Was unterscheidet den Sicherheits-Masterplan vom operativen Cybersicherheitsplan?

Der operative Plan löst das Dringende (die 20 wesentlichen Maßnahmen: MFA, Backups, EDR, Schulung, Patches). Der PDS löst das Wichtige: den Aufbau einer nachhaltigen, an der Geschäftsstrategie ausgerichteten Sicherheitslage auf 24-36 Monate, mit Risikopriorisierung und mehrjährigem Budget. Empfehlenswert: zuerst der operative Plan, danach der PDS.

Wie viele Seiten sollte ein nützlicher Masterplan haben?

Ein nützlicher PDS passt auf 20-30 Seiten plus Anhänge. Mit 200 Seiten liest ihn niemand und niemand handelt danach. Wichtig ist nicht das Volumen, sondern dass die Geschäftsleitung die Risiken, die getroffenen Entscheidungen und die zugesagten Ressourcen versteht. Die Anhänge können umfangreich sein (Risikokatalog, Projektsteckbriefe, Compliance-Matrix).

Sicherheits-Masterplan · Cybersicherheitsstrategie KMU

Q: Was ist ein Sicherheits-Masterplan und wozu dient er?

Ein Sicherheits-Masterplan (PDS) ist ein strategisches Dokument, das von einer Reifegraddiagnose ausgeht, den auf Risiken und Geschäftsbedarf basierenden Zielzustand definiert, die zum Schließen der Lücke nötigen Projekte priorisiert, Ressourcen (Budget, Personal, Technologie) schätzt, Fortschritts-KPIs festlegt und die Governance definiert. Er dient kohärenten Investitionsentscheidungen in Cybersicherheit und als Brücke zu ISO 27001, ENS oder NIS2.

Q: Was kostet die Erstellung und Umsetzung eines Masterplans in einem KMU?

Nur PDS-Erstellung: 6.000-12.000 € (4-8 Wochen). Phase 1 der Umsetzung (erste 6-9 Monate, inklusive Erstellung und Start prioritärer Projekte): 8.000-25.000 € in einem KMU mit 25-100 Beschäftigten. Gesamtbudget auf 24-36 Monate: 5-10 % der jährlichen IT-Ausgaben. Finanzierbar mit Kit Consulting (bis 18.000 € in der Kategorie Cybersicherheit).

Q: Welches Reifegradmodell wird für die Diagnose verwendet?

In spanischen KMU am häufigsten das INCIBE-Modell für KMU (5 Stufen: nicht vorhanden, initial, verwaltet, optimiert, exzellent), das NIST Cybersecurity Framework 2.0 (Govern, Identify, Protect, Detect, Respond, Recover) und die Reifegradmatrix ISO/IEC 21827. Für dem ENS unterliegende Organisationen wird der Maßnahmenkatalog aus Anhang II des Königlichen Erlasses 311/2022 verwendet.

Q: Wer genehmigt und überprüft den Masterplan?

Genehmigt wird er von der Geschäftsführung oder dem Verwaltungsrat. Überprüft wird er vom Sicherheitsausschuss (CISO + Funktionsverantwortliche) vierteljährlich, mit halbjährlicher Eskalation an die Geschäftsleitung. Ein KMU ohne internen CISO kann die Funktion an einen Fractional CISO (1-3 Tage/Monat) auslagern. Der PDS wird alle 12 Monate formell überprüft und alle 24-36 aktualisiert.

Cybersicherheit · Masterplan

Der Sicherheits-Masterplan definiert die Cybersicherheitsstrategie auf 24-36 Monate und priorisiert Projekte nach Risikoanalyse und aktuellem Reifegrad. KMU-Kosten Phase 1: 8.000-25.000 €.

Der Sicherheits-Masterplan (PDS) ist das strategische Dokument, das festlegt, wohin sich die Cybersicherheit Ihres Unternehmens in den nächsten 24 bis 36 Monaten entwickeln soll, welche Projekte ausgeführt werden, mit welcher Priorität, welche Ressourcen benötigt werden und wie die Sicherheit gesteuert wird. Während der operative Cybersicherheitsplan (die 20 wesentlichen Maßnahmen) das Dringende löst, löst der Masterplan das Wichtige: den Aufbau einer soliden, nachhaltigen und an der Geschäftsstrategie ausgerichteten Sicherheitslage. Wenn Sie die Basismaßnahmen noch nicht umgesetzt haben, lesen Sie zunächst den Cybersicherheitsplan für KMU.

