Vorgehen
Risikobasiert, integriert, entscheidungsorientiert
Unser Vorgehen folgt einem klaren Vierschritt-Modell: Verstehen, Bewerten, Schützen, Stärken. Jede Phase baut auf der vorherigen auf und erzeugt konkrete, verwertbare Ergebnisse – keine Beraterprosa, sondern Entscheidungsgrundlagen.
Verstehen
Kontext, Schutzziele & Scope
Bevor wir bewerten, verstehen wir. Jede Organisation ist anders – andere Assets, andere Bedrohungslage, andere regulatorische Anforderungen. In dieser Phase schaffen wir die Grundlage für alles Weitere.
Was wir tun
- Stakeholder-Interviews mit Management, IT, Facility, HR
- Scope-Definition: Welche Standorte, Systeme, Prozesse?
- Regulatorisches Mapping: NIS2, ISO 27001, KRITIS, BSI, VdS
- Asset-Identifikation und Schutzbedarfsfeststellung
- Bestehende Sicherheitsmaßnahmen erfassen (as-is)
Ihre Ergebnisse
- Schutzbedarfsfeststellung
- Scope-Dokument
- Asset-Register
- Regulatorische Anforderungsmatrix
Methoden & Standards
Typischer Zeitrahmen
1–2 Wochen
Bewerten
Risiko-, Bedrohungs- & Schwachstellenanalyse
Die analytische Kernphase: Wir identifizieren Bedrohungen, decken Schwachstellen auf und bewerten Risiken systematisch. Nicht auf Basis von Bauchgefühl, sondern methodisch fundiert und nachvollziehbar.
Was wir tun
- Bedrohungsanalyse: 60+ Elementare Gefährdungen (BSI + eigene)
- Schwachstellenanalyse: physisch, technisch, organisatorisch
- Risikobewertung: Probability × Impact (5×5-Matrix)
- Gap-Analyse gegen Ziel-Normen (ISO 27001, BSI, NIS2)
- Vor-Ort-Begehung mit Fotodokumentation und Befundprotokoll
Ihre Ergebnisse
- Risikobericht mit Risikomatrix
- Schwachstellenkatalog mit Priorisierung
- Gap-Analyse-Report
- Fotodokumentation mit Befunden
Methoden & Standards
Typischer Zeitrahmen
2–4 Wochen
Schützen
Maßnahmenplanung & Umsetzungsbegleitung
Aus Findings werden Maßnahmen. Jede Empfehlung ist priorisiert, budgetiert und einer verantwortlichen Stelle zugeordnet. Wir liefern keine 200-seitigen Berichte, die in der Schublade landen – sondern Roadmaps, die umgesetzt werden.
Was wir tun
- Maßnahmenkatalog mit Risikobehandlungsoption (Vermeiden, Reduzieren, Transferieren, Akzeptieren)
- Priorisierung nach Risikoreduktion, Kosten und Umsetzbarkeit
- Budget- und Zeitplanung pro Maßnahme
- Normen-Mapping: Welche Maßnahme erfüllt welche Anforderung?
- Umsetzungsbegleitung bei Bedarf (Ausschreibung, Abnahme, Konfiguration)
Ihre Ergebnisse
- Priorisierter Maßnahmenplan (Risikobehandlungsplan)
- Schutzkonzept / Site Security Plan
- Budget-Roadmap
- Statement of Applicability (SoA)
Methoden & Standards
Typischer Zeitrahmen
2–4 Wochen (Planung), laufend (Begleitung)
Stärken
Governance, Monitoring & kontinuierliche Verbesserung
Sicherheit ist kein Projekt, sondern ein Prozess. In dieser Phase etablieren wir die Strukturen, die sicherstellen, dass Maßnahmen wirksam bleiben, Risiken nachverfolgt werden und die Organisation aus Vorfällen lernt.
Was wir tun
- KPI-Definition: Messbare Sicherheitskennzahlen
- Review-Zyklus: Management-Reviews, interne Audits
- Schulungs- und Awareness-Programm
- Incident-Response-Prozess und Lessons Learned
- Regelmäßige Risiko-Re-Assessments und Anpassung
Ihre Ergebnisse
- Governance-Framework
- KPI-Dashboard
- Audit- und Review-Plan
- Schulungskonzept
Methoden & Standards
Typischer Zeitrahmen
Laufend, quartalsweise Reviews
Methodische Grundprinzipien
Risikobasiert
Nicht alles gleich schützen – sondern dort investieren, wo das Risiko am höchsten ist. Schutzmaßnahmen folgen der Risikoanalyse, nicht der Checkliste.
Integriert
Physische, technische und organisatorische Sicherheit als ein System. Ein Zutrittskontrollsystem ohne Besucherrichtlinie ist wertlos – und umgekehrt.
Entscheidungsorientiert
Jedes Ergebnis ist eine Entscheidungsgrundlage: Was tun, was kostet es, was passiert wenn nicht? Keine akademischen Abhandlungen.
Iterativ
Sicherheit verbessert sich durch Zyklen: Bewerten → Umsetzen → Messen → Anpassen. Nicht durch einmalige Projekte.
Projekt starten?
Lassen Sie uns über Ihren Kontext sprechen – wir definieren gemeinsam den richtigen Scope.
Erstgespräch vereinbaren