Ein Unternehmen zahlt 80.000 € für ein Security-Review, bekommt einen 200-seitigen Bericht — und fällt beim nächsten Audit trotzdem durch. Ich habe das öfter gesehen, als ich zählen kann. Nach 15 Jahren, in denen ich Enterprise-Firewalls abgesichert, Compliance-Audits durchgeführt und Incident Response betrieben habe — von Zahlungsverkehr bis Fertigung — bin ich zu dem Schluss gekommen: Die Art, wie Security-Beratung in Deutschland geliefert wird, ist grundlegend kaputt.
Nicht, weil deutschen Unternehmen Sicherheit egal wäre. Im Gegenteil. Das Problem ist, wie die Beratungsbranche sie bedient — oder eben nicht.
Der Markt für Cybersecurity-Beratung in Deutschland 2026
Der deutsche Cybersecurity-Markt erreichte 2025 4,3 Milliarden € — und beschleunigt sich. Drei regulatorische Kräfte treiben die Nachfrage auf ein Niveau, das vor fünf Jahren niemand vorhergesagt hätte:
- NIS2-Richtlinie: 29.500 deutsche Unternehmen fallen neu in den Anwendungsbereich. Die Umsetzungsfrist ist verstrichen, die Durchsetzung zieht an, und die Bußgelder — bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes — sind real.
- DORA (Digital Operational Resilience Act): Finanzdienstleister müssen IKT-Risikomanagement, Vorfallmeldung und Drittanbieter-Aufsicht nachweisen. Jede Bank, jeder Versicherer und jeder Zahlungsdienstleister in Deutschland ist betroffen.
- EU AI Act: Unternehmen, die KI-Systeme in Hochrisiko-Kategorien einsetzen, brauchen Konformitätsbewertungen, Risikomanagement-Rahmenwerke und laufendes Monitoring. Für die meisten deutschen Unternehmen ist das Neuland.
Dazu BSI IT-Grundschutz, ISO 27001, PCI DSS für Zahlungsunternehmen und TISAX für Automobilzulieferer — und Sie haben eine Compliance-Landschaft, die kein einzelnes IT-Team allein bewältigen kann. Deshalb war die Nachfrage nie höher.
Was bei den meisten Cybersecurity-Beratungen schiefläuft
Das habe ich zu oft gesehen: Ein Unternehmen beauftragt eine große Beratungsfirma. Die Firma schickt drei Junioren und einen Projektleiter. Sie fahren automatisierte Scans, führen ein paar Interviews und produzieren einen 200-seitigen Bericht mit Ampel-Risikobewertungen. Der Bericht landet auf einem SharePoint-Laufwerk. Nichts ändert sich. Das Unternehmen zahlt 80.000 € und fällt beim nächsten Audit trotzdem durch.
Das ist das Standardmodell — und es hat drei grundlegende Probleme:
1. Bewertung ohne Umsetzung
Die meisten Beratungsmandate enden mit einem Bericht. Der Bericht benennt Lücken — veraltete Firewall-Regeln, fehlende Netzwerksegmentierung, schwache Zugriffskontrollen, kein Incident-Response-Plan. Aber die Berater gehen, und das vierköpfige IT-Team des Kunden soll alles beheben und nebenbei den Laden am Laufen halten. Das passiert nicht.
Gute Beratung hört nicht bei der Bewertung auf. Sie heißt: sich mit dem Team hinsetzen, die tatsächliche Firewall-Konfiguration durchgehen, die Regeln korrigieren, die Änderungen testen und alles fürs nächste Audit dokumentieren. Hände an der Tastatur, nicht nur an PowerPoint.
2. Compliance-Theater statt Risikoreduktion
Deutsche Unternehmen lieben Zertifikate. ISO 27001, TISAX, BSI IT-Grundschutz — das Zertifikat kommt auf die Website, der Auditor ist zufrieden, und alle entspannen sich. Bis ein echter Angreifer das falsch konfigurierte VPN-Gateway findet, das das Compliance-Audit nie geprüft hat.
Compliance und Sicherheit sind nicht dasselbe. Ein Unternehmen kann vollständig ISO-27001-zertifiziert sein und trotzdem kritische Schwachstellen haben. Gute Arbeit behandelt Compliance als Mindestbasis, nicht als Endziel. Echte Sicherheit heißt, die tatsächliche Angriffsfläche zu verstehen — nicht Häkchen in einem Kontroll-Framework zu setzen.