Was ein Sicherheits-Masterplan ist und was nicht

Der PDS ist ein strategisches Dokument, das von einer Diagnose des aktuellen Sicherheitszustands ausgeht, einen auf Risiken und Geschäftsbedarf basierenden Zielzustand definiert, die zum Übergang vom Ist- zum Zielzustand nötigen Projekte priorisiert, die erforderlichen Ressourcen (Budget, Personal, Technologie) schätzt, Fortschritts- und Erfolgsindikatoren festlegt und die Governance der Sicherheit definiert (wer was entscheidet, wie eskaliert wird, wie berichtet wird).

Was der PDS nicht ist: kein 200-seitiges Dokument, das niemand liest; kein Katalog von Sicherheitsprodukten zum Kauf; keine theoretische, vom Geschäft entkoppelte Übung. Ein guter PDS passt auf 20-30 Seiten, ist von der Geschäftsleitung verständlich und enthält konkrete Entscheidungen mit zugewiesenen Ressourcen.

Die fünf Phasen des Sicherheits-Masterplans

Phase 1: Diagnose des aktuellen Zustands

Die Diagnose bewertet den Sicherheitsreifegrad der Organisation in allen Dimensionen. Das INCIBE-Modell für KMU ist eine praktische Referenz, die den Reifegrad in fünf Stufen bewertet (nicht vorhanden, initial, verwaltet, optimiert, exzellent) in Bereichen wie Sicherheits-Governance, Risikomanagement, Asset-Schutz, Bedrohungserkennung und Reaktionsfähigkeit.

Die Diagnose sollte ein Inventar der Informationsassets (was Sie haben und wo es ist), eine Risikoanalyse (welchen Bedrohungen Sie ausgesetzt sind und welche potenzielle Auswirkung sie haben), eine Bewertung der normativen Compliance (ENS (spanisches nationales Sicherheitsrahmenwerk), ISO 27001, DSGVO, NIS2), eine technische Schwachstellenbewertung und eine organisatorische Bewertung (Rollen, Prozesse, Schulung, Sicherheitskultur) umfassen.

Phase 2: Definition des Zielzustands

Auf Basis der Diagnose, der identifizierten Risiken und der Geschäftsanforderungen wird das Sicherheitsniveau definiert, das die Organisation erreichen muss. Die den Zielzustand bestimmenden Faktoren sind die gesetzlichen und vertraglichen Pflichten (ENS, wenn Lieferant des öffentlichen Sektors, DSGVO bei personenbezogenen Daten, NIS2 bei wesentlichen Diensten), das von der Geschäftsleitung akzeptierte Risikoniveau, die Erwartungen von Kunden und Partnern und die Geschäftsstrategie.

Phase 3: Auswahl und Priorisierung von Projekten

Identifiziert alle Projekte, die nötig sind, um die Lücke zwischen Ist- und Zielzustand zu schließen. Für jedes Projekt werden das konkrete Ziel (welche Verbesserung es bringt), die erwartete Risikoreduktion, die geschätzten Kosten, die Ausführungsdauer, die Abhängigkeiten und der Verantwortliche definiert.

Priorisieren Sie die Projekte mit einer Impact-Aufwand-Matrix. Projekte mit hoher Wirkung und geringem Aufwand (Quick Wins) werden zuerst ausgeführt. Projekte mit hoher Wirkung und hohem Aufwand werden mittelfristig geplant. Projekte mit geringer Wirkung werden im Einzelfall bewertet.

Phase 4: Ressourcen- und Budgetplanung

Schätzen Sie das Gesamtbudget des PDS, nach Jahr aufgeschlüsselt. Ein Referenzbudget für Cybersicherheit in einem KMU beträgt 5 bis 10 % des IT-Budgets, kann im ersten Jahr aber höher sein, wenn von einem sehr niedrigen Reifegrad ausgegangen wird. Identifizieren Sie die Finanzierungsquellen: internes Budget, Kit Consulting (bis 18.000 € in Cybersicherheit), Kit Digital (bis 29.000 € in verwalteter Cybersicherheit), regionale Förderungen (DigitalICE, Digiempresas, Innobonos) und den Steuerabzug für technologische Innovation.

Phase 5: Definition der Governance

Legt die Steuerungsstruktur der Sicherheit fest: wer Verantwortliche/r für Informationssicherheit ist (CISO, in KMU meist eine kombinierte oder ausgelagerte Rolle), welcher Ausschuss die Sicherheit mit welcher Häufigkeit überprüft, wie der Sicherheitszustand an die Geschäftsleitung berichtet wird, wie Vorfälle eskaliert werden und welche Indikatoren überwacht werden.

