Kontakt

0611 949 112 14
info@artmedia-jaeger.de
An den drei Weiden 25 65207 Wiesbaden
Kontakt anfragen

Deine Website prüffest machen. In einer Woche, mit dokumentiertem Stand der Technik . NIS2

Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungsgesetz in Deutschland. Mit persönlicher Geschäftsführer-Haftung und Bußgeldern bis 10 Millionen Euro. Wir härten deine Website systematisch (HTTP-Header, CMS, Backups, Monitoring), erstellen die Lieferanten-Selbstauskunft für deine Großkunden und liefern dir die nachweisbare Dokumentation für „Stand der Technik".

5Werktage

Vom Kickoff bis zur prüffest dokumentierten Website. Festpreis-Sprint.

18+

Jahre CMS-Erfahrung als Grundlage. Web-Security aus Webentwickler-Hand.

100%

NIS2-konforme Dokumentation, weiterleitbar an deine Großkunden.

Trigger-Momente seit Dezember 2025

Aus welchem Grund bist du hier? Vier Trigger, einer hat dich gerade getroffen.

Vier Trigger-Events, die seit Dezember 2025 systematisch Druck im Mittelstand erzeugen. Erkennst du eines davon wieder, ist es Zeit, Website-Sicherheit nicht mehr als IT-Thema zu behandeln, sondern als Geschäftsführer-Aufgabe.

Großkunde will NIS2-Selbstauskunft.

  • Schriftliche Bestätigung nach § 30 BSIG-neu gefordert
  • Selbstauskunft plus dokumentierte Härtung notwendig
  • Prüffeste Antwort statt Notlösung aus der Schublade

Vorfall im Branchenumfeld macht Druck.

  • Ransomware, Datendiebstahl, kompromittierte Websites
  • Frage ist nicht mehr „ob", sondern „wann"
  • Persönliche Geschäftsführer-Haftung im Ernstfall

CMS-Sicherheitslücke wurde veröffentlicht.

  • TYPO3, WordPress oder Extension mit kritischer CVE
  • Unklar ob Site betroffen, Update sauber lief
  • Backup-Greifbarkeit im Ernstfall ungetestet

Persönliche Haftung wird dir bewusst.

  • Geschäftsführer haftet persönlich nach § 38 BSIG-neu
  • Bußgelder bis 10 Millionen Euro, Privatvermögen
  • Versicherbarkeit von Cyber-Risiken sinkt
NIS2-Faktenlage

Was sich seit Dezember 2025 verändert hat. Die nüchterne Rechtslage.

Wir verkaufen keine Angst-Beratung. Was hier kommt, ist die nüchterne Rechtslage, mit der jeder Geschäftsführer in Deutschland aktuell umgehen muss.

Ohne Übergangsfrist

Das NIS2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten, ohne Übergangsfrist. Direkt betroffen sind rund 29.500 deutsche Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz in 18 KRITIS-Sektoren. Die BSI-Registrierungsfrist endete am 6. März 2026.

Lieferketten-Pflicht (§ 30 BSIG-neu)

NIS2-pflichtige Unternehmen müssen ihre gesamte Lieferkette auf IT-Sicherheit prüfen. Auch wenn dein Unternehmen unter den Schwellenwerten liegt: Wenn du an einen NIS2-pflichtigen Großkunden lieferst, wirst du indirekt verpflichtet. Selbstauskünfte werden zur Voraussetzung für Aufträge.

10 Mio. Euro + Geschäftsführerhaftung

Bußgelder bei Verstößen reichen bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem was höher ist. § 38 BSIG-neu sieht zusätzlich persönliche Haftung der Geschäftsführung vor. Mit Privatvermögen, nicht über die Gesellschaft abgesichert.

Sprint-Deliverable

Was hältst du nach einer Woche in der Hand?

Kein Pentest-Theater, keine Schreckens-Berichte. Du bekommst eine systematisch geprüfte Website, dokumentierte Härtungs-Maßnahmen, ein Monitoring-Setup und die Lieferanten-Selbstauskunft, die du sofort an deine Großkunden weiterleiten kannst.

