Häufige Fragen
zur IT-Security-Beratung

Das hängt vom Umfang ab. Das Erstgespräch ist kostenlos. Assessments und Gap-Analysen bieten wir zum Festpreis an, die laufende Begleitung im Retainer-Modell — keine Open-End-Tagessätze. Welche Bausteine sinnvoll sind, klären wir vorab. Erstgespräch vereinbaren.

Für mittelständische Unternehmen (rund 50 bis 2.000 Mitarbeitende), die Konzern-Erfahrung brauchen, aber keine Konzern-Preise zahlen wollen. Typisch sind IT-Leitung, Geschäftsführung und CISOs, die einen pragmatischen Partner statt Folien suchen. Mehr über uns.

Beides. Workshops und Interviews führen wir vor Ort durch, die laufende Begleitung läuft remote. Unser Schwerpunkt liegt im Rhein-Main-Gebiet, wir sind aber bundesweit tätig. Kontakt aufnehmen.

In 30 Minuten, kostenlos und unverbindlich: Wir verstehen Ihre Ausgangslage, klären den Treiber (Audit, Kundenanforderung, NIS2) und geben eine ehrliche Einschätzung, ob eine Zusammenarbeit überhaupt sinnvoll ist. Termin anfragen.

Inhaber Jens Thekkeveettil ist CISM-zertifiziert (ISACA) und ISO 27001 Senior Lead Implementer (TÜV). Er bringt über 12 Jahre Erfahrung mit, davon mehrere Jahre in DAX-Konzernen. Mehr über uns.

Eine EU-Richtlinie für Cybersicherheit, die seit Dezember 2025 in Deutschland in Kraft ist. Sie erweitert den Kreis betroffener Unternehmen massiv — in Deutschland sind rund 29.500 Unternehmen erfasst. Mehr zur Compliance & ISMS.

Das hängt von Ihrem Sektor und Ihrer Unternehmensgröße ab — sowie von Sonderfällen und Ihrer Rolle in Lieferketten. Am schnellsten klären Sie das mit unserem NIS2-Betroffenheits-Check.

Es drohen Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Neu ist die persönliche Haftung der Geschäftsleitung, die das Risikomanagement billigen und überwachen muss. Mehr zur NIS2-Umsetzung.

Je nach Reifegrad 6 bis 12 Monate. Wer bereits ein ISMS betreibt, ist deutlich schneller. Mehr zur Compliance & ISMS.

Nicht zwingend. Aber ISO 27001 deckt rund 70 bis 80 % der NIS2-Anforderungen ab und ist der effizienteste Weg zur Compliance, statt parallele Strukturen aufzubauen. Mehr zur Compliance & ISMS.

Für mittelständische Unternehmen liegen die Gesamtkosten im ersten Jahr (Beratung, Audit und Maßnahmenumsetzung zusammengenommen) typischerweise zwischen rund 37.000 und 215.000 EUR — stark abhängig von Unternehmensgröße und Reifegrad. Mehr zur Compliance & ISMS.

Realistisch 6 bis 12 Monate bis zur Zertifizierungsreife. In drei Monaten lässt sich ein gelebtes ISMS nicht seriös aufbauen. Mehr zur Compliance & ISMS.

ISO 27001 ist branchenübergreifend, TISAX der Automotive-spezifische Standard — mit 70 bis 80 % Überschneidung. Wer ISO 27001 hat, kann TISAX meist in 3 bis 4 Monaten ergänzen. Mehr zur Compliance & ISMS.

Ein ISMS, das zwar dokumentiert ist, aber im Alltag nicht gelebt wird. Spätestens beim Überwachungsaudit fällt das auf. welabs baut ISMS, die funktionieren — nicht nur Aktenordner füllen. Mehr zur Compliance & ISMS.

Eine strukturierte Analyse von Technik, Prozessen und Organisation, angelehnt an ISO 27001. Das Ergebnis ist eine Reifegrad-Bewertung mit priorisierter Roadmap. Mehr zur Security-Roadmap.

Ein externer Security-Sparringspartner, der die Rolle eines CISO auf Teilzeitbasis übernimmt: Risiko-Entscheidungen, Budgetplanung, Kunden-Audits und Lieferantenfragen — ohne die Kosten einer Vollzeitstelle. Mehr zur Security-Roadmap & SSA.

Ab etwa 500 Mitarbeitenden oder in stark regulierten Branchen ist ein interner CISO sinnvoll. Darunter ist ein externer Strategic Security Advisor (SSA) oft die wirtschaftlichere und schnellere Lösung. Mehr zur Security-Roadmap.

Die initiale Implementierung liegt typischerweise bei 50.000 bis 200.000 EUR. Cloud-Lösungen wie Entra ID starten bei rund 6 EUR pro Nutzer und Monat. Mehr zum Identity & Access Management.

Joiner-Mover-Leaver: standardisierte Prozesse für die Vergabe und den Entzug von Berechtigungen bei Eintritt, Wechsel und Austritt von Mitarbeitenden. Mehr zum IAM.

Entra ID (ehemals Azure AD) ist die Cloud-Zukunft, Active Directory wird weiterhin für On-Premises gebraucht. Für die meisten Mittelständler ist eine hybride Lösung mit Migrationspfad zu Entra ID sinnvoll. Mehr zum IAM.

Microsofts Plattform für Information Protection, Data Loss Prevention und Compliance in Microsoft 365 — teils bereits in E3-Lizenzen enthalten. Mehr zu Microsoft Purview.

Nicht zwingend. Basis-Features (manuelle Sensitivity Labels, einfache DLP) sind in E3 enthalten. Für Auto-Labeling, Endpoint DLP und Insider Risk Management braucht man E5 oder passende Add-ons. Mehr zu Microsoft Purview.

Ein Pilot ist in 4 bis 6 Wochen machbar, der unternehmensweite Rollout dauert je nach Komplexität 3 bis 6 Monate. Mehr zu Microsoft Purview.

Drei bis vier sind optimal. Weniger ist zu grob, mehr als fünf überfordert die Nutzer. Typisch: Öffentlich, Intern, Vertraulich, Streng vertraulich. Mehr zur Informationsklassifizierung.

Klassifizierung ist der organisatorische Prozess (Schema, Policy, Regeln), Labeling die technische Umsetzung (z. B. Sensitivity Labels in Microsoft 365). Beides gehört zusammen. Mehr zur Informationsklassifizierung.

Das hängt von Unternehmensgröße und Umfang ab. WePhish gibt es als Managed Service (welabs betreut alles) oder als Self-Service; die Preise sind individuell. Mehr zu Security Awareness.

Mindestens quartalsweise, idealerweise monatlich mit steigendem Schwierigkeitsgrad. Einmal jährlich reicht für eine nachhaltige Verhaltensänderung nicht aus. Mehr zu Security Awareness.

Ja, unbedingt — und möglichst früh. Eine saubere, transparente Einbindung ist entscheidend für die Akzeptanz. welabs berät auch bei der Betriebsrats-Kommunikation. Mehr zu Security Awareness.

Bei der ersten Kampagne liegt der Branchendurchschnitt bei 15 bis 25 %, nach rund sechs Monaten Training unter 5 %. Das Ziel ist nicht 0 %, sondern eine hohe Meldequote. Mehr zu Security Awareness.

Ja. Hosting in Deutschland, keine personenbezogene Auswertung und eine betriebsrats-konforme Konfiguration sind möglich. Mehr zu WePhish.