3. Enterprise-Werkzeuge für Mittelstands-Budgets
Die Big-Four-Beratungen verkaufen Enterprise-Lösungen an mittelständische Unternehmen. Ein SIEM-Deployment für 500.000 € bei einem Unternehmen mit 200 Mitarbeitern. Eine GRC-Plattform für 150.000 €, die zwei Vollzeit-Administratoren braucht, die das Unternehmen nicht hat. Die Werkzeuge sind mächtig — und völlig falsch für den Kontext.
Der deutsche Mittelstand braucht passend dimensionierte Lösungen. Keine abgespeckten Enterprise-Werkzeuge, sondern zweckgebaute Plattformen, die zur Teamgröße, zum Budget und zum tatsächlichen Risikoprofil passen. Das ist ein anderes Gespräch, als die meisten Berater führen wollen — denn passend dimensionierte Lösungen bedeuten kleinere Projekthonorare.
Wie gute Cybersecurity-Beratung aussieht
Nach 15 Jahren in dieser Branche habe ich gelernt: Wirksame Beratung kommt auf sechs Dinge an. Keines davon ist revolutionär. Alle sind selten.
1. Bei der tatsächlichen Infrastruktur beginnen
Kein Reifegradmodell. Kein Fragebogen. In die Firewall einloggen, die Regeln lesen, die VPN-Konfiguration prüfen, die Active-Directory-Struktur ansehen, die Cloud-Sicherheitsgruppen durchgehen. Die meisten Sicherheitsprobleme sind in den ersten zwei Stunden sichtbar — wenn man weiß, wo man hinschaut.
Ich habe bei vermeintlich routinemäßigen Compliance-Checks „allow any any“-Regeln auf produktiven Firewalls gefunden. Ich habe Domänen-Admin-Zugangsdaten in geteilten Excel-Dateien gefunden. So etwas taucht in Reifegradbewertungen nicht auf. Es taucht auf, wenn sich jemand die Infrastruktur tatsächlich ansieht.
2. Dinge beheben, nicht nur berichten
Wenn ich eine falsch konfigurierte Firewall-Regel finde, schreibe ich sie nicht in einen Bericht und mache weiter. Ich behebe sie — oder ich behebe sie gemeinsam mit dem Team des Kunden. Das Ziel ist kein Dokument. Das Ziel ist eine sicherere Umgebung. Jedes Mandat sollte den Kunden messbar besser geschützt zurücklassen als zuvor.
3. Die Sprache des Kunden sprechen
Ein Fertigungsunternehmen in Baden-Württemberg denkt nicht in NIST-CSF-Kategorien. Es denkt in Produktionsverfügbarkeit, Lieferantenanforderungen und Kundenaudits. Gute Beratung übersetzt Sicherheitsrisiken in Geschäftsrisiken — in einer Sprache, die der Geschäftsführer versteht, nicht nur das IT-Team.
4. Interne Kompetenz aufbauen
Das Schlimmste, was ein Berater tun kann, ist Abhängigkeit zu schaffen. Jedes Mandat sollte Wissen übertragen. Das IT-Team schulen, die Firewall-Regeln zu pflegen. Zeigen, wie man die SIEM-Alarme liest. Die Prozesse dokumentieren, damit das Team das nächste interne Audit selbst durchführen kann. Ein guter Berater arbeitet darauf hin, sich überflüssig zu machen.
5. Die regulatorische Landschaft verstehen
Deutschland sitzt an der Schnittstelle von EU-Regulierung und nationalen Anforderungen. NIS2-Umsetzung über das NIS2UmsuCG. Das BSI als nationale Behörde. TISAX für die Automobilbranche. BaFin-Anforderungen für Finanzdienstleister. Landesdatenschutzbehörden, die die DSGVO in 16 Bundesländern unterschiedlich durchsetzen. Ein Berater, der nur ISO 27001 kennt, reicht nicht mehr.
6. Alles passend dimensionieren
Nicht jedes Unternehmen braucht ein SOC. Nicht jedes Unternehmen braucht einen Penetrationstest für 200.000 €. Ein Hersteller mit 150 Mitarbeitern braucht andere Sicherheit als eine Bank mit 5.000. Der richtige Berater passt die Lösung an Größe, Branche, Risikoprofil und Budget an — nicht an das höchste Beratungshonorar.
