Hier findest du durchdachte, „audit-ready“ Pakete für Beratung, Implementierung, Audits und Sicherheitsberatung.
Ohne Blabla – mit klaren Deliverables, sauberer Dokumentation und einem Ansatz, der in der Praxis funktioniert.
ISO 27001
Start
Quick Wins
ISMS QuickStart „48h Klarheit“
Der Turbo-Check für einen belastbaren Start: Standortbestimmung, Scope & Fahrplan – damit sofort Momentum entsteht.
- Kickoff + Kontext der Organisation (4.1–4.4)
- Scope-Definition inkl. Schnittstellen & Abhängigkeiten
- Top-Risiken, Sofortmaßnahmen, 30/60/90-Tage Plan
- Auditfähige Ergebnisdoku (Kurzbericht + Roadmap)
ISMS
Policies
Governance
ISMS Blueprint „Von Null auf System“
ISMS-Aufbau als echtes Managementsystem: Rollen, Policies, Prozesse und Nachweise – sauber strukturiert.
- ISMS-Organisation, Rollenmodell, Verantwortlichkeiten
- Policy-Set (InfoSec Policy, Asset, Access, Incident, Supplier…)
- Dokumentenlenkung, KPI/Monitoring, Management Review Setup
- Nachweisführung: „Wer macht was, womit, wann – und warum“
Risk
SoA
Audit-ready
Risk & SoA Forge „Kontrollen, die halten“
Risikobewertung plus Statement of Applicability, so dass Auditor:innen nichts „zwischen den Zeilen“ suchen müssen.
- Risiko-Methode (Kriterien, Skalen, Akzeptanz, Eigentümer)
- Risikoregister inkl. Behandlungsplan
- SoA (Anwendbarkeit, Begründungen, Implementierungsstatus)
- Traceability: Risiken ↔ Controls ↔ Nachweise
Audit
Interne Audits
ISO 19011
Internal Audit Sprint „Beweis statt Bauchgefühl“
Interne Audits nach sauberem Plan: Feststellungen, Abweichungen, Maßnahmen – belastbar dokumentiert.
- Auditprogramm & Auditplan (risikobasiert)
- Durchführung: Interviews, Stichproben, Evidence-Check
- Auditbericht inkl. NCR/CAR & Maßnahmen-Tracking
- Coaching für Auditgespräche (ruhig, strukturiert, präzise)
Zertifizierung
Readiness
Stage 1/2
Certification Readiness „Stage-2-Ready“
Generalprobe für die Zertifizierung: Dokumentation, Wirksamkeit, Evidences – und die letzten Lücken schließen.
- Gap-Analyse gegen ISO 27001 & SoA
- Evidence-Map: Nachweise pro Requirement/Control
- Mock-Audit inkl. Management-Interview
- Finale Maßnahmenliste + Priorisierung nach Risiko & Aufwand
ISO 27002
Controls
Hardening
ISO 27002 Control Hardening „Praxis-Upgrade“
Kontrollen so implementieren, dass sie in der Realität wirken – nicht nur im Dokument.
- Control-Design Workshops (People / Process / Tech)
- Secure Baselines & Mindeststandards (z.B. Access, Logging, Backup)
- Operationalisierung: Runbooks, Checklisten, Schulungsbausteine
- Wirksamkeitsnachweise: Messpunkte & Kontrolltests
Security
vCISO
Steuerung
vCISO „Security Leadership as a Service“
Externe Sicherheitsleitung auf Abruf: Priorisieren, entscheiden, steuern – mit klarer Kommunikation Richtung Management.
- Security-Roadmap, Risiko-Reporting, Entscheidungsgrundlagen
- ISMS-Steuerung, Maßnahmen-Controlling, Eskalationsmanagement
- Awareness & Security Champions Programm
- Audit- & Kundenfragebogen-Support
Incident
BC/DR
Tabletop
Incident & Resilience Lab „Wenn’s knallt“
Vorbereiten statt improvisieren: Incident Response, Lessons Learned und Resilience-Übungen mit realistischen Szenarien.
- IR-Playbooks (Ransomware, BEC, Data Leak, Insider)
- Tabletop Exercise inkl. Kommunikationsleitfaden
- BC/DR-Basics: RTO/RPO, Notfallbetrieb, Restore-Tests
- Nachbereitung: Verbesserungen & Evidence fürs ISMS
Lieferkette
Third Party
Due Diligence
Supplier & Cloud Assurance „Lieferkette im Griff“
Third-Party-Security, die nicht nur Fragebögen sammelt, sondern Entscheidungen ermöglicht.
- Lieferantenklassifizierung & risikobasierte Anforderungen
- Security Due Diligence (Cloud/SaaS/IT-Dienstleister)
- Vertrags-/SLA-Security-Bausteine & Kontrollpunkte
- Onboarding/Review Prozess inkl. Nachweisführung
Kontinuierlich
KPI
Compliance
Continuous Compliance „Immer auditbereit“
ISMS als Routine: wiederkehrende Checks, Kennzahlen und laufende Verbesserung – ohne Stress vor Audits.
- ISMS-Kalender (Reviews, Audits, Trainings, Tests)
- Maßnahmen-Backlog + Priorisierung nach Risiko
- KPI/OKR für Security (wirksam & messbar)
- Dokumentation aktuell halten (kein Papierfriedhof)
Audit
2nd Party
Kundenanforderung
Customer & Partner Audit Support „Souverän bestehen“
Wenn Kunden oder Partner auditieren: strukturierte Vorbereitung, Belegmappe, Gesprächsführung, Nacharbeit.
- Beantwortung Security-Fragebögen (evidenzbasiert)
- Audit-Begleitung (remote/onsite), Q&A-Briefing
- Evidence-Pack (Policies, Prozesse, Logs, Reports)
- CAPA-Plan nach Audit inkl. Follow-Up
Security Beratung
Architecture
Hardening
Security Architecture Clinic „Angriffsfläche runter“
Technische Sicherheitsberatung mit Fokus auf pragmatische Verbesserungen, die man wirklich betreiben kann.
- Logging/SIEM-Grundlagen, Detection-Use-Cases, Alert Hygiene
- IAM/Privileged Access Quick Checks
- Backup/Restore-Sicherheit, Immutable/Offline Konzepte
- Zero-Trust-Bausteine (Netzsegmentierung, Device Trust, MFA)