Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

KMU-Sicherheitsanalyse

Wissen, wo Sie stehen -
und was zu tun ist.

Unsere 360-Grad-Sicherheitsanalyse zeigt Ihnen in 2-3 Wochen den wahren Stand Ihrer IT-Sicherheit - extern, intern und organisatorisch. Speziell für den Mittelstand konzipiert.

Sicherheitsanalyse anfragen 3 Bausteine ansehen
DIN SPEC 27076 verfügbar Ab 5.000 EUR Foerderfaehig
ERGEBNIS-PREVIEW - AMPELBEWERTUNG
!

Zugangskontrollen

Keine MFA, gemeinsam genutzte Admin-Accounts

KRITISCH
!

Backup & Recovery

Backups vorhanden, Restore nie getestet

WARNUNG
!

Patch-Management

Windows-Updates, aber keine Drittanbieter-Patches

WARNUNG

Mail-Security

SPF, DKIM und DMARC korrekt konfiguriert

OK

Netzwerk-Segmentierung

Server, Clients und Gaeste-WLAN getrennt

OK
Gesamtbewertung: 62/100 5 Quick Wins identifiziert

Vertrauen von über 200 Unternehmen im Mittelstand

Sicherheitsanalysen für den Mittelstand
setzen Quick Wins sofort um
Wochen von Kickoff bis Ergebnis
bis zum individuellen Angebot

Warum der Mittelstand besonders gefährdet ist

KMU sind attraktive Ziele - weil Angreifer wissen, dass Budget und Personal für IT-Sicherheit dort oft knapp sind.

46% wurden angegriffen

Fast die Haelfte aller KMU in Deutschland war bereits von einem Cyberangriff betroffen. Viele bemerken den Angriff erst, wenn der Schaden schon entstanden ist.

200.000 EUR Durchschnittsschaden

Betriebsunterbrechung, Datenwiederherstellung, Rechtskosten und Reputationsschaden. Für ein KMU kann ein einziger Vorfall existenzbedrohend sein.

NIS2 kommt 2025

Die NIS2-Richtlinie erweitert den Kreis der regulierten Unternehmen massiv. Auch viele Mittelstaendler sind betroffen und müssen handeln - mit persönlicher Haftung der Geschäftsführung.

Drei Bausteine

Extern + Intern + Workshop = Gesamtbild

Unsere KMU-Sicherheitsanalyse kombiniert drei Bausteine zu einem kosteneffizienten Gesamtpaket. Einzeln sinnvoll, zusammen unschlagbar.

1

Externe Analyse - Die Angreifer-Perspektive

Wie sieht Ihr Unternehmen für einen Angreifer aus? Wir prüfen alle extern erreichbaren Systeme und Dienste:

Webpraesenz & Webanwendungen
Mail-Security (SPF, DKIM, DMARC)
DNS-Konfiguration & SSL/TLS
Cloud-Dienste & externe APIs
Exponierte Services & Ports
Datenleck-Prüfung (OSINT)
2

Interne Analyse - Der Blick hinter die Kulissen

Vor Ort oder per VPN prüfen wir Ihre interne Infrastruktur auf die häufigsten Schwachstellen:

Active Directory & Berechtigungen
Netzwerk-Segmentierung
Patch-Management & Updates
Backup & Disaster Recovery
Endpoint-Security & Antivirus
Logging & Monitoring
3

Workshop für Geschäftsführung & IT

Inklusiv

Halbtagiger interaktiver Workshop, in dem wir die Ergebnisse verständlich praesentieren, Quick Wins identifizieren und gemeinsam eine Roadmap für die nächsten 6-12 Monate entwickeln:

Management-taugliche Ergebnisse
Live-Demo ausgewaehlter Schwachstellen
Priorisierte Maßnahmen-Roadmap
Optional: Awareness-Demo (Live Hacking)

Foerderfaehig

CyberRisikoCheck nach DIN SPEC 27076

Die DIN SPEC 27076 wurde vom BSI und dem Bundesverband mittelstaendische Wirtschaft entwickelt - speziell für Unternehmen mit weniger als 50 Mitarbeitenden. 27 Anforderungen in 6 Themenbereichen, durchführbar in ca. 3 Stunden. In mehreren Bundeslaendern foerderfaehig.

