Persönliche Beratung

IT-Sicherheit & Datenschutz persönlich beraten

Q: Was umfasst eine IT-Sicherheitsberatung?

Unsere IT-Sicherheitsberatung umfasst Risikoanalyse, IT-Sicherheitskonzept, Incident Response Plan, ISO 27001/BSI-Grundschutz-Begleitung, NIS2-Umsetzung, Penetrationstests, Security Awareness und externen CISO. Je nach Bedarf als Einmalleistung, Projekt oder laufende Betreuung.

Q: Was kostet eine Stunde IT-Sicherheitsberatung?

Eine Einzelstunde kostet 159 € netto. Im Stundenpaket (z. B. 10 Stunden) sinkt der Preis auf 139 €/h. Alternativ bieten wir Festpreis-Projekte und drei Beratungspakete ab 1.990 € an.

Q: Braucht jedes Unternehmen ein IT-Sicherheitskonzept?

Ja – spätestens seit NIS2 und der verschärften Geschäftsführerhaftung. Ohne dokumentiertes Sicherheitskonzept zahlt keine Cyberversicherung und Geschäftsführer haften persönlich. Für KMU ab 50 Mitarbeitenden oder 10 Mio. € Umsatz ist ein Sicherheitskonzept de facto Pflicht.

Q: Was ist der Unterschied zwischen ISO 27001 und BSI Grundschutz?

ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). BSI Grundschutz ist die deutsche Umsetzungsmethodik mit konkreten Maßnahmenkatalogen. Beide führen zum gleichen Ziel — wir beraten Sie, welcher Weg für Ihr Unternehmen effizienter ist.

Q: Was ist ein Incident Response Plan?

Ein Incident Response Plan ist Ihr Notfallplan für Cyberangriffe. Er definiert: Wer wird informiert? Welche Systeme werden isoliert? Wie wird die 72-Stunden-Meldefrist (DSGVO) bzw. 24-Stunden-Frist (NIS2) eingehalten? Ohne diesen Plan kostet ein Vorfall durchschnittlich 200.000 € mehr.

Q: Bieten Sie auch Managed Security Services an?

Ja. Wir bieten Managed Detection & Response (MDR) mit 24/7-Bedrohungsüberwachung, Vulnerability Management mit regelmäßigen Scans und Pentests, Security Awareness Training mit Phishing-Simulationen und Backup-Monitoring mit Wiederherstellungstests.

Q: Wie schnell sind Sie bei einem Sicherheitsvorfall verfügbar?

Für CISO-as-a-Service-Kunden garantieren wir eine Reaktionszeit von unter 4 Stunden — auch am Wochenende. Für Ad-hoc-Kunden sind wir in der Regel innerhalb von 24 Stunden einsatzbereit. Bei Datenpannen und Behördenanfragen sofort.

Q: Können Sie auch vor Ort in Hamburg beraten?

Selbstverständlich. Unser Büro liegt in der Spaldingstraße in Hamburg. Workshops, Begehungen und Management-Präsentationen führen wir bevorzugt vor Ort durch. Norddeutschland betreuen wir persönlich, bundesweit per Video.

Von der Risikoanalyse bis zum Incident Response Plan. 25+ Jahre Erfahrung. Sofort verfügbar.

Kein Produkt von der Stange: Wir analysieren Ihre IT-Infrastruktur, entwickeln ein maßgeschneidertes Sicherheitskonzept und begleiten Sie bei der Umsetzung — stundenweise, projektbasiert oder als laufender externer CISO. Ohne Mindestlaufzeit, ohne Abo.

Erstgespräch buchen Leistungen ansehen

Nils Oehmichen und Jens Hagel — Gründer von frag.hugo Informationssicherheit

Nils Oehmichen (Datenschutz) & Jens Hagel (IT-Sicherheit)

25+

Jahre Erfahrung

159€/h

Transparent & fair

0 €

Bußgelder bei Mandanten

<24h

Reaktionszeit

Das Problem

IT-Sicherheit ist kein IT-Problem — es ist ein Geschäftsrisiko

Die meisten KMU erfahren erst nach einem Vorfall, dass ihre Schutzmaßnahmen nicht ausreichen. Dann ist es zu spät — und teuer.

