SECURAM Consulting · Hamburg · Seit 2012

GRC-Beratung für den Mittelstand.

SECURAM berät mittelständische Unternehmen in Informationssicherheit, Business Continuity, KI-Governance und Risikomanagement — von der GAP-Analyse bis zum laufenden Betrieb als externer Beauftragter.

Erstgespräch buchen → GAP-Analyse in 5 Tagen

Netzwerke & Verbände

SECURAM Consulting ist Mitglied in führenden Branchenverbänden.

Aktiv vernetzt — in Hamburg und darüber hinaus.

Netzwerk

Mitglied

Unser Ansatz

Integriertes GRC statt isolierter Silos.

Viele Unternehmen betreiben Informationssicherheit, Continuity und Risikomanagement in getrennten Silos. SECURAM denkt Managementsysteme als Einheit: Überschneidungen zwischen Standards werden systematisch genutzt statt doppelt bearbeitet.

NIS-2 — Warum das Thema noch nicht erledigt ist: Die BSI-Registrierungspflicht lief am 6. März 2026 ab. Schätzungsweise 18.500 Unternehmen haben die Frist verpasst — das BSI prüft jetzt aktiv. Laufende Pflichten bleiben: Meldung von Sicherheitsvorfällen (24 h-Erstmeldung), technische und organisatorische Schutzmaßnahmen, Nachweisnachlieferung. Geschäftsführende haften persönlich.
NIS-2-Nachregistrierung →

ISMS — ISO 27001 · NIS-2 · TISAX · DORA · CRA
AIMS — EU AI Act · ISO 42001 · Schatten-KI
BCMS — ISO 22301 · BSI 200-4 · ITSCM
RMS — ISO 27005 · BSI 200-3 · MaRisk

Nadine Eibel, Gründerin & Geschäftsführerin, SECURAM Consulting GmbH

SECURAM Consulting · Hamburg · seit 2012

Informationssicherheit gemeinsam angehen.

ISO 27001 NIS-2 KI-Governance EU AI Act

„IT-Security ist ein lebendiger Prozess, der von uns verlangt, dass wir uns wandeln und dazu lernen entlang der technologischen Entwicklungen und Herausforderungen."

Nadine Eibel

Gründerin & Geschäftsführerin · SECURAM Consulting GmbH

Kompetenzfelder

ISMS, BCMS, AIMS, RMS — vier Säulen.

Jede regulatorische Anforderung hat ein passendes Managementsystem — und bei SECURAM einen direkten Ansprechpartner.

ISMS

Informationssicherheit

Nachweisbar sicher.

Details →

ISMS · Informationssicherheit

Nachweisbar sicher.

Von der GAP-Analyse über den ISMS-Aufbau bis zur Zertifizierungsbegleitung und laufendem Betrieb als externer ISB — strukturiert, auditfest, alltagstauglich.

ISO 27001 · NIS-2 · TISAX · DORA · BSI IT-GS · CRA

Zu Informationssicherheit →

BCMS

Business Continuity

Handlungsfähig im Ernstfall.

Details →

BCMS · Business Continuity

Handlungsfähig im Ernstfall.

Notfallplanung, die trägt. Ausfallzeiten reduzieren, Wiederherstellungszeiten definieren, Handlungsfähigkeit durch Krise und Angriff sichern.

ISO 22301 · BSI 200-4 · ITSCM · Notfallmanagement

Zu Business Continuity →

AIMS

KI-Governance

KI regelkonform betreiben.

Details →

AIMS · KI-Governance

KI regelkonform betreiben.

KI-Systeme inventarisieren, nach EU AI Act klassifizieren, Schatten-KI identifizieren, Governance-Rahmen aufbauen. Externer KI-Beauftragter verfügbar.

EU AI Act · ISO 42001 · Schatten-KI

Zu KI-Governance →

RMS

Risikomanagement

Risiken systematisch steuern.

Details →

RMS · Risikomanagement

Risiken systematisch steuern.

Risiken identifizieren, bewerten, behandeln und überwachen — als laufender Prozess verankert, nicht als Einmalprojekt.

