Expert:innen für Cybersecurity, AI und Recht finden

Needs.expert - Text Summary

Unsere Expert:innen
Expert:innen
Brandschutzkonzepte, Audits und Schulungen für Bau, Chemie und Fertigung
Ihre Sicherheit steht bei uns an erster Stelle
Erstellung und Aktualisierung von Brandschutzkonzepten
Risikobewertung und Gefährdungsanalyse
Präventiver und baulicher Brandschutz
Flucht- und Rettungspläne
Brandschutzunterweisungen und Schulungen
Überwachung der Einhaltung von Brandschutzvorschriften
Über 25 Jahre Erfahrung im Brandschutz
Branchenlösungen für Bauwesen, Chemie und Fertigung
Flucht- und Rettungspläne inkl. Evakuierungsstrategien
Bauunternehmen
Chemieunternehmen
Fertigungsbetriebe
Unternehmen mit gesetzlichen Brandschutzanforderungen
FIPFG-Dichtungsschäumen, Vergießen und Kleben für Industriebauteile
Diese Partnerschaft hält, was sie verspricht.
Dichtungsschäumen (FIPFG) auf Bauteile
Vergießen (Potting) von Teilen und kompletten Bauteilen
Kleben von Dichtungen direkt auf Bauteile
Auftragsfertigung und Produktionsauslagerung für Dichtungen
Direktauftrag der Dichtung – spart Formenbau, Montage und Lagerhaltung
Ein- und Mehrkomponenten-Flüssigchemikalien mit Misch- und Dosieranlage
Verguss bis zum kompletten Bauteil: maximale Dichtheit und Vibrationsschutz
Hersteller von Schaltschränken
Hersteller von Klemmkästen
Unternehmen mit Bedarf an Deckeldichtungen
Automobilzubehör-Hersteller
Architektonische Entwurfsplanung mit Konzept- und Grundrissvarianten
Konzeptionelle Architekturplanung als sichere Entscheidungsgrundlage
Grundlagenanalyse & Projektstart
Raum- und Nutzungskonzepte
Variantenentwicklung mit Bewertung
Grundriss- und Layoutentwicklung
Vorentwurfs- und Entwurfsplanung
3D-Visualisierung & Präsentation
2–3 fundierte Grundrissvarianten als Ergebnis
Variantenbewertung mit klarer Empfehlung
4-Phasen-Prozess von Kick-off bis Übergabe
Projektentwickler
Unternehmen
Betreiber
anspruchsvolle private Bauherren
Prototyping im 3D‑Druck für Entwicklung, Design und Marketing
Zuerst ist der Prototyp da!
3D-gedruckte Konzeptmodelle
Funktionale Prototypen
Form- und Ergonomievalidierung am physischen Modell
Design Review Unterstützung mit physischen Modellen
Prototypen für Marketing, Fotografie und Messe
Beratung von der Idee bis zum fertigen Modell
Spezialisierung auf komplexe Freiformgeometrien
Frühe Erkennung von Form-, Ergonomie- und Funktionsfehlern
Einsatz in Design Reviews, Markttests und Messeauftritten
Entwicklungs- und Konstruktionsteams
Industriedesign
Fertigung
Vertrieb und Marketing
3D-Messtechnik für Erstmusterprüfung und Wareneingang
Erstmusterprüfung (EMPB) mit 3D-Messtechnik
Wareneingangskontrolle mit 3D-Messung
3D-CAD-Referenzmessung und Abgleich
Messdienstleistung mit kalibrierten Prüfmitteln
Koordination externer Prüfungen (zertifiziert)
Genauigkeit bis 0,018 mm
Räumliches Arbeitsvolumen: 1,2 m Durchmesser
Referenzmessung direkt gegen 3D‑CAD-Daten
Qualitätssicherung in der Fertigung
Einkauf und Wareneingang in Industrieunternehmen
Hersteller und Zulieferer technischer Bauteile
KI-Strategie, Entwicklung und Schulung mit DSGVO/EU AI Act-Fokus
Individuelle KI-Lösungen für Ihr Unternehmen
KI-Strategie und Roadmap
Entwicklung und Implementierung von KI-Lösungen
KI-Weiterbildung und Schulungen
Kontinuierlicher Support und Weiterentwicklung
Regulatorische Einordnung und Compliance-Check
Regulatorische Anforderungen: DSGVO und EU AI Act im Blick
End-to-End: Strategie, Entwicklung und Weiterbildung aus einer Hand
Mittelständische Unternehmen
Unternehmen ohne KI-Vorkenntnisse
Unternehmen mit klaren KI-Projektideen
Web-App Entwicklung für Portale, Dashboards und Workflows
Konzeption und Systemdesign
UX/UI für Web-Apps
Frontend-Entwicklung (TypeScript, Komponenten)
Backend- und API-Entwicklung (Node.js, Auth, Rechte)
Datenbanken und Migrationen (MySQL/MariaDB)
Deployment, Betrieb und Sicherheit
Seit 2018: maßgeschneiderte Web-Apps für Unternehmen in der DACH-Region
Stack: TypeScript-Frontends, Node.js-Backends, MySQL/MariaDB
Iteratives Vorgehen mit klickbaren Prototypen und modularen Releases
Unternehmen, die Portale, Dashboards und Workflows zentral betreiben
IT- und Fachbereiche mit Rollen-, Rechte- und Freigabeanforderungen
Teams, die viele Nutzer über Browser ohne Installation erreichen wollen
Organisationen mit ERP/CRM/DMS-Integration und Single Sign-On
Wissensmanagement und Wissensdatenbanken für Teams und Unternehmen
Wissen zweck- und zielgerichtet zur Ergebniserbringung einsetzen.
