top of page
AUDIT MANUFAKTUR

Festpreisaudit für Neukunden

Internes Audit nach ISO/IEC 27001 oder VDA ISA

​​​Unschlagbares Kennenlern-

Angebot mit fast 50% Preisvorteil

Suche

ISMS Patchmanagement ✴️ Was & Wie?


Patch Management TISAX ISO 27001 KRITIS Fristen Schnell

In vielen mittelständischen Betrieben herrscht eine pragmatische Einstellung zur Technik vor. Solange die Systeme laufen sowie die Produktion nicht stillsteht wird die IT oft als funktionsfähig sowie sicher wahrgenommen. Patchmanagement wird in diesem Kontext häufig als stiefmütterliches Thema behandelt das im stressigen Tagesgeschäft untergeht. Es wird als lästige Zusatzaufgabe gesehen oder schlicht vergessen weil die Kapazitäten der IT-Abteilung bereits durch Supportanfragen sowie neue Projekte voll ausgelastet sind. Doch am Ende des Jahres 2025 ist diese Sichtweise ein erhebliches Risiko für die Existenzgrundlage eines Unternehmens.


Die Zäsur durch das NIS2-Umsetzungsgesetz

Am 6. Dezember 2025 ist das Gesetz zur Umsetzung der NIS-2-Richtlinie (NIS2UmsuCG) in Deutschland offiziell in Kraft getreten. Dies markiert einen Wendepunkt für den deutschen Mittelstand da die Anforderungen an die Cybersicherheit für wichtige sowie besonders wichtige Einrichtungen nun auf einer neuen gesetzlichen Basis stehen. IT-Sicherheit ist kein Ziel das man mit dem Kauf einer Firewall einmalig erreicht sowie dann als erledigt betrachtet. Es ist vielmehr ein dauerhafter Prozess der ständige Aufmerksamkeit erfordert. Professionelle Angreifer arbeiten hochautomatisiert sowie suchen rund um die Uhr nach Schwachstellen in den Netzwerken deutscher Unternehmen. Wer hier stehen bleibt bietet eine offene Flanke für Ransomware sowie Datendiebstahl.


Die Analogie zur präventiven Wartung

Um die Bedeutung von Patchmanagement zu verstehen hilft ein Blick in die klassische Fertigung oder den Fuhrpark. Kein Unternehmer würde eine teure CNC-Fräsmaschine oder einen Transporter ohne regelmäßige Wartung betreiben bis es zum kapitalen Motorschaden kommt. Jeder versteht dass ein Ölwechsel sowie der Austausch von Verschleißteilen notwendige Investitionen sind um die Betriebsbereitschaft langfristig zu sichern.


Patchmanagement ist exakt diese präventive Wartung für Ihre digitale Infrastruktur. Es geht darum bekannte Mängel zu beheben bevor ein Angreifer sie ausnutzen kann. Wer seine Software nicht pflegt fährt seine IT-Systeme im übertragenen Sinne ohne Wartung bis zum Totalausfall. In einer vernetzten Welt ist das regelmäßige Einspielen von Updates somit kein optionaler Luxus sondern das Fundament eines verantwortungsvollen Risikomanagements.




Was ist Patchmanagement eigentlich?

Hinter dem technischen Begriff Patchmanagement verbirgt sich ein eigentlich simpler Vorgang: Es ist die systematische Verwaltung von Softwarekorrekturen. Ein Patch (englisch für Pflaster oder Flickstück) ist ein Stück Programmiercode das von Softwareherstellern veröffentlicht wird um Fehler in bestehenden Programmen zu beheben. Patchmanagement umfasst dabei den gesamten Kreislauf von der Suche nach verfügbaren Updates über deren Prüfung sowie deren kontrollierte Installation auf allen Geräten im Unternehmen.



Unterschied Pen-Test Schwachstellen Scan Patchmanagement


Der digitale Werkstattservice für Ihre IT

In der Praxis bedeutet dies dass Ihre IT-Abteilung sowie Ihr externer Dienstleister dafür sorgen dass Betriebssysteme sowie Anwendungen sowie auch die Steuerungssoftware Ihrer Hardware stets auf dem neuesten Stand bleiben. Es ist vergleichbar mit einem dauerhaften Werkstattservice der kontinuierlich prüft ob für Ihre IT-Infrastruktur sicherheitsrelevante Komponenten aktualisiert werden müssen. Das Ziel ist es die Softwarelandschaft stabil sowie sicher zu halten ohne den laufenden Betrieb durch unvorhergesehene Fehler zu stören.


