Verfügbar für neue Projekte

Sicherheit ist Chefsache.
Nicht nur IT-Sache.

87 % der Unternehmen wurden zuletzt Ziel von Angriffen — über Rechnungsprozesse, Postfächer und Lieferketten genauso wie über Server. Ich sichere Unternehmen im DACH‑Raum Ende‑zu‑Ende: Menschen, Prozesse, Technologie — und Ihre Datensouveränität.

Erstgespräch vereinbaren Warum das Sie betrifft

Für Geschäftsführung & Inhaber

Der nächste Vorfall beginnt selten
im Rechenzentrum.

Die teuersten Schäden entstehen dort, wo niemand hinschaut: in alltäglichen Geschäftsprozessen. Vier Szenarien, die täglich in deutschen Unternehmen passieren — ganz ohne „gehackte Server".

Die „dringende Überweisung" des Chefs

Freitag, 16:40 Uhr. Die Buchhaltung erhält eine E‑Mail „vom Geschäftsführer": 84.000 € sofort an einen neuen Lieferanten. Der Ton stimmt, die Signatur stimmt. Das Geld ist weg.

Das Problem ist der Prozess: Es fehlt kein Virenscanner, sondern ein Vier-Augen-Prinzip für Zahlungsfreigaben. CEO-Fraud funktioniert, weil Abläufe nie auf Missbrauch geprüft wurden.

Die geänderte Bankverbindung

Ein Stammlieferant „informiert" per E‑Mail über eine neue IBAN. Drei Monate und sechs Rechnungen später meldet sich der echte Lieferant — und mahnt 240.000 € an.

Das Problem ist der Prozess: Stammdatenänderungen ohne Rückruf-Verifikation sind eine offene Tür. Ein definierter Freigabeprozess kostet nichts — sein Fehlen sechsstellig.

Der Abgang mit Kundenliste

Ein Vertriebsmitarbeiter kündigt. Sein Zugang zum CRM funktioniert noch drei Wochen, der Datei-Export fällt niemandem auf. Beim Wettbewerber kennt man plötzlich Ihre Konditionen.

Das Problem ist der Prozess: Ohne Offboarding-Prozedur, Berechtigungskonzept und Protokollierung ist Wissensabfluss unsichtbar — bis er im Markt sichtbar wird.

Der Dienstleister als Einfallstor

Nicht Sie werden angegriffen, sondern Ihr IT‑Dienstleister, Ihr Lohnbüro oder Ihre Werbeagentur — mit gültigen Zugängen zu Ihren Systemen. Ihre Daten, deren Sicherheitsniveau.

Das Problem ist der Prozess: Wer darf was, und wer prüft das? Lieferantenrisiken sind unter NIS2 explizit Ihre Pflicht — und persönliche Verantwortung der Geschäftsleitung.

289 Mrd. €
Schaden pro Jahr für die
deutsche Wirtschaft
87%
der Unternehmen waren
bereits betroffen
10 Mio. €
mögliches Bußgeld
unter NIS2
§ 38
BSIG: persönliche Haftung
der Geschäftsleitung

Quellen: Bitkom Wirtschaftsschutz 2025 · NIS2-Umsetzungsgesetz (DE), in Kraft seit 6. Dezember 2025 · Schweiz: revDSG mit Bussen bis 250'000 CHF gegen verantwortliche Personen · Österreich: NISG

Unter dem Radar

Die unsichtbare Angriffsfläche
wächst jeden Tag.

Kein Alarm, kein Eindringling, kein Schadcode — und trotzdem offen wie ein Scheunentor. Sechs Schwachstellen, die in fast jedem Unternehmen existieren und in keinem Monitoring auftauchen.

Shadow AI

Jeder 5. Datenvorfall geht bereits auf ungesteuerte KI-Nutzung zurück — mit überdurchschnittlichen Schadenskosten (IBM 2025).

Rund die Hälfte der Beschäftigten nutzt KI-Tools ohne Freigabe — und füttert sie mit Kundendaten, Verträgen und Quellcode. Ohne KI-Richtlinie fließen Ihre Daten in fremde Trainingsmodelle.

Fehlende Multifaktor-Authentifizierung

99,9 % der übernommenen Konten hatten keine MFA aktiviert (Microsoft).

Drei von vier Vorfällen beginnen heute mit einer gestohlenen Identität: Angreifer brechen nicht mehr ein — sie loggen sich ein. MFA ist die günstigste Versicherung, die es gibt.

