Zum Hauptinhalt springen
frag.hugo Datenschutz Hamburg — frag.hugo Informationssicherheit
Angebot
Alle Artikel
IT-SicherheitskonzeptBSI IT-GrundschutzISMS

IT-Sicherheitskonzept erstellen: Aufbau & Vorlage für KMU

IT-Sicherheitskonzept erstellen für KMU: Aufbau, Gliederung, Inhalte je Kapitel plus Mindest-Maßnahmen — pragmatisch ohne Konzern-Overhead. Für Hamburger KMU.

Jens Hagel
Jens Hagel
Co-Founder · IT-Unternehmer
02. Juni 2026

Inhalt in Kürze

  • Ein IT-Sicherheitskonzept dokumentiert, wie Sie Ihre IT schützen — strukturiert über neun Kapitel von Geltungsbereich über Schutzbedarf und Risikoanalyse bis Notfallmanagement und regelmäßiger Überprüfung.
  • Drei Treiber machen es für KMU zur Pflicht: Cyberversicherungen verlangen ein nachweisbares Sicherheitsniveau, Großkunden und NIS2-pflichtige Auftraggeber fordern es im Lieferketten-Audit, und es ist die Vorstufe zu BSI IT-Grundschutz oder ISO 27001.
  • Der passende Standard hängt vom Ziel ab: Für den schlanken Einstieg eignen sich die BSI Basis-Absicherung (Standard 200-2) und die VdS 10000; eine anerkannte Zertifizierung liefert ISO 27001.
  • Pragmatik schlägt Umfang: Ein KMU braucht kein 200-Seiten-Werk, sondern ein gelebtes Konzept mit klaren Verantwortlichkeiten, einer Mindest-Maßnahmen-Checkliste und einem Überprüfungsrhythmus.

Stand: Juni 2026 · Autor: Jens Hagel · Lesezeit: 11 Minuten

Ihr größter Kunde schickt einen Fragebogen zur Lieferantensicherheit. Die Cyberversicherung will vor Vertragsverlängerung wissen, wie Sie Ihre Systeme absichern. Oder ein NIS2-pflichtiger Auftraggeber verlangt einen Nachweis Ihres Sicherheitsniveaus. In allen drei Fällen brauchen Sie dasselbe Dokument: ein IT-Sicherheitskonzept. Dieser Artikel zeigt Ihnen, wie Sie ein IT-Sicherheitskonzept erstellen, das prüffähig ist — mit klarem Aufbau, Inhalten je Kapitel und einer Mindest-Maßnahmen-Checkliste, ohne Konzern-Overhead.

Hamburg-Praxis:

Bei einem Hamburger Zulieferer aus dem Hafenumfeld lag der Auslöser nicht bei einer Behörde, sondern beim wichtigsten Kunden: Ohne dokumentiertes Sicherheitskonzept kein Folgeauftrag. Das sehen wir bei Mandanten in der Metropolregion regelmäßig — der Druck kommt heute über die Lieferkette. Wer für große Reedereien, Logistiker oder Industriebetriebe arbeitet, wird über kurz oder lang auditiert. Mehr dazu im NIS2-Betroffenheits-Check für den Hamburger Mittelstand.

Warum ein KMU ein IT-Sicherheitskonzept erstellen muss

Ein IT-Sicherheitskonzept ist die dokumentierte Antwort auf eine einfache Frage: Wie schützen Sie Ihre Daten, Systeme und Geschäftsprozesse vor Ausfall, Diebstahl und Manipulation? Vier Treiber machen es für KMU vom „Nice-to-have” zur Geschäftsgrundlage.

Cyberversicherung. Versicherer zahlen nur, wenn ein Mindestschutz nachweisbar ist. Im Schadensfall prüft der Versicherer, ob die zugesagten Maßnahmen — Backup, MFA, Patch-Management — tatsächlich umgesetzt waren. Ohne dokumentiertes Konzept fehlt die Grundlage, und der Schutz wird teuer oder fällt ganz weg.

Kunden-Audits und NIS2-Lieferkette. Die NIS2-Richtlinie verpflichtet betroffene Unternehmen, die Sicherheit ihrer Lieferkette zu steuern. Das reicht die Anforderung an Zulieferer durch — auch an solche, die selbst nicht direkt unter NIS2 fallen. Wer als Lieferant kein Konzept vorlegen kann, fliegt aus der Ausschreibung.

Vorstufe zu Zertifizierung. Ein sauberes Sicherheitskonzept ist die Basis für BSI IT-Grundschutz oder ISO 27001. Wer es früh strukturiert anlegt, spart sich später die Doppelarbeit.

