GAP-ANALYSE, ERKLÄRT

Eine Cybersecurity-Gap-Analyse,
von Grund auf erklärt.

Eine Gap-Analyse vergleicht, was Ihr Sicherheitsprogramm heute leistet, mit einem anerkannten Framework und zeigt, wo die Distanz liegt. Diese Seite erklärt, was das bedeutet, wie es traditionell gemacht wird, was es üblicherweise kostet und wo ein geführter erster Durchlauf hineinpasst.

30 Fragen·10–15 Minuten·NIST CSF 2.0·kostenlos
WAS ES IST

Was eine Cybersecurity-Gap-Analyse misst

Eine Cybersecurity-Gap-Analyse ist ein strukturierter Vergleich zwischen Ihrer aktuellen Security Posture und den Kontrollen, die ein gewähltes Framework von Ihnen erwartet. Jede Lücke ist die Differenz zwischen dem heutigen Stand einer Kontrolle und dem, was das Framework verlangt, und das Ergebnis ist eine geordnete Liste, was zuerst zu schliessen ist.

DIE LÜCKE

Ihre Posture heute
Framework-Ziel

Die Lücke ist die Distanz dazwischen, geordnet nach dem, was zuerst zu schliessen ist.

DIE METHODE

So funktioniert die Analyse, Schritt für Schritt

Die Methode ist ein wiederholbarer Ablauf, kein einmaliger Bericht.

01

Framework-Auswahl

Wählen Sie den Standard, an dem Sie messen. NIST CSF 2.0 gibt hier die Struktur vor.

02

Geführtes Assessment

Beantworten Sie fokussierte Fragen zu Ihren Kontrollen, mit Orientierung, worauf jede abzielt.

03

Bewertung

Ihre Antworten werden den Framework-Kategorien zugeordnet und ergeben einen Reifegrad pro Bereich.

04

Lückenidentifikation

Jeder Bereich wird mit dem erwarteten Kontrollniveau verglichen und zeigt, wo Sie zurückliegen.

05

Umsetzungs-Roadmap

Lücken werden zu priorisierten Massnahmen, geordnet nach Schweregrad und den passenden CSF-Kategorien zugeordnet.

06

Expertenprüfung

Eine Fachperson prüft die Ergebnisse und hilft bei der Planung, wo die Tragweite es rechtfertigt.

TRADITIONELLER ANSATZ

Wie eine Gap-Analyse traditionell durchgeführt wird

Klassisch durchgeführt ist es ein Beratungsmandat über vier Phasen in rund vier bis acht Wochen. Die Arbeit ist weitgehend manuell, was sowohl die Dauer als auch den Preis bestimmt.

01

Pflichten verstehen

1–2 Wochen

Die für Sie geltenden Vorschriften und Frameworks erfassen.

02

Aktuellen Zustand bewerten

2–4 Wochen

Assets, Richtlinien und Systeme im heutigen Zustand inventarisieren.

03

Anforderungen auf Massnahmen abbilden

1–2 Wochen

Jede Anforderung mit dem tatsächlich Vorhandenen vergleichen.

04

Lücken dokumentieren und kategorisieren

1 Woche

Jede Lücke erfassen und nach Schweregrad und Geschäftsauswirkung einordnen.

WAS ES KOSTET

Was der traditionelle Ansatz kostet

Eine manuelle Gap-Analyse ist in zwei Währungen teuer: Geld und Zeit. Dies sind typische Spannen für ein Beratungsmandat, keine festen Preise.

Typisches Mandat

$15K–$40K

für eine mittelgrosse Organisation, vor internen Stunden.

$40K–$100K+
Enterprise-Umfang
40–80 Std.
Interne Zeit
4–8 Wo.
Gesamtdauer
DIE KOMPROMISSE

Die Kompromisse der manuellen Methode

Sie liefert einen gründlichen Bericht, doch die Kosten zeigen sich in drei Dimensionen. Weil sie einen einzelnen Zeitpunkt erfasst, altert das Bild zudem, sobald das Mandat endet.

Hohe Kosten

Mittelgrosse Org.
$15K–$40K
Grossunternehmen
$40K–$100K+
Interne Zeit
40–80 Std.

Zuzüglich der Personalstunden, die von anderer Arbeit abgezogen werden.

Lange Zeiträume

Terminplanung
1–2 Wo.
Manuelles Assessment
2–4 Wo.
Roadmap-Erstellung
1 Wo.

Rund ein bis zwei Monate insgesamt.

Qualitätsprobleme

Variabilität der Beratung
uneinheitlich
Manuelle Fehler
möglich
Umfang
budgetgebunden

Eine einzelne Momentaufnahme.

