| 18. Mai 2023 · Aktualisiert: 24. April 2026 | 15 Min.

IT-Sicherheitsanalyse für kleine Unternehmen: Ablauf, Kosten & Ergebnisse in 4–6 Wochen

Inhalt in Kürze

Eine IT-Sicherheitsanalyse für kleine Unternehmen (10–30 Mitarbeiter) dauert 4–6 Wochen und kostet zwischen 1.500 und 4.500 Euro
Der BSI-CyberRisikoCheck nach DIN SPEC 27076 ist das ideale Einstiegsverfahren für Klein- und Kleinstunternehmen — ein Tag Aufwand, 27 Anforderungen, klarer Maßnahmenplan
Der Ablauf folgt fünf Phasen: Scoping → Scan → Pentest (optional) → Bericht → Umsetzung
Laut BSI-Lagebericht 2025 erfüllen KMU nur 56 % der Basis-Sicherheitsanforderungen — die meisten Lücken sind in einem Tag adressierbar, wenn man sie kennt

Die IT-Sicherheitsanalyse klingt nach Konzern-Thema. Ist sie nicht. Gerade kleine Unternehmen mit 10 bis 30 Mitarbeitern brauchen eine strukturierte Prüfung — weil sie im Alltag keine Zeit für Security-Themen haben und deshalb oft nicht wissen, wo sie wirklich stehen. Dieser Leitfaden zeigt, wie eine IT-Sicherheitsprüfung speziell für kleine Unternehmen abläuft, was sie kostet und welches Ergebnis realistisch ist.

Warum kleine Unternehmen eine eigene Prüf-Methodik brauchen

Die großen Audit-Frameworks (ISO 27001, BSI-Grundschutz) sind für Konzerne entwickelt. Ein Unternehmen mit 15 Mitarbeitern hat keinen Informationssicherheitsbeauftragten, kein dediziertes Risikomanagement und meist keinen dokumentierten Notfallplan. Trotzdem ist die Bedrohungslage identisch — KI-gestützte Massenangriffe unterscheiden nicht nach Firmengröße.

80 %

der Cyberangriffe treffen KMU (BSI)

119/Tag

neue IT-Schwachstellen (2025, +24 %)

56 %

Basis-Sicherheit in KMU erfüllt

Für kleine Unternehmen brauchen wir deshalb eine andere Prüfmethodik: pragmatisch, zeitlich kompakt, bezahlbar, mit klaren Handlungsempfehlungen statt 200-Seiten-Reports. Genau dafür hat das BSI zusammen mit dem DIN ein eigenes Format geschaffen: den CyberRisikoCheck nach DIN SPEC 27076.

Tipp für den Einstieg:

Wenn Sie zum ersten Mal eine IT-Sicherheitsanalyse machen lassen: Starten Sie mit einem CyberRisikoCheck nach DIN SPEC 27076. Ein Tag Aufwand, unter 2.500 Euro — und Sie haben eine belastbare Standortbestimmung. Wenn dabei kritische Lücken auftauchen, können Sie gezielt einen Pentest nachschieben.

IT-Sicherheitsanalyse, IT-Sicherheitsprüfung, IT-Audit — die Begriffe sortiert

In der Praxis werden die drei Begriffe meist synonym verwendet. Auch die Schreibweisen variieren: „IT-Sicherheitsanalyse” mit Bindestrich, „IT Sicherheitsanalyse” ohne — gemeint ist dasselbe. Wer aber bei einem externen Dienstleister anfragt, sollte die Nuancen kennen, damit das Angebot zum Bedarf passt:

IT-Sicherheitsanalyse (auch: IT Sicherheitsanalyse). Die breite, strategische Risiko-Bewertung Ihrer gesamten IT-Landschaft — Menschen, Prozesse, Technik. Ergebnis: ein priorisierter Maßnahmenplan, der auch organisatorische Lücken adressiert (Passwort-Hygiene, Notfallpläne, Schulungsstand). Synonym häufig für „IT-Risikoanalyse” oder „Cyber-Risikoanalyse” verwendet.
IT-Sicherheitsprüfung (auch: IT Sicherheitsprüfung). Die punktuelle, technische Überprüfung einzelner Systeme: Schwachstellenscan, Konfigurations-Review, Pentest. Geht in die Tiefe — sagt Ihnen, ob Ihr RDP offen im Internet steht oder die Firewall-Regeln aus 2019 noch passen.
IT-Audit. Die formale Compliance-Prüfung nach einem definierten Standard — etwa BSI IT-Grundschutz, ISO 27001 oder die DIN SPEC 27076. Liefert ein zertifizierbares Ergebnis mit klarer Soll-Ist-Bewertung — wichtig für Versicherer, Kunden mit Lieferkettenpflicht und NIS2-Nachweise.

