ort?

Beides ist möglich. Viele Prüfungen laufen vollständig remote über sicheren Zugang. Für Vor-Ort-Tests kommen wir zu euch — in der Region Kassel und Nordhessen genauso wie bundesweit. Was sinnvoller ist, hängt von eurer Infrastruktur ab. Das klären wir im Erstgespräch.

Wie lange dauert das?

Ein Schwachstellenscan dauert je nach Umfang wenige Stunden bis zwei Tage. Ein Pentest dauert in der Regel 3–10 Arbeitstage, abhängig von Systemanzahl und Prüftiefe. Die Ergebnisse besprechen wir danach persönlich — kein PDF im Postfach, sondern ein Gespräch.

Was kostet ein Pentest oder Schwachstellenscan?

Ein Schwachstellenscan beginnt bei 2.000 € netto, ein manueller Penetrationstest bei 4.000 € netto. Der genaue Preis hängt von der Anzahl der Systeme und der Prüftiefe ab. Im Erstgespräch klären wir den Umfang und geben euch eine verbindliche Einschätzung — kostenlos und unverbindlich.

Echte Menschen. Kein Chatbot. Kein Callcenter.

Wenn ihr bis hierher gelesen habt, beschäftigt euch das Thema — wahrscheinlich schon länger, als ihr zugeben würdet. Meldet euch. Nicht für ein Verkaufsgespräch, sondern für ein ehrliches Gespräch darüber, wo ihr steht.

Lieber direkt anrufen?

0561 9402 6666

Mo–Fr · 08:00–16:30 · Timm, Philipp oder Jan gehen ran.

Lieber selbst einen Termin wählen?

15–30 Min · kostenlos · unverbindlich Ihr bekommt kein Angebot, das ihr nicht wollt.