Question 1

Sind wir als kleines Unternehmen wirklich von NIS-2 betroffen?

Accepted Answer

Direkt: nur wenn Sie zu einer der 18 NIS-2-Sektoren gehören und bestimmte Größenschwellen überschreiten. Indirekt aber sehr häufig — weil größere Auftraggeber die NIS-2-Pflichten vertraglich an Sie weiterreichen, oft mit recht detaillierten technischen Anforderungen. Wir prüfen Betroffenheit und vertragliche Risiken kostenlos im Erstgespräch.

Question 2

Was kostet ein Security Quick Check für ein KMU?

Accepted Answer

Ein Security Quick Check (Modul C1) ist ein Festpreis-Paket mit klar definiertem Umfang: dokumentierte Risikobewertung, Sofortmaßnahmen, priorisierte Roadmap — typischerweise im niedrigen vierstelligen Bereich. Der Aufwand richtet sich nach Anzahl Standorte, Systeme und Mitarbeitern. Konkretes Angebot nach kostenlosem Erstgespräch.

Question 3

Wie oft sollten wir unsere IT-Sicherheit überprüfen lassen?

Accepted Answer

Ein vollständiger Security Quick Check (Modul C1) ist alle 12–24 Monate sinnvoll — oder anlassbezogen nach größeren Änderungen (Cloud-Migration, neue Standorte, M&A). Zwischen den Prüfungen lohnen sich kurze Awareness-Checks (Phishing-Simulationen, Modul C5) und Restore-Tests der Backups (Modul C3) im Quartalsrhythmus.

Question 4

Was sind die häufigsten Sicherheitslücken in KMU?

Accepted Answer

In dieser Reihenfolge: untestete oder fehlende Backups, schwache oder geteilte Passwörter ohne MFA, veraltete Software (Browser, Office, Server), zu großzügige Admin-Rechte, fehlendes Monitoring, ungeschulte Mitarbeiter beim Erkennen von Phishing. Genau diese Punkte deckt unser Security Quick Check (Modul C1) als Erstes ab.

Question 5

Was ist der Unterschied zwischen einem Security Quick Check und einem Pentest?

Accepted Answer

Ein Pentest ist ein technischer Angriff auf konkrete Systeme — nützlich für reife Organisationen mit bereits etablierten Grundschutzmaßnahmen. Ein Security Quick Check (Modul C1) deckt strukturelle Risiken auf: fehlende Backups, schwache Passwortrichtlinien, ungenutzte Admin-Konten, fehlendes Monitoring. Für die meisten KMU ist das der sinnvolle Start, bevor man pentestet.

Question 6

Müssen wir trotz IT-Dienstleister selbst Cybersecurity betreiben?

Accepted Answer

Ja. Cybersecurity ist nie vollständig delegierbar: Awareness im Team, Reaktion auf Phishing-Meldungen, Entscheidungen zu Zugriffsrechten und Krisenkommunikation müssen intern verankert sein. Wir bauen mit Ihnen die organisatorische Seite auf (Module C4 + C5) und übernehmen technische Routine (Hardening, Monitoring, Backup-Tests) — die Hoheit über Ihre Sicherheitsentscheidungen bleibt bei Ihnen.

Question 7

Wie schützen wir uns konkret vor Ransomware?

Accepted Answer

Mit einer Kombination aus drei Bausteinen: getestete Backups nach 3-2-1-Regel inkl. Offline-Kopie (Modul C3), Hardening der Endpoints und Server (Modul C2), und einem dokumentierten Wiederanlauf-Plan (Teil von C3). Wichtig: Backups müssen regelmäßig restore-getestet werden — sonst sind sie im Ernstfall wertlos.

Question 8

Reicht eine einmalige Mitarbeiter-Schulung gegen Phishing?

Accepted Answer

Nein. Phishing-Awareness funktioniert nur als laufender Prozess: kurze, wiederkehrende Lerneinheiten, simulierte Test-Phishings und schnelle Reaktion auf gemeldete Vorfälle. Im Modul C5 setzen wir das pragmatisch um — ohne stundenlange E-Learnings, sondern mit konkreten Beispielen aus Ihrem Arbeitsalltag.

Cybersecurity-Beratung

Unsere 6 Cybersecurity-Module – vom Quick-Check bis zur Compliance

Security Quick Check

Hardening & Sicherheitsbaselines

Backup, Recovery & Ransomware-Resilienz

Incident Response & Playbooks

Security Awareness & Phishing-Schutz

Datenschutz- & Compliance-Unterstützung

Passend dazu: weitere xKMU-Leistungen

Wie können wir Sie unterstützen?

Häufig gestellte Fragen zur Cybersecurity