ISO 27005 · BSI 200-3 · MaRisk

Zu Risikomanagement →

Bedrohungslage

Ransomware-Bedrohungslage im Mittelstand.

Ransomware ist die dominante Cyberbedrohung für den deutschen Mittelstand. Kein Sektor ist ausgenommen.

72 %

der deutschen Unternehmen von Cyberangriffen betroffen

Bitkom Cybercrime-Studie 2024

148 Mrd. €

Gesamtschaden durch Cyberkriminalität p.a. in Deutschland

Bitkom 2024

21 Tage

durchschnittliche Ausfallzeit nach einem Ransomware-Angriff

Coveware Q4/2023

2,73 Mio. $

Ø Wiederherstellungskosten nach Ransomware

Sophos State of Ransomware 2024

Aktuelle Schadensfälle — rotierend

Oktober 2023Öffentliche Verwaltung

Südwestfalen-IT (SIT)

Akira Ransomware Group

70+ Kommunen in NRW über Monate ohne digitale Verwaltung. Standesämter, Sozialleistungen und Zulassungsstellen manuell — oder gar nicht erreichbar.

Lesson: Shared-Services-Strukturen multiplizieren Ausfallrisiken. Ein Angriff, viele Opfer.

Oktober 2022Automotive

Continental AG

LockBit 3.0

40 TB Daten exfiltriert. LockBit forderte 50 Mio. USD Lösegeld. Interne Entwicklungsdaten, Mitarbeiterinformationen und Kundendaten kompromittiert.

Lesson: Auch DAX-Konzerne mit großem IT-Budget sind angreifbar. Prävention schlägt Reaktion.

April 2023Rüstung / Industrie

Rheinmetall AG

BlackBasta

Produktionsstörungen an mehreren Standorten. Civile Tochtergesellschaften betroffen, Rüstungsbereich abgekoppelt. Betriebsunterbrechung über mehrere Wochen.

Lesson: Kritische Infrastrukturen und Rüstungsunternehmen sind bevorzugte, hochmotivierte Ziele.

September 2023Hospitality

MGM Resorts International

Scattered Spider / ALPHV

9 Tage Systemausfall in mehreren Las Vegas Hotels. Zahlungsterminals, Türsysteme, Gästedaten betroffen. Schaden: über 100 Mio. USD, Aktie fiel 6 %.

Lesson: Social Engineering gegen den Helpdesk umging jeden technischen Perimeter.

Februar 2024Gesundheitswesen

Change Healthcare (USA)

ALPHV / BlackCat

Kritischster Angriff auf US-Gesundheitsinfrastruktur. 6.000+ Apotheken, Krankenhäuser und Abrechnungssysteme ausgefallen. Geschätzter Schaden: ~1,6 Mrd. USD.

Lesson: Healthcare ist das kritischste Angriffsziel — und oft das am schlechtesten geschützte.

Für wen wir arbeiten

Jede Branche hat ein anderes Risikoprofil.

Maschinenbau · 280 MA

Mittelständischer Maschinenbauer

Ihr Ausgangspunkt

Managementsystem-Beratung nach Ihrer Situation.

Jedes Szenario zeigt die relevanten Standards mit Leistungsarten und aaS-Produkt. Wählen Sie Ihre Ausgangslage.

Gesetzliche Pflichten

Regulatorik verpflichtet — persönliche Haftung inklusive.

NIS-2, DORA, KRITIS, CRA, EU AI Act oder MaRisk definieren verbindliche Fristen und verankern die persönliche Haftung der Geschäftsführung. SECURAM begleitet von der Betroffenheitsanalyse bis zur Nachweisführung gegenüber dem BSI.

NIS-2→ISBaaS

DORA→ISBaaS

KRITIS→ISBaaS

CRA→ISBaaS

EU AI Act→KIBaaS

MaRisk→RMaaS

Erstgespräch vereinbaren →

Skalierung

Einmal aufbauen, mehrfach zertifizieren.

