87 % der Unternehmen wurden zuletzt Ziel von Angriffen — über Rechnungsprozesse, Postfächer und Lieferketten genauso wie über Server. Ich sichere Unternehmen im DACH‑Raum Ende‑zu‑Ende: Menschen, Prozesse, Technologie — und Ihre Datensouveränität.
Für Geschäftsführung & Inhaber
Die teuersten Schäden entstehen dort, wo niemand hinschaut: in alltäglichen Geschäftsprozessen. Vier Szenarien, die täglich in deutschen Unternehmen passieren — ganz ohne „gehackte Server".
Freitag, 16:40 Uhr. Die Buchhaltung erhält eine E‑Mail „vom Geschäftsführer": 84.000 € sofort an einen neuen Lieferanten. Der Ton stimmt, die Signatur stimmt. Das Geld ist weg.
Das Problem ist der Prozess: Es fehlt kein Virenscanner, sondern ein Vier-Augen-Prinzip für Zahlungsfreigaben. CEO-Fraud funktioniert, weil Abläufe nie auf Missbrauch geprüft wurden.
Ein Stammlieferant „informiert" per E‑Mail über eine neue IBAN. Drei Monate und sechs Rechnungen später meldet sich der echte Lieferant — und mahnt 240.000 € an.
Das Problem ist der Prozess: Stammdatenänderungen ohne Rückruf-Verifikation sind eine offene Tür. Ein definierter Freigabeprozess kostet nichts — sein Fehlen sechsstellig.
Ein Vertriebsmitarbeiter kündigt. Sein Zugang zum CRM funktioniert noch drei Wochen, der Datei-Export fällt niemandem auf. Beim Wettbewerber kennt man plötzlich Ihre Konditionen.
Das Problem ist der Prozess: Ohne Offboarding-Prozedur, Berechtigungskonzept und Protokollierung ist Wissensabfluss unsichtbar — bis er im Markt sichtbar wird.
Nicht Sie werden angegriffen, sondern Ihr IT‑Dienstleister, Ihr Lohnbüro oder Ihre Werbeagentur — mit gültigen Zugängen zu Ihren Systemen. Ihre Daten, deren Sicherheitsniveau.
Das Problem ist der Prozess: Wer darf was, und wer prüft das? Lieferantenrisiken sind unter NIS2 explizit Ihre Pflicht — und persönliche Verantwortung der Geschäftsleitung.
Quellen: Bitkom Wirtschaftsschutz 2025 · NIS2-Umsetzungsgesetz (DE), in Kraft seit 6. Dezember 2025 · Schweiz: revDSG mit Bussen bis 250'000 CHF gegen verantwortliche Personen · Österreich: NISG
Unter dem Radar
Kein Alarm, kein Eindringling, kein Schadcode — und trotzdem offen wie ein Scheunentor. Sechs Schwachstellen, die in fast jedem Unternehmen existieren und in keinem Monitoring auftauchen.
Jeder 5. Datenvorfall geht bereits auf ungesteuerte KI-Nutzung zurück — mit überdurchschnittlichen Schadenskosten (IBM 2025).
Rund die Hälfte der Beschäftigten nutzt KI-Tools ohne Freigabe — und füttert sie mit Kundendaten, Verträgen und Quellcode. Ohne KI-Richtlinie fließen Ihre Daten in fremde Trainingsmodelle.
99,9 % der übernommenen Konten hatten keine MFA aktiviert (Microsoft).
Drei von vier Vorfällen beginnen heute mit einer gestohlenen Identität: Angreifer brechen nicht mehr ein — sie loggen sich ein. MFA ist die günstigste Versicherung, die es gibt.
Admin-Rechte „aus Bequemlichkeit" sind der Turbo für jeden Angriff — ein Konto, voller Zugriff.
Wer hat Domänen-Admin? Wer kennt das Passwort des Dienstkontos von 2019? Ohne Berechtigungskonzept und Privileged-Access-Management weiß das oft niemand — Angreifer finden es in Minuten.
Eintritt, Abteilungswechsel, Austritt: Jede Station sammelt Rechte — kaum eine entfernt sie.
Nach Jahren hat ein Mitarbeiter Zugriffe aus drei Rollen — und der Praktikant von letztem Sommer noch ein aktives VPN. Joiner-Mover-Leaver-Prozesse schließen diese Lücken systematisch.
Die beste Firewall nützt nichts, wenn ein Klick auf „Rechnung_offen.pdf.exe" sie umgeht.
