IT-Sicherheit im Mittelstand ist selten ein Mangel an Werkzeugen — meist ist es ein Mangel an Ordnung. Defender ist lizenziert, irgendwo läuft eine Firewall, MFA ist „eingerichtet, glaube ich”, und das Backup-Skript hat seit Monaten keine Fehlermeldung geschickt. Trotzdem bleibt das ungute Gefühl: Wenn morgen ein Vorfall reinkommt — würden wir es überhaupt mitbekommen, und hätten wir eine Antwort, die ein Cyber-Versicherer oder ein Lieferant akzeptiert? Wir bauen für mittelständische Firmen eine Sicherheits-Grundlinie, die dokumentiert ist, regelmäßig getestet wird, und die im Alltag nicht stört — statt eine weitere Konsole, die niemand bedient.

Erkennst du das?

Der Cyber-Versicherer hat zum Renewal einen Fragebogen geschickt, in dem hundert Fragen stehen — und bei der Hälfte sucht ihr seit Tagen nach einer ehrlichen Antwort.
Eure NIS-2-Betroffenheit ist unklar. Der wichtigste Kunde hat aber schon angefragt, ob ihr „NIS-2-konform” seid, und die Vertriebsleitung hat reflexartig „klar” geschrieben.
Backups laufen seit Jahren, die Job-Reports sind grün — aber ein vollständiger Restore wurde nie ernsthaft getestet. Wann der letzte Versuch lief, weiß niemand.
Ihr habt drei verschiedene Security-Tools — Antivirus von vor fünf Jahren, Defender, dazu „irgendwas mit XDR” aus dem letzten Workshop. Niemand weiß, was wirklich überwacht ist und wo Lücken bleiben.
Eine Mitarbeiterin ist Anfang des Jahres ausgeschieden. Hat sie noch Zugriff aufs Postfach, auf die SharePoint-Site Vertrieb, auf den VPN? Eigentlich sollte das geklärt sein. Eigentlich.
Ein Gast-Account aus einem Projekt 2022 ist nie deaktiviert worden. Bemerkt hat das jetzt der Wirtschaftsprüfer.

Warum das passiert

Sicherheit im Mittelstand entsteht selten als geplantes Programm, sondern als Sediment aus Einzelentscheidungen. Vor sieben Jahren wurde ein Antivirus eingeführt, vor vier Jahren kam Microsoft 365 dazu — also auch Defender. Nach einem Vorfall im Bekanntenkreis hat jemand „mal über XDR nachgedacht”. Eine Compliance-Frage vom Versicherer hat MFA in Bewegung gebracht. Jede einzelne Entscheidung war zum Zeitpunkt sinnvoll. Das Problem ist nur, dass sie nie zusammen gedacht wurden — und dass die ursprünglichen Begründungen niemand mehr nachvollziehen kann.

Dazu kommt der Druck von außen, der in den letzten zwei Jahren spürbar zugenommen hat. Cyber-Versicherer fragen Dinge ab, die früher niemand gefragt hat — Conditional Access, Privileged-Account-Schutz, Logging-Aufbewahrung. NIS-2 zieht Firmen in die Pflicht, die sich vorher mit dem Thema nicht beschäftigen mussten — und über die Lieferanten-Kette werden auch kleinere Betriebe in die Nachweis-Logik mit hereingezogen. Was vor drei Jahren noch „Best Practice” war, ist heute Voraussetzung für den Versicherungsschutz oder den Großkundenvertrag.

Und dann der Werkzeug-Wildwuchs: Hersteller drängen mit immer neuen Modulen — Defender for Identity, Defender for Cloud Apps, Sentinel, Purview. Jede Komponente kann nützlich sein. Aber wenn niemand im Haus die Zeit hat, drei Konsolen täglich zu lesen, wird die zusätzliche Lizenz schnell zur teuren Beruhigung statt zur echten Verbesserung. Sicherheits-Theater statt Sicherheit.

