Die Lunter Unternehmensberatung e.K. unterstützt ihre Kunden bei der Analyse und Realisation von maßgeschneiderten IT- und Organisationslösungen für Industrie, Handel, Gewerbe sowie Unternehmen der Informationsverarbeitung.
Das Leistungsspektrum erstreckt sich von der konzeptionellen Beratung und Optimierung von Geschäftsprozessen bis hin zur Programmierung, Einführung und Schulung von Gesamtlösungen.
Schwerpunkte setzt Lunter im Bereich der Informationstechnologie mit Gesamtlösungen für die integrierte Datenverarbeitung sowie mit Schnittstellen zu zentralen IT-Systemen. Lunter berät neben Großunternehmen auch mittelständische und kleine Firmen bei der Realisierung von Netzwerken und Softwarelösungen. Einen Schwerpunkt bildet die Planung, Koordination und Inbetriebnahme von anspruchsvollen Netzwerkprojekten inklusive Internet/Intranet-Kommunikation und der Konfiguration sicherer Firewall-Systeme.
Bei der Auswahl von Computer-Hardware und Standardsoftware agiert Lunter als neutraler und unabhängiger Berater. Den Aufbau von Internet-, Intranet- und Extranet-Lösungen sowie die Anbindung an das Web und andere Dienste bietet Lunter im Rahmen seiner Internet-Services an. Dazu zählen neben Content-Management-Systemen und E-Shops auch die Entwicklung und Einbindung von komplexen Online-Datenbanken.
Know-how
Lunter verfügt über umfangreiche Erfahrungen beim Aufbau und der Integration vernetzter PC-Systeme im Hard- und Softwarebereich. Dabei werden insbesondere auch plattformübergreifende Lösungen mit PCs, MACs, UNIX-Systemen sowie Mainframe-Anbindung unterstützt. Die Erstellung von Anwendungen auf objektorientierte und komponentengestützte Client/Server-, Intranet- und Internet-Lösungen mit unternehmensweiten Netzkopplungen über Multiprotokollroutern sind ein Spezialgebiet von Lunter.
Im Rahmen der firmeninternen Qualitätssicherungsmaßnahmen, bedient sich Lunter einer umfangreichen methodischen Vorgehensweise bei der Analyse, der Konzeption, der Dokumentation, der Modellierung, beim Prototyping, der Applikations-Entwicklung, den Programmtests sowie der Installation und Einführung von IT-Komponenten.
Kooperation
Um aktuellstes Know-how auch in Randbereichen des Kerngeschäftes zu gewährleisten, gehört Lunter einem Verbund kooperierender, selbständiger Spezialanbieter an.
Aktuellste Anforderung:
Die Herausforderungen der neuen NIS-2-Richtlinie meistern
Das neue NIS-2-Umsetzungsgesetz (in Kraft seit Dezember 2025) erweitert die Cybersicherheitspflichten in Deutschland massiv . Waren früher hauptsächlich klassische KRITIS-Betreiber (Kritische Infrastrukturen) betroffen, müssen jetzt etwa 30.000 Unternehmen aus vielen Wirtschaftsbereichen ihre IT absichern . Auch Ihr genannter Fokus auf "kritis" wird dabei präzisiert: Betreiber kritischer Anlagen (der neue Begriff für KRITIS) sind automatisch Teil der neuen, strengeren Kategorie .
Die folgende Tabelle gibt Ihnen einen schnellen Überblick über die neuen Kategorien und ihre Bedeutung:
Pflichten für Unternehmen in Deutschland – eingeteilt in besonders wichtige Einrichtungen, wichtige Einrichtungen und Betreiber kritischer Anlagen.
| Aspekt |
Besonders wichtige Einrichtungen |
Wichtige Einrichtungen |
Betreiber kritischer Anlagen |
| Wer ist betroffen? |
Sehr große Unternehmen in Sektoren wie Energie, Verkehr, Gesundheit, Finanzen, IT. |
Mittelständische Unternehmen in o.g. Sektoren sowie in neuen Bereichen wie Lebensmittel, Chemie, Abfall. |
Eine Untergruppe der "besonders wichtigen Einrichtungen" mit den höchsten Anforderungen. |
| Einstufungskriterien |
>250 Mitarbeiter ODER >50 Mio. € Umsatz & >43 Mio. € Bilanzsumme. |
>50 Mitarbeiter ODER >10 Mio. € Umsatz & Bilanzsumme. |
Erfüllung der spezifischen Schwellenwerte der BSI-Kritisverordnung (z.B. Versorgungsgrad). |
| Beispielsektoren |
Energie, Gesundheit, Finanzen, Transport, IT/Telekom, Weltraum, Trinkwasser |
Lebensmittel, Chemie, Abfall, Post, Pharma, produzierendes Gewerbe, Digitalanbieter |
Energie (Strom/Gas), Wasser, Gesundheit (Kliniken), Siedlungsabfall, Betreiber von Steuerungssystemen mit KRITIS-Schwellen |
| Risikomanagement (ISMS) |
Umfassendes ISMS nach Stand der Technik, Risikoanalysen, Notfallmanagement, Lieferantensicherheit, Schulungen. |
Risikomanagement basierend auf ISMS-Grundsätzen, angemessene techn. und organisat. Maßnahmen. |
ISMS mit besonderen Anforderungen an Resilienz, Angriffserkennung (SIEM, IDS/IPS, SOC) und Business-Continuity-Management (BCM). |
| Meldepflichten (BSI) |
⚠️ Für beide Kategorien gleich:
• Frühwarnung 24h
• Detaillierte Meldung 72h
• Abschlussbericht 1 Monat |
