lockpoint
ENDEHR

Lockpoint Cybersecurity & IT-Engineering · DACH / Adria / UK

Irgendetwas an Ihrer IT stimmt nicht. Sie haben recht.

Sie spüren es bei jedem zähen Onboarding, jeder überraschenden Cloud-Rechnung und jedem unbeantworteten Kundenfragebogen – auch wenn niemand die Ursache benennen kann. Wir können es. Fünfzehn Jahre Börseninfrastruktur in Frankfurt, Zürich und New York haben uns gelehrt, wie gut entworfen aussieht. Wir bauen es für Firmen mit 30 bis 500 Mitarbeitern. Und betreiben es.

Gespräch buchen Das Gefühl benennen
Lockpoint / Register2026
Spezialisten im Haus
18
Geprüftes Expertennetzwerk
~40
Börsenbetrieb
15 Jahre
Standorte
FRA · SPU · BEG
Arbeitssprachen
EN · DE · HR
Herstellerpartnerschaften
0, aus Prinzip

Das Gefühl, benannt

Sie können nicht darauf zeigen. Aber Sie hören es immer wieder.

Jeder neue Mitarbeiter wartet tagelang auf Zugänge. Niemand kann sagen, warum.

Gehört von einem COO

Die Cloud-Rechnung hat sich in einem Jahr verdoppelt. Niemand kann sagen, welche Hälfte überhaupt etwas leistet.

Gehört von einem CFO

Ein Admin weiß, wie alles zusammenhängt. Er ist im Urlaub.

Gehört von einem CEO

Das Architekturdiagramm stammt von 2021. Es war schon 2021 falsch.

Gehört von einem CTO

Ein Kunde schickte einen Sicherheits-DDQ mit zweihundert Fragen. Im Raum wurde es still.

Gehört von einem Vertriebsleiter

Wir haben das Audit bestanden. Unser eigenes Setup konnte ich dem Auditor trotzdem nicht erklären.

Gehört von einem Geschäftsführer

Wenn Ihnen drei davon bekannt vorkommen, haben Sie kein IT-Problem. Sie haben Designschulden: ein System, das zufällig gewachsen ist und heute Ihr Unternehmen steuert. Zu benennen, was nicht stimmt – präzise und in Ihrer Sprache –, ist das Erste, was wir tun.

Zum Clarity Assessment

Warum jetzt

„Wir sind keine Bank“ ist keine Verteidigung mehr.

Regulierung war früher das Problem anderer. Heute erreicht sie Sie auf einem von drei Wegen – und zwei davon treffen Unternehmen, die nie mit einer Aufsicht gesprochen haben.

Position 1 · Direkt reguliert

Die Aufsicht schreibt Sie an.

Banken, Zahlungsdienstleister, Asset Manager, Versicherer, Fintech, Krypto. DORA wird seit Januar 2025 durchgesetzt: IKT-Register, Drittparteienaufsicht und eine 72-Stunden-Frist für Vorfälle. Viele Institute sind noch immer nicht konform und stehen unter aktiver Aufsicht.

Position 2 · Betroffen, ohne es zu wissen

Das Gesetz reicht weiter, als Sie denken.

NIS2 geht weit über die Finanzbranche hinaus: Gesundheitswesen, Logistik, Fertigung, Energie, digitale Anbieter. Gegen Tausende von Unternehmen in Deutschland, Österreich und der EU laufen Verfahren an – und viele Mittelständler sind betroffen, ohne es je geprüft zu haben.

Position 3 · In der Lieferkette

Ihr größter Kunde erbt Sie als Risiko.

Selbst nicht reguliert? Wer an eine Bank oder einen Konzern verkauft, bekommt deren Pflichten über die Auslagerungskette in den eigenen Vertrag. Die meisten Sicherheitsvorfälle bei Großunternehmen beginnen bei einem Dienstleister – deshalb entscheiden SOC 2, ISO 27001 und DORA-Drittparteienfragebögen heute darüber, wer den Auftrag behält.

