Zum Inhalt springen
SIKKER GmbH

Informationssicherheit

Informationssicherheit schützt Ihr Unternehmen vor Datenverlust, Betriebsunterbrechungen und Regulierungsrisiken. Die SIKKER GmbH begleitet mittelständische Unternehmen bei ISO 27001, NIS-2, KRITIS und DORA: von der Risikoanalyse bis zur Zertifizierung.

Kostenlose Erstberatung Unsere Leistungen

Was bedeutet Informationssicherheit?

Informationssicherheit verfolgt drei zentrale Schutzziele. Vertraulichkeit stellt sicher, dass Informationen nur autorisierten Personen zugänglich sind. Integrität gewährleistet, dass Daten vollständig und unverändert bleiben. Verfügbarkeit bedeutet, dass Systeme und Informationen dann bereitstehen, wenn sie gebraucht werden. Diese drei Ziele bilden die Grundlage jeder Sicherheitsstrategie.

Anders als IT-Sicherheit, die sich auf technische Systeme und Netzwerke konzentriert, umfasst Informationssicherheit alle Informationswerte eines Unternehmens. Dazu gehören auch gedruckte Dokumente, mündlich weitergegebenes Wissen und organisatorische Abläufe. Cybersecurity wiederum fokussiert auf Bedrohungen aus dem digitalen Raum. Informationssicherheit ist der übergreifende Rahmen, der alle diese Bereiche verbindet.

Einzelmaßnahmen wie Firewalls oder Virenscanner schützen punktuell, lassen aber Lücken zwischen den Systemen. Ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 schließt diese Lücken systematisch. Es verbindet technische, organisatorische und personelle Maßnahmen zu einem durchgängigen Schutzkonzept, das regelmäßig überprüft und weiterentwickelt wird.

Regulatorische Anforderungen: NIS-2, KRITIS, DORA und DSGVO

Seit 2023 hat sich der regulatorische Rahmen für Informationssicherheit in Deutschland und der EU erheblich verschärft. Immer mehr Unternehmen sind verpflichtet, nachweisbare Sicherheitsmaßnahmen umzusetzen. Die wichtigsten Regelwerke im Überblick:

NIS-2-Richtlinie

Die NIS-2-Richtlinie wird in Deutschland durch das NIS2UmsuCG umgesetzt. Betroffen sind wichtige und besonders wichtige Einrichtungen in 18 Sektoren, ab 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz. Gefordert werden Risikomanagement, Vorfallmeldungen und Lieferkettensicherheit.

Mehr zur NIS-2-Beratung →

KRITIS und BSIG

Betreiber kritischer Infrastrukturen unterliegen dem BSI-Gesetz und dem neuen KRITIS-Dachgesetz. Sie müssen technische und organisatorische Sicherheitsmaßnahmen nachweisen und Sicherheitsvorfälle fristgerecht an das BSI melden. Regelmäßige Nachweisverfahren, etwa nach § 8a BSIG, sind verpflichtend.

Mehr zur KRITIS-Beratung →

DORA

Der Digital Operational Resilience Act richtet sich an den Finanzsektor: Banken, Versicherungen, Zahlungsinstitute und ihre IKT-Dienstleister. DORA fordert ein umfassendes IKT-Risikomanagement, regelmäßige Resilienztests und eine strukturierte Steuerung von Drittanbieterrisiken. Seit Januar 2025 unmittelbar anwendbar.

Mehr zur DORA-Beratung →

Verbindung zur DSGVO

Art. 32 DSGVO verpflichtet Unternehmen zu angemessenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten. Ein dokumentiertes ISMS erfüllt diese Anforderung systematisch und belegt gegenüber Aufsichtsbehörden, dass Datenschutz und Informationssicherheit koordiniert umgesetzt werden.