NRW: MID-Digitale Sicherheit

Bis 50% Foerderung (4.000-15.000 EUR)

27 Anforderungen

In 6 Themenbereichen strukturiert

BSI-konform

Standardisiertes Verfahren

Einstieg in ISO 27001

Aufbauend auf dem Check

Mehr zum CyberRisikoCheck

Ihre Ansprechpartner

Unsere Berater kennen die typischen Schwachstellen im Mittelstand - und wissen, welche Maßnahmen den größten Effekt haben.

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Jan Hörnemann
Jan Hörnemann

Chief Operating Officer · Prokurist

PGP A3FD64BB96C888E2

M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.

ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)
Vollständiges Profil ansehen

So laeuft es ab

Von der Anfrage zum Ergebnis in 5 Schritten

  1. Kickoff & Scope: Persönliches Gespraech zur Erfassung Ihrer IT-Landschaft, Geschaeftsprozesse und Sicherheitsanforderungen. Wir verstehen Ihr Unternehmen, bevor wir es prüfen.
  2. Externe Analyse: Prüfung Ihrer extern erreichbaren Systeme: Webpraesenz, Mail-Security (SPF, DKIM, DMARC), DNS-Konfiguration, SSL/TLS und Cloud-Dienste. Was sieht ein Angreifer von aussen?
  3. Interne Analyse: Vor-Ort- oder Remote-Prüfung Ihrer internen IT: Active Directory, Netzwerk-Segmentierung, Patch-Management, Backup-Strategie, Endpoint-Security und Berechtigungskonzepte.
  4. Workshop: Interaktiver Workshop mit Geschäftsführung und IT-Verantwortlichen. Ergebnisse verstehen, Quick Wins identifizieren, Roadmap entwickeln. Optional mit Live-Hacking-Demo.
  5. Abschlussbericht: Management-tauglicher Bericht mit Ampelbewertung, priorisiertem Maßnahmenplan und realistischer Roadmap für die nächsten 6-12 Monate.

KMU-Analyse vs. Pentest vs. CyberRisikoCheck

Drei Ansaetze für IT-Sicherheit - jeder hat seinen Platz. Die KMU-Analyse vereint das Beste aus beiden Welten.

CyberRisikoCheck Penetrationstest KMU-Analyse
Fokus Organisatorisch Technisch tief Technisch + Organisatorisch
Dauer 3 Stunden 5-15 Tage 2-3 Wochen
Workshop inkl. Nein Optional Ja, immer
Roadmap Handlungsempfehlungen Schwachstellenliste 6-12 Monate Maßnahmenplan
Ideal für Einstieg (<50 MA) Spezifische Systeme Gesamtueberblick (20-500 MA)
Foerderung Ja (DIN SPEC) Nein Ja (als CyberRisikoCheck)

Referenzen im Mittelstand

Pentesting & Schwachstellenscans

Sill Optics GmbH

Feststellung der Angriffsfläche bei Sill Optics GmbH

Managed Phishing Simulation

Windhoff Group

Durchführung einer Phishing-Simulation für die Windhoff Group

6

Monate Simulationsdauer

2

Simulationen alle X Monate

Nächste Schritte

Nach der Analyse: Gezielt absichern

Die Sicherheitsanalyse zeigt, wo Sie stehen. Diese Leistungen helfen, die identifizierten Lücken zu schliessen:

Penetration Testing

Technische Tiefenpruefung der identifizierten kritischen Systeme.

Details

Phishing-Simulation

Testen Sie, wie gut Ihre Mitarbeiter Phishing erkennen.

Details

ISMS ISO 27001

Vom Security-Check zur Zertifizierung - der nächste logische Schritt.

Details
ISO/IEC 27001 zertifiziert
BSI-qualifiziert
DIN SPEC 27076 qualifiziert
AZAV-zertifizierter Bildungstraeger

Warum Unternehmen AWARE7 vertrauen

Was uns von anderen Anbietern unterscheidet

Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.

Forschung und Lehre als Fundament

Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.

Digitale Souveränität - keine Kompromisse

Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.

Festpreis in 24h - planbare Projektzeiträume

Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.

Ihr fester Ansprechpartner - jederzeit erreichbar

Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.

Für wen sind wir der richtige Partner?

Mittelstand mit 50–2.000 MA

Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.

IT-Verantwortliche & CISOs

Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.

Regulierte Branchen

KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.

Mitwirkung an Industriestandards

LLM

OWASP · 2023

OWASP Top 10 for Large Language Models

Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.