17 JAN 2025 DORA gilt für alle EU-Finanzunternehmen 2024 → 2026 NIS2 kommt in DE, AT und der ganzen EU HEUTE SIE SIND HIER Aktive Aufsicht, laufende Verfahren, Einkaufs-Audits

Die 72-Stunden-Frist von DORA fragt nicht, welcher Ihrer drei Dienstleister verantwortlich ist. Egal auf welcher Position Sie sitzen: Der Druck kommt immer gleich an – als Fragebogen, als Schreiben, als Frist. Ein verantwortlicher Partner heißt: eine Telefonnummer, wenn es so weit ist.

Das Berater-Problem

Berater übergeben Ihnen einen Ordner. Wir übergeben Ihnen ein laufendes System.

Die übliche Antwort auf Compliance-Druck ist eine Beratung, die Papier produziert und das Gebäude verlässt. Die übliche Antwort auf IT-Druck ist ein MSSP, der empfiehlt, was er weiterverkauft. Lockpoint vereint beide Hälften in einem Team: Ingenieure, die Infrastruktur liefern, und GRC-Praktiker, die wissen, wie der DDQ Ihres Kunden bewertet wird. Wir beantworten ihn Zeile für Zeile – und können Ihren für Sie übernehmen.

Das Beratungsmuster

  • Ein Ordner voller Richtlinien, die niemand betreibt
  • Befunde ohne Behebung. Die Behebung ist das Folgemandat.
  • Juniors, die auf Ihre Rechnung lernen
  • Empfehlungen, geformt von Wiederverkaufsmargen
  • Weg an dem Tag, an dem der Bericht landet

Das Lockpoint-Muster

  • Laufende Systeme plus die Nachweise, die sie täglich erzeugen
  • Wir bauen die Behebung: MDM, SCIM, PAM, MDR – in Produktion
  • Praktiker aus dem Börsenbetrieb auf Ihrem Mandat
  • Kein Partnerstatus, keine weiterverkauften Lizenzen – aus Prinzip
  • Auf Abruf, im Retainer oder im Vollbetrieb für Sie

Die Frage nach dem internen Team

„Wir haben schon IT-Leute.“ Gut. Behalten Sie sie.

Ihr Team ist auf Betrieb ausgelegt: Tickets, Verfügbarkeit, heute. Identity, Endpoints und Cloud neu zu entwerfen ist ein anderer Job – er steht alle paar Jahre an, und gut macht ihn nur, wer ihn schon oft gemacht hat. Wir haben das. Wir entwerfen den Zielzustand mit Ihrem Team am Tisch, automatisieren die Routinearbeit aus seinem Alltag heraus und bleiben dahinter auf Abruf.

HEUTE · UNKARTIERT Schatten-SaaS Ex-Mitarbeiter, noch Admin Tool ohne Owner lockpoint 1 · KLARHEIT 2 · AUTOMATISIERUNG 3 · SICHERHEIT DANACH · FÜNF DOMÄNEN, KLARE OWNER Identität & Zugriff SCIM-Lifecycle · PAM · aus HR-Daten Endgeräte Zero-touch-MDM · verschlüsselt · löschbar Cloud-Workloads AWS / GCP / Azure · CIS-gehärtet · dimensioniert Erkennung & Reaktion MDR über Endgeräte, Identität, Cloud Governance & Nachweise ISO 27001 · DORA · NIS2 · DDQ-bereit Jedes Tool behält eine Aufgabe oder verliert seine Lizenz. Ihr Team betreibt das Ergebnis; wir bleiben auf Abruf.
Abb. 02 / dasselbe Unternehmen, neu gezeichnetKlarheit → Automatisierung → Sicherheit

Das ist die ehrliche Arbeitsteilung: Ihr Team kennt Ihr Geschäft; wir wissen, wie diese Transformation aussieht, weil wir sie schon durchgeführt haben. Die meisten internen Teams machen das nie zweimal. Unseres macht es beruflich.

