# Gap-Analyse

**Was ist eine Gap-Analyse in der IT-Sicherheit?**

Eine Gap-Analyse vergleicht den Ist-Zustand der IT-Sicherheit mit einem Soll-Zustand und hält jede Lücke dazwischen fest. Der Soll-Zustand stammt aus einem Anforderungskatalog, etwa aus der DSGVO oder aus den Vorgaben eines Auftraggebers. Das Ergebnis ist eine priorisierte Liste der offenen Punkte.

Eine Gap-Analyse hat fast immer einen konkreten Anlass. Ein Auftraggeber schickt einen Fragebogen zur IT-Sicherheit, eine Versicherung fragt vor dem Abschluss das Sicherheitsniveau ab, eine Zertifizierung nach ISO/IEC 27001 ist geplant, also nach der internationalen Norm für Managementsysteme der Informationssicherheit, oder es ist offen, ob Ihr Betrieb unter die NIS2-Richtlinie fällt, die EU-Vorgaben zur Cybersicherheit für bestimmte Branchen und Betriebsgrößen. In allen Fällen lautet die Frage gleich: Was verlangt der Katalog, und wo steht der Betrieb heute?

Der erste Schritt ist die Festlegung des Maßstabs. Eine Lücke lässt sich erst benennen, wenn feststeht, wogegen gemessen wird. Danach werden Nachweise gesammelt: Dokumente, Konfigurationen der Systeme, Stichproben im laufenden Betrieb und Gespräche mit den Personen, die die Abläufe kennen. Jede Anforderung erhält am Ende einen Status, üblicherweise erfüllt, teilweise erfüllt oder offen, jeweils mit Begründung und Nachweis.

Für einen Betrieb ohne eigene IT-Abteilung darf der Maßstab schlank bleiben. Als Katalog eignen sich die Anforderungen des Artikels 32 DSGVO an die technischen und organisatorischen Maßnahmen, die Sicherheitsfragen Ihrer wichtigsten Auftraggeber und die Punkte, die eine Cyberversicherung im Antragsformular abfragt. Diese drei Quellen decken die Themen ab, die im Alltag zuerst zählen: Zugänge, Backups, Updates, Schulung und Notfallvorsorge.

Der Wert der Analyse entsteht in der Umsetzung. Zu jeder Lücke gehören eine Maßnahme, ein Termin und eine verantwortliche Person. Ohne diese drei Angaben bleibt die Liste eine reine Beschreibung des Zustands. Eine Gap-Analyse geht deshalb in einen Maßnahmenplan über, der die offenen Punkte nach Risiko und Aufwand ordnet und Ihnen die Grundlage für Budget und Reihenfolge gibt.

Die Datenbasis für diesen Abgleich liefert eine Bestandsaufnahme vor Ort. Der IT-Check erhebt den Ist-Zustand in 8 Prüfbereichen mit über 100 Prüfpunkten, dauert vor Ort je nach Betriebsgröße 1 bis 5 Stunden und liefert den Befund innerhalb von 14 Werktagen. Vor Beginn wird eine Geheimhaltungsvereinbarung unterzeichnet. Ein Erstgespräch von 20 Minuten verursacht keine Kosten und klärt, welcher Maßstab für Ihren Betrieb der richtige ist.

## Verwandte Begriffe
- [IT-Sicherheitsaudit](https://vetosec.at/it-sicherheit/it-sicherheitsaudit/)
- [ISO/IEC 27001](https://vetosec.at/it-sicherheit/iso-27001/)
- [NIS2](https://vetosec.at/it-sicherheit/nis2/)
- [Befund und Maßnahmenplan](https://vetosec.at/it-sicherheit/befund-massnahmenplan/)

## Quelle
https://vetosec.at/it-sicherheit/gap-analyse/ (vetosec, pruefung)