Im Sprint konkret enthalten

  • Vollständige Schwachstellen-Inventur. HTTP-Header, TLS, CMS-Härtung (TYPO3, WordPress), Plugin- und Extension-Inventur mit Risikobewertung, exponierte Endpoints, robots.txt-Leaks, Outdated-Software-Detection. Liste mit Schweregrad und Behebungs-Aufwand.
  • Konkrete Härtungs-Umsetzung. Wir reparieren, was wir finden. CSP, HSTS, X-Frame-Options, Referrer-Policy, Permissions-Policy, SRI für CDN-Assets. Bei Standard und Premium zusätzlich MFA, Backend-Härtung, Rechte-Reorganisation.
  • Backup- und Restore-Test. Backups, die nicht regelmäßig wiederhergestellt werden, sind keine Backups. Wir führen einen vollständigen Restore-Test in separater Umgebung durch und dokumentieren das Ergebnis. Klarheit, ob deine Strategie im Ernstfall hält.
  • NIS2-Lieferanten-Selbstauskunft. Fertiges, prüffestes Dokument zum Weiterleiten an NIS2-pflichtige Großkunden. Maßnahmen, Standards, Verantwortlichkeiten, Vorfall-Kette, Backup-Strategie, Versicherungs-Stand. Bei Standard und Premium enthalten.
  • Monitoring-Einrichtung. Uptime-Überwachung (UptimeRobot oder StatusCake), Security-Header-Monitoring, TLS-Zertifikats-Erinnerung, Basic-Intrusion-Indikatoren. Du erfährst es zuerst, nicht deine Kunden per Telefon.
  • Incident-Response-Mini-Playbook. 4-seitiges Dokument: Wer wird im Ernstfall informiert? In welcher Reihenfolge? Was wird gestoppt? Wer dokumentiert? Wer kommuniziert mit Behörden, Versicherern, Kunden? Strukturierte erste 24 Stunden.
Klare Abgrenzung

Was ist im Sprint-Preis NICHT enthalten? Drei klare Abgrenzungen.

Wir trennen Beratung, Umsetzung und Spezial-Disziplinen sauber. Das schützt deine Investition und verhindert, dass du für Leistungen zahlst, die andere Spezialisten besser können.

Penetrationstest.

  • Eigene Disziplin mit eigenen Werkzeugen und Methoden
  • Wir prüfen Konfiguration und Härtung, kein aktiver Angriff
  • Vermittlung an Partner mit OSCP- oder CREST-Zertifizierung

ISMS-Aufbau (ISO 27001).

  • 6 bis 18 Monate Aufbau-Disziplin mit eigener Tiefe
  • Sprint legt das Fundament im Web-Bereich, ersetzt aber kein ISMS
  • Vermittlung an spezialisierte Berater bei Bedarf

Server, Cloud, Office-Sicherheit.

  • Wir härten Website und CMS, nicht die gesamte Infrastruktur
  • Endpoint-Protection und Cloud-Architektur sind eigene Disziplinen
  • Vermittlung an IT-Sicherheits-Partner für breiteren NIS2-Druck
Preise & Stufen

Welche Stufe passt zu deiner Website-Architektur? Drei klare Pakete.

Was den Aufwand wirklich treibt: Single-Site oder Multi-Site? Shop oder Login-Bereich? Brauchst du die NIS2-Selbstauskunft als fertiges Dokument? Drei klare Stufen, kein offenes Stundenkonto.

Basis

Wann passt das?

Single-Site ohne Shop, ohne Login, ohne Mitgliederbereich. Schnellster Sprint, fokussiert auf die wichtigsten Härtungsmaßnahmen. Typisch: kleine bis mittlere B2B-Imagewebsite, Berater, Dienstleister mit reiner Info-Site.

