Keine Standardpakete, keine Checklisten von der Stange. Jedes Engagement beginnt mit dem Verständnis Ihrer konkreten Situation – und endet mit Ergebnissen, die in der Praxis funktionieren. Die folgenden Kompetenzbereiche spiegeln reale Projekterfahrung wider, keine Theorie.
Softwareentwicklung und Informationssicherheit zusammenzubringen ist eine Disziplin, die viele behaupten zu beherrschen – und wenige wirklich verstehen. Wir beraten Entwicklungsteams und -organisationen zu allen Aspekten des Secure Development Lifecycle (SDL): von der Bedrohungsmodellierung im Design über sichere Coding-Standards bis hin zu Security Reviews und Penetrationstests einzelner Komponenten. Langjährige Projekterfahrung als Application Security Architect in Groß- und mittelständischen Unternehmen, national und international. Das Ziel: Sicherheit, die nicht nachträglich aufgeklebt wird, sondern von Anfang an mitgedacht ist.
Manchmal braucht eine Organisation einen erfahrenen ISO sofort – bevor der eigene Mitarbeiter gefunden, eingearbeitet oder ausgebildet ist. Wir übernehmen die Funktion des Information Security Officers auf Zeit: bauen die interne Struktur auf, etablieren Prozesse und Dokumentation, suchen geeignete Kandidaten für die dauerhafte Besetzung, schulen sie bei Bedarf und übergeben die Verantwortung strukturiert. Mehrfach erprobtes Modell in Unternehmen unterschiedlicher Größe und Branche, auch im KRITIS-Umfeld. Kein Vakuum, kein Chaos, kein Wissensverlust.
Als vom British Standards Institute geprüfter Lead Auditor begleiten wir Organisationen durch den gesamten ISO-27001-Prozess: Gap-Analyse, Aufbau und Dokumentation des ISMS, internes Vor-Audit und Vorbereitung auf das Zertifizierungsaudit. Projekterfahrung reicht vom Kleinunternehmen bis zur europaweiten Einführung in Großunternehmen. Wir kennen die typischen Stolpersteine – und helfen Ihnen, sie zu vermeiden.
Ihre eigene Sicherheit ist nur so stark wie die Ihrer Lieferkette. Im Auftrag unserer Kunden auditieren wir Lieferanten und Dienstleister – sowohl hinsichtlich ihrer Informationssicherheitsmaßnahmen (ISO 27001, MaRisk, KRITIS) als auch ihrer Entwicklungsprozesse nach SDL-Kriterien, bis hin zu spezialisierten Anforderungen wie eIDAS. Das Ergebnis sind klare, nachvollziehbare Berichte als Grundlage für Lieferantenentscheidungen, Vertragsverhandlungen oder Maßnahmenplanung.
Betreiber kritischer Infrastrukturen stehen vor besonderen regulatorischen Anforderungen. Wir bereiten KRITIS-Audits vor, begleiten sie und arbeiten die Ergebnisse nach – von der Gap-Analyse über die Dokumentation bis zur Abstimmung mit Prüfern und Behörden. Die eigentliche Prüftätigkeit übernehmen zugelassene Auditoren; unsere Stärke liegt darin, dass Sie optimal vorbereitet in jedes Audit gehen.
Konzepte müssen irgendwann in funktionierende Technik münden. Wir begleiten die Auswahl und Einführung von Sicherheitstechnologie wie zum Beispiel API-Management und Identity & Access Management. Auch komplexe Vorhaben wie die Einführung von Cloud-basierten Security-Plattformen gehören zu unserer Projekterfahrung.
Public-Key-Infrastrukturen sind komplex, sicherheitskritisch und werden häufig unterschätzt. Wir verfügen über Projekterfahrung im Aufbau und der Überarbeitung unternehmensweiter PKI-Architekturen: Richtlinien, Prozesse, CA-Hierarchien, OCSP, HSM-Integration und LDAP-Anbindung – auch für Großprojekte mit mehreren Rechenzentren und internationaler Reichweite. Ergänzend beraten wir zu Verschlüsselungskonzepten für die Gesamt-IT.
Was passiert, wenn es wirklich ernst wird? Wir entwickeln Business-Continuity-Konzepte, Notfallhandbücher und Disaster-Recovery-Pläne – vom Aufbau eines vollständigen BCM bis hin zu detaillierten DR-Plänen für komplexe ERP-Umgebungen inklusive SAP-Subsystemen und zugehörigen Testplänen. Auf Wunsch analysieren wir auch aufgetretene Major Incidents und erarbeiten konkrete Maßnahmenpläne.
Informationssicherheit endet nicht an der Firewall. Wir beraten bei der Planung und Absicherung von Rechenzentren und Ausweich-Rechenzentren: von der Konzeption dualer RZ-Standorte über physische Sicherheitskonzepte bis hin zur Auditierung bestehender Infrastrukturen.
Für Unternehmen im regulierten Finanzumfeld kennen wir die besonderen Anforderungen der MaRisk: Risikoanalysen für Anwendungsentwicklung, Sicherheitsmanagement und Outsourcing-Konzepte nach MaRisk-Vorgaben. Projekterfahrung aus mehrjähriger Tätigkeit für Großunternehmen in Deutschland.
Sicherheit ist kein Produkt, sondern eine Einstellung.