Der NIS2-Effekt auf die Beratungsnachfrage in Deutschland
NIS2 hat alles verändert. Für die meisten mittelständischen Unternehmen war Security-Beratung früher optional. Jetzt ist sie eine Pflicht auf Geschäftsführungsebene. Geschäftsführer und Vorstände haften persönlich für Sicherheitsversäumnisse — kein abstraktes Rechtskonstrukt, sondern persönliche finanzielle Folgen, wenn das Unternehmen eine vermeidbare Verletzung erleidet.
Das Ergebnis ist ein Ansturm auf Berater, den der Markt nicht bedienen kann. Deutschlands Fachkräftelücke in der Cybersicherheit war ohnehin gravierend — der BSI-Lagebericht 2024 bezeichnete die Bedrohungslage als „besorgniserregend bis kritisch“. Jetzt brauchen 29.500 zusätzliche Unternehmen Security-Expertise, die sie intern nicht haben.
Daraus entstehen zwei Risiken. Erstens beauftragen Unternehmen die falschen Berater — Firmen, die Compliance-Dokumentation produzieren, ohne die tatsächliche Sicherheit zu verbessern. Zweitens verzögern Unternehmen das Handeln, weil sie keine verfügbaren Berater finden — und verpassen regulatorische Fristen und häufen Risiko an.
Wie Sie den richtigen Berater wählen
Wenn Ihr Unternehmen einen Security-Berater braucht — und 2026 brauchen das die meisten — achten Sie auf Folgendes:
- Technische Tiefe: Können sie sich in Ihre Firewall einloggen und die Regeln prüfen? Oder arbeiten sie nur auf Framework-Ebene? Verlangen Sie eine technische Bewertung, bevor Sie einen langfristigen Vertrag unterschreiben.
- Umsetzungs-Track-Record: Beheben sie Probleme oder finden sie sie nur? Fragen Sie nach Referenzen, wo sie die Sicherheitslage eines Kunden verbessert haben — nicht nur, wo sie einen Bericht geliefert haben.
- Regulatorische Breite: Verstehen sie NIS2, DORA, TISAX, ISO 27001 und BSI IT-Grundschutz — und wie sie sich überschneiden? Die meisten Unternehmen brauchen Multi-Framework-Compliance, keine Einzelstandard-Zertifizierung.
- Passend dimensionierter Ansatz: Empfehlen sie Werkzeuge und Prozesse, die zu Ihrer Teamgröße passen? Wenn einem 100-Personen-Unternehmen eine Security-Plattform für 500.000 € verkauft wird, stimmt etwas nicht.
- Wissenstransfer: Wird Ihr Team nach dem Mandat fähiger sein? Oder brauchen Sie den Berater in sechs Monaten erneut für dieselben Probleme?
- Branchenerfahrung: Ein Berater, der in Ihrer Branche gearbeitet hat, versteht Ihre Lieferketten-Risiken, Ihre regulatorischen Anforderungen und Ihre betrieblichen Zwänge. Generische Beratung übersieht branchenspezifische Bedrohungen.
Was ich anders mache
Ich sitze in Mannheim und habe über 15 Jahre Erfahrung mit Enterprise-Firewalls, Compliance-Audits und Infrastruktursicherheit. Ich arbeite vor allem mit deutschen und europäischen mittelständischen Unternehmen — dem Bereich von 100 bis 5.000 Mitarbeitern, der für einfache Werkzeuge zu komplex und für Enterprise-Lösungen zu schlank ist.
Mein Ansatz ist praktisch. Ich prüfe Ihre tatsächlichen Firewall-Konfigurationen, nicht nur Ihre Richtlinien. Ich behebe Probleme während des Mandats, nicht danach. Ich baue Werkzeuge wie FwChange, weil ich dieselben Firewall-Change-Management-Fehler bei Dutzenden Unternehmen gesehen habe und es leid war, dasselbe Problem jedes Mal manuell zu lösen.
Wenn Ihr Unternehmen NIS2-Compliance angeht, sich auf ein TISAX-Audit vorbereitet oder einfach eine ehrliche Einschätzung seiner aktuellen Sicherheitslage will — nehmen Sie Kontakt auf. Keine 200-seitigen Berichte. Kein Compliance-Theater. Nur praktische Sicherheit, die Ihr Unternehmen wirklich schützt.