Nach dem Neuentwurf betreibt Ihr Team ein System, das sich selbst erklärt: Zugänge aus HR-Daten, Geräte, die sich selbst konfigurieren, Nachweise auf Knopfdruck. Die Arbeit, die IT undankbar gemacht hat, ist die Arbeit, die wir wegautomatisieren. So arbeiten wir neben einem Team →

Maßgeschneidert, nicht von der Stange

Best Practices gehen hinein. Ihre Architektur kommt heraus.

Wir kommen mit Blaupausen: Muster, bewährt dort, wo Ausfälle Schlagzeilen machen, verankert in internationalen Standards wie CIS Benchmarks und ISO 27001. Aber keine zwei Firmen bekommen denselben Aufbau. Die Blaupause passt sich Ihrem Geschäft, Ihren Werkzeugen und Ihren Pflichten an – nie umgekehrt.

  • Mit Ihnen entworfen, nicht an Sie geliefert. Ihr Team sitzt am Tisch, jede Entscheidung wird erklärt, und das finale Diagramm könnten Sie selbst am Whiteboard nachzeichnen. Verständnis ist das Arbeitsergebnis; Eigenverantwortung die Folge.
  • Kein Einheitsstack. Wir halten keine Herstellerpartnerschaften und verkaufen nichts weiter. Das Design passt zu Ihrer Umgebung und Ihrem Budget, nicht zur Preisliste eines Resellers.
  • Es bleibt Ihres. Dokumentation, Runbooks, Register und Diagramme werden laufend übergeben. Wären wir morgen verschwunden – Ihr System wäre es nicht.
GEWACHSEN Nie kartiert · niemand verantwortlich ENTWORFEN Identität & Zugriff Geräte & Endpoints Workloads & Daten SCIM MDM MDR Kartiert · automatisiert · erklärbar
Abb. 01 / gewachsene vs. konstruierte ArchitekturLockpoint-Blaupausen

Die meisten Anbieter hinterlassen Ihnen mehr. Unsere Mandate enden meist mit weniger.

Weniger Tools

Doppelte Software wird gefunden, konsolidiert und gekündigt. In einem typischen Mandat überleben 20 bis 40% der SaaS-Lizenzen die erste Durchsicht nicht.

Geringere Ausgaben

Cloud-Umgebungen auf AWS, GCP und Azure richtig dimensioniert und aufgeräumt. Rechnungen fallen üblicherweise 25 bis 35% leichter aus, sobald Workloads der tatsächlichen Nutzung entsprechen.

Ein Standard

Infrastruktur, Betrieb und Governance standardisiert auf CIS Benchmarks und ISO 27001 – damit jede Audit-Antwort dieselbe Antwort ist.

„Ihre IT ist nicht gescheitert. Sie wurde nie entworfen. Wir entwerfen sie, dann automatisieren wir sie.

Die Lockpoint-Methode, in einem Satz

Wie wir arbeiten

Klarheit, dann Automatisierung, dann Sicherheit. In dieser Reihenfolge.

Die meisten Anbieter verkaufen zuerst Sicherheit, weil das der Posten ist, den Sie am schnellsten freigeben. Auf einer undokumentierten Umgebung scheitert sie. Wir setzen sie ans Ende – weil sie dann funktioniert.

1 · Klarheit 2 · Automatisierung 3 · Sicherheit
SCHRITT 1

Klarheit

Wir erfassen jedes Tool, jedes Konto und jeden Anbieter, den Sie tatsächlich betreiben, erstellen das echte Architekturdiagramm und schneiden den Ballast weg. Rund 30% dessen, was die meisten Unternehmen für IT ausgeben, ist Verschwendung. Wir finden sie und beseitigen sie. Dieselbe Karte dient zugleich als Ihr DORA-IKT-Assetregister.

Asset-KarteZugangsinventarAnbieterregisterVerschwendungsanalyse
SCHRITT 2

Automatisierung

Zero-touch-Geräteeinrichtung über MDM. SCIM-Provisionierung und -Deprovisionierung, angebunden an Ihr HR-System. Privileged Access Management mit Audit-Trail. Offboarding, das von selbst läuft. Wenn jemand geht: Wie lange dauert es, bis alle Zugänge entzogen sind? Die meisten Unternehmen wissen es nicht. Unsere Kunden antworten in Minuten.