62 %

aller Cyberangriffe treffen KMU

Nicht Konzerne sind das Hauptziel — sondern mittelständische Unternehmen mit begrenzten IT-Ressourcen.

200.000 €

durchschnittlicher Schaden pro Vorfall

Betriebsausfall, Datenverlust, Imageschaden und Bußgelder summieren sich schnell — oft existenzbedrohend.

Keine Versicherung

zahlt ohne Sicherheitskonzept

Cyberversicherungen verlangen nachweisbare Maßnahmen. Ohne dokumentiertes Konzept: kein Schutz im Ernstfall.

Unsere Beratungsfelder

8 Disziplinen. Ein Team.

Risikoanalyse

Kritische Assets identifizieren, Bedrohungen bewerten, Schwachstellen priorisieren — die Basis für jedes Sicherheitskonzept.

IT-Sicherheitskonzept

Netzwerk, Endpoints, Identitäten, E-Mail, Cloud und Backup — ein maßgeschneidertes Konzept für Ihre Infrastruktur.

Incident Response

Notfallplan für den Ernstfall: Erkennung, Eindämmung, Wiederherstellung und Meldepflichten (72h DSGVO, 24h NIS2).

ISO 27001 & BSI Grundschutz

Gap-Analyse, ISMS-Aufbau, Maßnahmenumsetzung, interne Audits und Begleitung bis zur Zertifizierung.

NIS2-Umsetzung

Betroffenheitscheck, Risikomanagement, Meldepflichten, Lieferkettensicherheit und Geschäftsführerhaftung.

Penetrationstests

Simulierte Angriffe auf Ihre Infrastruktur — extern, intern oder Social Engineering. Mit konkretem Maßnahmenplan.

Security Awareness

Phishing-Simulationen, interaktive Schulungen und messbare Verhaltensänderung für Ihre Mitarbeitenden.

Externer CISO

Ihr Chief Information Security Officer auf Abruf: Quartals-Reviews, Stakeholder-Kommunikation, Incident-Hotline.

Transparente Preise

Drei Pakete. Oder flexibel nach Stunden.

Kein Abo, keine Mindestlaufzeit. Wählen Sie das Paket das zu Ihrem Bedarf passt — oder buchen Sie einfach Stunden.

Einmalig

Sicherheits-Check

Der schnelle Überblick über Ihre Sicherheitslage

1.990 € netto / einmalig

Risikoanalyse Ihrer IT-Infrastruktur
Externer Schwachstellen-Scan
Priorisierter Maßnahmenbericht
1h persönliche Beratung mit Nils
Management-taugliche Zusammenfassung

Jetzt anfragen

Beliebtestes Paket

Einmalig

Sicherheitskonzept

Das Rundum-Paket für Ihre IT-Sicherheit

4.990 € netto / einmalig

Vollständige Risikoanalyse (intern + extern)
Maßgeschneidertes IT-Sicherheitskonzept
Incident Response Plan
Backup-Konzept-Review
NIS2-Betroffenheitscheck
Management-Präsentation (vor Ort)
3h persönliche Beratung mit Nils

Jetzt anfragen

Monatlich

CISO as a Service

Ihr externer Security-Chef auf Abruf

1.490 € netto / Monat

Laufender externer CISO
ISO 27001 / NIS2-Begleitung
Quartals-Reviews & Reporting
Incident-Response-Hotline (<4h)
Stakeholder-Kommunikation
Security-Strategie & Budgetplanung
Bevorzugte Reaktionszeit

Jetzt anfragen

Flexibel buchbar

Individuelle Beratung — ohne Vertragsbindung

Sie brauchen keinen laufenden Vertrag, sondern punktuelle Unterstützung? Wir beraten Sie auch stundenweise oder projektbasiert — ohne Mindestlaufzeit.

