SecureGap – Gap-Analyse & Maßnahmenplan

SecureGap schließt die Lücke zwischen „Wir machen schon einiges“ und „Wir wissen genau, wo wir stehen und was als Nächstes zu tun ist“. Ziel ist eine strukturierte IST/SOLL-Analyse Ihrer Informationssicherheit mit klarem Maßnahmenplan – anschlussfähig an NIS2, ISO 27001 und weitere Vorgaben.

Transparenz • Reifegrad • Klarer Fahrplan statt Bauchgefühl

Was ist das Ziel von SecureGap?

SecureGap liefert eine systematische Bestandsaufnahme Ihrer bestehenden Sicherheitsmaßnahmen und stellt diesen ein Zielbild gegenüber (z. B. NIS2, ISO 27001, interne Anforderungen). Ergebnis ist ein konkreter Maßnahmenplan mit Prioritäten, der als Grundlage für Ihr ISMS, Ihr NIS2-Programm oder Zertifizierungsvorhaben dient.

• Wo stehen wir heute?
• Was fehlt im Vergleich zu NIS2 / ISO 27001 / internen Vorgaben?
• Was sind die wichtigsten nächsten Schritte – organisatorisch, technisch, kulturell?

Typische Ausgangssituation

• Es gibt bereits einzelne Policies, Tools und Sicherheitsmaßnahmen – aber kein Gesamtbild.
• Die Geschäftsführung fordert „NIS2-Readiness“ oder „ISO-27001-Niveau“, aber der Status ist unklar.
• Auditoren, Kunden oder Versicherer fragen erstmals nach strukturierten Nachweisen.
• Ressourcen sind begrenzt, daher müssen Maßnahmen klar priorisiert werden.

Kernbausteine von SecureGap

1. Zielbild & Rahmen klären

Gemeinsam definieren wir, woran sich die Analyse ausrichtet:

• NIS2-Anforderungen (z. B. für Betreiber kritischer oder wichtiger Einrichtungen)
• ISO 27001 (z. B. als mittelfristiges Ziel)
• Branchenvorgaben, Kundenvorgaben oder interne Richtlinien

2. Strukturierte IST-Aufnahme

Anhand eines Fragenkatalogs und ggf. vorhandener Dokumente werden folgende Bereiche betrachtet (Auswahl, je nach Zielbild):

• Organisation & Verantwortlichkeiten (Rollen, ISB, Gremien)
• Richtlinien & Prozesse (z. B. Zugriffsrechte, Backup, Incident Management)
• Technische Maßnahmen (Netzwerk, Firewalls, Endgeräte, Cloud, M365 etc.)
• Risikomanagement & Dokumentation
• Awareness & Schulungen
• Lieferanten & Dienstleister (Supply-Chain-Security)

3. Reifegradmodell & Gap-Analyse

Die bestehenden Maßnahmen werden in einem einfachen Reifegradmodell eingeordnet, z. B.:

• 0 – Nicht vorhanden
• 1 – Ad-hoc / in Teilen vorhanden
• 2 – Etabliert, aber nicht konsequent
• 3 – Geregelt und dokumentiert
• 4 – Kontinuierlich verbessert

So werden Stärken, Schwächen und konkrete Lücken („Gaps“) sichtbar, bezogen auf das zuvor definierte Zielbild.

4. Maßnahmenplan & Priorisierung

Aus den identifizierten Gaps wird ein konkreter Maßnahmenkatalog abgeleitet, z. B.:

• „Policy X erstellen / überarbeiten“
• „Prozess Y definieren (z. B. Incident Management, Backup-Test)“
• „Technische Maßnahme Z umsetzen (z. B. M365-Härtung, Netzwerksegmentierung)“

Die Maßnahmen werden u. a. nach Risiko, Aufwand und Abhängigkeiten priorisiert. Ergebnis: Eine Roadmap, die Sie Schritt für Schritt abarbeiten können.

Welche Ergebnisse Sie erhalten

Mit SecureGap erhalten Sie u. a.:

• Eine verständliche Übersicht über Ihren aktuellen Reifegrad in den relevanten Bereichen
• Eine Gegenüberstellung von IST und SOLL (NIS2 / ISO 27001 / interne Ziele)
• Einen priorisierten Maßnahmenkatalog mit klaren nächsten Schritten
• Eine Roadmap, die als Grundlage für weitere Projekte (SecurePlan, SecureBuild, SecureProof) dient
• Eine Management-Summary für Geschäftsführung, Gremien oder Entscheider

Ablauf

• Start & Zieldefinition: Klärung von Zielbild, Umfang und Erwartungen.
• IST-Aufnahme: Interviews, Sichtung vorhandener Unterlagen, ggf. kurze technische Einblicke.
• Auswertung & Reifegradanalyse: Strukturierung der Ergebnisse, Bewertung der Gaps.
• Maßnahmenplan & Roadmap: Ableitung und Priorisierung der Handlungspunkte.
• Präsentation: Vorstellung der Ergebnisse und gemeinsame Abstimmung der nächsten Schritte.

Für wen ist SecureGap ideal?

• Unternehmen, die konkret Richtung NIS2 oder ISO 27001 gehen wollen.
• Organisationen, die bereits einiges tun, aber kein Gesamtbild haben.
• IT-Leitung, ISB, Geschäftsführung, die einen klaren Fahrplan benötigen.
• Unternehmen, die sich auf Audits, Kundenanforderungen oder Versicherungsprüfungen vorbereiten.

Wenn Sie noch ganz am Anfang stehen und zunächst Basis-Regeln und Quick-Wins etablieren wollen, ist SecureStart häufig der bessere Einstieg. SecureGap eignet sich besonders, wenn das Thema bereits gesetzt ist und es jetzt strukturiert werden soll.

Häufige Fragen zu SecureGap

Ist SecureGap schon ein vollständiges ISMS?

Nein. SecureGap ist die Analyse- und Planungsphase für Ihr ISMS- oder NIS2-Programm. Es liefert Reifegrad, Gaps und Maßnahmen – das eigentliche ISMS wird später über Module wie SecurePlan und SecureBuild aufgebaut.

Wird bei SecureGap auch Technik tief geprüft?

SecureGap betrachtet technische Maßnahmen auf einer strukturierten, aber eher übersichtsorientierten Ebene. Für tiefe technische Prüfungen sind SecureMonitor (Monitoring) und SecureProbe (Penetrationstests) vorgesehen.

Können wir SecureGap für interne oder externe Audits nutzen?

Ja. Die Ergebnisse können als Vorarbeit für interne Audits oder als Argumentationsgrundlage gegenüber Kunden, Auditoren oder Versicherern genutzt werden – insbesondere die Management-Summary und der Maßnahmenplan.

Ist SecureGap an bestimmte Tools gebunden?

Nein. Die Analyse ist toolunabhängig. Falls bereits ISMS-Software oder Monitoring-Lösungen im Einsatz sind, werden diese berücksichtigt. In der Roadmap können Empfehlungen zu passenden Werkzeugen ausgesprochen werden.

Zurück zum SecurePath360