Eine Cybersecurity-Gap-Analyse,
von Grund auf erklärt.
Eine Gap-Analyse vergleicht, was Ihr Sicherheitsprogramm heute leistet, mit einem anerkannten Framework und zeigt, wo die Distanz liegt. Diese Seite erklärt, was das bedeutet, wie es traditionell gemacht wird, was es üblicherweise kostet und wo ein geführter erster Durchlauf hineinpasst.
Was eine Cybersecurity-Gap-Analyse misst
Eine Cybersecurity-Gap-Analyse ist ein strukturierter Vergleich zwischen Ihrer aktuellen Security Posture und den Kontrollen, die ein gewähltes Framework von Ihnen erwartet. Jede Lücke ist die Differenz zwischen dem heutigen Stand einer Kontrolle und dem, was das Framework verlangt, und das Ergebnis ist eine geordnete Liste, was zuerst zu schliessen ist.
DIE LÜCKE
Die Lücke ist die Distanz dazwischen, geordnet nach dem, was zuerst zu schliessen ist.
So funktioniert die Analyse, Schritt für Schritt
Die Methode ist ein wiederholbarer Ablauf, kein einmaliger Bericht.
Framework-Auswahl
Wählen Sie den Standard, an dem Sie messen. NIST CSF 2.0 gibt hier die Struktur vor.
Geführtes Assessment
Beantworten Sie fokussierte Fragen zu Ihren Kontrollen, mit Orientierung, worauf jede abzielt.
Bewertung
Ihre Antworten werden den Framework-Kategorien zugeordnet und ergeben einen Reifegrad pro Bereich.
Lückenidentifikation
Jeder Bereich wird mit dem erwarteten Kontrollniveau verglichen und zeigt, wo Sie zurückliegen.
Umsetzungs-Roadmap
Lücken werden zu priorisierten Massnahmen, geordnet nach Schweregrad und den passenden CSF-Kategorien zugeordnet.
Expertenprüfung
Eine Fachperson prüft die Ergebnisse und hilft bei der Planung, wo die Tragweite es rechtfertigt.
Wie eine Gap-Analyse traditionell durchgeführt wird
Klassisch durchgeführt ist es ein Beratungsmandat über vier Phasen in rund vier bis acht Wochen. Die Arbeit ist weitgehend manuell, was sowohl die Dauer als auch den Preis bestimmt.
Pflichten verstehen
1–2 WochenDie für Sie geltenden Vorschriften und Frameworks erfassen.
Aktuellen Zustand bewerten
2–4 WochenAssets, Richtlinien und Systeme im heutigen Zustand inventarisieren.
Anforderungen auf Massnahmen abbilden
1–2 WochenJede Anforderung mit dem tatsächlich Vorhandenen vergleichen.
Lücken dokumentieren und kategorisieren
1 WocheJede Lücke erfassen und nach Schweregrad und Geschäftsauswirkung einordnen.
Was der traditionelle Ansatz kostet
Eine manuelle Gap-Analyse ist in zwei Währungen teuer: Geld und Zeit. Dies sind typische Spannen für ein Beratungsmandat, keine festen Preise.
Typisches Mandat
für eine mittelgrosse Organisation, vor internen Stunden.
Die Kompromisse der manuellen Methode
Sie liefert einen gründlichen Bericht, doch die Kosten zeigen sich in drei Dimensionen. Weil sie einen einzelnen Zeitpunkt erfasst, altert das Bild zudem, sobald das Mandat endet.
Hohe Kosten
- Mittelgrosse Org.
- $15K–$40K
- Grossunternehmen
- $40K–$100K+
- Interne Zeit
- 40–80 Std.
Zuzüglich der Personalstunden, die von anderer Arbeit abgezogen werden.
Lange Zeiträume
- Terminplanung
- 1–2 Wo.
- Manuelles Assessment
- 2–4 Wo.