Basis für die DSGVO-TOMs. Die technischen und organisatorischen Maßnahmen, die Art. 32 DSGVO verlangt, sind inhaltlich dieselben wie im Sicherheitskonzept. Beides getrennt zu führen ist Verschwendung — wie das ohne Doppelerfassung gelingt, zeigt unsere TOMs-Vorlage.

Die Bedrohungslage gibt den Takt vor. Das BSI registrierte im Berichtszeitraum Juli 2023 bis Juni 2024 durchschnittlich 309.000 neue Schadprogramm-Varianten pro Tag — ein Anstieg um rund 26 Prozent gegenüber dem Vorjahr (BSI-Lagebericht 2024).

309.000
neue Malware-Varianten/Tag (BSI)
9
Kernkapitel im Konzept
15–30
Seiten genügen für ein KMU
4 % p.a.
DSGVO-Bußgeld-Risiko vom Umsatz
Das Wichtigste: Ein IT-Sicherheitskonzept ist kein Bürokratie-Selbstzweck. Es ist der Nachweis, den Versicherung, Kunden und Behörden sehen wollen — und gleichzeitig Ihr eigener Plan, um einen Angriff zu überstehen.

Welcher Standard? BSI, ISO 27001, VdS 10000 oder CISIS12

Sie müssen das Rad nicht neu erfinden. Vier etablierte Standards geben die Struktur vor — die Wahl hängt davon ab, wer Ihr Konzept später sehen will.

Die BSI Basis-Absicherung nach IT-Grundschutz (BSI-Standard 200-2) ist der schnelle, kostengünstige Einstieg. Der „Leitfaden zur Basis-Absicherung nach IT-Grundschutz” führt durch die elementaren Schritte zur Überprüfung und Steigerung des Sicherheitsniveaus (BSI IT-Grundschutz). Restrisiken bleiben bewusst bestehen — für ein KMU ist das oft der richtige Pragmatismus.

Die VdS 10000 ist ein branchenneutraler Maßnahmenkatalog, speziell auf KMU zugeschnitten. Sie bietet ein geringeres Schutzniveau als ISO 27001 oder die volle BSI-Standard-Absicherung, definiert aber ein vollständiges, in Checklisten-Form abarbeitbares ISMS. Eine Zertifizierung beginnt branchenüblich bei rund 3.600 Euro.

CISIS12 ist eine weitere KMU-Alternative mit definierten Bausteinen — praxisnah, aber weniger bekannt. ISO/IEC 27001 ist der internationale Goldstandard: aufwändiger und in der Zertifizierung teurer (typischerweise ab etwa 15.000 Euro), dafür weltweit anerkannt — der richtige Weg, wenn Konzern-Kunden eine akkreditierte Zertifizierung verlangen.

StandardAufwandZertifizierungGeeignet für
BSI Basis-Absicherung (200-2)NiedrigMöglich (IT-Grundschutz)Schneller Einstieg, deutscher Mittelstand
VdS 10000Niedrig–mittelJa, ab ca. 3.600 €KMU ohne IT-Abteilung, Versicherungsnachweis
CISIS12MittelJaKMU, schrittweises Vorgehen
ISO/IEC 27001HochJa, ab ca. 15.000 €Anerkannte Zertifizierung für Großkunden
Tipp:

Sie müssen sich nicht sofort festlegen. Erstellen Sie zuerst das Konzept nach der unten stehenden Gliederung — sie deckt die Anforderungen aller vier Standards inhaltlich ab. Die Entscheidung für eine konkrete Zertifizierung können Sie treffen, wenn ein Kunde sie verlangt. Welche Software das ISMS dahinter trägt, vergleichen wir im ISMS-Software-Vergleich für KMU 2026.

Der Aufbau: 9 Kapitel als Vorlage

Ein prüffähiges IT-Sicherheitskonzept folgt einer festen Logik: vom Was (Geltungsbereich, Assets) über das Wie kritisch (Schutzbedarf, Risiko) zum Was tun wir dagegen (Maßnahmen, Notfall) bis zum Bleibt es wirksam (Überprüfung). Diese neun Kapitel sind Ihre Gliederung.

