+49 8178 9979 038 Kontakt aufnehmen
Cyber Security

Security Audits, Compliance
& ISO 27001

Wir prüfen Ihre Sicherheitsprozesse hart und unbestechlich — und bereiten Sie pragmatisch auf BSI IT-Grundschutz, ISO 27001 Zertifizierungen und NIS2-Anforderungen vor. Keine endlosen Papierschlachten: klare Befunde, priorisierte Maßnahmen, nachvollziehbare Ergebnisse.

Unverbindliches Beratungsgespräch Zurück zur Übersicht
ISO 27001 BSI IT-Grundschutz NIS2-konform

Warum sind Security Audits & Compliance für den Mittelstand kritisch?

Compliance ist kein Selbstzweck — aber fehlende Nachweise kosten Aufträge, Versicherungsschutz und im Ernstfall Bußgelder.

Audit ohne Vorbereitung bedeutet Chaos

Viele Mittelständler werden von Kunden oder Partnern zu einem Sicherheitsnachweis aufgefordert — ohne Vorlaufzeit. Wer kein strukturiertes ISMS hat, steht dann ohne belastbare Dokumentation da.

ISO 27001 wirkt überwältigend

Der Standard umfasst 93 Controls und erfordert ein vollständiges Informationssicherheits-Managementsystem. Ohne erfahrene Begleitung verlieren sich viele Unternehmen in der Dokumentation und verlieren den Blick auf das Wesentliche: die tatsächliche Sicherheitslage.

NIS2 gilt — ohne Übergangsfrist

Seit Dezember 2025 ist das NIS2-Umsetzungsgesetz in Deutschland in Kraft. Betroffene Unternehmen und ihre Zulieferer müssen Risikomanagementmaßnahmen implementieren und nachweisen — bei erheblichen Bußgeldern bei Verstößen.

Unsere Leistungen im Detail

Von der Erstprüfung bis zur Zertifizierungsbegleitung — wir begleiten Sie durch den gesamten Compliance-Prozess.

ISO 27001 Gap-Analyse & Zertifizierungsbegleitung

Wir prüfen Ihren Ist-Zustand gegen die Anforderungen der ISO/IEC 27001:2022 und erstellen einen realistischen Maßnahmenplan für den Weg zur Zertifizierung. Wir begleiten den gesamten Prozess — von der Risikobeurteilung über die ISMS-Dokumentation bis zur Unterstützung im Zertifizierungsaudit durch den akkreditierten Auditor.

BSI IT-Grundschutz Assessment

Das BSI IT-Grundschutz-Kompendium bietet konkrete Maßnahmenkataloge für typische IT-Systeme und -Prozesse. Wir führen ein strukturiertes Assessment nach BSI-Methodik durch, identifizieren Abweichungen vom Soll-Zustand und priorisieren Maßnahmen nach Schutzbedarf und Umsetzungsaufwand.

NIS2 Compliance-Check

Wir prüfen, ob Ihr Unternehmen unter NIS2 fällt, welche konkreten Pflichten sich daraus ergeben und welche Maßnahmen noch fehlen. Risikomanagement, Incident-Meldeprozesse, Lieferkettensicherheit und Nachweispflichten werden systematisch bewertet und dokumentiert.

DSGVO Technical Due Diligence

Technische DSGVO-Anforderungen — Verschlüsselung, Zugriffskontrolle, Datenschutz-by-Design, Auftragsverarbeitungsverträge — werden gegen Ihre tatsächliche Konfiguration geprüft. Ergebnis: ein klares Bild offener Lücken und ein priorisierter Maßnahmenplan für die technische Umsetzung.

Sicherheitskonzepte & Richtlinien

Informationssicherheitsleitlinie, Passwortrichtlinie, Mobile-Device-Policy, Clean-Desk-Policy, Backup-Konzept, Notfallhandbuch — wir erstellen die notwendigen Dokumente in einer Form, die tatsächlich gelebt werden kann: klar, handhabbar, auf Ihre Unternehmensgröße zugeschnitten.

Unser Vorgehen

Pragmatisch, strukturiert, ohne unnötige Bürokratie — aber mit dem Tiefgang, der für belastbare Ergebnisse notwendig ist.

1

Betroffenheits- & Bestandsanalyse

Klärung, welche Standards und Regularien für Ihr Unternehmen relevant sind. Bestandsaufnahme der vorhandenen Dokumentation, technischen Maßnahmen und Prozesse — ehrlich und ohne Schönfärberei.

