Gründungsleitfaden Cyber Security

Cyber Security Firma gründen: Freiberufler, NIS2 & Haftung 2026

Cyberkriminalität verursacht 267 Milliarden Euro Schaden pro Jahr. NIS2 zwingt 29.500 Unternehmen zur Aufrüstung. Wer jetzt eine Cyber Security Firma gründet, findet einen Markt, der händeringend nach Experten sucht – doch die rechtlichen Fallstricke sind erheblich.

Freiberufler oder Gewerbe? Die ingenieurähnliche Tätigkeit nach § 18 EStG
Ist Pentesting legal? § 202a StGB & das Scope-of-Work-Dokument
NIS2 (NIS2UmsuCG): 29.500 Unternehmen als deine Zielgruppe
Haftung & IT-Haftpflichtversicherung: Mindestdeckung 1 Mio. Euro

Kostenloses Erstgespräch buchen

Cybersecurity-Experte an Dual-Monitor-Setup mit Sicherheits-Dashboard – Cyber Security Firma gründen 2026

Lohnt sich eine Cyber Security Firma?

Die kurze Antwort: Ja, mehr denn je. Laut Bitkom belief sich der Schaden durch Cyberkriminalität in Deutschland im Jahr 2024 auf rund 267 Milliarden Euro. Gleichzeitig zwingt die NIS2-Richtlinie europaweit zehntausende Unternehmen dazu, ihre IT-Sicherheit massiv aufzurüsten.

Allein in Deutschland fallen rund 29.500 Unternehmen unter die neuen, strengen NIS2-Vorgaben. Viele davon, insbesondere im Mittelstand, haben weder das Know-how noch die personellen Ressourcen, um diese Anforderungen intern umzusetzen. Hier liegt deine Chance als Gründer einer Cyber Security Firma.

Der Schlüssel zum Erfolg liegt in der Spezialisierung. Ein "Bauchladen" funktioniert in der hochkomplexen IT-Sicherheit selten. Die fünf profitabelsten Nischen im Jahr 2026 zeigt die Tabelle rechts.

Nische	Zielgruppe
ISMS-Beratung & NIS2-Compliance	Mittelstand, Zulieferer kritischer Infrastrukturen (KRITIS)
Penetration Testing (Pentesting)	Softwareunternehmen, Finanzdienstleister, E-Commerce
SOC-as-a-Service (MDR)	Unternehmen ohne eigene IT-Sicherheitsabteilung
Security Awareness Training	Branchenübergreifend, oft als Einstiegsprodukt
Incident Response & Forensik	Unternehmen in akuten Krisensituationen

Steuerrecht

Freiberufler oder Gewerbe? Die ingenieurähnliche Tätigkeit

Eine der ersten Fragen bei der Gründung ist die Einstufung durch das Finanzamt. Freiberufler zahlen keine Gewerbesteuer und müssen sich nicht ins Handelsregister eintragen lassen – ein erheblicher Vorteil. IT-Sicherheitsberater können unter bestimmten Voraussetzungen als Freiberufler eingestuft werden, wenn sie eine ingenieurähnliche Tätigkeit im Sinne des § 18 Abs. 1 Nr. 1 EStG ausüben.

Dafür wird in der Regel ein einschlägiges Studium (z. B. Informatik, Wirtschaftsinformatik) oder eine vergleichbare Tiefe an Fachwissen vorausgesetzt. Sobald du jedoch operative Managed Services anbietest oder Hard-/Software verkaufst, bist du gewerblich tätig.

