Start / Fallstudien

Dieselben Probleme, in fünf verschiedenen Räumen.

Jedes Profil unten ist ein echtes Mandat, anonymisiert. Wir arbeiten für regulierte Firmen und ihre Dienstleister; Kundennamen zu veröffentlichen würde mehr über uns aussagen als über die Arbeit. Das Muster, auf das es ankommt: Jedes beginnt mit Druck, läuft durch Klarheit, Automatisierung, Sicherheit – und endet mit weniger zu verwalten, nicht mehr.

Vor den Profilen Was ein erstes Assessment typischerweise findet

Die Zahlen hinter dem Gefühl, für eine typische Firma mit 200 Arbeitsplätzen.

Ihre Zahlen werden abweichen. Sie zu messen ist der Punkt.

60–80

SaaS-Tools in der Umgebung, rund ein Drittel doppelt, ungenutzt oder ohne Verantwortlichen

12–20

Konten ehemaliger Mitarbeiter mit noch aktivem Zugriff beim ersten Scan

25–35^%

der Cloud-Ausgaben hängen an Workloads, für die niemand eine aktuelle Verwendung nennen kann

DORA unter BaFin-Aufsicht, ohne Sicherheitsteam

Privatbank · Frankfurt · ~220 FTE

Die Ausgangslage

DORA in Kraft, die BaFin aufmerksam, und ein internes IT-Team, gebaut für den Betrieb, nicht für einen IKT-Risikorahmen. Die Bank brauchte ein Compliance-Programm, das eine Aufsicht überzeugt, und einen Sicherheitsverantwortlichen, der ihr gegenübersitzen kann.

Was wir getan haben

Das DORA-Programm von Anfang bis Ende gebaut: IKT-Risikorahmen, Assetregister, Drittparteienregister und ein Vorfallsprozess, geprobt gegen die 72-Stunden-Frist. Ein Lockpoint-vCISO übernahm die Verantwortung für Sicherheitslage, Vorstandsberichte und die Schnittstelle zur Aufsicht – im Retainer.

Wo es gelandet ist

Register, die sich aus dem Tagesbetrieb aktualisieren statt aus jährlicher Panik, ein Vorfallsprozess, den das Team tatsächlich durchlaufen hat, und eine benannte Person, die jede Frage der Aufsicht verantwortet. Das Co-managed-Modell: Die interne IT behielt die Schlüssel.

ISO 27001 auf der Cloud, die sie tatsächlich betrieben

Asset Manager · Zürich · ~75 FTE

Die Ausgangslage

Eine AWS- und Google-Workspace-Umgebung, Deal für Deal gewachsen, steigende FINMA-Erwartungen und frühere Berater, die eine Plattformmigration drängten, die die Firma nicht brauchte. Sie wollte ISO 27001, ohne ihren Stack für die Wiederverkaufsmarge eines anderen umzubauen.

Was wir getan haben

Zuerst Architekturbereinigung: Umgebung kartiert, Konfiguration auf CIS Benchmarks standardisiert, doppeltes Tooling konsolidiert – dann ISO 27001 auf dem Ergebnis eingeführt. Keine Migration, keine neue Plattform, keine Lizenzen verkauft.

Wo es gelandet ist

Ein zertifizierungsreifes ISMS auf der Infrastruktur, die sie bereits verstanden, eine kleinere Tool-Landschaft als zu Beginn und ein Architekturdiagramm, das die Partner der FINMA selbst erklären können.

Die Fragebögen der Banken überleben

B2B-SaaS für EU-Banken · Amsterdam · ~110 FTE

Die Ausgangslage

Selbst nicht reguliert, aber jeder Kunde ist es. DORA-Drittparteienanforderungen kamen als Vertragsklauseln und DDQs mit zweihundert Fragen an, und ein festgefahrener Fragebogen blockierte eine Vertragsverlängerung. Der Vertrieb verhandelte Sicherheitszusagen, die niemand belegen konnte.

Was wir getan haben

DORA-Drittparteien-Readiness, gemappt auf das, was Banken tatsächlich fragen, ein SOC-2-Programm, das die Fragen dauerhaft beantwortet, und Penetrationstests über unser geprüftes Spezialistennetzwerk. Die laufenden DDQs haben wir mit ihnen beantwortet, Zeile für Zeile.

Wo es gelandet ist

Fragebögen hörten auf, eine Feuerwehrübung zu sein: Standardantworten mit stehenden Nachweisen, ein Pentest-Bericht in der Ablage, bevor der Einkauf fragt, und Sicherheit, die vom Vertriebshindernis zum Teil des Angebots wurde.

Fünfzig Neueinstellungen, kein IT-Team

Versicherungsgruppe · Kroatien · ~380 FTE

Die Ausgangslage

Eine wachsende Gruppe mit IT verteilt über Abteilungen, Anbietern ohne Verantwortliche und NIS2 am Horizont. Ein internes IT- und Sicherheitsteam in dieser Größe aufzubauen und zu betreiben hätte mehr gekostet und weniger geliefert, als das Problem verdient.

Was wir getan haben

MSP plus MSSP komplett unter einem Vertrag: zero-touch Geräte-Lifecycle über MDM, Identitäten und Zugänge über SCIM, Helpdesk, Privileged Access Management, Härtung und Managed Detection and Response. Anbieterregister konsolidiert, doppelte Tools gekündigt.

Wo es gelandet ist

Eine verantwortliche Partei für alles, vom neuen Laptop bis zum Alarm um 3 Uhr morgens. On- und Offboarding laufen aus HR-Daten, die Tool-Landschaft ist kleiner als vor unserer Ankunft, und die NIS2-Nachweise entstehen daraus, wie die Umgebung ohnehin betrieben wird.

Compliance in Fundraising-Geschwindigkeit

Zahlungsdienstleister · Wien · ~55 FTE

Die Ausgangslage

Series B im Gange, die Investoren-Due-Diligence stellte bereits Sicherheitsfragen, und DORA wie ISO 27001 beide unbeantwortet. Ein klassischer Beratungszeitplan hätte die Finanzierungsrunde überlebt.

Was wir getan haben

Klarheit, Automatisierung und den Compliance-Aufbau parallel gefahren, wo die Reihenfolge es zuließ: Asset- und Zugangskartierung als Zulieferung für das DORA-Register, SCIM und MDM zum Schließen der Lücken, die Auditoren markieren würden, ISO-27001-Einführung zugeschnitten auf das, was ein Zahlungsdienstleister mit 55 Leuten tatsächlich betreibt.

Wo es gelandet ist

DORA-Ausrichtung und ISO 27001 geliefert innerhalb des Deal-Fensters, Due-Diligence-Antworten gestützt auf Nachweise statt Absichten, und eine Automatisierungsschicht, in die die Firma nach der Runde weiter hineinwächst.

Der rote Faden: Keine dieser Firmen bekam einen Ordner. Sie bekamen laufende Systeme, stehende Nachweise und in vier von fünf Fällen eine kleinere Umgebung als zu Beginn.

Nächster Schritt

Ihre Situation steht irgendwo auf dieser Seite.

Dreißig Minuten mit einem Ingenieur. Bringen Sie Ihre Version davon mit.

Gespräch buchen Oder mit dem Assessment starten