Privilegierte Berechtigungen

Admin-Rechte „aus Bequemlichkeit" sind der Turbo für jeden Angriff — ein Konto, voller Zugriff.

Wer hat Domänen-Admin? Wer kennt das Passwort des Dienstkontos von 2019? Ohne Berechtigungskonzept und Privileged-Access-Management weiß das oft niemand — Angreifer finden es in Minuten.

User Lifecycle ohne Prozess

Eintritt, Abteilungswechsel, Austritt: Jede Station sammelt Rechte — kaum eine entfernt sie.

Nach Jahren hat ein Mitarbeiter Zugriffe aus drei Rollen — und der Praktikant von letztem Sommer noch ein aktives VPN. Joiner-Mover-Leaver-Prozesse schließen diese Lücken systematisch.

Mangelnde User Awareness

Die beste Firewall nützt nichts, wenn ein Klick auf „Rechnung_offen.pdf.exe" sie umgeht.

Ihre Mitarbeitenden sind die erste Verteidigungslinie — oder das erste Opfer. Regelmäßige, alltagsnahe Trainings und Phishing-Simulationen machen den Unterschied, nicht das jährliche Pflicht-PDF.

Fehlende Policies & Guidelines

Was nicht geregelt ist, entscheidet jeder selbst — im Zweifel falsch.

Darf der Vertrieb Kundendaten per WhatsApp teilen? Wer gibt Zahlungen frei? Klare, gelebte Richtlinien sind keine Bürokratie — sie sind die Betriebsanleitung für sicheres Arbeiten. Und Prüfer fragen zuerst danach.

Kein Flickenteppich.
Ein geschlossener Sicherheitskreislauf.

Fünf Bausteine, die ineinandergreifen — vom ersten Befund über gehärtete Geschäftsprozesse bis zum beherrschten Ernstfall. Alles aus einer Hand, ohne Herstellerbindung.

Vom blinden Fleck zum beherrschten Risiko.

So greifen die Bausteine ineinander — als Kreislauf, nicht als Einzelprojekte.

Erkennen

Wo ist Ihr Unternehmen verwundbar — technisch und in den Abläufen?

Security Assessment

Steuern

Verantwortung, Prioritäten und Nachweise — auf Führungsebene verankert.

CISO as a Service

Härten

Geschäftsprozesse ohne Medienbrüche, Schatten-IT und Zuruf-Freigaben.

Awareness & Prozess-Härtung

Umsetzen

Sichere, konforme Werkzeuge für Dokumente und Zusammenarbeit.

Paperless-ngx & Nextcloud

Beherrschen

Wenn es passiert: geführter Krisenstab, fristgerechte Meldung, Lessons Learned.

Incident Retainer

CISO as a Service

Ihr Chief Information Security Officer.
Ohne Vollzeit-Kosten.

25 Jahre IT‑Security, davon 15 Jahre als CISO bei einem der weltgrößten Versicherungskonzerne — verantwortlich für Europa und den Mittleren Osten. Diese Erfahrung aus der am stärksten regulierten Branche gibt es jetzt als flexiblen Retainer, ab wenigen Tagen pro Monat.

Sicherheitsbesprechung im Managementkreis

Drei Kompetenzfelder.
Eine Verantwortung.

  • Strategie, ISMS & Prozesse: Sicherheitsstrategie und Roadmap, Aufbau und Betrieb eines ISMS, Richtlinien, Prozesse und Prozeduren — inklusive KPIs und Reporting an Geschäftsführung und Beirat.
  • Regulatorik & Compliance im DACH-Raum: NIS2, DORA, DSGVO, ISO/IEC 27001, TISAX, BSI IT‑Grundschutz sowie revDSG (Schweiz) und NISG (Österreich) — Gap‑Analysen, Audit‑Begleitung und belastbare Nachweisführung gegenüber Kunden, Prüfern und Behörden.
  • Security- & Data-Incident-Management: Incident‑Response‑Playbooks, Krisenstab‑Leitung im Ernstfall, fristgerechte Meldungen (u. a. Art. 33 DSGVO, NIS2), Forensik‑Koordination und Lessons Learned — Prozesse, die ich einführe, übe und im Ernstfall selbst führe.

CISO Advisory

ab 2 Tage / Monat

Für Unternehmen mit IT‑Team, aber ohne Security‑Führung: der Sparringspartner für Geschäftsführung und IT.