ZWEI ANSÄTZE

Traditionelle Beratung vs. ein geführter erster Durchlauf

Ein gängiges Muster: zuerst den geführten Durchlauf für eine konsistente Baseline, dann Experten für die Bereiche, die es rechtfertigen.

Traditionelle Beratung

Zeitrahmen
4–8 Wochen
Kosten
$15'000–$40'000
Methode
Manuell, je nach Beratung unterschiedlich
Ergebnis
Statisch, Momentaufnahme
· Derselbe Fragenkatalog und dieselbe Bewertung bei jedem Durchlauf, daher sind Wiederholungen vergleichbar.· Kann quartalsweise wiederholt werden, um Bewegung zwischen tieferen Prüfungen zu verfolgen.
WAS SIE ERHALTEN

Was der geführte Durchlauf liefert

Ein geführter erster Durchlauf verwandelt Ihre Antworten in ein konkretes Ergebnis: einen Reifegrad-Score, die Abdeckung nach NIST-Funktion und eine priorisierte Liste, was zu beheben ist, jedes Element einer CSF-Kategorie zugeordnet mit dem Nachweis, der von Ihnen erwartet würde. Die Zahlen unten sind ein Beispiel-Output zur Veranschaulichung des Formats. Es sind nicht Ihre Ergebnisse.

Beispiel-Output · illustrativ. Nicht Ihre Ergebnisse.

Reifegrad-Score

62/100
Gesteuert

Beispielwert

Abdeckung nach NIST-Funktion

GV · Govern68
ID · Identify84
PR · Protect64
DE · Detect36
RS · Respond55
RC · Recover60

Priorisierte Massnahmen

PR.AAMFA für Admin-Konten erzwingen

Nachweis · IdP-Konfigurationsexport

P1
DE.CMLog-Monitoring zentralisieren

Nachweis · SIEM-Ingestion-Konfiguration

P2
GV.RRSicherheitsrollen und -verantwortlichkeiten zuweisen

Nachweis · RACI-Matrix

P3
Nächste Prüfung · Q4 2026Stärkste · IDENTIFYSchwächste · DETECT
FRAMEWORK-ABDECKUNG

Frameworks, an denen Sie messen können

Das geführte Assessment basiert auf NIST CSF 2.0 und seinen sechs Funktionen: Govern, Identify, Protect, Detect, Respond und Recover. Weitere kommen mit der Zeit hinzu.

NIST CSF 2.0 · Jetzt verfügbarISO 27001 · Auf der RoadmapCIS Controls · Auf der RoadmapSOC 2 · Auf der RoadmapPCI DSS · Auf der RoadmapHIPAA · Auf der RoadmapGDPR · Auf der Roadmap
NACH BRANCHE

Wie verschiedene Branchen Frameworks zuordnen

Dieselbe Methode gilt über regulierte Branchen hinweg. Jede ordnet ihre Pflichten einem oder mehreren Cybersecurity-Frameworks zu.

Gesundheitswesen
HIPAAHITECH
Finanzdienstleistungen
PCI DSSSOX
Behörden
FISMANIST
Fertigung
ISO 27001NIST
Technologie
SOC 2ISO 27001
Bildung
FERPANIST
HÄUFIGE FRAGEN

Häufige Fragen

Wie lange dauert das kostenlose Assessment?

Etwa 10–15 Minuten für einen ersten Durchlauf. Es deckt die Grundlagen Ihrer Posture ab und liefert einen Reifegrad-Score, der auf NIST-CSF-Kategorien abgebildet ist.

Welches Framework verwendet es?

Es ist an NIST CSF 2.0 ausgerichtet. ISO 27001, CIS Controls, SOC 2, PCI DSS, HIPAA und GDPR sind auf der Roadmap.

Ersetzt dies ein formelles Audit?

Nein. Eine Gap-Analyse identifiziert und priorisiert Lücken. Ein formelles Zertifizierungsaudit erfordert weiterhin einen qualifizierten Auditor.

Werden meine Antworten gespeichert?

Ja, in Ihrem verschlüsselten Konto, sodass Sie sie erneut aufrufen und den Fortschritt verfolgen können. Sie können Ihr Konto jederzeit löschen.

Was bieten die kostenpflichtigen Tarife zusätzlich?

Ein tieferes Assessment, Kontrollaufschlüsselungen, Umsetzungsplanung, Nachweisorientierung, geplante Wiederholungen und einen framework-ausgerichteten Aktionsplan mit Statusverfolgung.

Starten Sie Ihren ersten Durchlauf

Beginnen Sie mit einem kostenlosen, NIST-ausgerichteten Assessment. Sie enden mit einem Reifegrad-Score und einem priorisierten Ausgangspunkt. Keine Kreditkarte erforderlich.