  • 1 Single-Site
  • HTTP-Header-Härtung (CSP, HSTS, X-Frame-Options, Referrer-Policy)
  • TLS-Check und Verbesserung
  • CMS-Inventur und Update-Status
  • robots.txt-Leak-Check und Bereinigung
  • Backup-Sichtung (ohne aktiven Restore-Test)
  • 1-seitige Empfehlungs-Übersicht plus BAFA-konformer Beratungsbericht
Basis-Sprint anfragen
Smarte Entscheidung

Standard

Wann passt das?

Standard-B2B-Website mit Backend, redaktioneller Pflege, eventuell Partner-Login oder einfacher Anmelde-Bereich. Typisch: mittelständische Industrie-, B2B-Dienstleister, Beratungen, Kanzleien mit aktivem Backend-Betrieb.

  • 1 Site plus vollständige Backend-Härtung
  • Alle Punkte aus Basis
  • TYPO3 / WordPress-spezifische Hardening-Maßnahmen
  • Vollständige Plugin-/Extension-Inventur mit Risikobewertung
  • Rechte-Management-Check und MFA-Aktivierung für alle Admin-Konten
  • Aktiver Backup-Restore-Test in separater Umgebung
  • Monitoring-Einrichtung (UptimeRobot oder StatusCake)
  • Incident-Response-Mini-Playbook (4-seitig)
Standard-Sprint anfragen

Premium

Wann passt das?

Multi-Site-Konstruktion oder Shop mit DSGVO-relevanten Kundendaten oder Unternehmen mit kritischer Lieferanten-Beziehung zu NIS2-pflichtigen Großkunden. Typisch: mittelständische Industrie mit Großkunden-Anbindung, E-Commerce-Anbieter, Hersteller mit Konfigurator.

  • Multi-Site oder Shop
  • Alle Punkte aus Standard
  • NIS2-Lieferanten-Selbstauskunft als fertiges Dokument, weiterleitbar an Großkunden
  • Web Application Firewall-Empfehlung mit konkretem Tool-Vorschlag
  • Erweiterte Backup-Strategie inkl. Off-Site-Backup-Konzept
  • 2 Schulungstermine für interne Mitarbeiter (Backend-Sicherheit, Incident-Response)
  • Folge-Sicherheits-Check nach 3 Monaten (1 Stunde)
Premium-Sprint anfragen
Working Process

Wie läuft dein Security Sprint ab? Fünf Werktage, fünf Meilensteine.

01

Tag 1: Kickoff & Inventur

60-Minuten-Video-Termin. Checkliste der Zugriffe (Hosting, CMS-Admin, Backup-System, DNS). Erste automatische Scan-Runde: securityheaders.com, Mozilla Observatory, SSL Labs, Sucuri SiteCheck. Bestandsaufnahme der CMS- und Plugin-Versionen. Abends bekommst du eine kurze Zwischenmeldung.

02

Tag 2: Tests & Härtung Teil 1

HTTP-Header-Härtung umsetzen, TLS-Konfiguration verbessern, robots.txt bereinigen. Bei Standard und Premium zusätzlich CMS-spezifische Hardening-Maßnahmen, Plugin-Risikobewertung, Rechte-Management-Check.

03

Tag 3: Backup-Restore & Monitoring

Prüfung der bestehenden Backup-Strategie und Restore-Test in separater Umgebung (ohne Beeinträchtigung deiner Live-Site). Bei Standard und Premium zusätzlich Monitoring-Einrichtung mit Uptime- und Security-Header-Überwachung.

04

Tag 4: Dokumentation & Selbstauskunft

Alle umgesetzten Maßnahmen konsolidiert in der Dokumentation. Bei Standard das Incident-Response-Mini-Playbook. Bei Premium zusätzlich die NIS2-Lieferanten-Selbstauskunft als fertiges, weiterleitbares Dokument.

05

Tag 5: Übergabe-Workshop & Buffer

60-Minuten-Workshop: umgesetzte Maßnahmen durchgehen, Dokumentation übergeben, Fragen klären. Tag 5 ist gleichzeitig Buffer für Nacharbeiten, falls beim Restore-Test oder bei der Härtung etwas länger gedauert hat.