Für KMU mit 10 bis 30 Arbeitsplätzen ist in den meisten Fällen die Kombination aus IT-Sicherheitsanalyse plus IT-Sicherheitsprüfung die richtige Wahl — kompakt, bezahlbar, mit klarem Output. Ein vollständiges ISO-27001-Zertifizierungs-Audit ist meist überdimensioniert; eine sogenannte „ISO-27001-Light”-Herangehensweise nach DIN SPEC 27076 (BSI-CyberRisikoCheck) liefert die wichtigsten Elemente in einem Tag Aufwand. Bei Bedarf später nachschärfen — die Analyse-Ergebnisse sind die Grundlage für ein späteres Voll-Audit. Wie sich das ins Gesamtbild Ihrer IT-Strategie einfügt, zeigt unser Leitfaden zur IT-Sicherheitsstrategie.

Die fünf Phasen einer IT-Sicherheitsanalyse für kleine Unternehmen

So läuft eine strukturierte Analyse bei uns typischerweise ab. Der Ablauf hat sich in hunderten Projekten bei Hamburger Mittelständlern bewährt — und lässt sich 1:1 auf Unternehmen mit 10 bis 30 Arbeitsplätzen anwenden.

Scoping-Workshop (90 Minuten). Geschäftsführung, IT-verantwortliche Person, ggf. externer Dienstleister am Tisch. Wir erfassen: Geschäftsprozesse, kritische Daten, verwendete Systeme, bekannte Probleme, Compliance-Anforderungen (z. B. DSGVO, NIS-2-Relevanz, Kammer-Vorgaben).
Automatisierter Schwachstellenscan (2–3 Tage). Mit Werkzeugen wie OpenVAS oder Nessus Essentials scannen wir Ihr internes Netz auf bekannte Schwachstellen, offene Ports, veraltete Software, Fehlkonfigurationen. Dazu ein Credentialed Scan der wichtigsten Server für tiefere Einblicke.
Konfigurations-Review (2 Tage). Wir prüfen Microsoft 365 (MFA-Abdeckung, Admin-Rollen, bedingter Zugriff), Firewall-Regeln, Backup-Konfiguration und -Wiederherstellungstest, Endpoint-Protection, Netzwerksegmentierung, Benutzerrechte.
Menschen & Prozesse (1 Tag). Kurzinterviews mit 3–5 Mitarbeitern. Optional: Phishing-Simulation als Stichprobe. Wir prüfen Dokumentation, Passwort-Hygiene, Notfall-Kontakte, Onboarding/Offboarding-Prozesse.
Bericht & Workshop (1 Woche). Sie bekommen einen Bericht mit priorisiertem Maßnahmenplan (kritisch/hoch/mittel/niedrig). Im Abschlussworkshop gehen wir die Ergebnisse mit der Geschäftsführung durch — klar, ohne IT-Jargon, mit Umsetzungsreihenfolge.

Audit-Checkliste mit Stift — Scoping einer IT-Sicherheitsprüfung für kleine Unternehmen — Der Scoping-Workshop entscheidet über die Qualität der gesamten Prüfung — hier wird festgelegt, welche Systeme, Prozesse und Szenarien im Umfang liegen.