Wissensidentifikation (Yellow Pages, Wissensbäume)
Wissensverknüpfung und Wissensführungssysteme
Innovation durch Wissensverknüpfung
Wissensspeicherung (implizit und explizit)
App zur Erfassung impliziten Wissens
Wissensausnutzung und Leistungsfaktoren
25 Jahre Erfahrung in Wissensmanagement und Wissensdatenbanken
Eigenentwickelte App zur Erfassung impliziten Wissens, andockbar an bestehende Systeme
Strategisches Wissensmanagement in Handel, Handwerk, Maschinenbau und Start-ups implementiert
Teams und Abteilungen mit Wissensprozessen
Maschinen- und Anlagenbau (Mittelstand)
Handelsunternehmen und Handwerksbetriebe
Start-ups mit Wissensaufbau
Personalabteilungen sowie Personalberatung und -vermittlung
Abhol- und Lieferservice inkl. Overnight-Optionen
Overnight-Lieferungen – kein Problem.
Abholservice
Zustellservice
Overnight-Lieferungen
Auswahl des passenden Lieferservices
Organisation von Overnight-Lieferungen
Unternehmen mit Abhol- und Zustellbedarf
Teams mit zeitkritischen Sendungen (Overnight)
Kund:innen, die Wege und Zeit sparen wollen
Brandmeldeanlagen: Planung, Errichtung und 24/7-Instandhaltung
Ihre Sicherheit ist es wert.
Anlagenplanung, Projektierung und Errichtung
Instandhaltung und Inspektion
Störungsbehebung 24/7
Betreuung nicht zertifizierungspflichtiger Anlagen
Beratung zu Errichtung und Betrieb
Erweiterungen und Umbauten bestehender Systeme
24/7-Bereitschaftsdienst, 365 Tage österreichweit
Normgerechte jährliche Wartung und Inspektion
Herstellerunabhängige Betreuung nicht zertifizierungspflichtiger Anlagen
Betreiber von Brandmeldeanlagen
Unternehmen, die eine Brandmeldeanlage planen
Objektverantwortliche in Österreich
Kommunikationskonzepte für Unternehmen – SWOT, Kanäle, Erfolgsmessung
Kommunikationskonzept – mit uns kommunizieren Sie erfolgreich.
Situations- und SWOT-Analyse
Zieldefinition und KPI-Setup
Zielgruppen- und Botschaftsentwicklung
Copy-Strategie und Tonalität
Kanal- und Media-Strategie
Maßnahmenplanung und Umsetzung
Strukturierter Prozess: SWOT, Ziele, Zielgruppen, Botschaften, Kanäle
Messbare Ziele und laufende Erfolgskontrolle mit analytischen Tools
Copy-Strategie inkl. Tonalität und Nutzenversprechen
Unternehmen mit Bedarf an strukturierten Kommunikationskonzepten
Marketing- und Kommunikationsabteilungen
HR/Recruiting mit Fokus auf Bewerberansprache
After-Sales-Service für Mehrkopf- und Kontrollwaagen
Was immer Sie brauchen – wir sind für Sie da.