Governance-Strukturen, Risikoanalysen und Dokumentation sind wiederverwendbar — ein wesentlicher Vorteil der GRC-Beratung aus einer Hand.

CISIS12 Einstieg

→

ISO 27001 Internationaler Standard

→

NIS-2 · DORA · KRITIS Regulatorische Pflicht

20–40 % weniger Aufwand für die zweite Norm

Lieferketten-Compliance ist einer der häufigsten Treiber. Je nach Reifegrad sind 6 bis 12 Monate realistisch. SECURAM übernimmt GAP-Analyse, Implementierung und Zertifizierungsbegleitung aus einer Hand.

Mehr zu ISO 27001 → | GAP-Analyse anfragen →

Seit März 2026 ist das BSI-Portal live. SECURAM klärt in der GAP-Analyse, welche Anforderungen konkret zutreffen, und begleitet Registrierung, Meldepflichten und Maßnahmenimplementierung.

NIS-2 Beratung → | Betroffenheit prüfen →

Der EU AI Act verlangt ab 2026 Inventarisierung und Risikoklassifizierung aller KI-Systeme. Schatten-KI in Fachabteilungen wird dabei häufig erst im Rahmen eines Audits sichtbar.

EU AI Act → | Externer KI-Beauftragter →

Externer ISB ist das häufigste Einstiegsmodell. Sofort verfügbar, skalierbar, ohne Festanstellungsrisiko. Je nach Leistungspaket (Core / Advanced / Complete) steuert SECURAM das komplette ISMS auf Mandatsbasis.

Externer ISB → | Erstgespräch buchen →

DORA gilt seit Januar 2025. SECURAM prüft gegen die fünf DORA-Säulen (ICT-Risk, Incident, Resilience Testing, Third-Party Risk, Info-Sharing), kombiniert mit ISO 27001 und MaRisk.

Mehr zu DORA →

Viele Notfallkonzepte stammen aus 2018 und wurden nie getestet. SECURAM analysiert kritische Geschäftsprozesse, definiert RTO/RPO und baut ein ISO 22301-fähiges BCMS auf.

Zu Business Continuity → | ITSCM →

TISAX setzt ein belastbares ISMS nach VDA-ISA voraus. SECURAM kennt die Anforderungen der Assessment-Stufen ENX-AL1 bis AL3 und begleitet von der Selbstauskunft bis zur Assessmentvorbereitung.

Mehr zu TISAX →

Begleitung as a Service

Vier Säulen. Vier externe Beauftragte.

Jede Managementsystem-Säule hat bei SECURAM ein passendes aaS-Produkt — vom Einstieg über die Implementierung bis in den laufenden Regelbetrieb als externe Funktion.

ISBaaS Externer ISB ISO 27001 · NIS-2 · TISAX BCMaaS Externer BCM-Beauftragter ISO 22301 · BSI 200-4 KIBaaS Externer KI-Beauftragter EU AI Act · ISO 42001 RMaaS Externer Risikomanager ISO 27005 · BSI 200-3 · MaRisk

ISBaaS — Leistungsumfang Beispielhaft für alle aaS-Produkte. Umfang wird nach Reifegrad und Anforderung konfiguriert.

Core

Grundbetreuung

Beratung und Unterstützung bei ISMS-Fragen

Monatliche Jour-Fixe

Jährliches Management-Review

Erstellung und Revision der Sicherheitsleitlinie

Regulatorik-Kalender 2026 / 27.

Branchenveranstaltungen

Webinar · Online

Mai

2026 laufend

it-sa 365 Webinar-Reihe

Laufende Online-Veranstaltungsreihe zu IT-Security-Themen — kostenlos, das ganze Jahr über.

Zur it-sa 365 →

Konferenz · Berlin

18.

Mai 2026 – 20.05.

re:publica 2026

Leitkonferenz zu digitaler Gesellschaft, KI-Governance und Tech-Policy. STATION Berlin. Relevante Sessions zu EU AI Act und Digitalregulierung.

re-publica.com →

Konferenz · Zürich

22.