Direkt loslegen oder erst einen kostenlosen Security-Check? 5-Minuten-Security-Check anfragen

Abweichungen je nach Stufe

Bei der Basis-Stufe kann der Sprint auf 3 Werktage komprimiert werden. Bei der Premium-Stufe verlängert er sich auf 6 bis 7 Werktage plus die zwei Schulungstermine.

Nach dem Sprint

Wie geht es nach dem Sprint weiter? Drei Wege, du wählst.

Der Sprint ist bewusst so gebaut, dass er für sich allein wirkungsvoll ist. Die meisten Kunden wählen danach einen dieser drei Pfade. Sicherheit ist kein Einmal-Projekt, sondern ein laufender Prozess.

Care L mit Security-Monitoring

  • Kontinuierliches Security-Monitoring
  • Monatlicher Patch-Cycle, halbjährlicher Restore-Test
  • NIS2-Reporting laufend, häufigste Folge-Option

Care M mit Security-Basics

  • Für KMU ohne Bedarf an vollem Monitoring
  • Regelmäßige Updates
  • Quartals-Security-Checks

Pentest-Vermittlung mit Partner

  • Wenn Großkunde aktiven Pentest verlangt
  • Vermittlung an Partner mit OSCP- oder CREST-Zertifizierung
  • Wir bleiben optional als Übersetzer und Umsetzungs-Begleiter
Vertrauen & Expertise

Warum Artmedia Jäger für deinen Security Sprint? Drei harte Argumente.

Security ist 2026 ein wachsender Beratungsmarkt mit vielen neuen Anbietern. Drei Gründe, warum wir für mittelständische Unternehmen mit ernsthaften Websites die richtige Wahl sind.

Webentwickler, nicht Generalisten-Berater

  • Wir kennen CMS-Systeme von innen, seit 2008
  • TYPO3-zertifizierter Integrator, nicht nur Compliance-Berater
  • Tief drin bei TYPO3-, WordPress- und Server-Themen

Klare Grenzen unserer Kompetenz

  • Wir machen Web-Security, nicht ISMS oder Forensik
  • Pentest, Endpoint-Protection, Cloud-Architektur via Partner
  • Schutz vor Generalisten, die alles versprechen und nichts vertiefen

Direkter Draht zum Verantwortlichen

  • Christian Jäger führt jeden Sprint persönlich durch
  • Kein Account-Manager, kein Junior-Praktikant
  • Vertrauen entsteht durch direkten Kontakt zum Verantwortlichen
Erstgespräch

Eine Woche Zeit investieren. Und prüffest sein.

Eine ehrliche Einschätzung, ob ein Website Security Sprint dir gerade hilft. Auch wenn die am Ende heißt: Du brauchst ihn noch nicht.

Antwort innerhalb 4 Stunden während Bürozeiten · Telefon: 0611 949 112 14 · E-Mail: info@artmedia-jaeger.de

30-Min-Erstgespräch buchen

Was Geschäftsführer und IT-Verantwortliche typischerweise fragen.

Direkt betroffen ist dein Unternehmen, wenn es ab 50 Mitarbeiter oder 10 Millionen Euro Umsatz hat und in einem der 18 KRITIS-Sektoren tätig ist (Energie, Transport, Gesundheit, Wasser, digitale Infrastruktur, B2B-IKT-Dienstleistungen, Lebensmittelproduktion und -Großhandel, kritische Hersteller und einige mehr). Indirekt betroffen ist jedes Unternehmen, das an einen NIS2-pflichtigen Großkunden liefert. § 30 BSIG-neu zwingt diese Unternehmen, ihre Lieferketten zu prüfen. Praktisch heißt das: Wenn du im Industrie-Mittelstand arbeitest, wirst du früher oder später eine Sicherheits-Selbstauskunft brauchen.

Nein, Updates sind die Mindestanforderung, nicht der ganze Standard. „Stand der Technik" nach NIS2 umfasst zusätzlich: aktive HTTP-Security-Header, dokumentierte Backup-Strategie mit Restore-Tests, MFA für Admin-Konten, Monitoring, Incident-Response-Konzept, Rechte-Management. Wer nur Updates fährt, ist 2026 nicht prüffest und im Schadensfall nicht ausreichend abgesichert.

