IT-Security Assessment: Ihr Wegweiser zur IT-Sicherheit

IT-Security Assessment:
Ihr Wegweiser zur IT-Sicherheit

Unternehmen stehen vor der Herausforderung, ihre IT-Sicherheit und Informationssicherheit fachgerecht zu administrieren und permanent zu überwachen.

Regulatorischer Zwang erhöht den Handlungsdruck weiter.


Neue Gesetze wie die NIS-2 Richtlinie, Anforderungen von zertifizierbaren ISMS Systemen wie der ISO/IEC 27001:2022, „klar Schiff machen“ nach einer Ransomware-Attacke oder schlicht der eigene Anspruch die Systemlandschaft durch einen unabhängigen, externen Experten bewerten zu lassen, die Gründe sind vielfältig.

Doch dabei stellt sich häufig die Frage:

  • Wo stehen wir 🤔?
  • Was haben wir übersehen 🤔?
  • Was können wir besser machen 🤔?
  • Wie gut sind wir vor einem Ransomware-Angriff geschützt 🤔?
  • Sind wir bereit, ein ISMS umzusetzen 🤔?
  • Wer kann uns objektiv beraten (ohne Schlangenöl zu verkaufen) 🤔?

Ein IT-Sicherheitskonzept für den Mittelstand.

Meine Dienstleistung „Ihr Wegweiser zur IT-Sicherheit“ basiert auf den vom Center for Internet Security® (CIS®) veröffentlichten Critical Security Controls® in dessen aktueller Version 8.1, und zu Teilen auf dem BSI-Grundschutz.


Der Zweck dieser Dienstleistung ist es, strukturiert und mit Sachverstand, der IT sprichwörtlich „auf den Zahn zu fühlen“ und herauszufinden, wo „der Schuh drückt“.

Wegweiser zur IT-Sicherheit, mit der Cyber Hygiene zum ISMS

Mit der vollständigen Umsetzung und Pflege aller Maßnahmen operiert Ihr Unternehmen nach gängigen, internationalen Best Practices und ist erheblich sicherer aufgestellt.


Als weiterer positiver Nebeneffekt ist nun auch der Anwendungsbereich (Scope) der erfolgten Analyse bereit, ein ISMS nach der ISO/IEC 27001:2022, mit relativ wenig Aufwand, umzusetzen. Alle behandelten Maßnahmen, lassen sich auf die Controls des Anhang A der ISO/IEC 27001:2022 verknüpfen.


Gray-Hat IT-Security Consulting Stephan H. Wenderlich, ist ein aktives CIS SecureSuite® Mitglied.

Themenübersicht des Assessments

IT-Security Assessment Themen Übersicht

Die übliche Vorgehensweise

Schritt-1 Kick-Off

Während eines Kick-Off Termins wird Ihr Unternehmen und Ihr Team vorgestellt, sowie der Scope der Analyse bestimmt. Anschließend wird Ihre Systemlandschaft sowie dessen Kronjuwelen besprochen.

Schritt-2 GAP-Interview

In einem geführten Interview auf Augenhöhe werden strukturiert und hoch fokussiert die bis zu 19 Kapitel mit bis zu ~171 Fragen bearbeitet. Als "Vollblut Informatiker", mit Jahren an praktischer Erfahrung, verfolge ich ein ganz spezielles Muster und hinterfrage besonders kritisch die Gegebenheiten, zeige typische Fallstricke auf und stelle pragmatische Lösungen vor. Ich achte peinlich darauf, dass der „~rote Faden~“ nicht verloren geht und Ihre Mitarbeiter passend abgeholt werden. Mein Ziel ist eine gemeinsame Auseinandersetzung mit den jeweiligen Themengebieten. Selbstverständlich ist, dass ich mir die nötige Zeit nehme und Ihnen aktiv zuhöre. Alle Fragestellungen verfolgen einen ganzheitlichen Kontext, der neben der rein technischen Komponente auch die formale Anforderung betrachtet wie z.B.:


  • Gibt es Richtlinien? Und wenn ja, werden diese auch gelebt?
  • Wurden alle Systeme behandelt oder nur eine Teilmenge?
  • Wer ist verantwortlich?
  • Gibt es eine Evidenz, die die Aussage des Gesprächspartners belegen?

Schritt-3 Konfigurations-Assessment

Ergänzend zu dem Fach-Interview, ist eine automatisierte Konfigurationsüberprüfung von 3 Systemen inkludiert* (z.B. 1x Linux basierter Server, 1x Windows basierter Server und 1x Windows basierter Client).


Mit dieser kleinen Stichprobe ermittle ich den IST-Zustand der ausgewählten Systeme und vergleiche deren Einstellungen mit der empfohlenen SOLL-Konfiguration, die auf internationale Best Practices basieren. Gefährliche Fehleinstellungen können so aufgedeckt werden.

Der Hintergrund der Stichprobe liegt in der objektiven Beurteilung der Systeme und der damit abgeleiteten Maßnahmenempfehlungen (z.B. die Forcierung einer Baseline-Security oder der Anwendung eines ganzheitlichen Schwachstellen Managements, auch als Vulnerability Management bekannt).

* VPN und Zugänge mit erhöhten Rechten nötig.

Schritt-4 Bericht Erstellung

Nach der umfangreichen Interview-Phase bewerte ich die Ergebnisse und erstelle darauf basierend einen Bericht. Zu etwaigen Missständen gebe ich konkrete Handlungsempfehlungen, die objektiv die Lösung im Auge hat und nicht Ihren Geldbeutel.

Schritt-5 Besprechung der Ergebnisse

Die gesammelten Erkenntnisse und der Bericht werden zusammen mit der Geschäftsführung und dem IT-Team besprochen.

Mein Qualitätsversprechen

Meine Dienstleistung lässt Sie nicht allein, ich stehe aktiv mit Rat und Tat an Ihrer Seite.


  • Objektiv, bodenständig und 100 % persönlich.
  • Ohne den Teufel an die Wand zu malen.
  • Dinge genau unter die Lupe nehmen, Fehler beim Namen nennen und vorausschauend arbeiten.
  • Technik und Compliance aus einer Hand.
  • Immer in Zusammenarbeit mit Ihrem IT-Team.
  • Mit tiefgreifendem IT-Security Wissen aus der Praxis.
  • Mit tiefgreifendem IT-Infrastruktur Wissen aus der Praxis.
  • Mit intensivem Know-how der ISO/IEC 27001:2022 + ISO/IEC 27002:2022.
  • Mit intensivem Know-how der CIS Critical Security Controls®.
  • Bei Bedarf, 24x7!
  • In Oberhausen/NRW ansässig, in Deutschland zu Hause.
Kontaktieren Sie mich
IT-Security Experte aus Nordrhein-Westfalen.
Share by: