Erstgespräch kostenfrei — 15 Minuten, unverbindlich, ohne Vorbereitung.

Gespräch vereinbaren
Michael Höner Solutions Kontakt

Michael Höner Solutions

Leistungen IT-Security & Verantwortung CSF · Härtung · Incident Readiness

IT-Security ist kein Zustand. Sie ist eine Disziplin.

Wer einmal alles richtig konfiguriert hat, ist nicht sicher — er ist gerade in diesem Moment nicht angreifbar. Sicherheit braucht Routine, nicht Projekte.

5CSF-Funktionen
4Reifegrade
20+Jahre Praxis
Security-Standortbestimmung Direkt zu den CSF-Bereichen
Haltung

Sicherheit als Voraussetzung
für Geschäft — nicht als Aufwand.

Die meisten KMU haben Antivirus, Firewall, ein Backup. Manche sogar ein Konzept. Was sie nicht haben: einen Begriff davon, wie sicher sie tatsächlich sind — gemessen an dem, was schiefgehen kann, und an dem, was sich heute realistisch absichern lässt.

Sicherheit beginnt nicht bei Tools. Sie beginnt bei Klarheit: was schützen wir, vor wem, mit welchem Aufwand — und was nehmen wir bewusst in Kauf.

Das ist die Arbeit, die ich mache. Nicht die nächste Firewall, sondern die Frage davor.

NIST CSF 2.0

Fünf Funktionen.
Eine Logik.

Das Cybersecurity Framework des NIST gibt eine Sprache, mit der Sicherheit messbar wird. Ich verwende sie als roten Faden — ohne Zertifizierungs-Theater.

01

Govern

Steuerung

Wer entscheidet, wer haftet, was ist Ihre Risiko-Toleranz. Ohne klare Steuerung wird Security zur Tool-Sammlung.

02

Identify

Erkennen

Was haben wir? Was ist kritisch? Asset-Inventar, Daten­klassifizierung, Lieferanten-Risiken — die Basis für alles weitere.

03

Protect

Schützen

Härtung, Zugriffskontrolle, Verschlüsselung, Schulung. Hier landen die meisten Tools — und die meisten Mängel, wenn 01 und 02 fehlen.

04

Detect

Entdecken

Anomalien, Logging, Monitoring. Wer Vorfälle nicht zeitnah erkennt, kann auch nicht reagieren. Realität in vielen KMU: Wochen vergehen.

05

Respond & Recover

Reagieren · Wiederherstellen

Eingespielte Notfallpläne, getestete Backups, klare Kommunikations-Wege. Hier zeigt sich, was das Sicherheits-Konzept wirklich wert ist.

Reifegrad

Vier Stufen.
Wo stehen Sie wirklich?

Eine ehrliche Selbstverortung — ohne Schönfärberei, ohne Panik. Die meisten Mittelständler liegen zwischen Stufe 1 und 2, denken aber, sie wären auf Stufe 3.

  1. 01 Reaktiv

    „Wir haben einen Virenschutz, das reicht.“

    Sicherheit existiert als Tool-Sammlung. Niemand ist dediziert verantwortlich. Reagiert wird, wenn etwas passiert. Backups werden gemacht, nie getestet.

    Typisch: 60% der KMU unter 50 MA

  2. 02 Defensiv

    „Wir haben Konzepte, aber niemand übt sie.“

    Ein IT-Sicherheits-Konzept liegt im Schrank. Verantwortlichkeiten sind teilweise definiert. Awareness-Schulungen einmal jährlich. Aber: kein gelebter Prozess, keine echten Tests.

    Typisch: KMU mit erstem Audit-Druck

  3. 03 Strukturiert

    „Wir wissen, was wir nicht wissen.“

    Dokumentation passt zur Realität. Risiken sind benannt, akzeptiert oder behandelt. Vorfälle werden geübt, Logs ausgewertet. Mitarbeitende erkennen Phishing — meistens.

    Typisch: NIS-2-pflichtige KMU

  4. 04 Disziplin

    „Sicherheit ist Routine, nicht Projekt.“

    Security ist Teil der Organisation. Geschäftsleitung versteht Risiken in Geschäfts-Termen. Lieferanten werden geführt. Vorfälle sind selten — wenn sie kommen, ist klar, was zu tun ist.