BSI

BSI · Allianz für Cyber-Sicherheit

Management von Cyber-Risiken

Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).

Häufige Fragen

Ihre Fragen zur KMU-Sicherheitsanalyse

Die KMU-Sicherheitsanalyse ist ein kosteneffizientes Gesamtpaket für den Mittelstand. Sie kombiniert eine externe und interne Sicherheitspruefung mit einem Workshop für Geschäftsführung und IT - Technik, Prozesse und Awareness in einem Paket. Im Gegensatz zu einem reinen Penetrationstest betrachten wir auch organisatorische und prozessuale Aspekte.
Die Analyse richtet sich an mittelstaendische Unternehmen mit 20-500 Mitarbeitenden, die einen strukturierten Einstieg in die IT-Sicherheit suchen oder ihren aktuellen Stand objektiv bewerten wollen. Besonders relevant für Unternehmen, die erstmals eine umfassende Sicherheitsbewertung durchführen oder sich auf NIS2, DORA oder eine ISO-27001-Zertifizierung vorbereiten.
Die KMU-Analyse ist breiter angelegt: Sie betrachtet nicht nur technische Schwachstellen, sondern auch Prozesse, Organisation und Awareness. Der Pentest fokussiert sich auf die technische Tiefe einzelner Systeme und versucht aktiv, Schwachstellen auszunutzen. Idealerweise ergaenzen sich beide Maßnahmen - die KMU-Analyse als Gesamtueberblick, der Pentest als technische Tiefenpruefung.
Die gesamte Analyse dauert typischerweise 2-3 Wochen. Die externe Analyse benötigt 2-3 Werktage, die interne Analyse 2-3 Werktage (vor Ort oder remote), der Workshop einen halben Tag. Der Abschlussbericht wird innerhalb von 5 Werktagen erstellt. Bei kleineren Infrastrukturen geht es auch schneller.
Die KMU-Sicherheitsanalyse beginnt ab ca. 5.000 EUR für kleinere Infrastrukturen. Der genaue Preis hängt von der Größe Ihres Netzwerks und dem gewünschten Umfang ab. Alle drei Bausteine (extern, intern, Workshop) sind im Paketpreis enthalten. Wir erstellen Ihnen innerhalb von 24 Stunden ein individuelles Angebot.
Ja. Wir bieten die Analyse auch als zertifizierten CyberRisikoCheck nach DIN SPEC 27076 an. Die DIN SPEC 27076 wurde vom BSI gemeinsam mit dem Bundesverband mittelstaendische Wirtschaft entwickelt und ist speziell für Unternehmen mit weniger als 50 Mitarbeitenden konzipiert. Der CyberRisikoCheck ist in mehreren Bundeslaendern foerderfaehig - in NRW z.B. über das Programm MID-Digitale Sicherheit mit bis zu 50% Foerderung.
Der Workshop richtet sich an Geschäftsführung, IT-Leitung und ggf. Datenschutzbeauftragten. Wir praesentieren die Ergebnisse verständlich mit Ampelbewertung, demonstrieren ausgewaehlte Schwachstellen live und entwickeln gemeinsam eine priorisierte Maßnahmen-Roadmap. Auf Wunsch integrieren wir eine kurze Live-Hacking-Demonstration für maximalen Awareness-Effekt.
Die externe Analyse erfolgt ohnehin remote. Die interne Analyse können wir bei Bedarf über einen sicheren VPN-Zugang remote durchführen. Wir empfehlen allerdings mindestens für den Workshop einen Vor-Ort-Termin - der persönliche Kontakt und die Live-Demos haben den stärksten Effekt.
Nach der Analyse haben Sie einen priorisierten Maßnahmenplan. Viele Unternehmen setzen Quick Wins sofort um und beauftragen uns für die komplexeren Maßnahmen: Penetrationstest, ISMS-Aufbau, Phishing-Simulation oder Security-Awareness-Schulungen. Wir begleiten Sie gerne auf dem gesamten Weg.

Aus dem Blog

Weiterführende Artikel

Bereit herauszufinden, wie sicher Ihr Unternehmen wirklich ist?

Schildern Sie uns kurz Ihre IT-Landschaft - wir erstellen Ihnen innerhalb von 24 Stunden ein individuelles Angebot. Kostenlos und unverbindlich.

Sicherheitsanalyse anfragen

Kostenlos · 30 Minuten · Unverbindlich

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung