Gap-Analyse — Sicherheitslücken systematisch identifizieren

Was ist eine Gap-Analyse?

Eine Gap-Analyse (auch: Lückenanalyse) im Bereich Informationssicherheit vergleicht den IST-Zustand Ihres Unternehmens mit dem SOLL-Zustand eines Sicherheitsstandards — typischerweise ISO 27001 oder BSI IT-Grundschutz. Das Ergebnis: eine priorisierte Liste von Maßnahmen, die für die Compliance oder Zertifizierung noch umgesetzt werden müssen.

Warum ist eine Gap-Analyse der erste Schritt?

Ohne Gap-Analyse investieren Unternehmen oft in die falschen Maßnahmen. Die Analyse schafft Transparenz: Was ist bereits vorhanden? Wo sind die größten Lücken? Welche Maßnahmen haben die höchste Priorität? Damit wird das ISMS-Projekt planbar — zeitlich und finanziell.

Gap-Analyse Ablauf in 5 Schritten

1. Scope definieren

Gegen welchen Standard wird geprüft? Welche Unternehmensbereiche sind betroffen? Der Scope bestimmt den Umfang und die Dauer der Gap-Analyse.

2. Dokumentenreview

Vorhandene Richtlinien, Prozesse und technische Dokumentation werden gegen die Anforderungen des Zielstandards abgeglichen. Typisch: Sicherheitsleitlinie, Risikoanalyse, Statement of Applicability, Zugriffskonzepte.

Audit-Vorbereitung: ISO 27001 Audit — Stage 1, Stage 2, Surveillance & Re-Zertifizierung mit Pre-Audit, Mock-Interviews und Korrektur-Roadmap. So bestehen Sie das Zertifizierungs-Audit ohne Mängelfeststellung.

ISO 27001 — Anforderungen, Zertifizierung & Kosten

Wir begleiten Sie von der ersten Bestandsaufnahme bis zum erfolgreichen ISO-27001-Zertifikat — inklusive Annex-A-Controls, Gap-Analyse und Audit-Vorbereitung. Zertifizierung ab 15.000 € (KMU), Beratung ab 350 €/Monat.

Anforderungen Zertifizierung Kosten

Externer Informationssicherheitsbeauftragter gesucht?

Wir übernehmen die ISB-Rolle als externer Dienstleister — ISO 27001, BSI IT-Grundschutz, NIS-2 und TISAX aus einer Hand. Bundesweit, ab 500 € / Monat.

→ Externen Informationssicherheitsbeauftragten anfragen

Festplatten-Verschlüsselung in der Praxis: BitLocker in Windows 11 — wie der bitpixie-Angriff die Verschlüsselung aushebelt — und welche Gegenmaßnahmen (Pre-Boot-PIN, Secure-Boot-Revocation KB5025885, TPM-Härtung) Ihr Endpoint-Schutz jetzt braucht.

3. Interviews und Begehungen

Gespräche mit Schlüsselpersonen (IT-Leitung, Geschäftsführung, Fachabteilungen) und Vor-Ort-Begehungen ergänzen den Dokumentenreview um die gelebte Praxis.

4. Bewertung und Priorisierung

Jede Anforderung wird bewertet: erfüllt, teilweise erfüllt, nicht erfüllt. Die Lücken werden nach Risiko und Aufwand priorisiert.

5. Maßnahmenplan erstellen

Der Abschlussbericht enthält einen konkreten Maßnahmenplan mit Verantwortlichkeiten, Zeitrahmen und geschätztem Aufwand — die Roadmap für Ihr ISMS-Projekt oder Ihre ISO 27001 Zertifizierung.

Gap-Analyse Kosten

Kleine Unternehmen: 2.000–5.000 € (1-2 Tage)
Mittelstand: 5.000–15.000 € (3-5 Tage)
Große Unternehmen: 15.000–30.000 € (1-2 Wochen)

Bei DATUREX ist die Gap-Analyse oft im ISO 27001 Beratungspaket enthalten — ab 300 €/Monat als externer Informationssicherheitsbeauftragter.

Häufig gestellte Fragen zur Gap-Analyse

Wie lange dauert eine Gap-Analyse?

Für KMU typischerweise 1-2 Tage vor Ort plus 2-3 Tage Auswertung. Bei größeren Unternehmen 1-2 Wochen. Das Ergebnis liegt in der Regel 2 Wochen nach Abschluss der Interviews vor.

Ist eine Gap-Analyse Pflicht für ISO 27001?

Formal nein, aber in der Praxis unverzichtbar. Ohne Gap-Analyse riskieren Sie, wichtige Anforderungen zu übersehen oder Ressourcen falsch zu priorisieren.

Kann ich die Gap-Analyse selbst durchführen?

Grundsätzlich ja, aber ein externer Blick deckt blinde Flecken auf, die intern nicht wahrgenommen werden. Externe Berater bringen zudem Benchmark-Wissen aus anderen Unternehmen mit.

Informationssicherheit für Ihr Unternehmen

Die DATUREX GmbH ist Ihr zertifizierter Informationssicherheitsbeauftragter — bundesweit, persönlich und ISO 27001, NIS-2 und BSI IT-Grundschutz. Ab 300 €/Monat.

→ Informationssicherheitsbeauftragter
→ ISMS-Aufbau
→ IT-Grundschutz
→ ISB-Kosten & Leistungen

Kostenlose ISB-Beratung anfragen