  1. 1. Geltungsbereich (Scope): Welche Standorte, Systeme, Prozesse und Daten deckt das Konzept ab? Grenzen Sie bewusst ab — lieber ein kleiner, vollständig umgesetzter Scope als ein großer auf dem Papier.
  2. 2. Verantwortlichkeiten und Rollen: Wer ist Informationssicherheitsbeauftragter, wer ist Notfallkoordinator, wer entscheidet über Risiken? Die Geschäftsleitung trägt die Gesamtverantwortung — das gehört schriftlich fixiert.
  3. 3. Asset-Inventar: Eine Liste aller schützenswerten Werte — Server, Clients, Anwendungen, Cloud-Dienste, Netzwerk, Daten und ein einfacher Netzplan. Was Sie nicht kennen, können Sie nicht schützen.
  4. 4. Schutzbedarfsfeststellung: Je Asset bewerten Sie Vertraulichkeit, Integrität und Verfügbarkeit in Stufen (normal / hoch / sehr hoch). So erkennen Sie, wo Sie investieren müssen.
  5. 5. Risikoanalyse: Welche Bedrohungen treffen auf welche Schwachstellen? Bewerten Sie Eintrittswahrscheinlichkeit und Schadenshöhe und priorisieren Sie die Top-Risiken.
  6. 6. Technische und organisatorische Maßnahmen: Das Herzstück — die konkreten Schutzmaßnahmen je Risiko (siehe Mindest-Checkliste unten). Identisch mit den DSGVO-TOMs.
  7. 7. Notfallmanagement / BCM: Was passiert bei Ausfall, Ransomware oder Datenpanne? Wiederanlaufpläne, Notfallkontakte, Meldewege und definierte Wiederherstellungszeiten.
  8. 8. Awareness und Schulung: Mitarbeitende sind die häufigste Einfallstür. Regelmäßige Schulungen und Phishing-Simulationen gehören ins Konzept — mit Nachweis.
  9. 9. Überprüfung und kontinuierliche Verbesserung (KVP): Wer prüft wann, ob die Maßnahmen wirken? Legen Sie einen Review-Rhythmus fest (mindestens jährlich) und dokumentieren Sie Anpassungen.

So sieht ein BSI-konformes Vorgehen aus: Das Sicherheitskonzept dokumentiert für jeden Zielobjekt-Bereich die ausgewählten Maßnahmen und den Status der Umsetzung — genau diese Struktur empfiehlt das BSI in seinem IT-Grundschutz-Online-Kurs (BSI, Lerneinheit Sicherheitskonzept).

Häufiger Fehler:

Viele KMU starten mit Kapitel 6 (Maßnahmen) und kaufen Tools, bevor sie wissen, was sie eigentlich schützen. Das Ergebnis: teure Lösungen für unkritische Systeme, während das wirklich schützenswerte Asset ungesichert bleibt. Reihenfolge einhalten — erst Scope und Schutzbedarf, dann Maßnahmen.

Die Mindest-Maßnahmen-Checkliste für KMU

Kapitel 6 entscheidet, ob Ihr Konzept Papier oder Schutz ist. Diese acht Maßnahmen bilden den Kern der Basis-Absicherung — wer sie umsetzt, wehrt den Großteil der automatisierten Angriffe ab und erfüllt die typischen Anforderungen von Cyberversicherungen.

  • Patch- und Update-Management. Betriebssysteme, Anwendungen und Firmware zeitnah aktualisieren. Ungepatchte Schwachstellen sind das häufigste Einfallstor.
  • Backup nach 3-2-1. Drei Kopien, zwei Medien, eine Kopie offline oder unveränderbar (immutable). Nur ein getestetes Offline-Backup übersteht Ransomware.
  • Multi-Faktor-Authentifizierung. MFA auf allen externen Zugängen und kritischen Konten — der wirksamste Einzelschutz gegen Kontoübernahme. Anleitung im MFA-Rollout-Guide.
  • Firewall und Endpoint-Schutz (EDR). Perimeter-Firewall plus moderne Endpoint-Detection-and-Response statt nur klassischem Virenscanner.
  • Berechtigungskonzept (Least Privilege). Jeder Zugriff nur so weit wie nötig, getrennte Admin-Konten, regelmäßige Rechte-Reviews.
  • Logging und Monitoring. Sicherheitsrelevante Ereignisse protokollieren und auswerten — sonst bemerken Sie einen Angriff erst, wenn es zu spät ist.
  • Notfallplan und Meldewege. Wer ruft wen an, wenn es brennt? Eine Datenpanne ist nach Art. 33 DSGVO binnen 72 Stunden zu melden — der Ablauf gehört vorab geübt. Siehe Ransomware-Sofortmaßnahmen.
  • Awareness-Schulungen. Regelmäßige Sensibilisierung und Phishing-Simulationen mit dokumentiertem Nachweis.
Wichtig:

Ein Backup ohne Wiederherstellungstest ist kein Backup, sondern eine Hoffnung. Testen Sie mindestens halbjährlich, ob sich aus Ihrem Backup tatsächlich produktiv arbeiten lässt. Wir haben Mandanten erlebt, deren Backup lief — nur ließ es sich im Ernstfall nicht zurückspielen. Das merkt man am schlechtesten Tag des Jahres.