Was in welcher Phase wirklich geprüft wird

Phase	Dauer	Was wird geprüft	Wer ist involviert
Scoping	90 Min.	Geschäftsprozesse, Kritikalität, Compliance-Anforderungen	Geschäftsführung, IT-verantwortlich
Schwachstellenscan	2–3 Tage	Netzwerk, Server, Endgeräte, Patchstand, offene Ports	Extern (ohne Eingriff ins Tagesgeschäft)
Konfigurations-Review	2 Tage	Microsoft 365, Firewall, Backup, MFA, Zugriffsrechte	IT-verantwortliche Person
Menschen & Prozesse	1 Tag	Interviews, Phishing-Stichprobe, Dokumentations-Check	3–5 Mitarbeiter (je 20 Min.)
Bericht & Workshop	1 Woche	Auswertung, Priorisierung, Abschlussgespräch	Geschäftsführung + IT

Kosten-Realismus: Was eine IT-Sicherheitsprüfung für ein kleines Unternehmen wirklich kostet

Die Pauschalaussage “Pentest kostet 10.000 bis 30.000 Euro” ist für KMU meist unrealistisch — und zielt oft an dem vorbei, was Sie wirklich brauchen. Für ein Unternehmen mit 10 bis 30 Arbeitsplätzen gibt es pragmatischere Pakete:

1.500–2.500 €

BSI-CyberRisikoCheck (DIN SPEC 27076)

2.500–4.500 €

Vollständige IT-Sicherheitsanalyse (10–30 MA)

ab 5.000 €

Zusätzlicher Penetrationstest mit Exploit

Kostenfaktoren im Detail

Die Preisspanne ergibt sich aus vier Stellschrauben:

Anzahl der Arbeitsplätze und Server. 15 Clients + 2 Server sind schneller geprüft als 30 Clients + 5 Server + Nebenstandort.
Cloud-Nutzung. Ein Unternehmen komplett in Microsoft 365 ist schneller zu prüfen als eines mit 7 eigenen Servern im Keller.
Pentest-Tiefe. Automatisierter Schwachstellenscan (OpenVAS/Nessus) ist Standard und günstig. Manueller Pentest mit Social-Engineering kostet deutlich mehr — und ergibt nur Sinn, wenn das Basis-Niveau sitzt.
Compliance-Nachweis. Soll das Ergebnis als Nachweis für Cyberversicherung oder NIS-2 taugen? Dann brauchen Sie zertifizierte Verfahren wie DIN SPEC 27076 oder einen dokumentierten Pentest — das kostet etwas mehr, ist aber belastbar.

Praxis:

Bei vielen unserer Neukunden in Hamburg reicht zunächst der CyberRisikoCheck völlig aus. Die häufigsten Lücken sind nicht "Zero-Day in der Firewall" sondern: MFA nicht flächendeckend aktiv, Backup wird nicht getestet, Admin-Accounts werden für den Alltag genutzt. Für diese Erkenntnisse braucht niemand einen 15.000-Euro-Pentest.

Der BSI-CyberRisikoCheck: Das wichtigste Prüfverfahren für kleine Unternehmen

Das BSI hat zusammen mit dem DIN einen Standard entwickelt, der speziell für kleine und Kleinstunternehmen gedacht ist: die DIN SPEC 27076. Der darauf basierende CyberRisikoCheck ist in vielen Fällen das sinnvollste Einstiegsformat.

Die Kernfakten

Geprüft werden 27 Anforderungen aus sechs Themenbereichen (Organisation, Sensibilisierung, Identitäts- und Berechtigungsmanagement, Datensicherung, Patch- und Änderungsmanagement, Schutz vor Schadprogrammen)
Ein zertifizierter IT-Dienstleister interviewt Geschäftsführung und IT-verantwortliche Person — meist an einem einzigen Tag
Ergebnis: ein standardisierter Bericht mit klarer Ampel-Bewertung pro Anforderung und priorisierten Handlungsempfehlungen
Der Check ist förderfähig — in vielen Bundesländern gibt es Zuschüsse zwischen 50 und 80 Prozent

Für welche Unternehmen eignet sich das Format?

Unternehmen bis ca. 50 Mitarbeiter. Der Check ist explizit für Kleinst- und Kleinunternehmen gedacht — die Fragen sind auf diese Größe zugeschnitten.
Erstprüfung ohne Vorbelastung. Wenn Sie noch nie eine Security-Analyse gemacht haben, liefert der CyberRisikoCheck die perfekte Standortbestimmung.
Unternehmen mit Förderwunsch. DIN SPEC 27076 ist ein anerkanntes Verfahren — Landeswirtschaftsförderungen bezuschussen den Check häufig.
Unternehmen als NIS-2-Zulieferer. Wenn Sie Auftragnehmer eines NIS-2-pflichtigen Kunden sind, verlangt dieser oft einen Nachweis — der CyberRisikoCheck reicht meist aus.