Freiberuflich (§ 18 EStG)

IT-Sicherheitskonzepte
ISO 27001 Audits
NIS2-Compliance-Beratung
Sicherheitsarchitektur
Pentesting (konzeptionell)

Gewerblich (§ 15 EStG)

SOC-as-a-Service (MSSP)
Firewall-Lizenzverkauf
Antiviren-Reselling
Subunternehmer-Vermittlung
Managed Detection & Response

Abfärbetheorie: Die Lizenz-Falle

Schon ein geringer Anteil an gewerblichen Einkünften (z. B. der Verkauf einer Firewall-Lizenz neben einer umfangreichen Beratung) "infiziert" deine gesamten Einkünfte als gewerblich. Tipp: Gründe zwei getrennte Unternehmen – ein Einzelunternehmen für die Beratung und eine UG/GmbH für Lizenzen und Managed Services.

Ethical Hacker beim Penetration Test mit Vulnerability-Scan-Dashboard – Pentesting legal § 202a StGB

Zwei Berater besprechen NIS2-Compliance-Checkliste – NIS2 als Geschäftsmodell 2026

Strafrecht & NIS2

Ist Pentesting legal? § 202a StGB & NIS2 als Geschäftsmodell

Penetration Testing ist eine der gefragtesten Dienstleistungen in der IT-Sicherheit. Doch das Hacken von Systemen bewegt sich in Deutschland in einer rechtlichen Grauzone. Wer fremde Systeme ohne Erlaubnis angreift, macht sich nach § 202a StGB (Ausspähen von Daten) strafbar – Freiheitsstrafe bis zu drei Jahren.

Die Lösung: Eine ausdrückliche, schriftliche und detaillierte Einwilligung des Auftraggebers in einem Scope-of-Work-Dokument (SoW). Orientiere dich am BSI-Durchführungskonzept für Penetrationstests als Branchenstandard.

NIS2 als massiver Nachfragetreiber

Die NIS2-Richtlinie (NIS2UmsuCG) zwingt rund 29.500 deutsche Unternehmen zu weitreichenden Sicherheitsmaßnahmen: Risikoanalyse, Incident Response, Business Continuity, Supply Chain Security und Security Awareness Training. Viele Mittelständler haben weder Know-how noch Personal – hier liegt dein Markt.

Pflichtinhalt des Scope-of-Work-Dokuments

Exakter Scope (IP-Adressen, Domains), erlaubte Methoden (z. B. SQL-Injection), verbotene Methoden (z. B. DDoS), Zeitrahmen und Notfall-Kontakt müssen zwingend geregelt sein. Bei Cloud-Diensten: Auch der Cloud-Provider muss zustimmen!

Zertifizierungen als Trust-Faktor

OSCP (Goldstandard für Pentester), CISSP (Management-Fokus), CEH (Einstieg offensive Sicherheit) und ISO 27001 Lead Auditor (für ISMS-Beratung) sind de facto Voraussetzung, um von Kunden ernst genommen zu werden.

Haftung & Versicherung

Das unterschätzte Risiko: Haftung als Cybersecurity-Dienstleister

Die IT-Sicherheit ist ein Hochrisikobereich. Wenn du einen Fehler machst, kann das für deinen Kunden existenzbedrohend sein – und in der Folge auch für dich. Du haftest nicht automatisch, wenn ein Kunde trotz deiner Beratung gehackt wird, da du in der Regel eine Dienstleistung (fachgerechte Beratung) schuldest, keinen absoluten Schutz.

Anders sieht es aus, wenn dir ein Beratungsfehler nachgewiesen wird (z. B. eine offensichtliche Schwachstelle übersehen) oder wenn du bei einem Pentest durch Fahrlässigkeit ein produktives System lahmlegst. In diesen Fällen haftest du auf Schadensersatz nach § 280 BGB.

IT-Haftpflichtversicherung (unverzichtbar)

Eine spezialisierte Vermögensschadenhaftpflicht ist absolut unverzichtbar. Deckungssumme mindestens 1 Mio. Euro, besser mehr. Sie deckt Schäden durch Beratungsfehler oder Systemausfälle bei Pentests.