Worum es konkret geht

Zero-Trust-Baseline

Conditional Access, MFA, Device Compliance — als gemeinsame Grundlinie, an der man sich orientieren kann, nicht als nie endendes Projekt. Konkret heißt das: Welche Identität darf von welchem Gerät aus auf welche Anwendung zugreifen, unter welchen Bedingungen. MFA für alle, mit klaren Ausnahmen für Service-Accounts, die anders abgesichert sind. Geräte, die nicht compliant sind, kommen nicht an die Firmendaten. Das ist keine Magie, und es ist auch nicht „in zwei Wochen erledigt” — aber es ist ein erreichbarer Zielzustand, kein Buzzword. Woran ihr es merkt, dass die Baseline fehlt: Wenn die Frage „Haben alle MFA?” nicht in zehn Sekunden mit Beweis beantwortbar ist.

Endpoint-Schutz & Patch-Management

Defender for Endpoint sauber konfiguriert, Intune-Compliance-Policies, die wirklich greifen, und ein Patch-Rhythmus, der dokumentiert ist. Vulnerability-Management heißt: Welche kritischen Lücken gibt es aktuell auf welchen Geräten, und wann werden sie geschlossen — nicht „wir patchen schon irgendwie”. In vielen M365-Lizenzen ist das meiste davon schon enthalten, nur eben nicht aktiviert oder nicht zu Ende gedacht. Wir machen das vorhandene Werkzeug erst bedienbar, bevor wir über zusätzliche Tools reden.

Backup-Drill & Disaster Recovery

Ein Backup, das nie zurückgespielt wurde, ist eine Hoffnung, kein Backup. Wir testen Restores ernsthaft — pro Quartal mindestens eine Datei-Wiederherstellung, einmal im Jahr eine vollständige Systemwiederherstellung, sauber dokumentiert. RTO (wie lange darf der Ausfall maximal dauern) und RPO (wie viel Datenverlust ist tragbar) werden mit der Geschäftsführung definiert, nicht von der IT geraten. Und wir prüfen, ob die Backups tatsächlich gegen Ransomware abgesichert sind — also unveränderlich gespeichert oder zumindest segmentiert. Woran ihr es merkt: Wenn auf die Frage „Wann lief der letzte vollständige Restore-Test?” niemand ein Datum nennen kann.

Identitäts-Governance

Wer hat welchen Zugriff, wer hat ihn nach einem Rollenwechsel oder Austritt eigentlich nicht mehr, und wer kontrolliert das wann. Gäste-Zugänge aus alten Projekten, Service-Accounts mit Passwörtern, die seit fünf Jahren niemand gedreht hat, geteilte Admin-Konten ohne klaren Verantwortlichen — das sind die Stellen, an denen Audits regelmäßig hängenbleiben. Wir bauen Access Reviews als Rhythmus auf, nicht als Einmal-Aufräumen, das in zwei Jahren wieder zugewachsen ist.

NIS-2 & Lieferanten-Cyber-Anforderungen

Pragmatisch das umsetzen, was wirklich gefordert ist — nicht Compliance-Theater veranstalten, das mehr Papier produziert als Wirkung. Erst klären, ob ihr direkt oder indirekt betroffen seid (das ist häufiger der entscheidende Punkt als die reine Branche). Dann die geforderten Bereiche durchgehen: Risikomanagement, Incident-Handling, Lieferanten-Sicherheit, Business Continuity. Wir bauen die Nachweise so auf, dass sie für einen Audit reichen und gleichzeitig im Alltag Sinn ergeben — nicht zwei getrennte Welten von „echter IT” und „Compliance-Ordner”.

Wann „weniger Tools” mehr Sicherheit bringt — die ehrliche Antwort

Manchmal ist das Sicherheits-Problem nicht „wir brauchen ein neues SIEM”, sondern „wir haben drei Tools, die niemand mehr versteht”. Wir reduzieren oft, bevor wir hinzufügen. Beispiel: Wenn niemand im Haus die Defender-Konsole täglich liest, bringt ein zusätzliches SIEM darüber gar nichts — wir machen erst das vorhandene Werkzeug bedienbar. Erst wenn das Defender-Setup sauber läuft, die Alerts priorisiert sind und jemand sie bewertet, ergibt eine Erweiterung Sinn. Vorher ist jedes zusätzliche Tool nur mehr Geräusch, das echte Signale überdeckt.