Ich rate meinen Kunden immer: Nicht übertreiben, einfach anfangen. Die perfekte IT-Lösung gibt es nicht — aber eine, die morgen schon besser ist als heute. Und in drei Monaten sind Sie überrascht, wie weit Sie gekommen sind.

Jens HagelGeschäftsführer, hagel IT-Services GmbH

NIS-2: Wann werden auch kleine Unternehmen prüf-pflichtig?

Die NIS-2-Richtlinie ist in Deutschland seit Dezember 2025 in Kraft. Viele Geschäftsführer kleiner Unternehmen halten sich für nicht betroffen — das ist häufig ein Irrtum.

Die Schwellenwerte für “wichtige” und “besonders wichtige” Einrichtungen

Kategorie	Mitarbeiter	Jahresumsatz	Bilanzsumme
Klein (meist nicht direkt betroffen)	< 50	< 10 Mio. €	< 10 Mio. €
Wichtige Einrichtung	50–249	< 50 Mio. €	< 43 Mio. €
Besonders wichtige Einrichtung	≥ 250	≥ 50 Mio. €	≥ 43 Mio. €

Das wichtige Kleingedruckte: Selbst wenn Sie unter 50 Mitarbeiter haben, können Sie betroffen sein — etwa als kritischer Dienstleister der öffentlichen Hand, als Teil einer Lieferkette eines NIS-2-pflichtigen Kunden oder bei Sektoren mit “spezieller Relevanz” (z. B. digitale Infrastruktur, DNS-Provider, bestimmte Gesundheitsdienstleister).

Was passiert konkret, wenn Sie betroffen sind?

NIS-2 fordert unter anderem: ein dokumentiertes Risikomanagement, regelmäßige Security-Audits, Meldepflichten bei Vorfällen (24 Stunden Erstmeldung), Schulungen der Geschäftsleitung, technische Mindestmaßnahmen (MFA, Verschlüsselung, Backup-Strategie, Incident-Response-Plan). Die Geschäftsführung haftet persönlich — das steht explizit im Umsetzungsgesetz. Details in unserem Artikel zur NIS-2 Beratung in Hamburg.

Pentest vs. Schwachstellenscan: Was brauche ich als kleines Unternehmen?

Diese beiden Begriffe werden oft verwechselt — sind aber grundverschieden. Für kleine Unternehmen ist die Entscheidung meist klar: Schwachstellenscan ja, Pentest später.

Die Unterschiede im Detail

Wichtig zu verstehen:

Ein Schwachstellenscan ist automatisiert. Tools wie OpenVAS oder Nessus Essentials scannen Ihre Systeme gegen eine Datenbank bekannter Schwachstellen. Ergebnis: eine Liste mit CVE-Nummern und Risiko-Bewertung. Kostet wenig, geht schnell, findet 80 % der technischen Probleme.

Ein Penetrationstest ist manuell. Ein Security-Experte versucht wie ein echter Angreifer, in Ihre Systeme einzudringen — mit kreativen Techniken, Social Engineering, ggf. individuellen Exploits. Kostet deutlich mehr, geht tief, findet die 20 %, die der Scan übersieht.

Die ehrliche Empfehlung für kleine Unternehmen

Wenn Sie bei Ihrer ersten Sicherheitsanalyse sind, investieren Sie Ihr Budget nicht in einen Pentest, sondern in einen soliden Scan + einen sauberen Konfigurations-Review + die Umsetzung der gefundenen Lücken. Erst wenn die Basis-Hygiene sitzt, ergibt ein Pentest wirklich Sinn. Ein Pentest, der 15 kritische Lücken aus dem automatisierten Scan auflistet, ist rausgeworfenes Geld — die hätten Sie für einen Bruchteil auch so gefunden.

Ein konkretes Beispiel aus unserer Arbeit: Wir haben bei einem Hamburger Handelsunternehmen mit 22 Mitarbeitern einen Schwachstellenscan gemacht. Ergebnis: 3 kritische Lücken (darunter ein öffentlich erreichbarer RDP-Port), 11 hohe Risiken (u. a. fehlende MFA bei externen Mailboxen), 34 mittlere. Kosten: 2.800 Euro. Einen Pentest haben wir bewusst weggelassen — das Geld ist besser in die Umsetzung investiert.