Jun 2026 Zürich

Rethink! IAM 2026

Fachkonferenz für Identity & Access Management, Zero Trust und moderne Authentifizierungsarchitekturen.

Zürich · 22.06.2026

Messe · Nürnberg

27.

Okt 2026 – 29.10.

it-sa Expo & Congress 2026

Europas führende IT-Security-Messe. 993 Aussteller, 28.267 Fachbesucher (2025). Pflichttermin für Security-Entscheider.

Zur it-sa Expo →

Konferenz · Hamburg

14.

Nov 2026 Hamburg

Hamburg Cyber Security Day

Regionalkonferenz für den DACH-Norden. Schwerpunkt: Mittelstand, KRITIS und Governance-Praxis.

Hamburg · 14.11.2026

Konferenz · München

24.

Nov 2026 München

Industrial Cyber Resilience Summit

Neue Fachkonferenz zu industrieller Cyber-Resilienz: CRA, IEC 62443, Industrie & Versicherung. SZ-Hochhaus München.

München · 24.11.2026

Regulatorische Fristen

Erstregistrierungsfrist

Notifizierte Stellen aktiv

Ausstehend

02.08.2026

EU AI Act

Hochrisiko-KI Annex III

Im Fokus

11.09.2026

CRA

Meldepflicht Schwachstellen

Ausstehend

11.12.2026

CRA

Ausreichend notif. Stellen

Ausstehend

01.01.2027

DORA

Vereinfachter Rahmen vollständig

2027

11.12.2027

CRA

Vollständige Anwendung

2027

Wissen & Insights

Aktuell aus dem Wissens-Hub.

Insight · ISO 27001

Internes Audit richtig planen

Auditprogramm, risikobasierte Planung, typische Feststellungen und wie man mit Non-Conformities umgeht.

Regulatorik · NIS-2

BSI-Registrierungsportal seit März 2026 live

Was betroffene Unternehmen jetzt tun müssen: Erstregistrierung, Kontaktstelle, Meldepflichten.

KI-Governance · EU AI Act

EU AI Act — Fristen und Pflichten 2026

Hochrisiko-KI nach Annex III, Verbotene KI-Praktiken, Transparenzpflichten: was ab August gilt.

Alle Insights →

Newsletter

KI-Security Briefing

Alle zwei Wochen: praxisnahe Einordnung zu KI-Governance, Regulatorik und aktuellen Bedrohungslagen — direkt ins Postfach.

KI-Governance & EU AI Act NIS-2 & DORA Praxis Ransomware-Lageberichte BSI-Meldungen & Fristen

Zur Newsletter-Seite →

Erscheint alle zwei Wochen · kostenlos

Häufige Fragen

FAQ: ISO 27001, NIS-2, ISMS und GRC.

Direkte Antworten auf typische Fragen beim Einstieg in Informationssicherheit, Compliance und GRC.

Einstieg und Kosten

Typische Erstimplementierung inkl. Zertifizierungsbegleitung für den Mittelstand (100–500 MA): 40.000 bis 120.000 EUR — abhängig von Reifegrad, Scope und Anzahl der Standorte. SECURAM erstellt nach einer GAP-Analyse ein belastbares Festpreisangebot. Es gibt keine versteckten Stundensätze.

GAP-Analyse anfragen →

Realistisch sind 6 bis 12 Monate für eine Erstimplementierung, je nach Ausgangszustand. Bei vorhandenen Sicherheitsmaßnahmen, die dokumentiert werden müssen, sind 4 Monate möglich. Das Zertifizierungsaudit (Stage 1 + Stage 2) schließt sich im Anschluss an und dauert 2–4 Wochen.

Ja. Die Frage ist nicht ob, sondern wann. Lieferketten-Anforderungen, NIS-2-Ausstrahlungswirkung auf indirekt betroffene Unternehmen und Versicherungsanforderungen (Cyber-Policen) machen ISMS auch für Unternehmen unter 100 MA relevant. SECURAM passt Scope und Tiefe an jede Unternehmensgröße an.