Einzelstunden: 159 €/h (netto) — exakt nach Aufwand abgerechnet
Stundenpaket z. B. 10h: 139 €/h (1.390 €) — gültig 12 Monate, weitere Staffelungen auf Anfrage
Festpreis-Projekte — z. B. Risikoanalyse, Notfallplan oder Lieferanten-Audit zum vereinbarten Preis
Ad-hoc-Einsätze — bei Sicherheitsvorfällen, Audits oder kurzfristigem Bedarf sofort verfügbar

Unverbindlich anfragen

So arbeiten wir

Vom Erstgespräch zur belastbaren Sicherheit

Erstgespräch

30 Min.

Kostenlos und unverbindlich. Wir verstehen Ihre Situation, Ihre Branche und Ihre größten Risiken.

Analyse

1–2 Wochen

Wir prüfen Ihre IT-Infrastruktur, Prozesse und Dokumentation — technisch und organisatorisch.

Konzept & Maßnahmen

1 Woche

Sie erhalten einen priorisierten Maßnahmenplan mit konkreten Handlungsempfehlungen und Zeitplan.

Umsetzung & Begleitung

Laufend

Wir setzen gemeinsam um — oder begleiten Ihr Team. Regelmäßige Reviews sichern den Fortschritt.

Erstgespräch buchen — kostenlos

Im Detail

Was wir konkret für Sie tun

Risikoanalyse & Schwachstellen-Scan

Bevor Sie investieren müssen Sie wissen wo Ihre größten Risiken liegen. Unsere Risikoanalyse liefert die Entscheidungsgrundlage für alle weiteren Maßnahmen.

Asset-Identifikation

Wir identifizieren Ihre kritischen IT-Assets: Server, Datenbanken, Cloud-Dienste, Endgeräte und die Daten die darauf liegen.

Bedrohungsanalyse

Ransomware, Phishing, Insider-Threats, Supply-Chain-Angriffe, DDoS — wir bewerten welche Bedrohungen für Ihre Branche relevant sind.

Schwachstellen-Scan

Automatisierter externer Scan Ihrer öffentlichen Infrastruktur: Ports, Services, SSL-Konfiguration, veraltete Software.

Risiko-Matrix

Jedes Risiko wird nach Eintrittswahrscheinlichkeit und Schadenshöhe bewertet. Sie sehen auf einen Blick wo Sie handeln müssen.

IT-Sicherheitskonzept

Auf Basis der Risikoanalyse erstellen wir ein maßgeschneidertes Sicherheitskonzept für Ihre Infrastruktur. Pragmatisch, umsetzbar und auf Ihr Budget abgestimmt.

Netzwerksicherheit

Firewall-Konzept, Netzwerksegmentierung, VPN-Zugang, WLAN-Absicherung — passend zu Ihrer vorhandenen Hardware.

Endpoint Security

Antivirus vs. EDR, Festplattenverschlüsselung, Mobile Device Management und Patch-Strategie.

Identity & Access Management

Least-Privilege-Prinzip, Multi-Faktor-Authentifizierung, Passwort-Policy und Admin-Zugang-Konzept.

E-Mail-Sicherheit

Anti-Phishing-Strategie, SPF/DKIM/DMARC-Konfiguration, E-Mail-Verschlüsselung.

Cloud Security

Microsoft 365, Google Workspace, AWS oder Azure — sichere Konfiguration und Zugriffssteuerung.

Backup & Recovery

3-2-1-Regel, Offline-Backups, Wiederherstellungstests — damit Ihre Daten im Ernstfall verfügbar bleiben.

Incident Response & Notfallmanagement

Ein Cyberangriff passiert nicht irgendwann — er passiert irgendwann Ihnen. Der Incident Response Plan stellt sicher dass Ihr Team im Ernstfall handlungsfähig bleibt.

Erkennungsverfahren

Welche Alarme müssen gesetzt sein? Wer bemerkt den Vorfall? Welche Indikatoren unterscheiden Fehlalarm von echtem Angriff?

Analyse & Klassifikation

Ist es ein Ransomware-Angriff, ein Datenabfluss oder ein DDoS? Die richtige Einordnung bestimmt die Reaktion.

Eindämmung

Betroffene Systeme isolieren, Zugänge sperren, laterale Bewegung stoppen — ohne den Geschäftsbetrieb komplett lahmzulegen.

Wiederherstellung

Systeme bereinigen, Backups einspielen, Integritätsprüfungen durchführen, schrittweiser Neustart.

Meldepflichten

DSGVO: 72-Stunden-Frist an die Aufsichtsbehörde. NIS2: 24-Stunden-Frist. Wir sorgen dafür dass Sie keine Frist verpassen.

Post-Incident-Review

Was lief gut, was muss besser werden? Lessons-Learned-Workshop mit konkreten Maßnahmen für die Zukunft.

ISO 27001, BSI Grundschutz & NIS2

Standards und Regularien sind kein Selbstzweck — sie schaffen Struktur und Nachweis. Wir begleiten Sie pragmatisch zum Ziel, ohne unnötige Bürokratie.

Gap-Analyse

Wo stehen Sie heute? Wir prüfen Ihren IST-Zustand gegen die Anforderungen von ISO 27001, BSI Grundschutz oder NIS2.

ISMS-Aufbau

Informationssicherheits-Managementsystem von Grund auf: Richtlinien, Prozesse, Verantwortlichkeiten und Dokumentation.

Maßnahmenumsetzung

Technische und organisatorische Maßnahmen (TOMs) implementieren — priorisiert nach Risiko und verfügbarem Budget.

NIS2-Betroffenheitscheck

18 Sektoren, 50+ Mitarbeitende oder 10 Mio. € Umsatz — wir klären ob NIS2 für Sie gilt und was Sie tun müssen.

Geschäftsführerhaftung

Seit NIS2 haften Geschäftsführer persönlich für unzureichende Cybersicherheit. Wir helfen Ihnen diese Haftung zu minimieren.

Interne Audits & Zertifizierung

Regelmäßige Prüfungen, Audit-Vorbereitung und Begleitung bis zum erfolgreichen Zertifizierungsaudit.

Pentests, Audits & Security Awareness

Technische Tests zeigen die Lücken in Ihrer Infrastruktur. Awareness-Training schließt die größte Lücke: den Menschen.

Externer Penetrationstest

Simulation eines Angriffs von außen: Wir prüfen Ihre öffentliche Infrastruktur auf Schwachstellen — wie ein echter Angreifer.

Interner Penetrationstest

Was kann ein Angreifer tun der bereits im Netzwerk ist? Laterale Bewegung, Privilege Escalation, Datenexfiltration.

Social Engineering

Phishing-Kampagnen, Vishing (Telefon), physische Tests — wir prüfen ob Ihre Mitarbeitenden auf Manipulation hereinfallen.

IT-Sicherheitsaudit

Systematische Prüfung Ihrer IT-Prozesse, Konfigurationen und Dokumentation gegen Best Practices und Standards.

Security Awareness Training

Interaktive Schulungen, Phishing-Simulationen und messbare Verhaltensänderung. Im Hugo DSB Professional & Enterprise inklusive.

Maßnahmenbericht

Nach jedem Test erhalten Sie einen priorisierten Bericht mit konkreten Handlungsempfehlungen und Zeitplan.

Managed Security Services Laufend

Sicherheit ist kein Projekt — sie muss laufend überwacht werden. Unsere Managed Services schließen die Lücke zwischen Konzept und Alltag.

Managed Detection & Response (MDR)

24/7-Bedrohungsüberwachung Ihrer Systeme. Wir erkennen Anomalien, analysieren Vorfälle und leiten sofort Gegenmaßnahmen ein.

Vulnerability Management

Regelmäßige Schwachstellen-Scans, Pentests und Patch-Priorisierung — damit bekannte Lücken schnell geschlossen werden.

Security Awareness (laufend)

Monatliche Phishing-Simulationen, Micro-Learnings und Dashboard mit Auswertung pro Abteilung und Mitarbeiter.