Die häufigsten Lücken, die wir in kleinen Unternehmen finden

Nach hunderten Prüfungen bei Hamburger Mittelständlern sind die Top-Befunde erstaunlich immer gleich. Die gute Nachricht: fast alle sind ohne großes Budget zu schließen.

MFA nicht flächendeckend aktiv. Geschäftsführung, Buchhaltung und externe Mitarbeiter haben oft keine Multi-Faktor-Authentifizierung. Beheben: 30 Minuten pro Account.
Backup wird nicht getestet. 72 Prozent der KMU haben noch nie eine vollständige Wiederherstellung geprobt. Krypto-Trojaner schlummern oft wochenlang — das Backup von letzter Woche enthält den Trojaner bereits.
Admin-Accounts im Alltag. Der Chef arbeitet mit einem Konto, das globale Administrator-Rechte in Microsoft 365 hat. Ein Klick auf die falsche E-Mail, und der Angreifer übernimmt alles.
Veraltete Firmware. Firewalls, Switches, NAS-Geräte mit Firmware von vor zwei Jahren sind in jedem zweiten Unternehmen zu finden.
Ex-Mitarbeiter noch aktiv. Konten von vor Jahren ausgeschiedenen Mitarbeitern, die technisch noch funktionieren — ein klassisches Einfallstor.
Keine Netzwerksegmentierung. Gäste-WLAN, Buchhaltung und Produktion im selben Netz. Wenn ein PC infiziert wird, breitet sich der Angriff in Minuten aus.
Shadow IT. Mitarbeiter nutzen private Dropbox-Accounts oder WhatsApp für Geschäftsdaten — unbemerkt, unkontrolliert, DSGVO-relevant.

IT-Sicherheitsanalyse Abschlussbericht — Team bespricht den Maßnahmenplan mit der Geschäftsführung — Der Abschlussworkshop übersetzt die technischen Befunde in geschäftliche Entscheidungen — Priorität, Budget, Verantwortlichkeit pro Maßnahme.

Aus der Praxis: Hamburger Handelsunternehmen mit 22 Mitarbeitern

Wir begleiten seit Jahren Mittelständler in Hamburg durch ihre erste strukturierte Sicherheitsanalyse — Kanzleien, Steuerberater, Hausverwaltungen und Handelsbetriebe melden sich seit NIS2 deutlich häufiger, oft weil ihre Mandanten oder Konzernkunden plötzlich Compliance-Nachweise nach BSI IT-Grundschutz oder DIN SPEC 27076 verlangen. Ein typischer Fall: Ein Handelsunternehmen aus Altona, 22 Mitarbeiter, eigene IT-verantwortliche Person (aber kein dediziertes Security-Team), Microsoft 365, ein Synology-NAS für Backups, eine Sophos-Firewall.

Wir hatten den Eindruck, bei uns wäre alles in Ordnung — Backup lief, Virenscanner war aktiv. Dann kam der Sicherheitscheck und wir standen bei drei kritischen Lücken. Eine davon: Unser Remote-Desktop war offen im Internet, aus alten Homeoffice-Zeiten. Das hatte uns keiner gesagt.

Frank Schröder · Geschäftsführer, Maschinenbau/Hydraulik, 35 Mitarbeiter

Der Ablauf in diesem Fall:

Scoping-Workshop mit Geschäftsführung und IT-Kollegen (90 Minuten)
Schwachstellenscan über 3 Tage — parallel zum Tagesbetrieb
Konfigurations-Review von Microsoft 365, Firewall, NAS, Backup-Strategie
3 Mitarbeiter-Interviews (je 20 Minuten)
Bericht mit 48 Findings nach Priorität, Abschlussworkshop 2 Stunden
Kosten insgesamt: 3.200 Euro + 4 Wochen Umsetzungsbegleitung

Das Ergebnis nach 8 Wochen Umsetzung: RDP-Port geschlossen, MFA flächendeckend, Backup-Restore erfolgreich getestet, Admin-Accounts getrennt, veraltete Firmware aktualisiert, Ex-Mitarbeiter-Accounts deaktiviert. Kein einziges neues Gerät musste angeschafft werden — alles Konfigurationsthemen.

