Leistungen

Drei Leistungen. Das beherrschen wir. Wenn Sie etwas anderes brauchen, sagen wir es und verweisen Sie an einen passenden Anbieter.

---

vCISO · Sicherheitsleitung als Service

Für wen. Unternehmen mit 30 bis 500 Beschäftigten, die noch keinen Vollzeit-CISO benötigen, aber jemanden mit Urteilskraft brauchen, der Sicherheitsentscheidungen trifft, statt nur auf Vorfälle zu reagieren.

Was enthalten ist. Eine Senior-Fachkraft, Ihrem Konto für eine vereinbarte Anzahl monatlicher Stunden zugewiesen. Definiert die Sicherheitsstrategie, priorisiert Investitionen, nimmt bei Bedarf an Geschäftsführungsrunden teil, leitet Ihr internes Technikteam oder externe Dienstleister an und vertritt Sie gegenüber Prüfern, Versicherern und Kunden.

Wie wir arbeiten. Nach der Erstanalyse vereinbaren wir einen Quartalsplan mit drei bis fünf messbaren Zielen. Monatliche Geschäftsführungsrunde, wöchentliche technische Runde mit Ihrem Team, Quartalsbericht mit Kennzahlen. Keine Pflicht-Vor-Ort-Anwesenheit, wenn sie keinen Mehrwert bringt.

Verpflichtung. Quartalsweise als Minimum, keine Pönale beim Ausstieg nach dem ersten Quartal. Wir berechnen keine nicht verbrauchten Stunden.

Monatlicher Liefergegenstand. Prioritätenprotokoll, Entscheidungsregister, aktueller Risikobericht und Plan für den Folgemonat.

Wer es erbringt. Senior-Ingenieur mit über zehn Jahren operativer Sicherheitserfahrung und Vorerfahrung als interner CISO oder Beratung der Geschäftsführung.

---

ISO/IEC 42001 · Zertifizierung für verantwortungsvolles KI-Management

Für wen. Organisationen, die eigene oder Drittanbieter-KI-Systeme einsetzen und nachweisen müssen, dass das Management verantwortungsvoll erfolgt: Großkunden verlangen es, Aufsichtsbehörden werden es verlangen, und die EU-KI-Verordnung verstärkt diesen Anspruch.

Was ISO/IEC 42001 ist. 2023 veröffentlichter internationaler Standard, der die Anforderungen an ein KI-Managementsystem festlegt. Umfasst Governance, Risikomanagement, Modelllebenszyklus, menschliche Aufsicht, Bias, Nachvollziehbarkeit und kontinuierliche Verbesserung.

Was unsere Begleitung umfasst.

1. Lückenanalyse gegen den Standard · ein bis zwei Wochen je nach Größe.

2. Entwurf des dokumentierten Managementsystems, angepasst an Ihre Organisation.

3. Umsetzung von Kontrollen, Verfahren und Aufzeichnungen.

4. Schulung des verantwortlichen Teams und des KI-Komitees.

5. Internes Voraudit und Begleitung beim externen Zertifizierungsaudit.

Was wir nicht tun. Wir stellen das Zertifikat nicht aus. Die Zertifizierung erfolgt durch eine unabhängige akkreditierte Stelle. Wir bereiten Sie darauf vor, sie beim ersten Anlauf zu bestehen.

Typischer Zeitrahmen. Vier bis neun Monate, je nach Ausgangslage und Reife der bestehenden Datenführung.

---

OSINT-Audit · Bewertung der öffentlichen Exposition

Für wen. Jede Organisation mit relevanter digitaler Präsenz, sichtbarer Führungsebene oder Anfälligkeit für Social Engineering. Besonders nach einer Fusion, vor einer wichtigen öffentlichen Ankündigung oder nach einem Vorfall, der auf einen Datenabfluss hindeutet.

Was wir tun. Wir erfassen ausschließlich aus offenen und rechtmäßigen Quellen alle Informationen, die ein moderat motivierter Angreifer in einer Arbeitswoche über Ihre Organisation gewinnen könnte: Domains und Subdomains, exponierte Infrastruktur, in öffentlichen Leaks aufgetauchte Zugangsdaten, personenbezogene Informationen zur Führungsebene, Präsenz in Foren und sozialen Plattformen sowie Spuren von Dienstleistern.

Was wir nicht tun. Wir greifen nicht auf Systeme zu, wir testen keine Schwachstellen ohne Genehmigung, wir kontaktieren keine Mitarbeitenden mit Vorwänden. OSINT ist strikt passiv und rechtmäßig.

Liefergegenstand.

• Executive-Bericht von 12-20 Seiten.
• Priorisierte Befundliste nach Kritikalität.
• Maßnahmenplan mit konkreten Schritten, vorgeschlagenen Verantwortlichen und empfohlener Reihenfolge.
• Präsentationssitzung für Geschäftsführung und Technikteam.

Zeitrahmen. Zehn Werktage ab Vertragsunterzeichnung und Startfreigabe.

Wiederholbarkeit. Wir empfehlen das OSINT-Audit alle zwölf Monate oder nach wesentlichen organisatorischen Veränderungen zu wiederholen.

---

Wie beginnen?

Der erste Schritt ist immer die Erstanalyse. Eine Woche. Kostenfrei, wenn wir gemeinsam entscheiden, nicht weiterzumachen. Wir antworten mit Vor- und Nachnamen des Ingenieurs, der den Auftrag bearbeiten würde, vor jeder Verpflichtung.

Schreiben Sie an [email protected].