Budgettabelle 2026 · Sicherheits-Masterplan

Typische Kostenstruktur eines PDS für ein spanisches KMU nach Größe. Beträge ohne MwSt., basierend auf realen Projekten 2025-2026:

Position	KMU 25-60 Besch.	KMU 60-150 Besch.	Dauer
Reifegraddiagnose (INCIBE / NIST CSF)	2.500-4.000 €	4.000-6.500 €	3-5 Wochen
Risikoanalyse (MAGERIT)	2.000-3.500 €	3.500-5.500 €	2-4 Wochen
Erstellung des PDS (20-30 Seiten + Anhänge)	2.500-4.500 €	4.500-7.000 €	3-4 Wochen
Validierungsausschuss und Genehmigung Geschäftsleitung	800-1.500 €	1.500-2.500 €	1-2 Wochen
Zwischensumme PDS-Erstellung	7.800-13.500 €	13.500-21.500 €	9-15 Wochen
Start von 2-3 prioritären Projekten Jahr 1	5.000-12.000 €	12.000-25.000 €	6-9 Monate
Externer Fractional-CISO (24 Monate)	1.500 €/Monat	2.500 €/Monat	Jahresvertrag
Gesamtinvestition Phase 1 (Monat 0-9)	12.800-25.500 €	25.500-46.500 €	9 Monate
Jährlich wiederkehrendes Budget Jahre 2-3	15.000-35.000 €/Jahr	35.000-80.000 €/Jahr	jährlich

Das Kit Consulting (Red.es, Erlass TDF/38/2026) deckt bis zu 18.000 € der vorbereitenden strategischen Beratung und reduziert so die effektiven Ausgaben für Erstellung und Start des PDS.

Indikatoren (KPIs) des Sicherheits-Masterplans

Die KPIs, die den Fortschritt des PDS belegen und die die Geschäftsleitung vierteljährlich prüfen sollte:

% abgeschlossener Projekte gegenüber dem Plan (Ziel: 90 %+ pro Quartal).
Globaler Reifegrad, gemessen mit demselben Modell der Diagnose (Ziel: 1 Stufe alle 12-18 Monate).
Anzahl und Schwere von Vorfällen (Ziel: fallende Tendenz).
MTTD / MTTR: Mean Time To Detect / To Respond (Ziel: MTTD < 24 h, MTTR < 8 h bei mittlerem Vorfall).
% kritische/hohe Schwachstellen, fristgerecht behoben (Ziel: 95 % in 30 Tagen).
Klickrate beim simulierten Phishing (Ziel: fallende Tendenz, < 5 % nach 12 Monaten).
% geschulte Beschäftigte im Bereich Awareness (Ziel: 100 % jährlich).
Stand der normativen Compliance (Ziel: geschlossene vs. offene Lücken).

Verbindung des PDS mit ISO 27001, ENS und NIS2

Der Sicherheits-Masterplan ist die natürliche Brücke zur ISO-27001-Zertifizierung, zur ENS-Anpassung oder zur NIS2-Erfüllung. Ein gut ausgearbeiteter PDS enthält bereits einen Großteil der von diesen Rahmenwerken geforderten Dokumentation: die Risikoanalyse, die Kontrollauswahl, den Risikobehandlungsplan und die Leistungsindikatoren.

Wenn Ihr mittelfristiges Ziel die Zertifizierung ist, gestalten Sie den PDS direkt an den Anforderungen von ISO 27001 (Anhang-A-Kontrollen) oder ENS (Anhang II des Königlichen Erlasses 311/2022) ausgerichtet. Das vermeidet Doppelungen und reduziert die Kosten des späteren Zertifizierungsprojekts erheblich. Verwandt: Cybersicherheitsberatung Unternehmen: Leistungen und Kosten.

Reales Beispiel: 30-Monats-PDS bei einem spanischen Versicherer mit 95 Beschäftigten

Ein mittlerer spanischer Versicherer mit 95 Beschäftigten, Hauptsitz in Madrid und zwei Regionalbüros beauftragte die vollständige Erstellung des PDS nach Inkrafttreten der NIS2-Richtlinie und des Königlichen Erlasses 311/2022 (ENS) aufgrund seiner Eigenschaft als Anbieter von Finanzdienstleistungen mit besonders geschützten Daten. Die Erstdiagnose ergab einen globalen Reifegrad von Stufe 2 von 5 (Initial-Verwaltet), mit größeren Lücken in Governance, Lieferantenmanagement und Bedrohungserkennung.

Das Projekt wurde mit einem Horizont von 30 Monaten und einer Phase 1 von 22.000 € umgesetzt (Diagnose 4.500 € + MAGERIT-Risikoanalyse 4.000 € + PDS-Erstellung 5.500 € + Genehmigungsausschuss 1.500 € + Start prioritärer Projekte 6.500 €). Fünf zentrale Ergebnisse:

PDS-Dokument mit 26 Seiten + 9 Anhängen, vom Verwaltungsrat genehmigt.
Katalog von 14 Projekten, priorisiert mit mehrjährigem Budget (Jahr 1: 78.000 €; Jahr 2: 65.000 €; Jahr 3: 42.000 €).
Statut des Sicherheitsausschusses, monatliche Sitzungen, Fractional-CISO 3 Tage/Monat.
Compliance-Matrix NIS2 + ENS Mittel + ISO 27001 + DORA mit Verantwortlichen und Fristen.
KPI-Dashboard (Power BI) mit 12 monatlich aktualisierten und vierteljährlich von der Geschäftsleitung geprüften Indikatoren.