Ihre Mitarbeitenden sind die erste Verteidigungslinie — oder das erste Opfer. Regelmäßige, alltagsnahe Trainings und Phishing-Simulationen machen den Unterschied, nicht das jährliche Pflicht-PDF.
Was nicht geregelt ist, entscheidet jeder selbst — im Zweifel falsch.
Darf der Vertrieb Kundendaten per WhatsApp teilen? Wer gibt Zahlungen frei? Klare, gelebte Richtlinien sind keine Bürokratie — sie sind die Betriebsanleitung für sicheres Arbeiten. Und Prüfer fragen zuerst danach.
Fünf Bausteine, die ineinandergreifen — vom ersten Befund über gehärtete Geschäftsprozesse bis zum beherrschten Ernstfall. Alles aus einer Hand, ohne Herstellerbindung.
15 Jahre CISO bei einem der weltgrößten Versicherungskonzerne, verantwortlich für Europa und den Mittleren Osten — jetzt als flexibler Baustein für Ihr Unternehmen: strategische Sicherheitsführung, Regulatorik und Incident‑Management, ohne die Kosten einer Vollzeitstelle.
Mehr erfahrenSystematische Analyse Ihrer IT‑Landschaft: Schwachstellen finden, Risiken bewerten, Maßnahmen priorisieren — bevor es ein Angreifer tut.
Mehr erfahrenDigitales Dokumentenmanagement mit Verfahrensdokumentation, revisionssicherer Archivierung und sauberer Betriebsprüfungs‑Vorbereitung.
Mehr erfahrenIhre eigene souveräne Cloud: Dateien, Kalender, Talk und Office — auf europäischen Servern oder on‑premises, mit AVV und TOM‑Dokumentation.
Mehr erfahrenDer Faktor Mensch: Awareness‑Sessions, klare Nutzungsrichtlinien und verständliche Datenklassifizierung — Mitarbeitende werden zur ersten Verteidigungslinie statt zum Einfallstor.
Mehr erfahrenDer Brandschutzplan fürs Digitale: klare Abläufe für den Ernstfall — plus Notfallübungen, damit im Krisenfall jeder seine Rolle kennt.
Mehr erfahrenSo greifen die Bausteine ineinander — als Kreislauf, nicht als Einzelprojekte.
Wo ist Ihr Unternehmen verwundbar — technisch und in den Abläufen?
Security AssessmentVerantwortung, Prioritäten und Nachweise — auf Führungsebene verankert.
CISO as a ServiceGeschäftsprozesse ohne Medienbrüche, Schatten-IT und Zuruf-Freigaben.
Awareness & Prozess-HärtungSichere, konforme Werkzeuge für Dokumente und Zusammenarbeit.
Paperless-ngx & NextcloudWenn es passiert: geführter Krisenstab, fristgerechte Meldung, Lessons Learned.
Incident RetainerCISO as a Service
25 Jahre IT‑Security, davon 15 Jahre als CISO bei einem der weltgrößten Versicherungskonzerne — verantwortlich für Europa und den Mittleren Osten. Diese Erfahrung aus der am stärksten regulierten Branche gibt es jetzt als flexiblen Retainer, ab wenigen Tagen pro Monat.
Für Unternehmen mit IT‑Team, aber ohne Security‑Führung: der Sparringspartner für Geschäftsführung und IT.
Die vollwertige CISO‑Funktion im Abo: Verantwortung, Steuerung und Nachweisführung aus einer Hand.
Wenn es brennt, zählt jede Stunde: garantierte Erreichbarkeit und ein eingespielter Meldeprozess.
Security Assessments
Ein Angriff ist keine Frage des Ob, sondern des Wann. Ein strukturiertes Assessment zeigt, wo Sie stehen — verständlich, priorisiert und mit konkretem Maßnahmenplan.
Kein 200‑Seiten‑PDF, das in der Schublade verschwindet — sondern ein priorisierter Fahrplan, den Ihr Team tatsächlich umsetzen kann.
Der Faktor Mensch
Die beste Technik nützt nichts, wenn ein einziger Klick sie umgeht. Ich mache aus Ihren Mitarbeitenden die erste Verteidigungslinie — mit Wissen, klaren Regeln und einem sicheren Gespür dafür, welche Informationen schützenswert sind.
Drei Bausteine, die aus Unsicherheit gelebte Sicherheitskultur machen — verständlich, alltagsnah und messbar.