Unterscheidung: Funktions-Updates sowie Sicherheits-Patches

Für Entscheider ist es wichtig zwischen zwei Arten von Aktualisierungen zu unterscheiden da diese unterschiedliche Prioritäten im Risikomanagement haben:


  • Funktions-Updates: Diese bringen neue Funktionen oder verbessern die Benutzeroberfläche. Sie sind für die IT-Sicherheit in der Regel weniger zeitkritisch sowie können geplant in ruhigeren Phasen eingespielt werden.

  • Sicherheits-Patches: Diese schließen kritische Lücken die von Angreifern als Einfallstor für Ransomware sowie Spionage genutzt werden können. Diese Updates haben höchste Priorität da sie das Risiko für erfolgreiche Angriffe unmittelbar senken.


Ein professionelles Patchmanagement sorgt dafür dass diese Korrekturen nicht nach dem Zufallsprinzip eingespielt werden. Es etabliert einen festen Prozess der sicherstellt dass keine kritische Sicherheitslücke übersehen wird sowie die volle Funktionsfähigkeit Ihrer Systeme nach dem Update erhalten bleibt.




Warum jedes KMU eine Patch-Strategie benötigt

Viele Unternehmen im Mittelstand wiegen sich in einer trügerischen Sicherheit sowie glauben dass sie aufgrund ihrer Größe oder Branche für Hacker uninteressant sind. Das ist ein gefährlicher Irrtum. Moderne Cyberangriffe funktionieren meist wie ein Schleppnetz sowie suchen automatisiert nach jeder erreichbaren Sicherheitslücke im Internet. Wer seine Systeme nicht patcht lässt die digitale Haustür offen stehen sowie lädt Kriminelle förmlich ein.


Prävention gegen Ransomware-Vorfälle sowie Datendiebstahl

Erfolgreiche Angriffe nutzen verschiedene Einfallstore um in Unternehmensnetzwerke einzudringen. Laut den Befragungsergebnissen im Sophos Report 2025 stellen ausgenutzte Schwachstellen mit 32% die am häufigsten von Betroffenen genannte technische Ursache (Root Cause) für Ransomware-Vorfälle dar. Daneben sind kompromittierte Zugangsdaten (23%) sowie schadhafte E-Mails und Phishing wesentliche Faktoren.


Ein systematischer Umgang mit bekannten Sicherheitslücken durch Patches oder Workarounds reduziert dieses Einfallstor deutlich sowie senkt das Risiko für eine Verschlüsselung der eigenen Systeme massiv. Ergänzend zeigt der Verizon DBIR 2025 für bestätigte Datenpannen dass der Missbrauch von Zugangsdaten (22%) sowie die Ausnutzung von Schwachstellen (20%) zu den führenden Initialvektoren zählen. Das unterstreicht dass Patchmanagement eine zentrale Säule ist aber zwingend mit Identitäts- sowie E-Mail-Schutz kombiniert werden muss.


Schutz der Betriebskontinuität sowie Wettbewerbsvorteil

Ein ungeplanter Systemausfall durch einen Cyberangriff ist für ein KMU deutlich teurer als ein geplantes Wartungsfenster. Wenn die Produktion steht oder die Verwaltung nicht auf Aufträge zugreifen kann entstehen massive Kosten sowie Reputationsschäden. Patchmanagement sorgt für Stabilität sowie verhindert dass Sicherheitslücken von Schadsoftware ausgenutzt werden die den gesamten Betrieb lahmlegt.


In einer vernetzten Lieferkette achten Großunternehmen sowie Kunden zudem immer stärker darauf wie sicher ihre Partner aufgestellt sind. Ein nachweisbares Patchmanagement ist ein Zeichen von Professionalität sowie Zuverlässigkeit. Wer hier investiert stärkt seine Position im Wettbewerb sowie zeigt dass er die Risiken der Digitalisierung verstanden hat.




Rechtliche Rahmenbedingungen sowie Haftung

Sind Unternehmen zum Patchen gezwungen? In der unternehmerischen Praxis lautet die Antwort: Ja. Während es kein einzelnes Patchgesetz gibt, fordern die DSGVO sowie das NIS2UmsuCG für betroffene Einrichtungen wirksame Maßnahmen nach dem Stand der Technik. Patchmanagement ist dabei das zentrale Werkzeug um diese gesetzlichen Anforderungen zu erfüllen.