Drei Szenarien, alle realistisch. Szenario 1: Großkunde fragt Selbstauskunft an, du kannst nicht liefern. Du verlierst den Auftrag oder bist in der Lieferanten-Liste degradiert. Szenario 2: Sicherheitsvorfall. Reputationsschaden, ggf. Datenschutzmeldung, Versicherer prüft Mitverschulden wegen unzureichender Vorkehrungen. Szenario 3: Behörden-Audit oder Bußgeld-Verfahren. Persönliche Geschäftsführer-Haftung nach § 38 BSIG-neu, Bußgelder bis 10 Millionen Euro.

Weil die wichtigsten Härtungsmaßnahmen in einer Woche umsetzbar sind. Du sollst nicht erst einen 12-Monats-Vertrag unterschreiben, um zu erfahren, ob du gut aufgestellt bist. Der Sprint gibt dir den nachweisbaren Stand der Technik. Laufende Wartung und Monitoring kommen optional über ein Care-Paket. Aber erst, wenn du den Sprint hattest.

Wenn deine IT auf Web-Security spezialisiert ist und aktiv NIS2-Anforderungen umsetzt, dann nicht. Wenn deine IT ein generalistisches Team ist, das primär Server, Office und Endpoints betreut, dann ja. Web-Security ist eine eigene Disziplin mit eigenen Werkzeugen, eigenen Standards (OWASP, Mozilla Observatory) und eigenen typischen Schwachstellen. Wir arbeiten gerne mit deiner IT zusammen, als externe Spezialisten für den Web-Stack.

Wir sind keine reinen IT-Sicherheits-Berater, sondern Webentwickler mit 18 Jahren TYPO3-, WordPress- und Server-Erfahrung. Das heißt: Wir kennen die typischen Schwachstellen der CMS-Welt aus eigener Praxis, nicht aus Schulungs-Folien. Christian Jäger ist TYPO3-zertifizierter Integrator und arbeitet seit 2008 in der Webentwicklung. Bei tieferen IT-Security-Themen (Pentest, ISMS, Endpoint-Protection) vermitteln wir an Partner. Bei Web-Security machen wir es selbst.

ISO 27001 ist ein umfassendes Information Security Management System (ISMS), das ein bis zwei Jahre Aufbauzeit braucht und eigene Zertifizierungs-Kosten hat. Für die meisten Mittelständler ist das überzogen, solange kein expliziter Großkunde es fordert. Unser Sprint adressiert die NIS2-Anforderungen im Web-Bereich. Wenn du später eine ISO-Zertifizierung anstrebst, ist unser Sprint ein guter Baustein, aber kein Ersatz.

Ja, aber: Wenn du gerade einen aktiven Sicherheitsvorfall hast (Ransomware, kompromittierte Site, Datenleck), brauchst du erst Incident-Response, also forensische Analyse, Schadensbegrenzung, Behörden-Meldung. Das ist eine andere Disziplin. Wir vermitteln in dem Fall sofort an Partner und kommen mit dem Security Sprint hinterher, sobald die akute Phase abgeschlossen ist.

Der Sprint deckt die Website- und CMS-Sicherheit ab, inklusive Shop-Komponenten wie Bezahl-Strecken, Login-Bereiche, Kundenkonten-Verwaltung. Was er nicht abdeckt: PCI-DSS-Compliance für Kartenzahlungen (das machen deine Payment-Provider) und tiefgehende Penetrationstests gegen den Checkout (separate Disziplin, vermitteln wir bei Bedarf). Für die meisten KMU-Shops ist der Premium-Sprint die richtige Wahl.

Bei freier Kapazität ab Vertragsabschluss innerhalb von 5 bis 10 Werktagen. Wenn du eine akute NIS2-Anfrage vom Großkunden hast und Zeitdruck, sag uns das im Erstgespräch, wir versuchen umzuplanen. Bei Notfällen mit aktivem Sicherheitsvorfall siehe Frage 8.