  • Security-Roadmap & Priorisierung
  • Quartalsweises Management-Reporting
  • Bewertung von Investitionen & Dienstleistern
  • Ad-hoc-Beratung bei Sicherheitsfragen
Anfragen

Incident Retainer

Zusatzmodul · Rufbereitschaft

Wenn es brennt, zählt jede Stunde: garantierte Erreichbarkeit und ein eingespielter Meldeprozess.

  • Garantierte Reaktionszeit im Sicherheitsvorfall
  • Leitung des Krisenstabs & Kommunikation
  • 72-Stunden-Meldeprozess (Art. 33 DSGVO, NIS2)
  • Jährliche Tabletop-Notfallübung
  • Post-Incident-Review & Härtungsmaßnahmen
Anfragen
25
Jahre
IT-Security
15
Jahre CISO bei einem der welt-
größten Versicherungskonzerne
EMEA
Verantwortung für Europa
& den Mittleren Osten
Nr. 1
geprägt von der am stärksten
regulierten Branche
NIS2 DORA ISO/IEC 27001 BSI IT-Grundschutz DSGVO · Art. 33/34 TISAX revDSG 🇨🇭 NISG 🇦🇹

Security Assessments

Kennen Sie Ihre Schwachstellen,
bevor es andere tun.

Ein Angriff ist keine Frage des Ob, sondern des Wann. Ein strukturiertes Assessment zeigt, wo Sie stehen — verständlich, priorisiert und mit konkretem Maßnahmenplan.

IT-Beraterin analysiert Server-Infrastruktur im Rechenzentrum

Vom Befund zum Maßnahmenplan.

Kein 200‑Seiten‑PDF, das in der Schublade verschwindet — sondern ein priorisierter Fahrplan, den Ihr Team tatsächlich umsetzen kann.

  • Externe & interne Angriffsfläche: Netzwerk, Firewall, exponierte Dienste, Passwort‑ und Patch‑Hygiene.
  • Cloud & Identität: Microsoft 365 / Entra ID, MFA‑Abdeckung, Berechtigungswildwuchs, Backup‑Strategie.
  • Orientiert an Standards: BSI IT‑Grundschutz, CIS Controls und — wo relevant — NIS2‑Anforderungen.
  • Management Summary: Ergebnisse in Geschäftssprache, technischer Anhang fürs IT‑Team.
72h
bis zum ersten
Zwischenbericht
30+
Prüfbereiche nach
BSI & CIS
100%
herstellerunabhängige
Empfehlungen
0
Fachchinesisch im
Management-Report

Der Faktor Mensch

Ihre stärkste Firewall
sitzt an der Tastatur.

Die beste Technik nützt nichts, wenn ein einziger Klick sie umgeht. Ich mache aus Ihren Mitarbeitenden die erste Verteidigungslinie — mit Wissen, klaren Regeln und einem sicheren Gespür dafür, welche Informationen schützenswert sind.

Wissen. Regeln. Klarheit.

Drei Bausteine, die aus Unsicherheit gelebte Sicherheitskultur machen — verständlich, alltagsnah und messbar.

  • Awareness‑Sessions, die hängen bleiben: Regelmäßige, alltagsnahe Trainings und Phishing‑Simulationen statt jährlichem Pflicht‑PDF. Ihre Leute erkennen CEO‑Fraud, Phishing und gefälschte Rechnungen, bevor sie klicken.
  • Akzeptabler Umgang mit IT & Informationen: Verständliche Nutzungsrichtlinien für E‑Mail, Passwörter, mobile Geräte, Homeoffice und KI‑Tools — was erlaubt ist, was nicht und warum. Gelebte Leitplanke statt 40‑Seiten‑PDF, das niemand liest.
  • Datenklassifizierung, die jeder versteht: Ein einfaches Schema — öffentlich · intern · vertraulich · streng vertraulich — macht klar, wie jede Information zu behandeln ist: was in ein KI‑Tool darf, was verschlüsselt gehört und was das Haus nie verlässt.
  • Messbar statt Alibi: Fortschritt über Phishing‑Klickraten und Wissenstests belegt — Rückenwind für Ihr Team und ein Nachweis für Audits (NIS2, ISO 27001, Kundenaudits).
Team in einer Awareness‑Session

Wenn es doch passiert

Vorbereitet sein
schlägt Panik.

Ein Vorfall ist keine Frage des Ob, sondern des Wann. Der Unterschied zwischen einem schlechten Tag und einer Existenzkrise ist ein eingeübter Plan — statt hektischem Improvisieren, während die Uhr läuft.