Fehlende Updates + DSGVO = Bußgeld


Art. 32 DSGVO: Schutz personenbezogener Daten

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet jedes Unternehmen das Daten von Kunden oder Mitarbeitern verarbeitet zur Sicherheit der Verarbeitung. In Artikel 32 wird explizit gefordert dass technische sowie organisatorische Maßnahmen nach dem Stand der Technik umgesetzt werden müssen. Da ungepatchte Systeme ein massives Einfallstor für Datendiebstahl sind wird das Fehlen eines Patch-Prozesses bei einer Prüfung oder nach einem Datenleck als schwerer Verstoß gewertet. Patchmanagement ist dabei das naheliegende Mittel um den Stand der Technik praktisch einzuhalten sowie Sicherheitsrisiken zu reduzieren.


Das NIS2-Umsetzungsgesetz sowie das BSIG

Seit dem 6. Dezember 2025 ist das Gesetz zur Umsetzung der NIS-2-Richtlinie (NIS2UmsuCG) in Deutschland in Kraft. Dies betrifft eine Vielzahl von Unternehmen die als wichtige sowie besonders wichtige Einrichtungen klassifiziert sind. Die gesetzlichen Anforderungen an die Geschäftsführung wurden dabei massiv verschärft:


  • Art. 20 NIS-2-Richtlinie: Das Managementgremium ist verpflichtet die Risikomanagementmaßnahmen zu billigen sowie deren Umsetzung zu überwachen.

  • § 38 BSIG: Die Geschäftsleitung muss die erforderlichen Maßnahmen zur Cybersicherheit aktiv umsetzen sowie deren Einhaltung kontrollieren. Das Gesetz sieht zudem eine persönliche Haftung der Geschäftsführung gegenüber der eigenen Gesellschaft für Schäden vor die durch eine schuldhafte Verletzung dieser Pflichten entstehen. Zusätzlich besteht eine regelmäßige Fortbildungspflicht für Führungskräfte im Bereich der Cybersicherheit.


Haftungsrisiken für die Geschäftsführung

IT-Sicherheit ist Chefsache sowie eine zentrale Compliance-Aufgabe. Versäumt es die Geschäftsführung die notwendigen Ressourcen sowie Vorgaben für ein funktionierendes Patchmanagement bereitzustellen kann dies als Pflichtverletzung gewertet werden. Bei einem erfolgreichen Hackerangriff der durch einen vorhandenen Patch hätte verhindert werden können haften Geschäftsführer unter Umständen persönlich für den entstandenen Schaden. Zusammengefasst schützt Patchmanagement Sie somit nicht nur vor Hackern sondern auch vor rechtlichen Konsequenzen sowie hohen Bußgeldern.




Was ist „angemessen“? Orientierung an Fristen

In der IT-Sicherheit taucht immer wieder der Begriff der „Angemessenheit“ auf. Doch was bedeutet das konkret für einen mittelständischen Betrieb? Es wäre wirtschaftlich nicht sinnvoll sowie technisch kaum machbar jedes kleine Update innerhalb von Minuten auf allen Rechnern zu installieren. Angemessenheit bedeutet dass der Aufwand für das Patchen im richtigen Verhältnis zur Bedrohung sowie zum potenziellen Schaden stehen muss. Um dieses Verhältnis zu bestimmen nutzen Experten den CVSS-Score (Common Vulnerability Scoring System). Das ist eine Skala von 0 bis 10 die angibt wie gefährlich eine Sicherheitslücke ist. Je höher der Wert desto schneller müssen Sie handeln.



CVSS EPSS Vergleich der Bewertungssysteme sowie Relevanz


Best-Practice-Werte zur Neutralisierung (UP KRITIS)

Für Unternehmen in hochkritischen Bereichen oder innerhalb wichtiger Lieferketten dienen die Best-Practice-Empfehlungen von UP KRITIS (einer Kooperation zwischen Betreibern Kritischer Infrastrukturen sowie dem Staat) als Orientierung. Die folgende Tabelle zeigt Beispielwerte für Service-Level-Agreements (SLA) zur Neutralisierung einer Schwachstelle. Unter Neutralisierung versteht man das Ergreifen einer vorläufigen Lösung (Workaround) oder das Einspielen eines endgültigen Patches.


Bedrohung (CVSS-Score)

Zeit bis zur Neutralisierung (SLA-Beispielwert)

Kritisch (9.0 bis 10.0)

Innerhalb von 3 Stunden

Hoch (7.0 bis 8.9)

Innerhalb von 3 Tagen

Mittel (4.0 bis 6.9)

Innerhalb von 1 Monat

Niedrig (0.1 bis 3.9)

Innerhalb von 3 Monaten


Diese Werte stellen einen Maßstab für hochverfügbare sowie sicherheitskritische Infrastrukturen dar. Die Zeitrechnung beginnt dabei mit der Benachrichtigung über die Schwachstelle. Es handelt sich hierbei um Fach-Empfehlungen sowie nicht um allgemeine gesetzliche Fristen für jeden Betrieb.