Worauf du achten solltest — auch wenn du nicht uns nimmst

Lass dir vor jedem Security-Projekt zeigen, wie die Übergabe-Dokumentation am Ende aussehen wird. Wer keine Vorlage hat, hat noch nie sauber übergeben — und ihr habt am Ende ein Setup, das nur der Dienstleister versteht. Das ist das genaue Gegenteil von Sicherheit.
Frag nach dem Rollback-Plan, bevor Conditional Access oder Intune-Policies scharf geschaltet werden. Eine falsch konfigurierte Policy kann am Montagmorgen die halbe Belegschaft aussperren. Wer auf die Frage „Was passiert, wenn es schiefgeht?” stutzt, hat keinen Plan.
Misstraue Pauschal-Angeboten, die „NIS-2-Konformität in 30 Tagen” versprechen. NIS-2 ist kein Häkchen, sondern eine kontinuierliche Praxis. Wer das verkürzt, verkauft euch ein Zertifikat-Theater, das im Ernstfall hält wie Papier.
Wenn jemand sofort ein neues SIEM/XDR vorschlägt, ohne vorher den aktuellen Tool-Stand und die Bedienkapazitäten im Haus angeschaut zu haben — Vorsicht. Das ist Vertrieb, keine Beratung.
Klärt, wer den Cyber-Versicherer-Fragebogen unterschreibt — und auf welcher Datenbasis. Eine falsche Selbstauskunft kann den Versicherungsschutz im Schadensfall kosten. Lieber ein paar Fragen ehrlich mit „in Umsetzung” beantworten als pauschal „ja”.
Frag, ob der Dienstleister auch von etwas abrät. Wer immer „ja, das brauchen Sie auch noch” sagt, optimiert seinen eigenen Umsatz, nicht eure Sicherheit.

Wann das jetzt dran ist

Cyber-Versicherer-Renewal mit umfangreichem Fragebogen — vor allem, wenn die Prämie schon angekündigt steigt und ihr verhandeln müsst.
NIS-2-Frist ist in Sichtweite, oder ihr seid bereits direkt betroffen und habt das Thema bisher liegen lassen.
Ein Lieferant oder Großkunde hat ein Cyber-Self-Assessment geschickt und Nachweise verlangt (TISAX, VDA-ISA, eigener Fragebogen).
Eine Audit-Bemerkung hat Lücken in Berechtigungen, Logging, Patch-Management oder Backup-Praxis dokumentiert.
Ein Sicherheitsvorfall im eigenen Haus — oder, fast genauso oft, ein Vorfall bei einem Lieferanten, Wettbewerber oder Branchenkollegen, der die Geschäftsführung wach werden lässt.
Compliance-Projekt aus der Geschäftsführung (Annäherung an ISO 27001, BSI-Grundschutz, branchenspezifische Anforderungen).
Generationenwechsel in der IT-Abteilung — die Person, die alles im Kopf hatte, geht. Mit ihr geht das ungeschriebene Sicherheitswissen.

Wie wir vorgehen

Phase 1 — Erstgespräch & Bestandsaufnahme

Wir starten mit einem 30-Minuten-Erstgespräch, danach mit einem strukturierten Blick in den Ist-Zustand: vorhandene Lizenzen und Sicherheits-Module, Conditional-Access-Policies, Defender-Konfiguration, Backup-Setup, Identitäts-Landschaft, dokumentierte Prozesse. Liefer-Ergebnis: eine ehrliche Bestandsaufnahme — was schützt heute wirklich, was ist Theater, was fehlt komplett, was ist redundant. In einer Sprache, die auch die Geschäftsführung versteht.