Wenn es doch passiert
Ein Vorfall ist keine Frage des Ob, sondern des Wann. Der Unterschied zwischen einem schlechten Tag und einer Existenzkrise ist ein eingeübter Plan — statt hektischem Improvisieren, während die Uhr läuft.
Damit im Krisenmoment nicht diskutiert, sondern gehandelt wird — mit klaren Rollen, festen Abläufen und geübten Entscheidungswegen.
Dokumentenmanagement
Papier war gestern. Mit Paperless‑ngx wird jeder Beleg automatisch erfasst, verschlagwortet und revisionssicher archiviert — inklusive der Verfahrensdokumentation, die Ihr Steuerberater sehen will.
Scanner, E‑Mail‑Postfach oder Handy‑Foto — alles landet automatisch im richtigen Ordner, mit OCR‑Volltext und korrekten Aufbewahrungsfristen.
Datensouveränität
Nextcloud ersetzt Dropbox, Teams‑Dateien und WeTransfer — DSGVO‑ und revDSG‑konform, ohne US‑Cloud‑Act‑Risiko und mit voller Kontrolle darüber, wo Ihre Daten liegen: Deutschland, Österreich, Schweiz oder bei Ihnen im Haus.
Dateien, Kalender, Videokonferenzen und Office‑Dokumente — alles in einer Plattform, auf Servern im DACH‑Raum oder direkt bei Ihnen im Haus.
Der US CLOUD Act verpflichtet amerikanische Anbieter, Behörden Zugriff auf Daten zu gewähren — egal, ob der Server in Frankfurt, Wien oder Zürich steht. Entscheidend ist nicht der Standort, sondern wer die Infrastruktur kontrolliert. Echte Datensouveränität heißt: europäische Open‑Source‑Software, Betreiber im eigenen Rechtsraum, Schlüssel in Ihrer Hand.
Das große Ganze
Einzeln lösen die Services konkrete Probleme. Zusammen bauen sie eine Fähigkeit auf, die kein einzelnes Werkzeug liefert: Cyber‑Resilienz — vorbeugen, standhalten, geordnet reagieren, schnell wieder hochfahren. Genau das verlangen NIS2 und, für den Finanzsektor, DORA.
Wo stehen Sie, wo sind die Lücken — technisch und in den Abläufen?
Security AssessmentMenschen, Daten und Prozesse härten und souverän aufstellen.
Awareness · Nextcloud · PaperlessVerantwortung, Prioritäten und Nachweise auf Führungsebene.
CISO as a ServiceIm Ernstfall geordnet handeln und fristgerecht melden.
Cyber Playbook · Incident RetainerSchnell zurück zum Betrieb — und aus jedem Vorfall lernen.
Tabletop Exercises · Lessons LearnedDas Ergebnis: Sie gehen ins Audit als Gestalter, nicht als Getriebener.DORA gilt seit Januar 2025 für Finanzunternehmen und ihre IT‑Dienstleister — diese Perspektive bringe ich aus 15 Jahren CISO in der Versicherungsbranche mit.
Transparent, in klaren Etappen — Sie wissen jederzeit, wo Ihr Projekt steht und was es kostet.
Kostenloses 30‑Minuten‑Gespräch: Wir klären Ausgangslage, Ziele und ob wir zueinander passen.
Strukturierte Aufnahme von Systemen bzw. Prozessen — vor Ort oder remote, mit minimalem Aufwand für Ihr Team.
Implementierung in kurzen, abgestimmten Etappen mit Festpreis pro Meilenstein — keine Überraschungen.
Dokumentation, Schulung und auf Wunsch laufende Betreuung — damit die Lösung dauerhaft trägt.
„Ein Sicherheitsvorfall ist der Unterschied zwischen einem schlechten Tag und einer Existenzkrise. Auf welchen von beiden ist Ihr Unternehmen vorbereitet?“25 Jahre IT-Security, davon 15 Jahre CISO bei einem der weltgrößten Versicherungskonzerne — verantwortlich für Europa und den Mittleren Osten. Keine Junioren, keine Folienschlachten.
Unverbindliches Erstgespräch — Antwort in der Regel innerhalb von 24 Stunden.
kontakt@stone-consulting.ch
+49 151 000 000 00 · Mo–Fr 9–18 Uhr
30 Min. Erstgespräch — direkt in den Kalender
Verschlüsselt für vertrauliche Anfragen
Ihre Nachricht ist angekommen. Sie erhalten in der Regel innerhalb von 24 Stunden eine Antwort.