Empfehlungen des LSI Bayern

Das Bayerische Landesamt für Sicherheit in der Informationstechnik (LSI) gibt ebenfalls spezifische Empfehlungen heraus die primär für den öffentlichen Sektor sowie Kommunen konzipiert sind. Das LSI Bayern gilt als eine der profiliertesten Landesbehörden für Cybersicherheit in Deutschland. Die Empfehlungen des LSI sehen vor dass kritische Patches (CVSS 9.0 bis 10.0) möglichst sofort sowie spätestens innerhalb von 3 Tagen behoben werden sollten. Bei hohen Risiken (CVSS 7.0 bis 8.9) sollte die Installation innerhalb von 5 Tagen abgeschlossen sein. Für private Unternehmen dienen diese Zeitpläne als wertvolle Orientierung um ein überdurchschnittliches Sicherheitsniveau zu erreichen.


Praxisorientierter Richtwert für KMU

Für Unternehmen ohne KRITIS-Hintergrund wird in der Praxis häufig eine abgestufte interne Policy genutzt. Diese berücksichtigt dass kleine IT-Teams Zeit für Tests sowie die Sicherstellung der Betriebsstabilität benötigen:


  • Kritisch (9.0 bis 10.0): Umsetzung innerhalb von 14 Tagen.

  • Hoch (7.0 bis 8.9): Umsetzung innerhalb von 30 Tagen.

  • Mittel (4.0 bis 6.9): Umsetzung innerhalb von 90 Tagen.


Wichtig bleibt die Ausnahme bei einer „Active Exploitation“. Wenn eine Sicherheitslücke bereits aktiv von Hackern ausgenutzt wird schrumpft jedes angemessene Zeitfenster massiv sowie erfordert eine unverzügliche Reaktion innerhalb von 24 bis 72 Stunden. Wer sich an diese Pläne hält kann gegenüber Versicherungen sowie Auditoren jederzeit nachweisen dass er seine Sorgfaltspflicht erfüllt sowie den Stand der Technik wahrt.




Praxistipps: So starten Sie ohne Ihre IT zu überfordern

Die Theorie ist klar sowie durch die gesetzlichen Risikomanagementvorgaben untermauert, doch die Umsetzung scheitert im Mittelstand oft an fehlenden Ressourcen oder einer historisch gewachsenen IT-Landschaft. Um ein angemessenes Patchmanagement zu etablieren müssen Sie schrittweise Struktur in den Prozess bringen sowie vorhandene Kapazitäten effizient nutzen.


Bestandsaufnahme: Man kann nur patchen was man kennt

Der erste sowie wichtigste Schritt ist eine vollständige Inventarisierung Ihrer IT-Assets. Viele Unternehmen haben keinen vollständigen Überblick über die installierten Softwareversionen sowie die Firmware der Netzwerkdrucker oder die Standorte ihrer virtuellen Server. Ein professionelles Patchmanagement beginnt immer mit einem aktuellen Asset-Inventar. Nur wenn Sie wissen welche Software in welcher Version auf welchen Geräten läuft können Sie gezielt nach Sicherheitslücken suchen sowie diese innerhalb der geforderten Fristen schließen.


Automatisierung als wichtigster Hebel

In kleinen IT-Teams ist es schlicht unmöglich jedes Update manuell auf jedem Rechner zu installieren. Automatisierung ist hier der entscheidende Erfolgsfaktor um den Stand der Technik zu wahren.


  • Zentrales Management: Nutzen Sie Lösungen wie Microsoft Intune oder NinjaOne die Updates für Betriebssysteme sowie gängige Drittanbieter-Software zentral bündeln.

  • Vulnerability Scans: Automatisierte Scanner können Ihre Infrastruktur regelmäßig auf bekannte Schwachstellen prüfen sowie diese direkt mit den entsprechenden Patches verknüpfen. Durch den Einsatz solcher Werkzeuge reduziert sich der manuelle Aufwand für Ihre Mitarbeiter massiv sowie die Einhaltung kurzer Fristen für kritische Lücken wird technisch erst machbar.