Technischer Service für Wägesysteme
Reparaturen mit flexiblen Optionen
Remote-Wartung für Mehrkopf- und Kontrollwaagen
Requalification & Wartungsprogramme
Lebensdauer der Waagen bis zu 25 Jahre
Portfolio: Technischer Service, Reparaturen, Requalification & Wartung
Hersteller mit Mehrkopfwaagen und Kontrollwaagen
Produktions- und Instandhaltungsteams in der Fertigung
Lettershop- und Kuvertierservice für hohe Mailing-Stückzahlen
Ihr Mailing ist in besten Händen.
Komplettabwicklung von Mailings
Automatisierte Kuvertierung großer Stückzahlen
Handkonfektionierung besonderer Formate
Lagerung und termingerechter Versand
Planung und Terminierung von Mailings
Hoher Automatisierungsgrad für große Volumina
Handverarbeitung für ausgefallene Briefhüllenformate
Einlagerung und Versand zum Wunschtermin
Unternehmen mit Mailing-Aktionen
Marketing- und Versandteams mit hohen Stückzahlen
Verantwortliche für Direktmailings
Veredelung und Nachbearbeitung für Stanzteile und Baugruppen
Wässriges Reinigen von Metallteilen
Ultraschallreinigen
Trowalisieren (Gleitschleifen)
Entfetten und Entgraten
Wärmebehandlungen
Oberflächenveredelung über Partner
Inhouse: wässriges Reinigen, Ultraschallreinigen, Trowalisieren
Entfetten und Entgraten gehören zum Service
Veredelung über Partner: Verzinken, Chromatieren, Versilbern, Lackieren
Hersteller und Einkäufer von Stanzteilen
Unternehmen mit Baugruppenmontage
Mehrkörpersimulation für Kinematik-, Fahrzeug- und Antriebsanalysen
Kinematische Analyse und Visualisierung von Getrieben und Führungen
Dynamikanalyse: Kräfte, Momente und Eigenfrequenzen
Gekoppelte MKS‑FEM-Simulation
Kurbelwellenauslegung mit MKS‑FEM
Aufbau und Berechnung von Mehrkörpersystemen im Zeitbereich
Simulation mit führenden MKS-Tools
Simulation im Zeitbereich für Mehrkörperdynamik
Gekoppelte MKS‑FEM-Modelle zur Ergebnisverbesserung
Softwareeinsatz: MD Adams
Entwicklungs- und Konstruktionsabteilungen im Maschinenbau
Teams für Fahrzeugdynamik und Antriebsstrang
F&E für dynamische Systeme und Getriebe
Grafischer Siebdruck: einbrennbare Abziehbilder für Glas, Keramik, Porzellan
Keramische Abziehbilder für Glas, Keramik und Porzellan
Organische Abziehbilder für begrenzt temperaturbeständige Erzeugnisse
Dekore für Glas
Dekore für Keramik
Dekore für Porzellan
Nassschiebebilder für komplexe Geometrien
Keramische Dekore: Einbrand 560–1250°C, abrieb‑, chemikalien‑ & hitzebeständig
Organische Dekore: Einbrand 160–200°C, schwermetallfrei, spülmaschinenbeständig
Applikation: Nassschiebebild für komplexe Geometrien, Heißübertragung für Großserien
Hersteller von Glasverpackungen
Getränkeindustrie
Geschirr- und Porzellanhersteller
Keramikproduzenten
Verarbeiter von Borosilikatglas
FEM-Analyse
Maschinenbau
Batterietechnik und Elektromobilität
Verteidigungs- und Rüstungsindustrie
Medizintechnik
Firmware- und Embedded-Software für Automotive, Medizintechnik und Industrie
Entwicklung eingebetteter Software
Integration von Firmware-Funktionalität
Firmware-/Code-Tests und Debugging
Embedded Linux
Kommunikationsprotokolle & Schnittstellenintegration
Portierung auf gängige Mikrocontroller-Plattformen
RTOS-Expertise: Zephyr und FreeRTOS
Spezialisierung auf ARM-Cortex-MCUs (STM32), PIC, NXP, nRF, ESP32, TI MSP
IoT-Protokolle: WiFi, Bluetooth, LoRaWAN, NB-IoT, Sigfox
Automotive
Unterhaltungselektronik
Industrielle Automatisierung
Digitale Rechnungsbearbeitung, Vertrags- und Personalakten für Unternehmen
Digitale Rechnungsbearbeitung einführen
Digitale Personalakte aufbauen
Vertragsmanagement digitalisieren
Geschäftspartnerakte und CRM‑Kommunikation bündeln
Datenvisualisierung und Dashboards
Fokus auf E‑Rechnung und digitale Rechnungsbearbeitung
Digitale Personalakte zur Entlastung von HR‑Abteilungen
Dashboards für Dokumente und Metadaten
HR-Abteilungen
Unternehmen mit E‑Rechnungspflicht
Unternehmen mit Bedarf an digitalem Vertrags- und CRM‑Management
Großserien-Beschaffung für Gussteile mit Lieferantenauswahl und Warehousing
Synergien statt Produkte
Analyse des Teilespektrums und Bedarfs
Kriterienkatalog für Lieferantenauswahl
Internationale Lieferantenauswahl und Qualifizierung
Warehousing und On-Demand-Lieferung
Qualitätsmanagement nach Automotive-Standards
Task-Force zur Optimierung des Großserieneinkaufs
Erfüllt Automotive-Qualitätsstandards in der Großserienbeschaffung
Konsolidierung auf 1 deutschen Vertragspartner reduziert Komplexität
Tagesgenaue Lieferung durch eigenes Warehousing/Logistikzentrum
Unternehmen mit Großserienbedarf an Gussteilen
Konzerne mit internationalen Lieferketten
Fertigungsbetriebe mit Automotive-Qualitätsanforderungen
Einkaufsorganisationen mit Bedarf an Lieferantenkonsolidierung
Markenstrategie mit Architektur, Positionierung, Sprache und Story
Die Strategie als Fundament.
Brand Architecture
Brand Name & Tagline
Brand Character
Brand Story
Brand Language
Brand Positioning
Strategische Klärung vor Umsetzung: Mission, Vision, Zielgruppen, USPs
Fokus auf differenzierende Positionierung im Wettbewerbsumfeld
Module: Brand Architecture, Name & Tagline, Character, Story, Language
Unternehmen, die ihre Marke schärfen oder neu ausrichten wollen
Teams, die vor der Umsetzung eine klare Strategie benötigen
Organisationen mit Bedarf an klarer Positionierung
Objektbetreuung – Reinigung, Außenanlagenpflege, Winterdienst
Ihr Meisterbetrieb im Nordburgenland
Reinigung und Pflege von Innenbereichen
Kleinreparaturen am Objekt
Entsorgungen und Hausbesorgungen
Pflege der Außenanlagen
Spielplatzpflege
Winterdienst für Geh- und Fahrflächen
Meisterbetrieb im Nordburgenland
Winterdienst für begeh- und befahrbare Flächen
Kleinreparaturen, Entsorgungen und Hausbesorgungen inklusive
Test- & Repair-Center für Geräte-Wiederaufbereitung
Schnell | Flexibel | Umfassend
Eingangsscreening und Fehleranalyse
Ersatz fehlender Teile
Rücksetzen auf Werkseinstellungen
Softwareaufspielung und Updates
Reparatur inkl. Materialmanagement
Neuverpacken und Versandvorbereitung
Automatisierte Testplattformen für reproduzierbare Qualität
Online Access-Tool für transparente Auftragsübersicht
Reparaturservice inkl. Materialmanagement
Hybrid- und Live-Kongress-Streaming für Konferenzen und Messen
Planung und Umsetzung hybrider Veranstaltungen
Mehrkamera-Livestreaming im Corporate Design
Integration von Präsentationen und Greenscreen
Teilnehmerinteraktion und Event-App
Plattform-Integration und Zugriffskonzepte
Dolmetscher- und Mehrsprachenlösung
Streaming auf YouTube, Facebook oder eigenem RTMP/RTSP-Server
Mehrkamera-Livestreams inkl. Präsentationen und Greenscreen
Interaktive Features: Umfragen, Fragen, Kommentare via Event-App
Kongressveranstalter
Konferenz- und Messe-Teams
Seminar- und Workshop-Organisatoren
Expert:innen für Cybersecurity, AI und Recht finden | Needs.expert
noindex, follow
Cybersecurity
Compliance, Beratung & Zertifizierung
Unterstützung bei der Einhaltung gesetzlicher Vorgaben, Branchenstandards und dem Aufbau von Sicherheitsmanagementsystemen.
ISMS-Begleitung
Unterstützung beim Aufbau und der Zertifizierung eines Informationssicherheits-Managementsystems nach ISO 27001 oder BSI-Grundschutz.
Welches konkrete Ergebnis oder Ziel soll erreicht werden?
Welche Budget- oder Zeitrahmen sind gesetzt?
Gibt es rechtliche/Compliance-Vorgaben oder No-Gos, die wir beachten müssen?
ISO 27001 Zertifizierung
Welcher organisatorische und technische Scope soll zertifiziert werden?
Welche ISMS-Dokumente gibt es bereits, und welche fehlen noch?
Gibt es einen Zieltermin oder einen bevorzugten Zertifizierer?
BSI-Grundschutz
Welche Bereiche sollen nach IT-Grundschutz abgesichert werden?
Liegt bereits eine Auswahl der relevanten Bausteine vor?
Wann sollen Audit oder Re-Zertifizierung stattfinden?
Gap-Analyse & Dokumentation
Gegen welchen Standard oder welches Regelwerk sollen wir den Gap bestimmen?
Welche Policies, Prozesse und Nachweise existieren bereits?
Bis wann sollen die Lücken geschlossen sein, und wie priorisieren Sie Maßnahmen?
Datenschutz & DSGVO
Beratung und Umsetzung technischer und organisatorischer Maßnahmen zur Einhaltung der Datenschutz-Grundverordnung.
Datenschutz-Folgenabschätzung
Für welche Verarbeitungsvorgänge soll die DSFA erstellt werden?
Gibt es bereits Bewertungen oder Risikoeinschätzungen, an die wir anknüpfen können?
Welche Fristen oder Genehmigungen (DSB, Aufsicht) sind zu beachten?
Technische Maßnahmen prüfen
Welche Systeme oder Dienste sollen auf DSGVO-konforme TOMs geprüft werden?
Welche bestehenden Maßnahmen oder Zertifikate liegen vor?
Gibt es Vorgaben der Aufsichtsbehörde oder von Kunden, die erfüllt werden müssen?
Verarbeitungsverzeichnis
Welche Anzahl an Verarbeitungstätigkeiten erwarten Sie, und gibt es bereits Vorlagen?
Welche Personen/Funktionen liefern die Inhalte und pflegen das Verzeichnis?
Soll das Verzeichnis in einem Tool geführt werden, und gibt es Export-Anforderungen?
Branchen-Compliance
Erfüllung spezifischer Sicherheitsanforderungen einzelner Branchen wie Finanzwesen, Gesundheit oder kritische Infrastrukturen.
KRITIS-Anforderungen
Welcher KRITIS-Sektor und welche Anlagen/Services sind betroffen?
Gibt es anstehende Nachweise oder Audits nach BSIG/BSI?
Welche Melde- und Dokumentationspflichten müssen kurzfristig erfüllt werden?
Finanzsektor
Welche Vorgaben sind relevant (BAIT, VAIT, MaRisk, EBA-Guidelines)?
Gibt es spezifische Prüfungen oder Berichte für Aufsicht oder Abschlussprüfer?
Welche Auslagerungen oder Dienstleister müssen mitbetrachtet werden?
PCI-DSS
Welcher Teil der Umgebung verarbeitet Kartendaten, und wie groß ist der Scope?
Handelt es sich um SAQ oder ROC, und gibt es Deadlines durch Acquirer/PSP?
Welche Netzsegmente oder Anwendungen müssen segmentiert oder tokenisiert werden?
Risikoanalyse & Sicherheitsberatung
Systematische Bewertung von Sicherheitsrisiken und strategische Beratung zur Verbesserung der Sicherheitslage.
Bedrohungs- & Risikoanalyse
Welche Geschäftsprozesse oder Assets sollen bewertet werden?
Gibt es eine vorgegebene Methodik (ISO 27005, BSI) oder Risikomatrix?
Welche bisherigen Vorfälle oder Schwachstellen sollen einfließen?
Security-Strategie entwickeln
Welche Geschäftsziele und Wachstumspläne muss die Security-Strategie unterstützen?
Welches Budget oder welcher Zeithorizont steht zur Verfügung?
Welche Ziel-Reifegrade oder Zertifizierungen streben Sie an?
Audits & Revision
Welche Systeme oder Standorte sollen auditiert werden, und nach welchem Standard?
Sollen die Audits intern, extern oder als Pre-Audit erfolgen?
Welche Nachweise oder Stichproben sind besonders wichtig für Prüfer?
NIS2 Compliance & Umsetzung
Ganzheitliche Begleitung zur Umsetzung der NIS2-Richtlinie inklusive Governance, Meldeprozesse und Nachweise.
NIS2 Gap-Assessment
Vergleicht bestehende Kontrollen mit den NIS2-Anforderungen und priorisiert Lücken.
Welche Policies, Zertifikate oder Kontrollen existieren bereits als Ausgangsbasis?
Welche Standorte, Systeme oder Dienste sind besonders kritisch und sollen priorisiert geprüft werden?
Welche Tools oder Dokumentationen (ISMS, CMDB, Ticketing) dürfen wir für die Analyse nutzen?
Inventar kritischer Dienste
Erfasst NIS2-relevante Dienste, Assets und Abhängigkeiten entlang der Wertschöpfung.
Welche Geschäftsprozesse und Services gelten derzeit als essenziell oder kritisch?
Gibt es aktuelle Inventarlisten oder Architekturpläne, auf die wir aufsetzen können?
Wie werden Abhängigkeiten zu Lieferanten oder Cloud-Diensten aktuell dokumentiert?
Reifegradbewertung
Bewertet Kontrollen nach anerkannten Frameworks und zeigt Prioritäten auf.
Nach welchem Modell sollen wir bewerten (BSI, ISO 27001 Controls, internes Framework)?
Welche Nachweise stehen bereit, um bestehende Kontrollen zu verifizieren?
Wie granular sollen Findings priorisiert werden (Must-have, Nice-to-have etc.)?
Risikoregister aktualisieren
Überführt erkannte Lücken in ein gepflegtes Risiko- und Maßnahmenregister.
Existiert bereits ein zentrales Risikoregister und in welchem Tool wird es geführt?
Welche Risikokategorien und Bewertungslogiken sollen übernommen werden?
Wer genehmigt neue Risiken oder Maßnahmen nach dem Assessment?
NIS2 Umsetzungsprogramm
Leitet aus dem Gap-Assessment ein priorisiertes Maßnahmenprogramm samt Governance ab.
Welche Ressourcen- und Budgetrahmen stehen pro Quartal bereit?
Welche laufenden Initiativen oder Projekte müssen in das Programm integriert werden?
Welche KPIs oder Milestones sollen zur Fortschrittssteuerung genutzt werden?
Policy- & Control-Framework
Aktualisiert Richtlinien, Mindestkontrollen und Freigabeprozesse für NIS2.
Welche Policies oder Standards benötigen ein Update oder fehlen komplett?
Wie werden neue Vorgaben heute kommuniziert und versioniert?
Welche Freigabe- oder Gremium-Strukturen müssen für Policies eingebunden werden?
Rollen & Verantwortlichkeiten
Schafft klare Verantwortlichkeiten für Security, Compliance und Reporting.
Welche Rollen existieren bereits (CISO, ISB, Krisenstab) und wie sind sie besetzt?
Gibt es Vertreterregelungen oder Stellvertreter für kritische Funktionen?
Wie sollen Verantwortlichkeiten dokumentiert und kommuniziert werden?
Lieferkettenkontrollen
Etabliert Prüfprozesse und Vertragsklauseln für kritische Dienstleister.
Welche externen Dienstleister oder Lieferanten gelten als kritisch im Sinne von NIS2?
Welche bestehenden Assessments oder Vertragsklauseln können wir weiterverwenden?
Wie oft sollen Reviews stattfinden und wer übernimmt die Nachverfolgung?
NIS2 Meldeprozesse
Richtet Abläufe ein, um meldepflichtige Vorfälle fristgerecht und koordiniert zu behandeln.
Welche Aufsichtsbehörden oder CSIRTs sind für euch zuständig?
Welche Systeme oder Tools müssen bei einem Vorfall automatisch eingebunden werden (Ticketing, Pager, Comms)?
Welche internen Schwellwerte und Fristen gelten zusätzlich zu den gesetzlichen Vorgaben?
Meldeworkflow & Playbooks
Definiert End-to-End-Schritte vom Incident bis zur behördlichen Meldung.
Welche Incident-Response-Prozesse existieren bereits als Basis?
Welche Informationen müssen in welchem Format bereitstehen, bevor gemeldet wird?
Wer entscheidet final, ob ein Vorfall meldepflichtig ist?
Kommunikationsleitfäden
Bereitet abgestimmte Botschaften für Behörden, Kunden und interne Stakeholder vor.