Backup-Monitoring

Tägliche Prüfung ob Ihre Backups erfolgreich laufen. Vierteljährliche Wiederherstellungstests als Nachweis.

Häufige Fragen

Alles was Sie über unsere Beratung wissen müssen

Was umfasst eine IT-Sicherheitsberatung?

Unsere IT-Sicherheitsberatung umfasst Risikoanalyse, IT-Sicherheitskonzept, Incident Response Plan, ISO 27001/BSI-Grundschutz-Begleitung, NIS2-Umsetzung, Penetrationstests, Security Awareness und externen CISO. Je nach Bedarf als Einmalleistung, Projekt oder laufende Betreuung.

Was kostet eine Stunde IT-Sicherheitsberatung?

Eine Einzelstunde kostet 159 € netto. Im Stundenpaket (z. B. 10 Stunden) sinkt der Preis auf 139 €/h. Alternativ bieten wir Festpreis-Projekte und drei Beratungspakete ab 1.990 € an.

Braucht jedes Unternehmen ein IT-Sicherheitskonzept?

Ja — spätestens seit NIS2 und der verschärften Geschäftsführerhaftung. Ohne dokumentiertes Sicherheitskonzept zahlt keine Cyberversicherung und Geschäftsführer haften persönlich. Für KMU ab 50 Mitarbeitenden oder 10 Mio. € Umsatz ist ein Sicherheitskonzept de facto Pflicht.

Was ist der Unterschied zwischen ISO 27001 und BSI Grundschutz?

ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). BSI Grundschutz ist die deutsche Umsetzungsmethodik mit konkreten Maßnahmenkatalogen. Beide führen zum gleichen Ziel — wir beraten Sie, welcher Weg für Ihr Unternehmen effizienter ist.

Was ist ein Incident Response Plan?

Ein Incident Response Plan ist Ihr Notfallplan für Cyberangriffe. Er definiert: Wer wird informiert? Welche Systeme werden isoliert? Wie wird die 72-Stunden-Meldefrist (DSGVO) bzw. 24-Stunden-Frist (NIS2) eingehalten? Ohne diesen Plan kostet ein Vorfall durchschnittlich 200.000 € mehr.

Bieten Sie auch Managed Security Services an?

Ja. Wir bieten Managed Detection & Response (MDR) mit 24/7-Bedrohungsüberwachung, Vulnerability Management mit regelmäßigen Scans und Pentests, Security Awareness Training mit Phishing-Simulationen und Backup-Monitoring mit Wiederherstellungstests.

Wie schnell sind Sie bei einem Sicherheitsvorfall verfügbar?

Für CISO-as-a-Service-Kunden garantieren wir eine Reaktionszeit von unter 4 Stunden — auch am Wochenende. Für Ad-hoc-Kunden sind wir in der Regel innerhalb von 24 Stunden einsatzbereit. Bei Datenpannen und Behördenanfragen sofort.

Können Sie auch vor Ort in Hamburg beraten?

Selbstverständlich. Unser Büro liegt in der Spaldingstraße in Hamburg. Workshops, Begehungen und Management-Präsentationen führen wir bevorzugt vor Ort durch. Norddeutschland betreuen wir persönlich, bundesweit per Video.

Bereit Ihre IT-Sicherheit auf solide Beine zu stellen?

Das Erstgespräch ist kostenlos und unverbindlich. Nils nimmt sich 30 Minuten Zeit um Ihre Situation zu verstehen.

Erstgespräch buchen Nachricht schreiben

„IT-Sicherheit muss nicht kompliziert sein. Im Erstgespräch klären wir in 30 Minuten wo Sie stehen und was der nächste sinnvolle Schritt ist.“

Nils Oehmichen — Geschäftsführer & Datenschutzberater

Vertiefende Seiten zu unseren Beratungsfeldern

IT-Sicherheitsberatung Hamburg Penetrationstest Hamburg ISO 27001 Beratung Hamburg NIS2-Beratung Hamburg Datenschutzberatung Hamburg Datenschutzschulung Hamburg NIS2-Geschäftsführerhaftung Hinweisgeberschutzgesetz