- Roadmap-Erstellung
- 1 Wo.
Rund ein bis zwei Monate insgesamt.
Qualitätsprobleme
- Variabilität der Beratung
- uneinheitlich
- Manuelle Fehler
- möglich
- Umfang
- budgetgebunden
Eine einzelne Momentaufnahme.
Traditionelle Beratung vs. ein geführter erster Durchlauf
Ein gängiges Muster: zuerst den geführten Durchlauf für eine konsistente Baseline, dann Experten für die Bereiche, die es rechtfertigen.
Traditionelle Beratung
- Zeitrahmen
- 4–8 Wochen
- Kosten
- $15'000–$40'000
- Methode
- Manuell, je nach Beratung unterschiedlich
- Ergebnis
- Statisch, Momentaufnahme
CyberGapAudit erster Durchlauf
- Zeitrahmen
- 10–15 Minuten
- Kosten
- Kostenlos
- Methode
- Konsistent, wiederholbar
- Ergebnis
- Priorisiert, mit Nachweisen
Was der geführte Durchlauf liefert
Ein geführter erster Durchlauf verwandelt Ihre Antworten in ein konkretes Ergebnis: einen Reifegrad-Score, die Abdeckung nach NIST-Funktion und eine priorisierte Liste, was zu beheben ist, jedes Element einer CSF-Kategorie zugeordnet mit dem Nachweis, der von Ihnen erwartet würde. Die Zahlen unten sind ein Beispiel-Output zur Veranschaulichung des Formats. Es sind nicht Ihre Ergebnisse.
Beispiel-Output · illustrativ. Nicht Ihre Ergebnisse.
Reifegrad-Score
Beispielwert
Abdeckung nach NIST-Funktion
Priorisierte Massnahmen
Nachweis · IdP-Konfigurationsexport
Nachweis · SIEM-Ingestion-Konfiguration
Nachweis · RACI-Matrix
Frameworks, an denen Sie messen können
Das geführte Assessment basiert auf NIST CSF 2.0 und seinen sechs Funktionen: Govern, Identify, Protect, Detect, Respond und Recover. Weitere kommen mit der Zeit hinzu.
Wie verschiedene Branchen Frameworks zuordnen
Dieselbe Methode gilt über regulierte Branchen hinweg. Jede ordnet ihre Pflichten einem oder mehreren Cybersecurity-Frameworks zu.
Häufige Fragen
Wie lange dauert das kostenlose Assessment?
Etwa 10–15 Minuten für einen ersten Durchlauf. Es deckt die Grundlagen Ihrer Posture ab und liefert einen Reifegrad-Score, der auf NIST-CSF-Kategorien abgebildet ist.
Welches Framework verwendet es?
Es ist an NIST CSF 2.0 ausgerichtet. ISO 27001, CIS Controls, SOC 2, PCI DSS, HIPAA und GDPR sind auf der Roadmap.
Ersetzt dies ein formelles Audit?
Nein. Eine Gap-Analyse identifiziert und priorisiert Lücken. Ein formelles Zertifizierungsaudit erfordert weiterhin einen qualifizierten Auditor.
Werden meine Antworten gespeichert?
Ja, in Ihrem verschlüsselten Konto, sodass Sie sie erneut aufrufen und den Fortschritt verfolgen können. Sie können Ihr Konto jederzeit löschen.
Was bieten die kostenpflichtigen Tarife zusätzlich?
Ein tieferes Assessment, Kontrollaufschlüsselungen, Umsetzungsplanung, Nachweisorientierung, geplante Wiederholungen und einen framework-ausgerichteten Aktionsplan mit Statusverfolgung.
Starten Sie Ihren ersten Durchlauf
Beginnen Sie mit einem kostenlosen, NIST-ausgerichteten Assessment. Sie enden mit einem Reifegrad-Score und einem priorisierten Ausgangspunkt. Keine Kreditkarte erforderlich.