2

Gap-Analyse & Risikobewertung

Systematischer Abgleich des Ist-Zustands mit den Anforderungen des jeweiligen Standards. Risikobewertung nach Eintrittswahrscheinlichkeit und Schadenspotenzial — als Grundlage für die Maßnahmenpriorisierung.

3

Maßnahmenplan & Umsetzungsbegleitung

Priorisierter Maßnahmenplan mit klaren Verantwortlichkeiten, Zeitrahmen und Aufwandsschätzungen. Wir begleiten die Umsetzung — technisch und organisatorisch — bis die Maßnahmen tatsächlich greifen.

4

Nachweis & Auditvorbereitung

Erstellung der notwendigen Dokumentation, Vorbereitung auf externe Audits und Unterstützung im Auditprozess selbst. Nach der Zertifizierung: Begleitung der kontinuierlichen Verbesserung im laufenden ISMS-Betrieb.

Häufige Fragen zu Security Audits & Compliance

Für wen ist eine ISO 27001 Zertifizierung sinnvoll?

ISO 27001 ist sinnvoll, wenn Kunden oder Auftraggeber einen zertifizierten Sicherheitsstandard fordern — häufig im B2B-Bereich, bei öffentlichen Ausschreibungen und bei Lieferanten kritischer Infrastrukturen. Auch ohne externen Druck ist die Zertifizierung ein Instrument, um die eigene Sicherheitslage strukturiert zu verbessern.

Wie lange dauert eine ISO 27001 Zertifizierung?

Realistisch sind 9 bis 18 Monate, abhängig vom Ausgangszustand und der internen Kapazität. Mit unserer Begleitung wird der Prozess strukturiert und effizient — ohne unnötige Bürokratie, aber mit dem nötigen Tiefgang für ein belastbares ISMS.

Sind wir von NIS2 betroffen?

NIS2 gilt seit Dezember 2025 für Unternehmen in bestimmten Sektoren ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz. Auch Zulieferer und Dienstleister dieser Sektoren können indirekt betroffen sein. Wir prüfen Ihre Betroffenheit im Erstgespräch.

Was ist der Unterschied zwischen BSI IT-Grundschutz und ISO 27001?

ISO 27001 ist ein internationaler Standard für ein ISMS — er definiert Anforderungen, aber keine konkreten Maßnahmen. BSI IT-Grundschutz ist ein deutsches Rahmenwerk mit sehr konkreten Maßnahmenkatalogen. Beide ergänzen sich; viele Unternehmen nutzen IT-Grundschutz als Umsetzungshilfe für ISO 27001.

Was kostet ein Security Audit bei smetrics?

Das hängt vom Umfang ab — ein gezieltes Berechtigungsaudit ist schneller abgeschlossen als ein vollständiges ISO-27001-Gap-Assessment. Wir erstellen nach einem kostenlosen Erstgespräch ein transparentes Angebot mit klar definierten Lieferobjekten.

Passende Inhalte aus dem smetrics Blog

NIS2 ist Gesetz – Wer betroffen ist, was gilt und was droht

Das NIS2-Umsetzungsgesetz gilt seit Dezember 2025 — ohne Übergangsfrist. Wer es trifft, was verlangt wird und was bei Untätigkeit droht.

Artikel lesen →

Signal-Phishing: Was der Angriff auf die Bundesregierung für den Mittelstand bedeutet

Warum Awareness-Schulungen und technische Kontrollen Teil jedes BSI-konformen Sicherheitskonzepts sein müssen.

Artikel lesen →

Diese Leistung ist Teil unseres Cyber Shield. Erfahren Sie mehr über die ganzheitliche Cyber-Security-Strategie aus Angreifer-Sicht.

Compliance-Audits prüfen häufig SharePoint-Berechtigungsstrukturen und Datenschutzkonfigurationen als erstes — weil dort die meisten DSGVO-relevanten Daten liegen. Wie wir Ihre Collaboration-Umgebung absichern: SharePoint & Collaboration sicher organisiert →

Wissen Sie, wo Sie wirklich stehen?

Ein ehrliches Gap-Assessment zeigt Ihnen den tatsächlichen Abstand zu ISO 27001, BSI IT-Grundschutz oder NIS2 — ohne Schönfärberei. Lassen Sie uns gemeinsam Ihren Ausgangspunkt bewerten.

Unverbindliches Beratungsgespräch anfragen