Wie nebenstehend, zusätzlich verschärfte Nachweispflichten gegenüber BSI (Audits, Prüfungen). Oft direkte Meldung auch bei Beinahe-Vorfällen. |
| Registrierung / Leitung |
Registrierung beim BSI (3 Monate), Haftung der Geschäftsleitung, Schulungspflicht für Führungskräfte. |
Registrierung beim BSI, Verantwortung der Geschäftsleitung (Haftung bei grober Fahrlässigkeit). |
Registrierung (auch über KRITIS-Schwelle), strenge Haftung, regelmäßige Schulungen der Leitung, Benennung eines Ansprechpartners für das BSI. |
| Typische Sicherheitslösungen |
MFA, E2EE, zentrales Patch-Management, Firewalls, Virenschutz, ggf. Angriffserkennung (SIEM/EDR). |
MFA für privilegierte Nutzer, Verschlüsselung, Backup-Konzepte, Notfallpläne, Basisschutz gemäß BSI IT-Grundschutz. |
Verpflichtende Angriffserkennung (SIEM, SOC, IDS/IPS), Multi-Faktor-Authentifizierung (MFA) flächendeckend, separates Notfallnetz, regelmäßige Stresstests und Audits. |
| Nachweise & Audits |
Dokumentation aller Maßnahmen, regelmäßige interne Audits, Prüfung durch Zertifizierungsstellen möglich. |
Selbsterklärung, Verfahrensdokumentation, Prüfungen können durch Aufsichtsbehörden angeordnet werden. |
Nachweis alle 3 Jahre (z.B. ISO 27001 auf Basis IT-Grundschutz, Prüfung durch BSI oder akkreditierte Stellen), Melden von Sicherheitslücken und Auditergebnissen. |
| Mögliche Bußgelder (Auswahl) |
Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. |
Bis zu 7 Mio. € oder 1,4 % des weltweiten Umsatzes. |
Bußgelder im oberen Rahmen (wie besonders wichtig), zusätzlich verschärfte Aufsicht, ggf. Stilllegung bei groben Verstößen. |
Meldepflichten im Überblick
- 🔔 Frühwarnung: 24 Stunden nach erstem Verdacht
- 📄 Erstmeldung: 72 Stunden (detaillierte Informationen)
- 📌 Abschlussbericht: 1 Monat nach Vorfall
- ✔️ Registrierung: innerhalb von 3 Monaten nach Einstufung beim BSI
Für Betreiber kritischer Anlagen gelten zusätzliche Prüfungen (alle 3 Jahre).
Persönliche Haftung: Vorstände und Geschäftsführer haften bei Verstößen gegen die Sicherheitspflichten (Organisationsverschulden).
Bußgeldrahmen: Bis zu 10 Mio. € oder 2% des weltweiten Umsatzes (bes. wichtige Einrichtungen).
👉 Bei KRITIS-Betreibern drohen zusätzlich verschärfte Aufsicht und Stilllegung.
🔐 Basis-Schutz
MFA, Firewall, Virenschutz, Verschlüsselung, Patch-Management.
📡 Angriffserkennung
SIEM, SOC, IDS/IPS (für KRITIS verpflichtend).
♻️ Notfallmanagement
Backup, BCM, getestete Disaster-Recovery-Pläne.
Strategische Ausrichtung:
Eine moderne Sicherheitsstrategie ist nicht mehr nur ein IT-Projekt, sondern ein Cybersecurity Management System (CSMS), das technische Maßnahmen mit organisatorischen Richtlinien und Mitarbeiterschulungen (Awareness) verbindet.
Umfassende Cybersicherheitssysteme basieren heute primär auf dem
Zero-Trust-Prinzip („Niemals vertrauen, immer überprüfen“) und integrieren Schutzmaßnahmen über alle Ebenen – Netzwerk, Endgeräte, Cloud und Anwendungen. Kernkomponenten sind konsolidierte Sicherheitsplattformen (z.B. Check Point, Cisco), Mikrosegmentierung, strenge Identitätskontrollen (IAM) und Echtzeit-Überwachung (SIEM).
Zentrale Komponenten umfassender Cybersicherheit:
Zero Trust Architektur: Eliminierung impliziten Vertrauens. Zugriff wird nur nach strenger Authentifizierung und kontextbezogen gewährt.
Netzwerk- und Cloud-Sicherheit: Firewalls, Check Point CloudGuard und Mikrosegmentierung isolieren Bereiche, um die Ausbreitung von Angreifern zu verhindern.
Endgerätesicherheit (Endpoint Security): Schutz von Laptops, Servern und mobilen Geräten (z.B. Check Point Harmony).
Identity and Access Management (IAM): Verwaltung von Nutzerrechten nach dem Prinzip der geringsten Berechtigung (Principle of Least Privilege).
Überwachung und Analyse: Kontinuierliches Monitoring, Bedrohungsanalyse und SIEM-Tools zur Erkennung in Echtzeit.
Schwachstellenmanagement & Incident Response: Regelmäßige Penetrationstests, Patch-Management und definierte Pläne für den Ernstfall.
Datensicherung: Umfassende Backup-Strategien als essenzielle Absicherung gegen Ransomware-Angriffe.
Frameworks und Standards:
Zur Implementierung dienen etablierte Rahmenwerke wie die ISO/IEC 27001 für Informationssicherheit, das BSI-IT-Grundschutz-Handbuch sowie für spezifische Branchen die UNECE R155 (Automotive). Die Einhaltung regulatorischer Anforderungen wie der NIS-2-Richtlinie wird in der EU zunehmend verpflichtend.
Strategische Ausrichtung:
Eine moderne Sicherheitsstrategie ist nicht mehr nur ein IT-Projekt, sondern ein Cybersecurity Management System (CSMS), das technische Maßnahmen mit organisatorischen Richtlinien und Mitarbeiterschulungen (Awareness) verbindet.