MDMSCIMPAMAuto-Offboarding
SCHRITT 3

Sicherheit

Auf einer sauberen, dokumentierten Umgebung funktioniert Detection and Response tatsächlich. Managed Detection and Response über Endpoints, Identity und Cloud – mit Compliance-Nachweisen, die aus dem Tagesbetrieb abfallen statt aus der jährlichen Hektik.

HärtungMDRCompliance-Nachweise

Was sich tatsächlich ändert

Ein Prozess, vorher und nachher.

Beim Offboarding wird nicht entworfene IT teuer. So sieht es in einem typischen Mandat aus – bevor wir es anfassen und nachdem die Automatisierungsphase ausgeliefert ist.

VORHER HR schickt E-Mail Ticket wird geöffnet Admin klickt sich durch jedes System, von Hand Tage oder Wochen aktiver Zugriff, verwaiste Konten bleiben zurück NACHHER HR setzt Austrittsdatum SCIM deprovisioniert alles Zugriff in Minuten tot, Gerät gelöscht, Audit-Log automatisch geschrieben

Vorher / nicht entworfen

  • Laptops von Hand aufgesetzt, Tage, bis ein neuer Mitarbeiter produktiv ist
  • Zugänge per Ticket vergeben, aus dem Gedächtnis entzogen
  • Niemand verantwortet die Anbieterliste oder kennt ihre Kosten
  • Admin-Rechte verteilt und nie überprüft
  • Audit-Nachweise in Panik zusammengesucht, einmal im Jahr

Nachher / konstruiert

  • Zero-touch-MDM-Enrollment: Ein Laptop konfiguriert sich direkt aus dem Karton
  • SCIM legt Konten direkt aus dem HR-System an und entfernt sie wieder
  • Ein Anbieterregister mit Verantwortlichen, Kosten und Vertragslaufzeiten
  • Privilegierte Zugänge kontrolliert, zeitlich begrenzt und protokolliert
  • Nachweise exportierbar auf Abruf, gemappt auf DORA, ISO 27001, SOC 2

Wie wir uns einfügen

Neben Ihrem Team – oder an dessen Stelle.

Maßgeschneidert gilt auch für die Zusammenarbeit. Manche Kunden wollen einen Partner neben ihrer internen IT. Manche wollen die gesamte Umgebung betrieben bekommen. Beide bekommen dieselben Ingenieure und dieselbe Verantwortung.

Modell A · Co-managed

Wir sitzen neben Ihrem internen Team.

Ihr IT-Team Lockpoint gemeinsames Design · Eskalation

Ihre Leute behalten die Schlüssel und lernen das Design. Wir bringen die Blaupausen, den Aufbau und die Rückendeckung.

  • Architektur und Blaupausen, entworfen mit Ihrem Team am Tisch
  • Deployments und Automatisierung: MDM, SCIM, PAM, Härtung
  • Rufbereitschaft und Eskalation hinter Ihrer ersten Linie
  • Audit- und DDQ-Unterstützung, gemeinsam beantwortet, Zeile für Zeile
Modell B · Vollständig gemanagt · €100–250 pro Arbeitsplatz / Monat

Wir betreiben, warten und verantworten es für Sie.

Ihr Unternehmen lockpoint · IT + Sicherheit + Nachweise

Stellen Sie fünfzig Leute ein. Stellen Sie kein IT-Team ein. Ein Vertrag, eine verantwortliche Partei.

  • Kompletter IT-Betrieb: Geräte-Lifecycle, Identity, Helpdesk
  • Managed Detection and Response über Endpoints, Identity, Cloud
  • Compliance-Nachweise, erzeugt vom Tagesbetrieb
  • Anbieter- und Kostenmanagement, mit den ~30% Verschwendung herausgeschnitten

Fallstudien

Mandate genau bei den Firmen, auf die Aufsichtsbehörden schauen.