Ergebnisse nach Monat 12: globaler Reifegrad auf Stufe 3 gestiegen (Verwaltet-Optimiert), 6 Projekte abgeschlossen, 4 laufend, 4 im Backlog. MTTD von 96 h auf 18 h gesenkt. Klickrate beim simulierten Phishing von 31 % auf 7 %. Externes Audit ENS Mittel ab Monat 15 begonnen, mit prognostizierter Zertifizierung in Monat 20.

Mini-Glossar zum Sicherheits-Masterplan

PDS: Sicherheits-Masterplan (spanisch Plan Director de Seguridad).
NIST CSF 2.0: NIST Cybersecurity Framework Version 2.0 (2024): Funktionen Govern, Identify, Protect, Detect, Respond, Recover.
MAGERIT: Methodik zur Analyse und Verwaltung von Informationssystem-Risiken des CCN.
SOA: Statement of Applicability · Anwendbarkeitserklärung der Kontrollen (ISO 27001 Klausel 6.1.3).
MTTD / MTTR: Mean Time To Detect / To Respond · mittlere Erkennungs- und Reaktionszeit.
SLA: Service Level Agreement · Fristzusage für Maßnahmen (Behebung, Reaktion, Wiederherstellung).
Quick Win: Projekt mit hoher Wirkung und geringem Aufwand, Kandidat für die frühe Ausführung.
Fractional CISO: externer CISO in Teilzeit (üblicherweise 1-3 Tage/Monat).

Müssen Sie den Sicherheits-Masterplan Ihres Unternehmens entwerfen? Sprechen wir. Ich helfe Ihnen, einen realistischen, budgetierten und an Ihrer Geschäftsstrategie ausgerichteten PDS zu erstellen und alle verfügbaren Förderungen zu nutzen.

Autor: Ángel Ortega Castro · unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU mit Sitz in Aranda de Duero (Burgos).

Häufig gestellte Fragen

Was ist ein Sicherheits-Masterplan und wozu dient er?

Strategische Roadmap der Cybersicherheit auf 24-36 Monate mit fünf Phasen: Diagnose, Zielzustand, Projektpriorisierung, Ressourcen und Governance. Er dient kohärenten Investitionen und als Brücke zu ISO 27001, ENS oder NIS2.

Was kostet die Erstellung und Umsetzung eines PDS in einem KMU?

Nur Erstellung: 6.000-12.000 €. Phase 1 (Erstellung + Start): 8.000-25.000 € in einem KMU mit 25-100 Beschäftigten. Gesamtbudget 24-36 Monate: 5-10 % der jährlichen IT-Ausgaben. Kit Consulting fördert bis 18.000 €.

Unterschied zum operativen Cybersicherheitsplan?

Der operative Plan löst das Dringende (die 20 wesentlichen Maßnahmen). Der PDS löst das Wichtige: eine nachhaltige, an der Geschäftsstrategie ausgerichtete Sicherheitslage auf 24-36 Monate.

Wie viele Seiten sollte ein nützlicher PDS haben?

20-30 Seiten plus Anhänge. Mit 200 Seiten liest ihn niemand. Wichtig ist, dass die Geschäftsleitung Risiken, Entscheidungen und zugesagte Ressourcen versteht.

Welches Reifegradmodell wird für die Diagnose verwendet?

INCIBE für KMU (5 Stufen), NIST Cybersecurity Framework 2.0 (Govern, Identify, Protect, Detect, Respond, Recover) oder ISO/IEC 21827. Für ENS der Katalog aus Anhang II des Königlichen Erlasses 311/2022.

Wer genehmigt und überprüft den Masterplan?

Genehmigt von der Geschäftsführung oder dem Verwaltungsrat. Überprüft vom Sicherheitsausschuss vierteljährlich, mit halbjährlicher Eskalation. KMU ohne internen CISO: Fractional CISO 1-3 Tage/Monat.

Brauchen Sie Unterstützung dabei?

Arbeiten Sie mit mir am Sicherheits-Masterplan

Erstellung eines PDS auf 24-36 Monate mit realistischem Budget für KMU und Nutzung des Kit Consulting.

Termin vereinbaren →

Sicherheits-Masterplan · Cybersicherheitsstrategie