Ja. Auf Basis der GAP-Analyse erstellt SECURAM ein Festpreisangebot mit definierten Meilensteinen, Lieferobjekten und Verantwortlichkeiten. Offene Tagessatzkonstrukte sind die Ausnahme, nicht die Regel.

Erstgespräch für Angebot buchen →

NIS-2 und Regulatorik

NIS-2 gilt für Unternehmen in 18 Sektoren (z.B. Energie, Transport, Gesundheit, Digitale Infrastruktur, Chemie) ab 50 Mitarbeitern oder 10 Mio. EUR Jahresumsatz. Wesentliche Einrichtungen (ab 250 MA oder 50 Mio.) haben strengere Pflichten. Die Ausstrahlungswirkung auf Lieferketten (kleiner Unternehmen, die an betroffene Einrichtungen liefern) wird häufig unterschätzt.

Betroffenheit prüfen →

DORA gilt seit Januar 2025 für Finanzinstitute, Zahlungsdienstleister, Versicherungen und ihre IKT-Drittdienstleister. Es verlangt IKT-Risikomanagement, Incident-Reporting, Resilience-Testing und ein aktives Third-Party-Risk-Management. Die erste BaFin-Pflichtmeldung (IKT-Drittanbieter-Register) war am 30. März 2026 fällig.

DORA-Beratung →

Für wesentliche Einrichtungen: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt). Für wichtige Einrichtungen: bis zu 7 Mio. EUR oder 1,4 % des Umsatzes. Geschäftsführende haften darüber hinaus persönlich für Verstöße gegen Aufsichtspflichten.

KI-Governance

Das hängt von der Rolle ab. Betreiber (Deployer) von Hochrisiko-KI-Systemen unterliegen eigenen Pflichten: Risikoklassifizierung, technische Dokumentation, menschliche Aufsicht. Betreiber niedrigriskanter KI (Chatbots, Empfehlungssysteme) treffen vor allem Transparenzpflichten. Für KI-Anbieter (Developers) gelten eigene, strengere Pflichten.

EU AI Act im Detail →

Schatten-KI bezeichnet KI-Anwendungen, die Mitarbeiter ohne Wissen oder Genehmigung der IT einsetzen (z.B. ChatGPT für Kundendaten, Copilot für vertragliche Dokumente). Risiken: Datenschutzverstöße, unkontrollierte Datenexfiltration, Compliance-Verstöße unter EU AI Act und DSGVO. SECURAM inventarisiert Schatten-KI systematisch und baut Governance-Rahmen auf.

Schatten-KI →

Externer ISB und laufender Betrieb

Ein externer Informationssicherheitsbeauftragter übernimmt die operative ISMS-Steuerung auf Mandatsbasis — ohne Festanstellung, sofort verfügbar, skalierbar. Unternehmen brauchen ihn, wenn: ISO 27001 oder NIS-2 gefordert ist, keine interne Kompetenz aufgebaut werden soll, oder der interne ISB temporär nicht verfügbar ist. SECURAM bietet drei Leistungsstufen (Core / Advanced / Complete).

Externer ISB →

SECURAM versteht Beratung als langfristige Partnerschaft. Nach der Implementierung übernehmen wir auf Wunsch die laufende ISMS-Betreuung als externer ISB (Retainer-Modell), führen Surveillance-Audits vor, begleiten Re-Zertifizierungen und halten das ISMS bei regulatorischen Änderungen aktuell.

SECURAM betreut Kunden im gesamten DACH-Raum. Projektarbeit findet überwiegend remote statt; Workshops, Audits und Vor-Ort-Termine werden nach Bedarf vereinbart. Für das ISBaaS-Complete-Paket ist ein monatlicher Vor-Ort-Termin standardmäßig inkludiert.

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ihre Ansprechpartnerin

Nadine Eibel

Gründerin & Geschäftsführerin
SECURAM Consulting GmbH

Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

Kontaktdaten

Colonnaden 5
20354 Hamburg

040 298 4553-0

contact@securam-consulting.com

Direkter Kontakt

Vertrieb: sales@securam-consulting.com
Bewerbung: karriere@securam-consulting.com

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen