Sicherheit

Drei Dinge: kontinuierliche externe Penetrationstests in dem Rhythmus, den Ihr Release-Tempo erfordert, ein vCISO-Retainer für die strategische Arbeit, die das Urteil einer Führungskraft braucht, und vollständige ISO-27001- oder SOC-2-Zertifizierungsvorbereitung inklusive dem Hin und Her mit dem Auditor.

Kontinuierlich als Standard

Das traditionelle Sicherheitsengagement ist ein einmal jährlicher Penetrationstest plus ein Zertifizierungszyklus, der in den Monaten vor der nächsten Erneuerung läuft. Diese Kadenz hält die Dokumentation aktuell. Für ein System, das jede Woche Code ausliefert, muss die Sicherheitsarbeit auf derselben Uhr laufen wie die Releases.

Unser Pentest-Service läuft kontinuierlich: monatlich, wöchentlich oder täglich je nach Ihrem Release-Tempo. Der vCISO-Retainer ist laufend, damit eine Kontrollücke in der Woche ihres Auftretens gemeldet und innerhalb desselben Quartals behoben werden kann.

Die drei Engagements, die wir führen

Die meisten Kunden beauftragen uns für mindestens zwei davon zusammen. Tippen Sie auf eine Karte, um Umfang, Kadenz und Einstiegspreis zu sehen.

ISO 27001 / SOC 2

ISO-27001- und SOC-2-Audit-Vorbereitung — end-to-end mit Prüferkoordination.

Penetrationstests

Kontinuierliches externes Penetration-Testing — monatliche, wöchentliche oder tägliche Kadenz.

vCISO

Virtual-CISO-Retainer — Sicherheitsführung ohne Vollzeitstelle.

Von der Positionsüberprüfung zum laufenden Programm

Sicherheitspositionsüberprüfung

Ein- bis zweiwöchige strukturierte Überprüfung, wo das Sicherheitsprogramm heute steht: bestehende Kontrollen, aktuelle Pentest-Abdeckung, Zertifizierungsstatus, Datenflüsse, Compliance-Verpflichtungen, frühere Vorfälle. Das Ergebnis ist eine priorisierte Gap-Analyse mit empfohlener Arbeitsreihenfolge und Festpreisangebot.

Kontinuierlicher Betrieb

Pentest-Scans laufen in der gewählten Kadenz (monatlich, wöchentlich, täglich); Findings werden triagiert, nach Schweregrad eingestuft und bis zur Behebung verfolgt. Der vCISO hält das Risikoregister, nimmt an Compliance-Gesprächen teil und vertritt die Sicherheitsfunktion im Vorstandsreporting.

Audit und Erneuerung

Wenn der Zertifizierungsaudit kommt, haben wir die ganze Zeit über Beweise gesammelt, sodass der Auditor ein Programm sieht, das das ganze Jahr über operiert hat. Wir nehmen an den Audit-Calls teil. Wir antworten auf Findings. Wir führen die Artefakte in den nächsten Überwachungszyklus weiter.

Wo jede Leistung beginnt

Penetration Testing

Monatlich: €99 / month · Wöchentlich: €250 / month · Täglich: €500 / month. Jeder Scan ist ein vollständiger Tiefscan — die Kadenz ist die einzige Variable.

Virtual CISO

Retainer ab €5,000 / month. Strategische Sicherheitsführung ohne die Vollzeitstelle. Ergänzt den Pentest-Service gut: vCISO leitet das Programm, Pentest produziert die Artefakte.

ISO 27001 & SOC 2

Einzelframework-Zyklus ab €25,000. ISO 27001 standalone ab €12,000; SOC-2-Readiness ab €4,500. Auditgebühren der Zertifizierungsstelle sind separat.

Sicherheitsengagements — Fragen, die wir erhalten

Arbeiten Sie neben unserem internen Sicherheitsteam?

Ja — die meisten Engagements sehen so aus. Das interne Team besitzt Betrieb und Incident Response; wir besitzen externes Testing, Zertifizierungsvorbereitung und strategische vCISO-Arbeit, die von der Außenperspektive profitiert.

Was deckt „kontinuierliches Penetrationstesting" tatsächlich ab?

Vollständige externe Angriffsflächen-Scans in der gewählten Kadenz — Webanwendungen, APIs, exponierte Infrastruktur, Authentifizierungsflüsse, Konfigurationsschwächen, bekannte anfällige Abhängigkeiten. Jeder Scan produziert einen schriftlichen Bericht mit nach Schweregrad eingestuften Findings, Nachweisen und Behebungsanleitung.

Wie unterscheidet sich der vCISO-Retainer von der Einstellung eines CISO?

Ein vCISO arbeitet Teilzeit im Retainer und übernimmt die strategischen und Governance-Verantwortlichkeiten der CISO-Rolle, ohne Vollzeitmitglied des Unternehmens zu sein. Nützlich, wenn das Unternehmen Senior-Sicherheitsurteil braucht — für Vendor-Reviews, Vorstandsreporting, Compliance-Roadmaps, Incident-Response-Führung — aber nicht in einem Maßstab ist, der einen Vollzeit-CISO rechtfertigt.

ISO 27001 oder SOC 2 — womit fangen wir an?

Hängt davon ab, wer die Zertifizierung verlangt. US-Enterprise-Beschaffung verlangt standardmäßig SOC 2; europäisches Enterprise und NIS2-Scope-Organisationen verlangen ISO 27001. Wenn beide in Ihrer Zukunft liegen, führen wir ein kombiniertes Engagement, weil die Kontrollarbeit stark überlappt — sequenziell kostet mehr als parallel.

Was wenn ein Finding zu einem tatsächlichen Vorfall wird?

Wenn wir Ihr vCISO-Retainer sind, ist Incident-Response-Führung Teil des Umfangs — wir sind im Call und helfen bei der Koordination der Reaktion. Wenn wir nur Ihr Pentest-Anbieter sind, werden Findings trotzdem bis zur Behebung verfolgt, mit der Reaktionsführung intern bei Ihrem Team.

Erzählen Sie uns von Ihrer Sicherheitslage

Sagen Sie uns, wo das Sicherheitsprogramm heute steht und was als nächstes gefordert wird. Wir kommen mit einer empfohlenen Reihenfolge und Festpreis-Scoping für das folgende Engagement zurück.

Kontakt aufnehmen → Preise ansehen →