    Selten in KMU — aber erreichbar

Häufige Fehler

Was in der Praxis
regelmäßig schiefläuft.

×

Tools statt Logik

Antivirus auf allen Rechnern, AGB unterschrieben, Cyber-Versicherung abgeschlossen — und kein Mensch weiß, was im Ernstfall passiert. Tools ohne Prozesse sind teurer als kein Tool.

×

Backup ohne Wiederherstellung

Die häufigste Schein-Sicherheit: Backups laufen seit Jahren. Die Wiederherstellung wurde nie getestet. Im Ernstfall stellt sich heraus: kaputt, unvollständig oder zu langsam.

×

IT-Dienstleister unkontrolliert

Externer IT-Service hat Vollzugriff auf alles. Was er tut, ist nicht dokumentiert. Wenn er weg ist, weiß niemand, was wo läuft. Das ist kein Sicherheits-Konzept — das ist eine Hoffnung.

×

„Bei uns gibt’s nichts zu holen“

Der gefährlichste Satz im Mittelstand. Angreifer suchen nicht Ihre Daten — sie suchen einen Hebel: Lösegeld, Lieferketten-Zugang, kompromittierte Mailkonten zum Phishing weiterer Ziele. Niemand ist „uninteressant“.

Wie ich arbeite

Drei Phasen.
Klar trennbar.

  1. 01

    Diagnose

    Wo stehen Sie heute? Asset-Inventar, Risiko-Bewertung, Lücken-Analyse entlang der CSF-Funktionen. Ergebnis: ein dokumentierter Status — ohne Tool-Verkauf.

    2–4 Termine · Liefert: Reife-Profil

  2. 02

    Architektur

    Was muss bleiben, was muss gehen, was muss neu? Eine klare Ziel-Architektur für Steuerung, Schutz und Notfall — passend zu Ihrer Größe und Risiko-Toleranz.

    Liefert: Ziel-Architektur · Roadmap

  3. 03

    Begleitung

    Sie setzen um — mit eigenem Team oder ausgewählten Dienstleistern. Ich bleibe Sparringspartner: prüfe Zwischenstände, korrigiere die Architektur, wenn sie kippt.

    Sparring-Termine · nach Bedarf

Häufige Fragen

Was Entscheider
zu Security fragen.

01 Brauchen wir wirklich CSF, oder reicht ISO 27001? +

CSF ist ein Rahmenwerk, ISO 27001 ist eine zertifizierbare Norm. Für KMU ohne Zertifizierungs-Druck ist CSF schneller umsetzbar und ehrlicher — es zwingt zu Klarheit, nicht zu Papier. Wer ISO braucht (Großkunden-Anforderung), sollte CSF als Vorstufe sehen.

02 Wir haben einen externen IT-Dienstleister. Reicht das? +

Nein. Ein externer Dienstleister ist Lieferant, nicht Sicherheits-Verantwortlicher. Die Verantwortung bleibt bei Ihnen. Was Sie brauchen: jemanden, der dem Dienstleister Aufgaben stellt, prüft, was geliefert wird, und im Notfall zwischen Geschäftsleitung und Technik dolmetscht. Genau das mache ich.

03 Wie lange dauert eine Standortbestimmung? +

2–4 Termine über 4–6 Wochen, je nach Unternehmensgröße. Nach Termin 1 wissen Sie, ob die Zusammenarbeit Sinn ergibt. Nach Termin 4 haben Sie ein dokumentiertes Reife-Profil mit priorisierten Maßnahmen.

04 Was kostet das? +

Eine Standortbestimmung liegt typisch im niedrigen vierstelligen Bereich — abhängig von Größe und Komplexität. Begleitung danach: monatliche Sparring-Pakete oder Termin-basiert. Was Sie nicht bekommen: Tool-Verkauf oder Dienstleister-Provisionen.

05 Was, wenn wir gerade einen Vorfall haben? +

Im akuten Notfall sind Forensik-Spezialisten und Ihr IT-Dienstleister gefragt — nicht ich. Was ich danach kann: helfen, dass es sich nicht wiederholt, und die Lessons Learned in eine bessere Architektur überführen.

06 Sind wir von NIS-2 betroffen? +

Klärung in einer Stunde. Wenn ja, ist Security ohnehin Pflicht. Wenn nein, ist es immer noch klug. Mehr Details zur Compliance-Triade unter DSGVO · NIS-2 · AI Act.