🔎 Neutraler Blick von außen
Wer ein System selbst betreut, wird betriebsblind. Wir schauen ohne Scheuklappen drauf und fragen bei jeder Einstellung: Muss das so offen sein?
unabhängig · ehrlich · gründlich
// warum jetzt
Es sind selten die spektakulären Hacker-Angriffe, die Betriebe lahmlegen. Es sind das offene Fernwartungs-Tor, das nie getestete Backup, das flache Netz, in dem sich Schadsoftware ungehindert ausbreitet, und die alten Zugänge ausgeschiedener Mitarbeiter. Genau danach suchen wir – systematisch.
Wer ein System selbst betreut, wird betriebsblind. Wir schauen ohne Scheuklappen drauf und fragen bei jeder Einstellung: Muss das so offen sein?
unabhängig · ehrlich · gründlich
Jeder Befund wird sauber festgehalten – mit Datum, Bewertung und Empfehlung. Das brauchen Sie für Cyber-Versicherung, NIS2 und die eigene Absicherung.
revisionssicher · datiert · belegbar
Kein 80-Seiten-Bericht zum Verstauben. Sie bekommen eine Liste nach Dringlichkeit: Rot sofort, Gelb bald, Grün im Blick behalten. So bleibt es machbar.
rot · gelb · grün · machbar
// prüfumfang
Ein strukturierter Durchgang durch die Bereiche, in denen erfahrungsgemäß die Schwachstellen sitzen. Umfang nach Bedarf – vom Schnellcheck bis zum vollen Audit.
Regelwerk, offene Ports, Fernzugriffe, Portweiterleitungen. Was ist von außen erreichbar – und muss es das wirklich sein?
Ist das Netz getrennt (Server, Clients, Gäste, Produktion) oder flach? In flachen Netzen breitet sich Schadsoftware ungehindert aus.
Verschlüsselung, getrenntes Gäste-WLAN, Passwort-Hygiene, Fremdgeräte. Das offene WLAN ist oft das offene Scheunentor.
Wie kommen Mitarbeiter und Dienstleister rein? Verschlüsselung, Zwei-Faktor, alte offene Zugänge – LANCOM-VPN-Konfiguration geprüft.
Gibt es Backups? Sind sie vom Netz getrennt (Ransomware-sicher)? Und – die entscheidende Frage – wurde je ein Restore getestet?
Wer darf was? Verwaiste Konten, zu weit gefasste Admin-Rechte, Zugänge ausgeschiedener Mitarbeiter, Passwort-Richtlinien.
Veraltete Firmware, ungepatchte Server, End-of-Life-Systeme. Bekannte Lücken in alter Software sind das häufigste Einfallstor.
Virenschutz, Mail-Filter, Spam- und Phishing-Abwehr, Endpoint-Schutz. Greifen die Schutzschichten ineinander oder gibt es Lücken?
Werden sicherheitsrelevante Ereignisse überhaupt aufgezeichnet? Und gibt es einen Plan für den Ernstfall – oder nur Hoffnung?
// so läuft ein audit
Ein Audit ist kein Verhör und keine Schwarzmalerei. Es ist eine nüchterne Bestandsaufnahme: Wo stehen Sie, was ist gut, was ist dringend? Am Ende haben Sie Klarheit statt diffuses Bauchgrummeln.
Und Sie entscheiden selbst, was Sie mit dem Ergebnis machen: selbst umsetzen, von uns umsetzen lassen oder Schritt für Schritt abarbeiten. Kein Druck.
audit-report · beispiel
// nis2 & cyber-versicherung
Zwei Entwicklungen setzen den Mittelstand gerade unter Zugzwang: die NIS2-Richtlinie und die verschärften Anforderungen der Cyber-Versicherer. Beide verlangen nachweisbare Mindeststandards. Ein Audit ist der einfachste Weg, diesen Nachweis zu schaffen.
Wichtig und ehrlich gesagt: Wir machen keine Panik und verkaufen Ihnen keine Zertifizierung, die Sie nicht brauchen. Wir sagen Ihnen nüchtern, was in Ihrer Größe und Branche wirklich gefordert ist – und was nicht.
// häufige fragen
Ein Audit prüft strukturiert Ihre gesamte IT-Sicherheit: Firewall-Konfiguration, getestete Backups, Zugriffsrechte, Segmentierung. Ein Penetrationstest greift dagegen gezielt an, um eine konkrete Lücke auszunutzen. Für die meisten Mittelständler ist das Audit der richtige erste Schritt – es findet die grundlegenden Schwachstellen, an denen 90 % der Vorfälle hängen. Einen Pentest kann man gezielt nachschalten.
Nein. Der größte Teil ist eine Bestandsaufnahme im Hintergrund – wir schauen uns Konfigurationen, Protokolle und Einstellungen an. Nur wenige Prüfungen erfordern kurze, abgestimmte Zeitfenster. Der normale Arbeitsbetrieb läuft während des Audits ganz normal weiter.
Möglicherweise indirekt. Die NIS2-Richtlinie verpflichtet zunächst größere und besonders wichtige Unternehmen. Aber viele kleinere Betriebe sind als Zulieferer betroffen, weil ihre Auftraggeber Sicherheitsnachweise verlangen. Und unabhängig von NIS2 verlangen Cyber-Versicherungen zunehmend belegbare Mindeststandards. Ein Audit schafft genau diese Nachweisbasis.
Nein. Sie bekommen zweierlei: eine verständliche Zusammenfassung in Klartext für die Geschäftsführung (Wo stehen wir? Was ist dringend?) und eine priorisierte Maßnahmenliste nach Ampelprinzip. Rot zuerst, dann Gelb. So wissen Sie genau, was mit wenig Aufwand viel bringt – und was warten kann.
Auf Wunsch ja. Audit und Umsetzung sind getrennt – Sie sind nicht verpflichtet, die Maßnahmen von uns umsetzen zu lassen. Viele Kunden nutzen aber genau das: erst der neutrale Blick, dann die Umsetzung aus einer Hand. Gerade bei LANCOM-Firewalls, VPN und Netzwerksegmentierung ist das unser Kerngebiet.
Als Faustregel einmal jährlich – und immer dann, wenn sich etwas Grundlegendes ändert: neuer Standort, neue Software, Umzug in die Cloud, größere Personaländerungen. Viele Kunden vereinbaren einen jährlichen Kurz-Check, der die letzte Aufnahme fortschreibt. Das hält die Dokumentation aktuell und die Versicherung zufrieden.
// nächster schritt
30 Minuten Erstgespräch, kostenfrei. Wir klären, ob ein Schnellcheck reicht oder ein volles Audit sinnvoll ist – und was es kostet. Ehrlich, ohne Panikmache.