Vertragliche Haftungsbeschränkung

Beschränke deine Haftung in AGB oder Individualvertrag auf Vorsatz und grobe Fahrlässigkeit. Lass Verträge von einem IT-Fachanwalt prüfen – bei Kardinalpflichten ist eine Beschränkung für leichte Fahrlässigkeit oft unwirksam.

Saubere Dokumentation

Dokumentiere jeden Schritt deiner Arbeit. Wenn der Kunde deine Sicherheitsempfehlungen ignoriert, halte das schriftlich fest. Diese Dokumentation ist deine wichtigste Haftungsfreizeichnung.

Cybersecurity-Experte prüft IT-Haftpflichtversicherung und Beratervertrag – Haftung Cyber Security Firma

Dein Fahrplan

5-Schritte-Plan: So gründest du deine Cyber Security Firma

Spezialisierung festlegen

Entscheide dich für ein klares Profil: NIS2-Compliance-Berater für den Maschinenbau? Pentester für FinTech-Startups? Security Awareness Trainer für Kanzleien?

Rechtsform wählen

Als Freiberufler direkt beim Finanzamt anmelden. Als Gewerbetreibender zum Gewerbeamt. Für GmbH oder PartG mbB benötigst du einen Notar.

Zertifizierungen erwerben

OSCP für Pentester, CISSP für Berater, ISO 27001 Lead Auditor für ISMS-Beratung. Zertifikate sind dein wichtigstes Vertrauenssignal.

Versicherungen & Verträge

IT-Haftpflichtversicherung abschließen. Wasserdichte Verträge (Dienstleistungsverträge, NDAs, SoW für Pentests) von einem IT-Fachanwalt erstellen lassen.

Erste Kunden via NIS2

Nutze die aktuelle Gesetzeslage. Sprich Mittelständler an, die von NIS2 betroffen sind. Biete einen 'NIS2-Readiness-Check' als Einstiegsprodukt an.

Rechtsformen im Vergleich

Welche Rechtsform passt zu deiner Cyber Security Firma?

Die Wahl der Rechtsform bestimmt über deine Haftung, deine Steuern und dein Image bei Großkunden. Die PartG mbB ist ein oft übersehener Geheimtipp für Partnerschaften.

Rechtsform	Haftung	Kapital	Eignung
Einzelunternehmen / Freiberufler	Unbeschränkt (auch Privatvermögen)	Kein Mindestkapital	Nur für reine Beratungs- und Audittätigkeiten mit sehr guter IT-Haftpflichtversicherung. Kein Managed Services oder Lizenzverkauf.
GmbH	Beschränkt auf Gesellschaftsvermögen	25.000 € (mind. 12.500 € bei Gründung)	Standard für wachsende Cyber Security Firmen, insbesondere bei Managed Services oder Mitarbeitern. Hohes Ansehen bei B2B-Kunden und KRITIS.
UG (haftungsbeschränkt)	Beschränkt auf Gesellschaftsvermögen	Ab 1 € (Ansparung auf 25.000 € Pflicht)	Günstiger Einstieg mit Haftungsschutz. Weniger Reputation als GmbH. Geeignet für erste Schritte mit Managed Services.
PartG mbB	Beschränkt für berufliche Fehler (mit Pflichtversicherung)	Kein Mindestkapital	Geheimtipp für Partnerschaften von Freiberuflern. Kein Gewerbe, keine Gewerbesteuer, aber Haftungsschutz. Voraussetzung: Berufshaftpflicht.

Finanzplanung

Was kostet die Gründung einer Cyber Security Firma?

Kostenpunkt	Kosten
Gründungskosten (Notar, Ämter) – Einzelunternehmen	ca. 50 €
Gründungskosten (Notar, Ämter) – GmbH	ca. 800 – 1.200 €
Stammkapital GmbH (mind. bei Gründung)	12.500 €
Zertifizierungen (z. B. OSCP, CISSP)	ca. 1.500 – 3.000 €
IT-Haftpflichtversicherung (jährlich)	ca. 800 – 2.500 €
Hardware & Software (Laptops, Tools)	ca. 2.000 – 5.000 €
Rechtsberatung (Verträge, AGB, SoW)	ca. 1.000 – 3.000 €
Gesamtkosten Einzelunternehmen (ohne Stammkapital)	ca. 5.850 – 13.050 €

* Schätzwerte. Die tatsächlichen Kosten können je nach individueller Situation abweichen.