Phase 2 — Risiko- und Architektur-Plan

Auf Basis der Bestandsaufnahme priorisieren wir mit euch zusammen. Welche Lücken sind im Verhältnis zu eurem Risikoprofil dringend, welche können warten, welche sind eigentlich gar kein Risiko, das ihr tragen wollt. Daraus entsteht ein Plan, der für einen Auditor lesbar ist und gleichzeitig eine klare Umsetzungs-Reihenfolge für die nächsten 6–12 Monate gibt.

Phase 3 — Umsetzung in kontrollierten Schritten

Wir setzen die Maßnahmen schrittweise um, immer mit Pilotgruppen und Rollback-Pfad. Conditional Access wird nicht über Nacht für alle scharf geschaltet, Intune-Policies werden erst gegen IT-Geräte getestet, Backup-Drills werden geplant durchgeführt, nicht spontan. Keine Big-Bang-Aktion, bei der am Freitagabend etwas „ausgerollt” wird.

Phase 4 — Übergabe, Drill-Rhythmus & laufender Betrieb

Am Ende steht eine Dokumentation, mit der euch theoretisch jemand anderes ablösen könnte. Optional begleiten wir den laufenden Betrieb: Quartals-Check der Access Reviews, geplanter Restore-Drill, Reaktion auf neue Microsoft-Defender-Features, jährliches Update des Risikobilds. Sicherheit als Rhythmus — nicht als ständige Eskalation.

Was du von uns erwarten kannst — und was nicht

Was ihr bekommt:

Direkten Kontakt zum Gründer als festen Ansprechpartner, ohne Ticket-Karussell.
Remote-Reaktion sofort zu Service-Zeiten, mit ehrlicher Kommunikation, wenn etwas länger dauert.
Vor-Ort-Termine geplant nach Distanz: in Viersen binnen 24 Stunden, in Nachbarstädten 1–2 Werktage, weiter entfernt 3–5 Werktage.
Eine Dokumentation, die auch ein Cyber-Versicherer oder ein externer Auditor versteht.
Empfehlungen, die auch gegen unseren eigenen Umsatz gehen können, wenn das für euch passt.

Was wir bewusst nicht machen:

24/7-Bereitschaftsdienst mit garantierter 15-Minuten-Reaktion. Wer das verspricht, hält es nicht — oder hat ein Team dahinter, das wir nicht sind.
Forensik-Einsätze nach akutem Sicherheitsvorfall mit komplexer Beweissicherung. Das machen spezialisierte Incident-Response-Firmen — wir helfen, die Verbindung dorthin sauber aufzusetzen.
Eigenzertifizierungen für Standards, die ein akkreditierter Auditor erteilen muss (ISO 27001, TISAX). Wir bereiten vor — die Zertifizierung selbst kommt von einer akkreditierten Stelle.

Wo wir auch mal Nein sagen:

Wenn ihr ein zusätzliches SIEM kaufen wollt, obwohl die Defender-Konsole im Haus niemand bedient — dann erst die Basis bedienbar machen, dann reden wir nochmal.
Wenn die ehrliche Antwort lautet: „Eure Risikolage rechtfertigt diesen Aufwand nicht.” Eine Schreinerei mit 35 Mitarbeitenden und drei Standorten braucht ein anderes Schutzniveau als ein medizintechnischer Zulieferer mit NIS-2-Pflicht. Wir verkaufen nicht das, was beim Großkunden Standard ist, sondern das, was bei euch trägt.
Wenn der Bedarf eigentlich eine reine Schulung der Belegschaft ist und kein Tooling-Projekt. Phishing-Awareness durch 30 Minuten Konfiguration zu lösen wäre Unsinn.