Verzahnung mit Datenschutz und NIS2 — nichts doppelt machen

Der größte Hebel für KMU liegt in der Verzahnung. Ein IT-Sicherheitskonzept steht nicht neben Datenschutz und NIS2, sondern liefert die gemeinsame technische Basis.

Die DSGVO-TOMs nach Art. 32 sind inhaltlich identisch mit Kapitel 6 Ihres Konzepts. Wer die technischen und organisatorischen Maßnahmen einmal sauber dokumentiert, leitet daraus beide Nachweise ab — die Sicherheits- und die Datenschutz-Sicht. Doppelpflege ist unnötig; wie Sie das vermeiden, zeigt die TOMs-Vorlage.

Für die NIS2-Lieferkette ist das Konzept der Nachweis, den Ihr Auftraggeber sehen will. Statt jeden Kunden-Fragebogen neu zu beantworten, halten Sie ein gepflegtes Konzept bereit und reichen Auszüge daraus weiter. Ob Sie selbst unter NIS2 fallen, klären Sie in zwei Minuten mit unserem NIS2-Schnellcheck.

Auch die Aufsicht denkt in diesen Kategorien. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI, Ludwig-Erhard-Straße 22) bewertet im Prüffall, ob Ihre technischen Maßnahmen dem Stand der Technik entsprechen — ein dokumentiertes Sicherheitskonzept ist dafür der beste Beleg (datenschutz-hamburg.de). Hilfreiche Orientierung für KMU liefert auch die EU-Agentur für Cybersicherheit ENISA mit ihren KMU-Leitfäden (enisa.europa.eu).

Aus der Praxis

Wie eng Sicherheitskonzept und Zertifizierungs-Audit zusammenhängen, zeigt ein Fall aus unserer Mandantschaft. Manchmal entscheidet eine einzige Woche.

Fünf Tage vor der TÜV-Rezertifizierung kam die E-Mail: Können Sie uns helfen? Es fehlte die ganze IT-Sicherheitsdokumentation. Wir haben in der kurzen Zeit das Konzept strukturiert aufgesetzt — Scope, Schutzbedarf, Maßnahmen, Notfallplan. Der Auditor war am Ende begeistert. Das zeigt: Mit einer klaren Gliederung lässt sich auch unter Zeitdruck etwas Belastbares bauen. Aber niemand sollte es darauf ankommen lassen.

Nils Oehmichen Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

Die Lehre daraus: Ein Sicherheitskonzept braucht keine Monate, wenn die Struktur steht und jemand die richtigen Fragen stellt. Aber es darf nicht das Dokument sein, das man fünf Tage vor dem Audit zum ersten Mal anfasst.

Pragmatik schlägt Umfang — so bleibt es KMU-tauglich

Der häufigste Grund, warum Sicherheitskonzepte scheitern, ist nicht zu wenig, sondern zu viel. Ein 200-Seiten-Werk, das niemand liest und pflegt, schützt nichts. Halten Sie es schlank.

  • Ein Asset-Inventar in der Tabelle, nicht im Romanformat. Eine gepflegte Liste schlägt zehn Seiten Fließtext.
  • Schutzbedarf in drei Stufen. Normal, hoch, sehr hoch reichen für KMU völlig.
  • Maßnahmen mit Umsetzungsstatus und Verantwortlichem. Wer macht was bis wann — das macht aus Theorie einen Plan.
  • Ein fester Review-Termin pro Jahr. Im Kalender, nicht im Kopf. Ein Konzept ohne KVP veraltet schneller als die Bedrohungslage.
    • Das Wichtigste: Ein gelebtes 20-Seiten-Konzept, das alle kennen und das jährlich aktualisiert wird, ist mehr wert als ein perfektes 200-Seiten-Werk im Aktenschrank. Fangen Sie klein an, schließen Sie zuerst die größten Lücken, und verbessern Sie kontinuierlich.

    Fazit / Ihr nächster Schritt

    Ein IT-Sicherheitskonzept erstellen Sie nicht für die Schublade, sondern für drei sehr reale Adressaten: Ihre Cyberversicherung, Ihre Großkunden und im Ernstfall die Aufsichtsbehörde. Die neun Kapitel oben sind Ihre Gliederung, die Mindest-Maßnahmen-Checkliste der Kern. Wählen Sie den Standard nach Ihrem Ziel — Basis-Absicherung oder VdS 10000 für den Einstieg, ISO 27001 für die anerkannte Zertifizierung. Und denken Sie es von Anfang an zusammen mit Ihren DSGVO-TOMs, damit Sie nichts doppelt pflegen.