Was Sie als Geschäftsführer vor der Prüfung wissen sollten

Eine IT-Sicherheitsanalyse ist keine Technikveranstaltung — es ist eine Geschäftsführungsaufgabe. Was wir vor jedem Audit mit unseren Kunden besprechen:

Die Ergebnisse sind Ihre Ergebnisse. Sie bekommen einen Bericht über Lücken in Ihrem Unternehmen. Das ist unangenehm — und wichtig. Die schlimmste Reaktion ist, die Ergebnisse ungelesen abzuheften.
Keine Prüfung ohne Umsetzungsplan. Ein Audit ohne anschließenden Rollout der Maßnahmen ist rausgeworfenes Geld. Planen Sie von Anfang an 3–6 Monate Umsetzungszeit ein.
Kritische Lücken nicht liegen lassen. Bei kritischen Befunden (z. B. offener RDP-Port, fehlendes Backup) reagieren wir oft noch am selben Tag — warten bis nächstem Quartal ist keine Option.
Dokumentieren Sie den Prozess. Ein strukturierter Audit mit Bericht ist später Gold wert — für Cyberversicherung, NIS-2-Nachweis, Due Diligence beim Firmenverkauf, gegenüber Kunden mit Security-Anforderungen.
Re-Audit nach 12 Monaten einplanen. Die IT-Landschaft verändert sich, neue Schwachstellen tauchen täglich auf. Ein jährlicher Check ist Mindeststandard.

Das Wichtigste: Eine IT-Sicherheitsanalyse ist kein Einmal-Event, sondern der Startpunkt eines strukturierten Sicherheitsprozesses. Die 3.000 Euro für die Prüfung sind billig — rausgeworfen wären sie nur, wenn der Bericht ungelesen im Schrank landet.

Wie hagel IT kleine Unternehmen durch die Sicherheitsanalyse führt

Wir betreuen seit über 20 Jahren als IT-Systemhaus Hamburg kleine und mittlere Unternehmen in Hamburg und Norddeutschland. Unser Fokus liegt auf Unternehmen zwischen 5 und 150 Mitarbeitern — also genau in der Größe, für die eine klassische ISO-27001-Zertifizierung meist überdimensioniert ist.

Unser Ablauf für kleine Unternehmen

Kostenloses Erstgespräch (15 Minuten). Wir klären, welches Prüfformat zu Ihrem Unternehmen passt — CyberRisikoCheck, klassische Sicherheitsanalyse oder gezielter Pentest.
Festpreis statt Stundenkalkulation. Sie wissen vorher, was der Audit kostet. Keine Überraschungen am Monatsende.
Geschäftsführer-Tauglicher Bericht. Kein IT-Jargon, klare Priorisierung, konkrete Umsetzungsempfehlungen.
Begleitete Umsetzung (optional). Wenn Sie möchten, schließen wir die gefundenen Lücken direkt im Rahmen unserer Cybersecurity-Dienstleistungen oder als Teil einer Managed IT Services Vereinbarung.
Jährliches Re-Audit. Wir planen den Folge-Check bereits beim ersten Audit mit ein — so wird Sicherheit zum Prozess, nicht zum Einmal-Event.

Wir starten jede Zusammenarbeit mit einer Cyber-Risikoanalyse gemeinsam mit der Geschäftsführung. Nicht um Angst zu machen, sondern um ehrlich zu sehen, wo Sie stehen — und was als Erstes passieren muss.

Jens HagelGeschäftsführer, hagel IT-Services GmbH

Lesenswert zum Thema

Der große Leitfaden zur IT-Sicherheitsprüfung — für mittelständische Unternehmen ab 50 Mitarbeitern
IT-Sicherheit für kleine Unternehmen — der Komplett-Guide mit den 10 größten Cyber-Risiken
IT-Sicherheitsstrategie und Risikomanagement als Rahmen für Ihre Security-Planung
Fallstudie: Vom „Nie was passiert” zur echten Sicherheits-Kultur

Fazit: Nicht warten, strukturiert anfangen

Die beste IT-Sicherheitsanalyse ist die, die Sie tatsächlich machen — nicht die perfekte, die nie startet. Für ein Unternehmen mit 10 bis 30 Mitarbeitern in Hamburg reicht ein CyberRisikoCheck oder eine kompakte Sicherheitsanalyse für 1.500 bis 4.500 Euro. In 4–6 Wochen wissen Sie, wo Sie stehen — und haben einen klaren Plan für die nächsten 90 Tage.