AVGS-Förderung

Kostenlose Gründungsberatung mit dem AVGS

Wenn du aus der Arbeitslosigkeit (ALG I oder Bürgergeld) gründest oder von Arbeitslosigkeit bedroht bist, kannst du bei der Agentur für Arbeit einen Aktivierungs- und Vermittlungsgutschein (AVGS) beantragen.

Mit diesem Gutschein erhältst du ein kostenloses, professionelles Gründungscoaching – inklusive Businessplan, Finanzplanung und Rechtsformberatung. Gerade bei einem komplexen Thema wie einer Cyber Security Firma ist diese externe Expertise Gold wert. Erfahre mehr über AVGS Gründercoaching oder AVGS Coaching.

AVGS-Coaching anfragen

FAQ

Häufige Fragen zur Gründung einer Cyber Security Firma

Brauche ich eine spezielle Zulassung für eine Cyber Security Firma?

Nein, der Beruf des IT-Sicherheitsberaters oder Pentesters ist in Deutschland nicht geschützt. Du brauchst keine behördliche Zulassung. Zertifizierungen (wie OSCP oder CISSP) sind jedoch de facto Voraussetzung, um von Kunden ernst genommen zu werden.

Ist Pentesting ohne Beauftragung strafbar?

Ja, absolut. Das unbefugte Eindringen in fremde Systeme erfüllt den Tatbestand des § 202a StGB (Ausspähen von Daten) und kann mit bis zu drei Jahren Haft bestraft werden. Du brauchst immer eine schriftliche, detaillierte Beauftragung (Scope of Work).

Bin ich als Cybersecurity-Berater Freiberufler?

Das hängt von deiner genauen Tätigkeit ab. Reine Beratungs- und Audittätigkeiten können als 'ingenieurähnliche Tätigkeit' (§ 18 EStG) freiberuflich sein. Sobald du jedoch Hard-/Software verkaufst oder Managed Services (wie SOC-as-a-Service) anbietest, bist du gewerblich tätig.

Welche Versicherung brauche ich zwingend?

Eine spezialisierte IT-Haftpflichtversicherung (Vermögensschadenhaftpflicht) ist unverzichtbar. Sie schützt dich, wenn du durch einen Beratungsfehler oder während eines Pentests einen finanziellen Schaden beim Kunden verursachst (z. B. Betriebsunterbrechung).

Wie viel verdient man mit einer Cyber Security Firma?

Die Verdienstmöglichkeiten sind exzellent. Freiberufliche IT-Sicherheitsexperten und Pentester rufen Tagessätze zwischen 1.000 € und 2.500 € auf, je nach Spezialisierung und Erfahrung. Bei hochspezialisierten Incident-Response-Einsätzen können die Sätze noch deutlich höher liegen.

Starte jetzt in deine Cyber Security Selbständigkeit

Wir helfen dir, deine Cyber Security Expertise in ein tragfähiges Geschäftsmodell zu verwandeln – mit AVGS-gefördertem Coaching, Businessplan und Rechtsformberatung.

Kostenloses Erstgespräch buchen

Hinweis: Dieser Artikel dient ausschließlich der allgemeinen Information und ersetzt keine individuelle Rechts‑, Steuer‑ oder Finanzberatung. FoundingFits bietet keine Rechtsberatung oder Steuerberatung an. Für verbindliche Auskünfte wende dich bitte an einen Steuerberater, Rechtsanwalt oder eine andere fachkundige Stelle. Alle Angaben ohne Gewähr.