So fängt es an

30 Minuten Erstgespräch, kostenfrei, unverbindlich, per Video oder Telefon.
Was wir klären: aktueller Stand der Sicherheits-Bausteine, dringendste Auslöser (Versicherer, Audit, Lieferant, eigenes Bauchgefühl), was in den nächsten 6–12 Monaten ansteht.
Optional vorab nützlich, aber nicht Pflicht: aktuell eingesetzte M365-Lizenzen, ob es bereits einen Cyber-Versicherer-Fragebogen gibt, der gerade beantwortet werden muss, ob ein Audit-Termin im Kalender steht.
Engagement-Modelle sind möglich als einmaliges Baseline-Projekt (z. B. Zero-Trust einführen, Backup-Drill aufsetzen), als laufende Sicherheitsbegleitung im Quartals-Rhythmus, oder als Hybrid — was zu euch passt, klären wir im Gespräch.

Erstgespräch buchen

Häufige Fragen

Sind wir von NIS-2 betroffen? Das hängt nicht nur an der Branche, sondern an Größe, kritischen Tätigkeiten und an der Frage, ob ihr in einer relevanten Lieferkette steckt. Wir prüfen das mit euch strukturiert: erst die direkte Betroffenheit (Sektor, Größe), dann die indirekte über Großkunden, die NIS-2-Pflicht in die Kette weiterreichen. Häufig ist die Antwort: „Direkt nicht — aber zwei Großkunden werden Nachweise einfordern, also läuft es auf das Gleiche hinaus.”

Müssen wir ISO 27001 zertifizieren? Selten als Pflicht, oft als Wunsch eines Großkunden. Eine echte Zertifizierung ist ein erheblicher Aufwand und nur sinnvoll, wenn entweder ein Kunde es konkret fordert oder eine Branche es als faktischen Standard etabliert hat. In vielen Fällen reicht eine ISO-orientierte Praxis ohne formales Zertifikat — gleicher Substanzgewinn, deutlich weniger Papier. Wir helfen, die ehrliche Bewertung zu machen, statt reflexartig „ja, wir zertifizieren” zu empfehlen.

Reicht MFA für unsere Versicherung? Vor drei Jahren oft ja, heute meistens nein. Cyber-Versicherer fragen inzwischen typischerweise nach Conditional Access, Privileged-Account-Schutz, Endpoint-Detection, Backup-Trennung und Incident-Response-Plan. MFA ist die Eintrittskarte, nicht das ganze Konzert. Wir gehen den Fragebogen mit euch durch und zeigen, was die Versicherer tatsächlich erwarten.

Was kostet uns ein Backup-Drill? Hängt stark vom Umfang ab. Ein erster Restore-Test einer kritischen Anwendung mit dokumentiertem Ablauf ist ein überschaubares Projekt — ein vollständiger Disaster-Recovery-Test mit Failover auf eine Ausweich-Infrastruktur ist deutlich aufwändiger. Wir sortieren mit euch erst, welcher Drill für eure Risikolage notwendig ist, bevor wir über Umfang reden. Eine konkrete Zahl gibt es nach dem Erstgespräch im Angebot.

Was, wenn wir bereits einen Sicherheitsvorfall hatten? Dann ist die erste Frage, ob die akute Lage geklärt ist — bei einem laufenden Vorfall braucht es eine Incident-Response-Firma mit Forensik-Kapazität, nicht uns. Wenn die akute Phase vorbei ist und es um „so etwas darf nicht wieder passieren” geht, sind wir genau richtig: Wir analysieren strukturiert, was passiert ist, welche Maßnahme die Wiederholung verhindert, und welche Spuren dokumentiert werden müssen (für Versicherer, Aufsicht, ggf. Behörden).

Können wir Zero Trust schrittweise einführen? Ja, und das ist auch der einzige Weg, der im Mittelstand realistisch funktioniert. Big-Bang-Zero-Trust gibt es nicht — das ist eine Reihe von Schritten über 6–18 Monate. Erst MFA flächig erzwingen, dann Conditional Access auf die kritischsten Anwendungen, dann Device-Compliance, dann fein granulieren. Jeder Schritt hat einen Rollback-Pfad und einen messbaren Sicherheitsgewinn. Wer „Zero Trust in vier Wochen” verspricht, hat den Begriff nicht verstanden.

Security & Governance — pragmatische IT-Sicherheit für den Mittelstand