Team bei einer Notfallübung am Tisch

Der Plan für den Ernstfall.

Damit im Krisenmoment nicht diskutiert, sondern gehandelt wird — mit klaren Rollen, festen Abläufen und geübten Entscheidungswegen.

  • Cyber Playbook — der Brandschutzplan fürs Digitale: Für die realistischen Szenarien — Ransomware, Datenleck, CEO‑Fraud, Systemausfall, Lieferanten‑Hack — steht vorab fest: wer tut was, in welcher Reihenfolge, wer wird wann informiert.
  • Meldepflichten im Griff: Fristgerechte 72‑Stunden‑Meldungen (DSGVO Art. 33, NIS2) und vorformulierte Kommunikation an Kunden, Behörden und Cyber‑Versicherung — damit keine Frist und keine Zeit verloren geht.
  • Tabletop Exercises — die Feuerwehrübung im Chefbüro: Wir spielen ein realistisches Krisenszenario am Tisch durch, ohne echten Schaden. Entscheidungswege sitzen, Lücken werden sichtbar, bevor ein Angreifer sie findet.
  • Aus jedem Vorfall lernen: Nach Übung und Ernstfall ein strukturierter Rückblick und gezielte Härtung — damit dieselbe Lücke nicht zweimal zuschlägt.

Dokumentenmanagement

Paperless‑ngx.
GoBD‑konform. Betriebsprüfungs‑fest.

Papier war gestern. Mit Paperless‑ngx wird jeder Beleg automatisch erfasst, verschlagwortet und revisionssicher archiviert — inklusive der Verfahrensdokumentation, die Ihr Steuerberater sehen will.

Papierdokumente werden unterschrieben — bald digital archiviert

Jedes Dokument.
In Sekunden gefunden.

Scanner, E‑Mail‑Postfach oder Handy‑Foto — alles landet automatisch im richtigen Ordner, mit OCR‑Volltext und korrekten Aufbewahrungsfristen.

  • GoBD‑Baustein inklusive: Verfahrensdokumentation, Unveränderbarkeit, Protokollierung und geregelte Löschkonzepte.
  • Automatische Verschlagwortung: Korrespondent, Dokumenttyp und Datum werden per KI erkannt — ohne manuelles Sortieren.
  • DATEV‑ & Steuerberater‑freundlich: Saubere Übergabeprozesse für Buchhaltung und Betriebsprüfung.
  • Ihre Daten bleiben bei Ihnen: Betrieb auf eigenem Server oder in deutscher Cloud — inklusive Backup‑Konzept.

Datensouveränität

Ihre Cloud. Ihre Daten.
Ihr Rechtsraum.

Nextcloud ersetzt Dropbox, Teams‑Dateien und WeTransfer — DSGVO‑ und revDSG‑konform, ohne US‑Cloud‑Act‑Risiko und mit voller Kontrolle darüber, wo Ihre Daten liegen: Deutschland, Österreich, Schweiz oder bei Ihnen im Haus.

Zusammenarbeit ohne Kompromisse.

Dateien, Kalender, Videokonferenzen und Office‑Dokumente — alles in einer Plattform, auf Servern im DACH‑Raum oder direkt bei Ihnen im Haus.

  • DSGVO ab Werk: Auftragsverarbeitungsvertrag, TOM‑Dokumentation, Lösch‑ und Berechtigungskonzept — prüffertig für Ihren Datenschutzbeauftragten.
  • Ende‑zu‑Ende‑Sicherheit: Verschlüsselung, Zwei‑Faktor‑Authentifizierung, Ransomware‑Schutz und Brute‑Force‑Abwehr.
  • Alles drin: Nextcloud Files, Talk (Videokonferenzen), Calendar, Office & Formulare — nahtlos auf Desktop und Smartphone.
  • Migration ohne Stillstand: Geführter Umzug von Dropbox, Google Drive oder OneDrive — inklusive Schulung Ihres Teams.
Server-Racks im eigenen Rechenzentrum

Der Standort Ihres Servers schützt Sie nicht, wenn der Betreiber US‑Recht untersteht.

Der US CLOUD Act verpflichtet amerikanische Anbieter, Behörden Zugriff auf Daten zu gewähren — egal, ob der Server in Frankfurt, Wien oder Zürich steht. Entscheidend ist nicht der Standort, sondern wer die Infrastruktur kontrolliert. Echte Datensouveränität heißt: europäische Open‑Source‑Software, Betreiber im eigenen Rechtsraum, Schlüssel in Ihrer Hand.