Privatbank · Frankfurt~220 FTE

DORA-Programm unter BaFin-Aufsicht

Vollständiges DORA-Compliance-Programm mit laufendem vCISO-Retainer: IKT-Risikorahmen, Assetregister, Drittparteienregister, Vorfallsprozess getestet gegen die 72-Stunden-Frist.

DORAvCISOBaFin
Asset Manager · Zürich~75 FTE

ISO 27001 auf einer AWS- und Google-Workspace-Umgebung

Architekturbereinigung und ISO-27001-Einführung entlang der FINMA-Erwartungen – auf dem Cloud-Stack, den die Firma tatsächlich betreibt, nicht auf dem, den ein Hersteller verkaufen wollte.

ISO 27001AWSFINMA
B2B-SaaS für EU-Banken · Amsterdam~110 FTE

Die Fragebögen der Banken überleben

DORA-Drittparteien-Readiness, SOC-2-Programm und Penetrationstests für eine Plattform, deren Bankkunden ihre Dienstleister inzwischen so hart prüfen, wie die Aufsicht sie selbst prüft.

DORA-DrittparteienSOC 2Pentest
Versicherungsgruppe · Kroatien~380 FTE

MSP und MSSP komplett unter einem Vertrag

Kompletter IT-Betrieb plus Managed Security: Geräte-Lifecycle, Identity, Helpdesk, Härtung sowie Detection and Response – mit einer Partei, die für alles verantwortlich ist.

MSP + MSSPNIS2
Zahlungsdienstleister · Wien~55 FTE

DORA und ISO 27001 gegen eine Series-B-Deadline

Compliance in Fundraising-Geschwindigkeit: DORA-Ausrichtung und ISO 27001 geliefert, während die Investoren-Due-Diligence bereits lief.

DORAISO 27001Due Diligence
Ihre Firma30–500 FTE

Reguliert, Zulieferer der Regulierten – oder einfach das Chaos satt?

Finanzunternehmen und ihre Dienstleister sind unser Kern. Gesundheitswesen, Logistik und Fertigung unter NIS2 gehören ebenso dazu.

Mit einem Gespräch beginnen

Die Profile sind anonymisierte Mandate. Wir arbeiten für regulierte Firmen; deren Namen veröffentlichen wir nicht.

Alle Fallstudien lesen

Wie Sie starten

Klein anfangen, zum Festpreis, für sich allein nützlich.

Kein Discovery-Theater, keine Beratung ohne Ende. Der erste Schritt hat einen Preis, einen Umfang und ein Ergebnis, das Sie behalten – ob wir je wieder sprechen oder nicht.

IT & Security Clarity Assessment

Der Einstieg. Wir kartieren Ihre Umgebung, finden Verschwendung und Exponierung und übergeben Ihnen einen priorisierten Risikobericht mit bepreistem Maßnahmenplan. Die Asset-Karte dient zugleich als Ihr DORA-IKT-Register. Ihres zum Behalten – ob wir umsetzen, entscheiden Sie.

€4,000–6,000 Festpreis

Compliance-Programme

DORA, NIS2, ISO 27001, SOC 2 und Kunden-DDQs. Von der Gap-Analyse bis zu audit-fertigen Nachweisen, auf Wunsch mit vCISO-Retainer für laufende Verantwortung und die Schnittstelle zur Aufsicht.

Nach Umfang pro Programm

IT + Security komplett

MSP, MSSP oder beides unter einem Vertrag: Geräte-Lifecycle, Identity, Helpdesk, Härtung und Managed Detection and Response.

€100–250 pro Arbeitsplatz / Monat

Direkte Projekte

Klar umrissene Arbeit ohne Programm: Penetrationstest, MDM-/SCIM-/PAM-Deployment, Härtungssprint oder ein definierter Retainer.

Nach Umfang Festangebot

Einwände, beantwortet

Was Käufer fragen, bevor sie unterschreiben.