Unsere Cybersicherheits-Checkliste für KMU bietet 20 konkrete Punkte zum Abhaken — als Selbsteinschätzung vor einer formellen Analyse. Keine Registrierung, direkter PDF-Download.

IT-Sicherheitsanalyse für Ihr Unternehmen starten?

15 Minuten. Kostenlos. Ohne Vertriebsdruck. Wir klären, welches Prüfformat zu Ihrem Unternehmen passt.

Erstgespräch buchen →

Weiterführende Quellen

Jens Hagel

Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Frage stellen Profil ansehen

«Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.»

Thorsten Eckel

Geschäftsführer · Hanse Service

Bester IT-Dienstleister

2026 — brand eins / Statista

Fallstudie · Gesundheit

Vom IT-Chaos zur sicheren Praxis: Einblicke in unsere Infrastruktur-Analyse (ISA) am Beispiel einer Therapiepraxis

Ausgezeichnete Bewertung

Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann

Alle ansehen

Inhalt

Alle Kundenstimmen

Ausgezeichnete Bewertung

Basierend auf 46 Bewertungen

Robin Koppelmann

Alle ansehen

Kostenlos & unverbindlich

Wie sicher ist Ihre IT wirklich?

Kostenloser Security-Check in 15 Minuten — wir zeigen Ihnen, wo Ihre Lücken sind.

Festpreis-Angebot anfordern Lieber direkt Termin?

Häufig gestellte Fragen

Eine IT-Sicherheitsanalyse ist eine strukturierte Untersuchung Ihrer IT-Landschaft auf Schwachstellen, Konfigurationsfehler und Prozesslücken. Bei kleinen Unternehmen mit 10–30 Mitarbeitern umfasst sie in der Regel: Scoping-Gespräch, automatisierter Schwachstellenscan (Netzwerk, Server, Clients), Konfigurations-Check der Kernsysteme (Microsoft 365, Firewall, Backup) und einen Ergebnisbericht mit priorisiertem Maßnahmenplan. Kein Konzern-Jargon, kein 200-Seiten-Report — ein umsetzbarer Fahrplan.

Für ein Unternehmen mit 10–30 Mitarbeitern liegt eine solide IT-Sicherheitsanalyse typischerweise zwischen 1.500 und 4.500 Euro. Ein BSI-CyberRisikoCheck nach DIN SPEC 27076 kostet ca. 1.500–2.500 Euro (teilweise förderfähig). Ein ergänzender Penetrationstest mit manueller Exploit-Prüfung startet ab ca. 5.000 Euro. hagel IT bietet das Erstgespräch und eine strukturierte Risikoeinschätzung kostenlos an — Sie wissen danach, ob sich der Aufwand lohnt.

Vom Scoping bis zum fertigen Bericht rechnen wir 4–6 Wochen. Die aktive Scan-Phase dauert 2–5 Tage, die Auswertung und Berichtserstellung 1–2 Wochen, Rückfragen und Abschlussworkshop eine weitere Woche. Ihre Mitarbeiter sind dabei nur wenige Stunden gebunden — hauptsächlich für Interviews mit Geschäftsführung und IT-verantwortlicher Person.

Üblich sind eine Kombination aus: automatisiertem Schwachstellenscan (z. B. OpenVAS, Nessus Essentials) für Netzwerk und Systeme, Konfigurations-Review für Microsoft 365, Firewall und Backup, Interviews mit Geschäftsführung und Schlüsselpersonen, Phishing-Simulation als Stichprobe und Dokumentations-Check. Bei Bedarf ein manueller Penetrationstest mit Social-Engineering-Szenarien.

Nicht direkt für alle. Aber: Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz fallen häufig unter NIS-2 und müssen ihre Security-Maßnahmen nachweislich prüfen. Cyberversicherer fordern Audits als Voraussetzung für Policen. Und die Geschäftsführung haftet persönlich für grobe Fahrlässigkeit — ohne Prüf-Nachweis wird das im Schadensfall teuer. Faktisch ist eine jährliche Analyse Pflicht, auch wenn sie nicht im Gesetzbuch steht.