Die Rolle externer Dienstleister sowie SecLAs

Falls Ihre interne IT-Abteilung bereits am Limit arbeitet ist die Zusammenarbeit mit einem spezialisierten IT-Dienstleister (Managed Service Provider) ratsam. Hierbei sollten Sie jedoch klare vertragliche Vorgaben machen sowie deren Einhaltung regelmäßig kontrollieren:


  • Security Level Agreements (SecLA): Vereinbaren Sie mit Ihrem Dienstleister konkrete Reaktionszeiten sowie Patch-Zyklen die sich an den besprochenen Best-Practice-Werten orientieren.

  • Verantwortlichkeiten klären: Legen Sie genau fest wer für das Testen der Patches sowie für die Abnahme nach der Installation zuständig ist. Ein externer Partner kann durch Skaleneffekte oft eine höhere Sicherheit gewährleisten als es mit internen Bordmitteln möglich wäre.



SecLA Security Service Layer Patch Management NIS2 KRITIS TISAX ISO 27001 ISMS


Kontinuierliches Testen statt blindem Vertrauen

Ein häufiger Fehler ist das ungeprüfte Ausrollen von Patches auf die gesamte Belegschaft. Etablieren Sie eine kleine Testgruppe aus verschiedenen Fachbereichen die Updates ein oder zwei Tage vor dem globalen Rollout erhält. So lassen sich schwerwiegende Inkompatibilitäten frühzeitig erkennen ohne dass die Fristen für die Sicherheit gefährdet werden. Dokumentieren Sie jeden Schritt dieser Kette um bei einem Audit oder im Haftungsfall die Erfüllung Ihrer Sorgfaltspflicht nachweisen zu können.




 
Checkliste: Patchmanagement für KMU 
(Stand 2025)

Diese Liste hilft Ihnen dabei, die Anforderungen systematisch abzuarbeiten.


1. Organisatorische Grundlagen

NIS-2-Betroffenheit klären: Prüfen Sie, ob Ihr Unternehmen als „wichtige“ oder „besonders wichtige“ Einrichtung unter das NIS2UmsuCG fällt.

Verantwortung der Geschäftsführung: Stellen Sie sicher dass die Leitungsebene die Sicherheitsmaßnahmen billigt sowie deren Umsetzung gemäß § 38 BSIG aktiv überwacht.

Zuständigkeiten festlegen: Definieren Sie klare Rollen für die Überwachung von Schwachstellen sowie die Freigabe von Patches.


2. Inventarisierung sowie Asset-Management

Vollständige Asset-Liste: Erfassen Sie sämtliche Hardwarekomponenten sowie alle installierten Softwareversionen inklusive Drittanbieter-Apps.

Kritikalität bewerten: Markieren Sie internetexponierte Systeme sowie Server mit sensiblen Daten für eine priorisierte Behandlung.


3. Technischer Prozess (Soll-Zustand)

Automatisierung implementieren: Nutzen Sie Tools für die automatisierte Verteilung von Updates um die 14-Tage-Frist für kritische Lücken einzuhalten.

Vulnerability Scans: Führen Sie mindestens monatlich automatisierte Scans durch um bekannte Sicherheitslücken in der Infrastruktur zu identifizieren.

Testumgebung nutzen: Rollen Sie Patches zuerst in einer Testgruppe aus um die Betriebsstabilität vor dem globalen Rollout zu prüfen.


4. Dokumentation sowie Nachweisbarkeit

Patch-Logbuch führen: Dokumentieren Sie wann welcher Patch auf welchem System installiert wurde oder warum ein Update bewusst zurückgestellt wurde.

SecLAs mit Dienstleistern: Vereinbaren Sie mit externen IT-Partnern schriftlich die Einhaltung der risikobasierten Patch-Fristen.



Sicherheit als Routine verstehen

Patchmanagement ist am Ende des Jahres 2025 keine optionale Kür sondern eine überlebenswichtige Kernaufgabe für Organisationen die unter die gesetzlichen Regularien fallen sowie für alle Betriebe die ihre Lieferfähigkeit sichern wollen. Wer heute noch auf den Zufall vertraut sowie Updates erst dann einspielt wenn es bereits brennt setzt den Fortbestand seines Unternehmens aufs Spiel. Die Zeiten in denen IT-Sicherheit als reiner Kostenfaktor gesehen wurde sind endgültig vorbei. Ein professioneller Patch-Prozess ist heute eine notwendige Investition in Ihre Betriebskontinuität sowie Ihre rechtliche Absicherung.