Welche Stakeholdergruppen müssen parallel informiert werden?
Gibt es Vorgaben aus PR/Recht, die zwingend eingehalten werden müssen?
Wer übernimmt die Abstimmung und Freigabe der Texte im Ernstfall?
Meldestellen-Setup
Stellt Kontaktwege, Authentisierungen und Backups für behördliche Portale sicher.
Welche Portale oder Kommunikationswege nutzen die relevanten Behörden?
Welche technischen Voraussetzungen (z. B. Zertifikate, VPN) müssen vorbereitet werden?
Wer hält Zugangsdaten aktuell und testet die Erreichbarkeit regelmäßig?
NIS2 Audit & Reporting
Bereitet interne und externe Audits vor und erstellt belastbare Reports für Aufsichten.
Welche Audit- oder Prüftermine (intern, extern, Kunden) stehen bereits fest?
Welche Dokumente und Artefakte dürfen wir erstellen oder aktualisieren?
Welche Tools oder Repositories nutzen Prüfer zur Evidenzsammlung?
Auditvorbereitung
Koordiniert Dokumente, Interviews und Stichproben für Auditteams.
Welche Prüfer oder Dienstleister werden eingebunden und wie arbeiten sie?
Welche Scope-Dokumente oder Checklisten liegen bereits vor?
Welche Personen müssen als Fachexperten eingeplant werden?
Eigenkontrollen & Testate
Setzt regelmäßige Self-Assessments und Kontrolltests auf.
Welche Kontrollen sollen in welchem Turnus getestet werden?
Gibt es bestehende Testpläne oder Tools (GRC, Auditboard), an die wir andocken können?
Wer dokumentiert Ergebnisse und verfolgt Maßnahmen bis zum Abschluss?
Aufsichtsreporting & KPIs
Erstellt periodische Berichte und KPI-Übersichten für Behörden oder Management.
Welche Reporting-Formate oder Templates verlangt die Aufsicht?
Welche KPIs oder Metriken sollen regelmäßig erhoben werden?
Wer unterzeichnet oder gibt Reports intern frei?
Sicherheitstests & Schwachstellenanalyse
Systematische Prüfung von IT-Systemen auf Sicherheitslücken durch simulierte Angriffe und automatisierte Analysen.
Penetrationstests
Kontrollierte Hackerangriffe durch Sicherheitsexperten, um Schwachstellen in Systemen, Anwendungen und Netzwerken aufzudecken.
Externe Infrastruktur
Welche externen Systeme sollen getestet werden – gibt es eine Liste aller öffentlichen IPs und Domains?
Wann wurde zuletzt ein externer Pentest durchgeführt, und sind noch offene Findings bekannt?
Gibt es Systeme, die vom Test ausgeschlossen werden müssen?
Interne Netzwerke
Welche Netzwerksegmente sollen geprüft werden, und gibt es Bereiche, die ausgespart bleiben müssen?
Stellen Sie Test-Zugänge bereit (z. B. Domain-Account/VPN), oder soll der Test Blackbox erfolgen?
Zu welchen Zeiten dürfen Scans und Exploits laufen, um den Betrieb nicht zu stören?
Webanwendungen & Online-Shops
Welche Anwendungen/URLs inkl. Staging-Umgebungen sollen getestet werden?
Gibt es Benutzerrollen/Test-Accounts und besondere Zahlungs- oder Checkout-Flows?
Sollen auch Abhängigkeiten wie CDN/WAF/Third-Party-Skripte mitgeprüft werden?
Mobile Apps
Für welche Plattformen (iOS/Android) gibt es Builds, und wie werden sie bereitgestellt (TestFlight, APK)?
Welche Backend-APIs und Authentifizierungen nutzt die App, und dürfen sie mitgetestet werden?
Gibt es kritische Features wie In-App-Payments, Offline-Modus oder Gerätesicherheitsprüfungen, die abgedeckt werden sollen?
API-Schnittstellen
Welche APIs/Endpoints sollen geprüft werden, und gibt es eine Postman/OpenAPI-Spezifikation?
Welche Authentifizierungsverfahren werden genutzt (API-Key, OAuth, mTLS), und können Test-Credentials bereitgestellt werden?
Gibt es Rate-Limits oder Drittsysteme, die beim Test nicht ausgelöst werden dürfen?
Red Team Assessments
Umfassende, realitätsnahe Angriffssimulationen über längere Zeiträume, die alle Verteidigungsebenen eines Unternehmens testen.
