So sieht Ihre vollständige Auswertung aus. Dieser Musterbericht zeigt Beispieldaten einer fiktiven „Muster GmbH" – Ihr eigener Bericht basiert auf Ihren Antworten.
Cyber Health Bericht
Auswertung vom 10. Juni 2026 · Compliance-Status-Bewertung nach NIS2 und ISO 27001 (Best Practices)
Compliance-Status: Warnung
Ihre IT-Sicherheit ist in mehreren Bereichen solide aufgestellt, weist aber bei Zugriffsmanagement und Notfallvorsorge deutliche Lücken auf. Besonders das Fehlen einer unternehmensweiten Multi-Faktor-Authentifizierung und eines getesteten Notfallplans erhöht das Risiko spürbar. Mit gezielten Maßnahmen in diesen Feldern lässt sich Ihr Reifegrad kurzfristig deutlich steigern.
Voraussichtlich wichtige Einrichtung
Nach Ihren Angaben (Branche, Größe, Umsatz) fällt Ihr Unternehmen voraussichtlich in den Anwendungsbereich von NIS2 als „wichtige Einrichtung". Eine verbindliche Einstufung erfordert eine rechtliche Einzelfallprüfung.
Detail-Score je geprüftem Themenfeld.
Organisatorische Sicherheit
WarnungNetzwerk- & Infrastruktursicherheit
WarnungZugriffs- & Identitätsmanagement
KritischIncident Response & Notfallmanagement
WarnungDatenschutz & Datensicherheit
GutPhysische Sicherheit
GutSortiert nach Schweregrad: kritische Punkte zuerst.
Kritische Zugänge sind nur mit Passwort geschützt. Ein erbeutetes Passwort genügt damit für einen Vollzugriff – das häufigste Einfallstor bei Angriffen auf KMU.
Empfehlung
MFA für E-Mail, VPN und administrative Konten verpflichtend aktivieren; idealerweise per Authenticator-App statt SMS.
Es liegen keine verbindlichen Vorgaben zu Verantwortlichkeiten, Passwörtern und Umgang mit Daten vor. Im Schadensfall fehlt die Nachweisgrundlage.
Empfehlung
Eine schlanke Sicherheitsrichtlinie erstellen, von der Geschäftsführung in Kraft setzen und jährlich prüfen.
Ein Reaktionsplan für IT-Vorfälle existiert nur in Grundzügen und wurde nie geübt. Im Ernstfall geht dadurch wertvolle Zeit verloren.
Empfehlung
Verantwortliche und Meldewege (inkl. NIS2-Meldepflichten) festlegen und einmal jährlich in einer Übung durchspielen.
Sicherheitsupdates werden uneinheitlich eingespielt. Bekannte Schwachstellen bleiben so länger offen als nötig.
Empfehlung
Automatische Updates aktivieren und einen monatlichen Patch-Tag für Systeme ohne Auto-Update einführen.
Das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) ist vorhanden, deckt aber nicht alle Systeme ab.
Empfehlung
Verzeichnis um neuere Cloud-Dienste ergänzen und die Auftragsverarbeitungsverträge prüfen.
Sortiert nach Priorität. Die Top-3 sollten zuerst angegangen werden.
Multi-Faktor-Authentifizierung einführen
Informationssicherheits-Richtlinie verabschieden
Notfallplan dokumentieren und üben
Patch-Management standardisieren
Verarbeitungsverzeichnis vervollständigen