Mehr zur Datenschutzberatung →

Typische Risikoszenarien für den Mittelstand

Mittelständische Unternehmen sind nicht weniger gefährdet als Großkonzerne. In vielen Fällen sind sie sogar attraktivere Ziele, weil Sicherheitsmaßnahmen weniger ausgereift sind. Drei Szenarien, die wir in der Beratungspraxis regelmäßig antreffen:

Ransomware und Datenverschlüsselung

Ein kompromittierter E-Mail-Anhang oder eine ungepatchte Schwachstelle genügt. Angreifer verschlüsseln Unternehmensdaten und fordern Lösegeld. Ohne funktionierende Backups und einen erprobten Notfallplan stehen Betriebe tagelang still. Die Wiederherstellung ohne Vorbereitung kostet ein Vielfaches der Prävention. Business Continuity Planung →

Kompromittierte Lieferketten

Drittanbieter mit Zugang zu Ihren Systemen oder Daten können zum Einfallstor werden. NIS-2 fordert deshalb ausdrücklich die Absicherung der Lieferkette. Wer seine Dienstleister nicht systematisch bewertet, riskiert Sicherheitslücken, die außerhalb der eigenen Kontrolle liegen. NIS-2 und Lieferkettensicherheit →

Unberechtigter Datenzugriff

Ob durch fehlerhafte Berechtigungen, mangelnde Protokollierung oder gezielte Insider-Angriffe: Unkontrollierter Zugriff auf sensible Daten ist eines der häufigsten Sicherheitsprobleme. Bei personenbezogenen Daten greift die 72-Stunden-Meldefrist nach Art. 33 DSGVO. Zugriffskontrolle und Logging sind Grundpfeiler jeder Sicherheitsarchitektur. Datenschutz und Meldepflichten →

So arbeiten wir: Vom Ist-Zustand zur dokumentierten Sicherheitslage

Unser Beratungsansatz folgt einem strukturierten Vorgehen in vier Phasen. Die Tiefe jeder Phase hängt von Ihrem Ausgangspunkt ab: Ein Unternehmen ohne bestehendes ISMS erhält einen anderen Fahrplan als eines, das sich auf die ISO-27001-Zertifizierung vorbereitet.

01

Bestandsaufnahme und Risikoanalyse

Welche Informationswerte hat Ihr Unternehmen? Welche Bedrohungen sind relevant? Wo bestehen bereits Schutzmaßnahmen, wo gibt es Lücken? Wir erfassen den Ist-Zustand methodisch, orientiert an BSI-Grundschutz oder ISO 27005, und bewerten die identifizierten Risiken nach Eintrittswahrscheinlichkeit und Schadenpotenzial.

02

Maßnahmenplanung

Aus der Risikoanalyse leiten wir einen priorisierten Maßnahmenplan ab. Wir unterscheiden zwischen regulatorisch notwendigen Basismaßnahmen und risikobasierten Verbesserungen. So entsteht ein realistischer Fahrplan, der Ihr Budget und Ihre internen Ressourcen berücksichtigt, statt eine theoretische Idealwelt zu beschreiben.

03

Umsetzungsbegleitung

Wir begleiten die Umsetzung der geplanten Maßnahmen in Ihrem Unternehmen. Das bedeutet: Richtlinien formulieren, Prozesse etablieren, Mitarbeitende sensibilisieren und technische Anforderungen mit Ihrer IT-Abteilung abstimmen. Wir bleiben involviert, bis die Maßnahmen im Tagesgeschäft verankert sind.

04

Audit und Nachweisführung

Im letzten Schritt prüfen wir die Wirksamkeit der umgesetzten Maßnahmen durch ein internes Audit. Wir gleichen den erreichten Stand mit den Anforderungen aus ISO 27001 Annex A, NIS-2 oder anderen relevanten Regelwerken ab. Das Ergebnis ist eine dokumentierte Sicherheitslage, die gegenüber Kunden, Partnern und Behörden belastbar ist.

Leistungen zur Informationssicherheit

Wir bieten zwei Leistungsmodelle: Beratungs- und Auditprojekte mit definierten Ergebnissen sowie laufende Beauftragtenrollen, die sich direkt in Ihre Organisation integrieren.

Beratung und Audit

ISMS & ISO 27001

Aufbau und Zertifizierungsvorbereitung eines Informationssicherheits-Managementsystems nach ISO 27001.

Mehr erfahren

NIS-2

Betroffenheitsprüfung, Maßnahmenkatalog und Meldepflichten nach der NIS-2-Richtlinie.

Mehr erfahren

KRITIS & BSIG

Anforderungen nach BSI-Gesetz und KRITIS-Dachgesetz für Betreiber kritischer Infrastrukturen.

Mehr erfahren

DORA

Digital Operational Resilience Act: Umsetzungsbegleitung für den Finanzsektor und seine IT-Dienstleister.

Mehr erfahren

Business Continuity

Notfallkonzepte und Wiederanlaufpläne nach ISO 22301. Betriebskontinuität auch im Ernstfall.

Mehr erfahren

KI-Compliance & ISO 42001

Governance-Strukturen für KI-Systeme. Konform mit EU AI Act und ISO 42001.

Mehr erfahren

Externe Beauftragtenrolle

Wo Beratungsprojekte zeitlich begrenzt sind, ist das ISB-Mandat ein laufender Service. Wir übernehmen die Rolle des Informationssicherheitsbeauftragten als externer Dienstleister und integrieren uns in Ihre bestehenden Strukturen.

Externer Informationssicherheitsbeauftragter

Fachkundige Besetzung der ISB-Rolle ohne eigene Vollzeitstelle. ISO-27001-konform und praxiserprobt.

Mehr erfahren
Alle Leistungen anzeigen →

Häufig gestellte Fragen

Welche Unternehmen müssen die NIS-2-Richtlinie umsetzen?

NIS-2 betrifft Unternehmen in 18 kritischen und wichtigen Sektoren ab 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz. Dazu zählen unter anderem Energie, Gesundheit, Transport, Wasser, digitale Infrastruktur und der verarbeitende Sektor. Eine Betroffenheitsprüfung ist für viele Unternehmen der erste notwendige Schritt.

Was ist ein ISMS und braucht mein Unternehmen eines?

Ein Informationssicherheits-Managementsystem (ISMS) ist ein dokumentierter Rahmen aus Richtlinien, Prozessen und Maßnahmen zum Schutz von Informationswerten. ISO 27001 ist der international anerkannte Standard dafür. Ob eine Zertifizierung notwendig ist, hängt von Kundenanforderungen, regulatorischen Verpflichtungen und dem eigenen Risikoappetit ab.

Wie lange dauert der Aufbau eines ISMS nach ISO 27001?

Für ein mittelständisches Unternehmen ohne vorhandene Basis liegt der realistische Zeitrahmen bei 9 bis 18 Monaten bis zur Erstzertifizierung. Wesentliche Einflussfaktoren sind die Unternehmensgröße, die Komplexität der IT-Landschaft und die interne Kapazität für das Projekt. Eine vorherige Reifegrad-Analyse schafft Klarheit über den konkreten Aufwand.

Was kostet ein Sicherheitsvorfall ohne Vorbereitung?

Die direkten Kosten eines Ransomware-Angriffs umfassen Systemwiederherstellung, Ausfallzeiten, Benachrichtigungspflichten und mögliche Bußgelder. Hinzu kommen Reputationsschäden und Vertragsverluste. Studien des BSI und des Branchenverbands Bitkom beziffern den durchschnittlichen Schaden für deutsche Unternehmen auf mehrere hunderttausend Euro. Vorbeugende Maßnahmen sind in jedem Fall wirtschaftlicher.

Was macht ein externer Informationssicherheitsbeauftragter?

Der Informationssicherheitsbeauftragte (ISB) koordiniert das ISMS, führt interne Risikobeurteilungen durch, schult Mitarbeitende und ist Ansprechpartner für Behörden und Prüfer. Als externer Dienstleister übernimmt die SIKKER GmbH diese Rolle kontinuierlich, ohne dass Sie eine eigene Vollzeitstelle besetzen müssen.

Welche Verbindung besteht zwischen Informationssicherheit und DSGVO?

Art. 32 DSGVO schreibt technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor. Ein dokumentiertes ISMS belegt gegenüber Aufsichtsbehörden, dass diese Maßnahmen systematisch umgesetzt sind. Informationssicherheit und Datenschutz ergänzen sich und sollten koordiniert betrachtet werden.

Wie starten wir mit Informationssicherheit, wenn bisher kaum etwas vorhanden ist?

Der Ausgangspunkt ist eine strukturierte Ist-Analyse: Welche Informationswerte gibt es, welche Risiken bestehen, welche Maßnahmen sind bereits vorhanden? Daraus entsteht ein priorisierter Maßnahmenplan. In einem kostenlosen Erstgespräch besprechen wir Ihre Ausgangssituation und skizzieren sinnvolle erste Schritte.

NIS-2, ISO 27001 oder DORA: Wo stehen Sie?

Sprechen Sie mit unserem Team. Wir klären Ihren Handlungsbedarf, skizzieren einen ersten Maßnahmenplan und beantworten Ihre Fragen. Unverbindlich und vertraulich.

Gespräch vereinbaren