IT-Sicherheit, Mittelstand, Silent Breach, Cyber Security, IT-Standards, Systemhäuser, IT-Dienstleister, Penetration Testing, Sicherheitslücken, KMU, Risikomanagement, Scheinsicherheit, Cyber-Resilienz, Hacking, Auditierung, Netzwerksicherheit, Cyber-Angriffe, Schwachstellenanalyse, Informationssicherheit, IT-Infrastruktur


Vom Reagieren zum Agieren

Ein erfolgreicher Schutz vor Cyberangriffen gelingt nur wenn Sicherheit als fester Bestandteil des Alltags verstanden wird. Das bedeutet auch dass die Geschäftsführung die notwendigen Zeitfenster für Wartungsarbeiten aktiv unterstützt sowie die erforderlichen Budgets für Personal sowie Tools bereitstellt. Wenn das Patchen zur Routine wird verliert es seinen Ausnahmecharakter sowie sorgt für die nötige Ruhe im digitalen Sturm.


Die wichtigsten Schritte auf einen Blick

Um Ihr Unternehmen sicher aufzustellen sollten Sie diese Punkte priorisieren:


  • Akzeptanz schaffen: Patchmanagement ist eine Führungsaufgabe sowie Teil der Unternehmenskultur gemäß NIS-2 sowie § 38 BSIG.

  • Fristen einhalten: Orientieren Sie sich an den Best-Practice-Werten zur Neutralisierung sowie den Empfehlungen des LSI Bayern um den Stand der Technik zu wahren.

  • Automatisierung: Entlasten Sie Ihre Experten durch den Einsatz moderner Werkzeuge zur Update-Verteilung sowie Schwachstellen-Analyse.

  • Transparenz: Sorgen Sie für eine vollständige Inventarisierung Ihrer Hard- sowie Software.



🥜 In A Nutshell: Hören Sie auf Lücken nur zu schließen wenn es zu spät ist. Wechseln Sie in den aktiven Modus sowie machen Sie Ihre IT-Infrastruktur zu einer Festung die den aktuellen Bedrohungen standhält. Ein proaktives Patchmanagement ist der beste Beweis für Ihre Professionalität sowie Ihre Verantwortung gegenüber Kunden sowie Mitarbeitern und Partnern. 



 
Dieser Beitrag dient der allgemeinen Information und ersetzt keine individuelle Rechts- oder Fachberatung. Für die Richtigkeit und Vollständigkeit wird keine Gewähr übernommen. Die genannten Fristen sind Orientierungswerte – die konkrete Angemessenheit ist im Einzelfall risikobasiert zu ermitteln.


Quellenliste


  1. Sophos: The State of Ransomware 2025. Umfrageergebnisse zu technischen Ursachen (Root Causes) von Ransomware-Vorfällen. Linkdatum 26.12.2025:

    https://www.rivista.ai/wp-content/uploads/2025/06/sophos-state-of-ransomware-2025.pdf

  2. Bundesregierung: Pressemitteilung zum Inkrafttreten des NIS2-Umsetzungs- sowie Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) am 06.12.2025. Linkdatum 26.12.2025:

    https://www.bundesregierung.de/breg-de/aktuelles/nis-2-richtlinie-deutschland-2373174

  3. EUR-Lex: Richtlinie (EU) 2022/2555 (NIS-2), insbesondere Artikel 20 (Billigung sowie Überwachung) sowie Artikel 21 (Risikomanagement-Maßnahmen). Linkdatum 26.12.2025:

    https://eur-lex.europa.eu/eli/dir/2022/2555/2022-12-27/eng

  4. Buzer.de: Aktueller Text des § 38 BSIG zur Umsetzung der Risikomanagementmaßnahmen sowie der Haftung der Geschäftsleitung. Linkdatum 26.12.2025:

    https://www.buzer.de/38_BSIG.htm

  5. Datenschutz-Grundverordnung (DSGVO): Artikel 32 zur Sicherheit der Verarbeitung sowie zum Stand der Technik. Linkdatum 26.12.2025:

    https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng

  6. BSI / UP KRITIS: Best-Practice-Empfehlungen für Anforderungen an Lieferanten zur Neutralisierung von Schwachstellen innerhalb von SLAs. Linkdatum 26.12.2025:

    https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/UPK/upk-anforderungen-lieferanten.pdf?__blob=publicationFile&v=11

  7. LSI Bayern (Bayerisches Landesamt für Sicherheit in der Informationstechnik): Fachinformation zum Patchmanagement sowie empfohlenen Behebungsfristen für öffentliche Stellen. Linkdatum 26.12.2025:

    https://www.lsi.bayern.de/mam/aktuelles/lsi-info_t08_patchmanagement.pdf

  8. Verizon: 2025 Data Breach Investigations Report (DBIR) zu führenden Initialvektoren bei Datenpannen. Linkdatum 26.12.2025:

    https://www.verizon.com/about/news/2025-data-breach-investigations-report

Bevor ich Auditor wurde, saß ich auf Ihrer Seite.