Wir sind nicht reguliert. Warum sollte uns das betreffen?

Aus zwei Gründen. NIS2 reicht weit über die Finanzbranche hinaus – in Gesundheitswesen, Logistik, Fertigung, Energie und digitale Dienste –, und viele Mittelständler sind betroffen, ohne es geprüft zu haben. Und selbst wenn kein Gesetz Sie nennt: Die Pflichten Ihres größten Kunden fließen über dessen Auslagerungskette in Ihren Vertrag. Der Sicherheitsfragebogen, der über Ihre Vertragsverlängerung entscheidet, ist Regulierung – nur zugestellt vom Einkauf statt von der Aufsicht.

Worin unterscheiden Sie sich von einer Beratung?

Im Ergebnis. Das Arbeitsergebnis einer Beratung ist ein Dokument; unseres ist ein laufendes System samt der Nachweise, die es erzeugt. Dasselbe Team, das Ihren IKT-Risikorahmen schreibt, rollt das MDM aus, verdrahtet den SCIM-Lifecycle und beantwortet den Kunden-DDQ mit Ihnen Zeile für Zeile. Papier ohne funktionierende Infrastruktur fällt irgendwann im Audit durch. Infrastruktur ohne Papier sofort. Sie brauchen beides – aus einem Team.

Warum haben Sie keine Herstellerpartnerschaften oder Zertifizierungen von Microsoft, Google oder AWS?

Mit Absicht. Partnerstatus kommt mit Wiederverkaufszielen, und Wiederverkaufsziele verbiegen Empfehlungen. Wir haben tiefe Praxiserfahrung mit Microsoft Entra, Defender und M365, Google Workspace und AWS – aber wir verkaufen keine Lizenzen und nehmen keine Provisionen. Wenn wir Ihnen raten, ein Produkt abzuschaffen, kostet uns dieser Rat nichts und spart Ihnen Geld.

Wir sind reguliert. Kann eine Firma Ihrer Größe diese Verantwortung tragen?

Verantwortung zu tragen ist der Kern des Modells. Ihr Vertragspartner ist Lockpoint d.o.o., eine in Split, Kroatien (EU) registrierte Gesellschaft unter Geschäftsführerin Antonela Lukač. Die Menschen, die die Arbeit machen, haben jahrelang IT und Sicherheit in Börsen betrieben – Umgebungen, in denen ein Ausfall auf der Titelseite landet und immer eine Aufsicht im Raum sitzt. Und weil hinter dem 18-köpfigen Kern ein geprüftes Netzwerk von rund 40 Spezialisten steht, bekommen Sie die Abdeckung einer großen Praxis ohne die Junior-Bank.

Wir haben ein internes IT-Team. Kommt ihm das in die Quere?

Genau dafür gibt es das Co-managed-Modell. Wir entwerfen mit Ihrem Team am Tisch, übergeben Dokumentation während des Aufbaus und übernehmen die Rufbereitschaft und die Spezialaufgaben, die es nicht allein tragen sollte. Ihre Leute betreiben am Ende ein besseres System – statt mit uns darum zu konkurrieren.

Was kostet das?

Das Clarity Assessment kostet €4,000–6,000, fix. IT und Sicherheit komplett liegt je nach Größe und Pflichten bei etwa €100–250 pro Arbeitsplatz und Monat. Programme und Projekte werden vor Arbeitsbeginn gegen einen schriftlichen Umfang angeboten.

Können wir einfach nur einen Penetrationstest kaufen?

Ja. Klar umrissene Arbeit – Pentests, Deployments, Retainer – kann direkt beauftragt werden, ohne vorheriges Assessment.

Nächster Schritt

Dreißig Minuten mit einem Ingenieur, nicht mit einem Verkäufer.

Bringen Sie Ihre Frist mit, Ihren Fragebogen oder das Gefühl, dass etwas nicht stimmt. Sie gehen mit einer klaren Einschätzung, wo Sie stehen und was wir zuerst tun würden.

Gespräch buchen