Der CyberRisikoCheck nach DIN SPEC 27076 ist ein vom BSI entwickeltes Prüfverfahren speziell für kleine und Kleinstunternehmen. Ein zertifizierter IT-Dienstleister interviewt das Unternehmen zu 27 Anforderungen aus sechs Themenbereichen. Der Check dauert meist nur einen Tag und liefert eine klare Ist-Aufnahme mit Empfehlungen. Ideal als Einstieg für Unternehmen bis ca. 50 Mitarbeiter, die noch nie eine Security-Prüfung gemacht haben.

Sie erhalten einen priorisierten Maßnahmenplan mit vier Stufen: kritisch (sofort handeln, oft innerhalb weniger Tage), hoch (innerhalb eines Monats), mittel (im Quartalsrollout) und niedrig (optional). Kritische Lücken schließen wir bei Bedarf direkt in der Umsetzung. Nach 12 Monaten ein Re-Audit, um den Fortschritt zu messen. Die Analyse ist der Startpunkt, nicht das Ergebnis.

Für belastbare Ergebnisse ja. Interne Kräfte kennen ihre eigene IT zu gut — sie sehen die blinden Flecken nicht, die ein externer Auditor sofort entdeckt. Für eine erste Selbsteinschätzung reicht eine strukturierte Checkliste, etwa unsere Cybersicherheits-Checkliste mit 20 Punkten. Für Compliance-Nachweise (NIS-2, Versicherung) und belastbare Ergebnisse brauchen Sie einen externen Prüfer.

Eine IT-Sicherheitsanalyse (auch IT Sicherheitsanalyse oder Cyber-Risikoanalyse genannt) ist die strategische Risiko-Bewertung Ihrer gesamten IT-Landschaft. Anders als ein reiner Schwachstellenscan betrachtet sie Menschen, Prozesse und Technik gemeinsam — also nicht nur, ob Ihre Firewall richtig konfiguriert ist, sondern auch, ob Ihre Mitarbeiter Phishing-Mails erkennen, ob Ihr Backup im Ernstfall funktioniert und ob Ihre Notfall-Kontakte aktuell sind. Methodisch lehnt sie sich an etablierte Standards wie BSI IT-Grundschutz oder die DIN SPEC 27076 an, ist für KMU aber deutlich schlanker. Ergebnis: ein priorisierter Maßnahmenplan, kein 200-Seiten-Report.

Die Begriffe werden in der Praxis synonym verwendet — präzise unterschieden ist die IT-Sicherheitsanalyse die breitere, strategische Betrachtung (Risikobewertung, Prozesse, organisatorische Lücken), während die IT-Sicherheitsprüfung punktuell und technisch arbeitet (Schwachstellenscan, Konfigurations-Review, Pentest einzelner Systeme). Ein IT-Audit wiederum ist die formale Compliance-Prüfung nach einem definierten Standard wie BSI IT-Grundschutz, ISO 27001 oder DIN SPEC 27076 — mit zertifizierbarem Ergebnis. Für kleine Unternehmen reicht meist die Kombination aus Analyse plus Prüfung; ein vollwertiges ISO-27001-Audit ist erst ab 50 bis 100 Mitarbeitern wirtschaftlich sinnvoll.

Bei Kanzleien, Steuerberatern, Hausverwaltungen und Handelsunternehmen in Hamburg läuft die Analyse typischerweise so: 90-minütiger Scoping-Workshop in Ihrem Büro oder per Teams (Geschäftsführung plus IT-verantwortliche Person), zwei bis drei Tage Schwachstellenscan parallel zum Tagesbetrieb (kein Eingriff), zwei Tage Konfigurations-Review (Microsoft 365, Firewall, Backup), ein Tag Mitarbeiter-Interviews plus Phishing-Stichprobe, ein Bericht mit priorisierten Findings und ein zweistündiger Abschlussworkshop. Gesamtdauer: 4 bis 6 Wochen, Aufwand für Ihre Mitarbeiter: wenige Stunden. Seit NIS2 fragen besonders Hamburger Kanzleien und Steuerberater verstärkt nach — meist weil ihre Mandanten Lieferketten-Nachweise verlangen.

Modern Workplace

Managed IT ★