Als CISO und Leiter IT-Sicherheit in Konzernen kenne ich den Druck, dem Sicherheitsverantwortliche ausgesetzt sind, besonders im Spannungsfeld zwischen operativer Sicherheit und Management-Entscheidungen. Genau deshalb sind meine Audits keine bloße Normen-Abfrage, sondern ein echter Mehrwert, der hilft, Informationssicherheit auch auf Vorstandsebene strategisch zu verankern.

Ich bin Marc Borgers – Inhaber der AUDIT MANUFAKTUR und ich vereine drei Perspektiven für Ihren Erfolg:

AUDIT MANUFAKTUR Marc Borgers.jpg

𝐀𝐔𝐃𝐈𝐓𝐎𝐑 Als berufener Zertifizierungsauditor und Inhaber von High-End-Zertifikaten (CISA, CISM, CDPSE) prüfe ich streng, fair und mit tiefem Verständnis für komplexe Umgebungen (KRITIS, § 8a BSIG, EnWG). Ihr Vorteil: Sicherheit durch höchste Qualifikation – auch in regulierten Märkten.

𝐓𝐑𝐀𝐈𝐍𝐄𝐑 Wer prüft, muss wissen, wovon er spricht. Ich bin einer der wenigen Trainer weltweit, der von TRECCERT für acht Zertifizierungsprogramme (Schemes) berufen ist. Als Lead Trainer bilde ich die Experten von morgen aus – u.a. in ISO 27001, 22301, 31000 und 20000-1. Ihr Vorteil: Sie arbeiten mit einem Experten, der die Normen nicht nur liest, sondern lehrt.

𝐁𝐄𝐑𝐀𝐓𝐄𝐑 Ich kombiniere die Exaktheit eines Prüfers mit moderner Effizienz. Sie haben Ihre Dokumentation selbst erstellt oder durch KI generieren lassen? Ihr Vorteil: Ich validiere Ihre Unterlagen (Review). Ich prüfe mit der „Brille des Auditors“, ob Ihre Konzepte standhalten. Das spart Beratungskosten und gibt Sicherheit.

𝐒𝐂𝐇𝐖𝐄𝐑𝐏𝐔𝐍𝐊𝐓𝐄 ​Standards: ISO 27001 (ISMS), VDA ISA (TISAX® Prüfgrundlage), IT-SiKat 1a & 1b, B3S (KRITIS), ISO 22301 (BCMS). Branchen: Automotive, Kritische Infrastrukturen, Energie & Mittelstand. Arbeitsweise: Transparent, digital gestützt & bei Bedarf 100% Remote. Zusatz: RFID-Check von Zutrittskontrollsystemen & Perimeter-Check mittels LBA registrierter Drohne möglich.

  • LinkedIn

Sie suchen einen Partner, der die Theorie lehrt, die Praxis kennt und die Sprache des Vorstands spricht? Vernetzen Sie sich gerne mit mir auf LinkedIn: https://www.linkedin.com/in/borgers/

Prüfschwerpunkte, Branchen und KRITIS-Sektoren

Büro ISMS Audit ISO 27001

Büro ISMS Audit ISO 27001

Interne ISMS Audits ISO 27001

Pharma ISMS Audit

Pharma ISMS Audit

Interne ISMS Audits im Bereich Pharma

Lebensmittelproduktion ISMS Audit

Lebensmittelproduktion ISMS Audit

Interne ISMS Audits im Bereich Lebensmittelproduktion

Krankenhaus ISMS Audit

Krankenhaus ISMS Audit

Interne ISMS Audits im Bereich Krankenhaus

Internes ISMS Audit TISAX / ISO 27001

Internes ISMS Audit TISAX / ISO 27001

Interne ISMS Audits im Bereich Automotive TISAX / ISO 27001

Netzleitstelle ISMS Audit IT-SiKat 1a

Netzleitstelle ISMS Audit IT-SiKat 1a

Interne ISMS Audits im Bereich Einergieversorgung IT-Sicherheitskatalog (IT-SiKat) 1a

Internes ISMS Audit Operational Technology (OT)

Internes ISMS Audit Operational Technology (OT)

Interne ISMS Audits im Bereich Operational Technology (OT)