US CLOUD Act Zugriffspflicht für US‑Anbieter — unabhängig vom physischen Server‑Standort. „Datacenter in Deutschland" ist kein Schutz.
DSGVO & revDSG Datentransfers auf US‑kontrollierte Infrastruktur bleiben ein strukturelles Compliance‑Risiko — in der Schweiz mit Bussen bis 250'000 CHF gegen verantwortliche Personen.
Exit-Fähigkeit Offene Standards und Open Source bedeuten: Sie können jederzeit wechseln. Keine Lizenz-Erpressbarkeit, keine Abhängigkeit von einem Konzern.

Das große Ganze

Von Reagieren
zu Steuern.

Einzeln lösen die Services konkrete Probleme. Zusammen bauen sie eine Fähigkeit auf, die kein einzelnes Werkzeug liefert: Cyber‑Resilienz — vorbeugen, standhalten, geordnet reagieren, schnell wieder hochfahren. Genau das verlangen NIS2 und, für den Finanzsektor, DORA.

Jeder Service ist ein Baustein der Resilienz.

Identifizieren

Wo stehen Sie, wo sind die Lücken — technisch und in den Abläufen?

Security Assessment

Schützen

Menschen, Daten und Prozesse härten und souverän aufstellen.

Awareness · Nextcloud · Paperless

Steuern

Verantwortung, Prioritäten und Nachweise auf Führungsebene.

CISO as a Service

Reagieren

Im Ernstfall geordnet handeln und fristgerecht melden.

Cyber Playbook · Incident Retainer

Wiederherstellen

Schnell zurück zum Betrieb — und aus jedem Vorfall lernen.

Tabletop Exercises · Lessons Learned
Das Ergebnis: Sie gehen ins Audit als Gestalter, nicht als Getriebener.
DORA gilt seit Januar 2025 für Finanzunternehmen und ihre IT‑Dienstleister — diese Perspektive bringe ich aus 15 Jahren CISO in der Versicherungsbranche mit.
🛡️ NIS2‑Readiness 🏦 DORA‑Readiness ✅ Audit‑fähig 🔄 Business Continuity 📉 Bessere Cyber‑Versicherbarkeit

So arbeiten wir zusammen.

Transparent, in klaren Etappen — Sie wissen jederzeit, wo Ihr Projekt steht und was es kostet.

Kennenlernen

Kostenloses 30‑Minuten‑Gespräch: Wir klären Ausgangslage, Ziele und ob wir zueinander passen.

Analyse

Strukturierte Aufnahme von Systemen bzw. Prozessen — vor Ort oder remote, mit minimalem Aufwand für Ihr Team.

Umsetzung

Implementierung in kurzen, abgestimmten Etappen mit Festpreis pro Meilenstein — keine Überraschungen.

Betrieb & Übergabe

Dokumentation, Schulung und auf Wunsch laufende Betreuung — damit die Lösung dauerhaft trägt.

„Ein Sicherheitsvorfall ist der Unterschied zwischen einem schlechten Tag und einer Existenzkrise. Auf welchen von beiden ist Ihr Unternehmen vorbereitet?“
25 Jahre IT-Security, davon 15 Jahre CISO bei einem der weltgrößten Versicherungskonzerne — verantwortlich für Europa und den Mittleren Osten. Keine Junioren, keine Folienschlachten.
🇩🇪 🇦🇹 🇨🇭 Für den DACH-Raum 🔒 DSGVO · revDSG · GoBD 🧭 BSI IT‑Grundschutz orientiert 🔓 100% Open‑Source‑freundlich 🤝 Herstellerunabhängig

Sprechen wir über Ihr Projekt.

Unverbindliches Erstgespräch — Antwort in der Regel innerhalb von 24 Stunden.

Bitte geben Sie Ihren Namen an.
Bitte geben Sie eine gültige E‑Mail-Adresse an.
Bitte beschreiben Sie kurz Ihr Anliegen.

Vielen Dank!

Ihre Nachricht ist angekommen. Sie erhalten in der Regel innerhalb von 24 Stunden eine Antwort.

Bereit für den nächsten Schritt?

Sichern Sie sich ein kostenloses Erstgespräch — und erfahren Sie in 30 Minuten, wo Ihr größtes Potenzial liegt.