    IT-Sicherheitskonzept ohne Konzern-Overhead — wir bauen es mit Ihnen.

    Unsere Plattform Hugo DSB liefert TOMs, NIS2-Modul und Asset-Strukturen aus einer Hand, TÜV-zertifizierte Beratung inklusive. In einem kostenlosen 15-Minuten-Erstgespräch klären wir, welcher Standard zu Ihrem KMU passt.

    Kostenloses Erstgespräch buchen →

    Häufige Fragen (FAQ)

    Was gehört in ein IT-Sicherheitskonzept?

    Ein IT-Sicherheitskonzept beschreibt mindestens: den Geltungsbereich, die Verantwortlichkeiten und Rollen, ein Asset-Inventar, die Schutzbedarfsfeststellung, eine Risikoanalyse, die technischen und organisatorischen Maßnahmen, das Notfallmanagement und einen Plan zur regelmäßigen Überprüfung. Für KMU reichen oft 15 bis 30 Seiten, wenn jeder Punkt konkret und nachvollziehbar dokumentiert ist.

    Wozu braucht ein KMU ein IT-Sicherheitskonzept?

    Drei Treiber dominieren: Cyberversicherungen verlangen ein dokumentiertes Sicherheitsniveau, Großkunden und NIS2-pflichtige Auftraggeber fordern es im Lieferketten-Audit, und es ist die Vorstufe zu BSI IT-Grundschutz oder ISO 27001. Außerdem ist es die technische Basis für die TOMs nach Art. 32 DSGVO.

    Welcher Standard eignet sich für ein KMU — BSI, ISO 27001 oder VdS 10000?

    Für die meisten KMU ist die BSI Basis-Absicherung nach IT-Grundschutz (Standard 200-2) oder die VdS 10000 der richtige Einstieg — beide sind schlanker als ISO 27001. ISO 27001 oder die volle BSI-Standard-Absicherung lohnen sich, wenn Kunden eine anerkannte Zertifizierung verlangen. CISIS12 ist eine weitere KMU-taugliche Alternative.

    Wie lange dauert es, ein IT-Sicherheitskonzept zu erstellen?

    Ein pragmatisches Erstkonzept für ein KMU ist mit Vorlage und Begleitung in vier bis acht Wochen machbar. Der größte Aufwand steckt im Asset-Inventar und in der Schutzbedarfsfeststellung. Eine vollständige BSI- oder ISO-Zertifizierung dauert mehrere Monate.

    Was kostet ein IT-Sicherheitskonzept für ein KMU?

    Ein selbst erstelltes Konzept auf Basis einer Vorlage kostet vor allem interne Arbeitszeit. Externe Begleitung der Basis-Absicherung beginnt branchenüblich im niedrigen fünfstelligen Bereich. Eine VdS-10000-Zertifizierung beginnt bei rund 3.600 Euro, eine ISO-27001-Zertifizierung typischerweise ab etwa 15.000 Euro.

    Wie hängen IT-Sicherheitskonzept und TOMs nach DSGVO zusammen?

    Die technischen und organisatorischen Maßnahmen aus dem IT-Sicherheitskonzept sind genau die Maßnahmen, die Art. 32 DSGVO als TOMs verlangt. Wer ein sauberes Sicherheitskonzept hat, kann seine TOMs-Dokumentation direkt daraus ableiten — beides doppelt zu pflegen ist Verschwendung.

    Recherche-Stand: verifiziert am 6. Juni 2026 über bsi.bund.de (IT-Grundschutz, Basis-Absicherung, Lagebericht 2024), vds.de (VdS 10000), datenschutz-hamburg.de und enisa.europa.eu.

    Auch interessant
    Datenschutz-Audit

    Datenschutz-Audit: Checkliste & Ablauf für KMU (Selbstcheck)

    Datenschutz-Audit Checkliste für KMU: alle Prüfbereiche von VVT über TOMs bis Datenpanne, der Ablauf eines Audits und eine Ampel-Bewertung zur Standortbestimmung in Hamburg.
    Cookie-Banner

    Cookie-Banner rechtssicher gestalten 2026 (§ 25 TDDDG)

    Cookie-Banner rechtssicher nach § 25 TDDDG: Wann Consent Pflicht ist, warum der Ablehnen-Button gleichwertig sein muss und welche Fehler abgemahnt werden.
    Anrufen Angebot