Internes ISMS Audit IT-SiKat 1a

Internes ISMS Audit IT-SiKat 1a

Interne ISMS Audits im Bereich Gas Einergieversorgung IT-Sicherheitskatalog (IT-SiKat) 1a

Internes ISMS Audit IT-SiKat 1b

Internes ISMS Audit IT-SiKat 1b

Interne ISMS Audits im Bereich Stromerzeugung Einergieversorgung IT-Sicherheitskatalog (IT-SiKat) 1b

Logistik ISMS Audit TISAX / ISO 27001

Logistik ISMS Audit TISAX / ISO 27001

Interne ISMS Audits im Bereich Logistik TISAX / ISO 27001

Internes ISMS Audit Rechenzentrum Housing Hosting Telekommunikation

Internes ISMS Audit Rechenzentrum Housing Hosting Telekommunikation

Interne ISMS Audits im Bereich Rechenzentrum Housing Hosting Telekommunikation

Automobilzulieferer ISMS Audit Prototypenschutz VDA ISA TISAX

Automobilzulieferer ISMS Audit Prototypenschutz VDA ISA TISAX

Interne ISMS Audits im Bereich Automotive Prototypenschutz VDA ISA TISAX

SmartCard technische Prüfung

SmartCard technische Prüfung

Interne ISMS Audits im Bereich physische Sicherheit KRITIS TISAX / ISO 27001 CER NIS2

Prüfung physische Sicherheit

Prüfung physische Sicherheit

Interne ISMS Audits im Bereich physische Sicherheit KRITIS TISAX / ISO 27001 CER NIS2

PhysicalSecurityCheck_edited_edited

PhysicalSecurityCheck_edited_edited

Interne ISMS Audits im Bereich physische Sicherheit KRITIS TISAX / ISO 27001 CER NIS2

AUDIT MANUFAKTUR Kira

Sie haben Fragen?

Ich bin im Chat 24x7x365 für Sie erreichbar.

Produkte, Preise, Rabatte, Neukundenangebote,

Termine, Verfügbarkeit, Prüfgrundlagen, Schulungen, kostenlose ISMS-Hilfe mit KI-Untersützung...

Kundenmeinungen

Martin Kerkmann via LinkedIn | EPLAN
 

Im Rahmen einer umfangreichen ISO 27001 Zertifizierung hat Herr Borgers uns im Rahmen eines Thirty Party Audit im Vorfeld der Zertifizierung entscheidende Empfehlungen gegeben, so dass wir direkt beim ersten Anlauf das Zertifizierungsaudit zur ISO 27001 erfolgreich bestanden haben.

Platte River Power Authority_edited.jpg

Matthias Zeiss via LinkedIn | Stadtwerke Mainz Netze

Gerade ihre Expertise im Voraudit waren maßgeblich für die später erfolgreiche Zertifizierung nach IT-Sicherheitskatalog gemäß Bundesnetzagentur und ISO 27001.

panos-sakalakis-AwDVMJKMjlU-unsplash_edited.jpg

Sorin Mustaca via LinkedIn | Endpoint Cybersecurity GmbH

Herr Borgers ist ein sehr professioneller, fairer und aufgeschlossener Auditor. Er hat viel Flexibilität und Freundlichkeit gezeigt, ohne Abzüge in Gründlichkeit und Fachwissen. 

Inside a toyota race car_edited.jpg

 Andreas Kirchner via LinkedIn | SPIRIT ISD

Fachlich brillant, super normensicher und technisch sehr versiert & up-to-date. Er kommt schnell auf den Punkt, kombiniert Methodik mit technischem Tiefgang und bleibt dabei absolut angenehm im Umgang. Seine Audits bringen dem Kunden echten Mehrwert und sorgen für ein besseres Informationssicherheitsniveau.

  • LinkedIn
  • LinkedIn
  • LinkedIn
  • LinkedIn

Impressum     Datenschutz

© 2025 AUDIT

MANUFAKTUR

TISAX® ist eine eingetragene Marke der ENX Association. Die AUDIT MANUFAKTUR steht in keiner geschäftlichen Beziehung zur ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden. TISAX® Assessments, zur Erlangung von Labels, werden nur von den auf der Homepage der ENX genannten Prüfdienstleistern durchgeführt. In unserer Funktion als Auditoren für Zertifizierungsstellen ist es uns für einige Jahre untersagt, Unternehmen zu zertifizieren, die wir zuvor im Bereich Informationssicherheit unterstützt haben. Diese Regelung stellt die Unparteilichkeit und Integrität des Zertifizierungsverfahrens sicher.

bottom of page