Physische Zugangsversuche
Welche Standorte und Gebäudebereiche sind im Scope, und welche sind tabu?
Welche Zutrittsverfahren gibt es (Badges, Wachdienst), und wann dürfen Versuche stattfinden?
Wer sind die Notfallkontakte, falls der Test gestoppt werden muss?
Digitale Einbruchsszenarien
Welche Zielsysteme und Benutzerrollen sollen priorisiert angegriffen werden?
Gibt es bestimmte Detection-Use-Cases, die herausgefordert werden sollen?
Welche Erfolgsgrenzen gelten (z. B. keine produktive Datenexfiltration, nur Flag-Platzierung)?
APT-Simulationen
Welches Angreiferprofil oder welche Branche soll nachgestellt werden?
Welche Angriffsvektoren sind erlaubt (Phishing, Lieferkette, VPN, physisch)?
Wie lange soll die Simulation laufen, und wann gilt der Test als erfolgreich abgeschlossen?
Schwachstellen- und Patch-Management
Kontinuierliche Identifikation von Sicherheitslücken und geordnete Aktualisierung von Software zur Schließung dieser Lücken.
Automatisierte Schwachstellenscans
Welche Netzsegmente, Hosts oder Cloud-Ressourcen sollen gescannt werden?
Gibt es bestehende Scanner und Zugangsdaten für authentifizierte Scans?
Wie häufig sollen Scans laufen, und wer soll die Reports erhalten?
Konfigurationsprüfungen
Welche Systeme oder Plattformen sollen geprüft werden (Server, Datenbanken, Netzwerkgeräte)?
Gegen welche Benchmarks soll gemessen werden (CIS, BSI, eigene Policies)?
Dürfen wir temporäre Änderungen vornehmen, oder liefern wir nur Findings und Empfehlungen?
Priorisierte Behebungsempfehlungen
Welche Ticket- oder Change-Prozesse nutzen Sie für Sicherheits-Findings?
Gibt es eigene Bewertungsschemata oder sollen wir nach CVSS/Business-Impact priorisieren?
Wer setzt die Maßnahmen um, und werden konkrete Schritt-für-Schritt-Playbooks benötigt?
Bedrohungsanalysen
Systematische Untersuchung aktueller Angriffsmethoden und -trends, um potenzielle Gefahren für das eigene Unternehmen frühzeitig zu erkennen.
Threat Intelligence
Welche Geschäftsbereiche, Marken oder Technologien sollen wir besonders beobachten?
Gibt es bereits TI-Feeds oder SOC-Tools, in die wir integrieren sollen?
Wie häufig wünschen Sie Reports/Alerts und in welchem Format?
Branchenspezifische Bedrohungslagen
In welcher Branche und welchen Regionen sind Sie aktiv?
Gibt es regulatorische Anforderungen oder Vorgaben von Kunden/Partnern, die berücksichtigt werden müssen?
Welche kritischen Prozesse oder Assets sollten wir als Angriffsschwerpunkte annehmen?
Dark-Web-Monitoring
Welche Domains, Marken und Benutzerkonten sollen überwacht werden?
Wie soll bei Funden vorgegangen werden (Takedown, Credential Reset, Meldung an Betroffene)?
Gibt es rechtliche oder Compliance-Grenzen, die beim Monitoring zu beachten sind?
Managed Security Services
Auslagerung von Sicherheitsaufgaben an spezialisierte Dienstleister für professionellen Rund-um-die-Uhr-Schutz.
Security Operations Center
Zentrale Überwachungseinheit, die IT-Systeme kontinuierlich auf Sicherheitsvorfälle überwacht und bei Alarmen reagiert.
24/7-Monitoring
Welche Systeme und Logquellen sollen überwacht werden?
Wer sind die Eskalationskontakte außerhalb der Geschäftszeiten?
Soll das SOC vollständig ausgelagert oder mit internem Team kombiniert werden?
Alarme & Eskalation
Welche Schweregrade und SLAs gelten für Alarmierungen?
Über welche Kanäle sollen wir eskalieren (Telefon, Pager, Chat), und zu welchen Zeiten?
Wer darf Eingriffe freigeben, falls Aktionen nötig sind?
Threat Intelligence Integration
Welche TI-Feeds oder Quellen nutzen Sie bereits, und sollen sie weitergeführt werden?
In welche Systeme sollen Feeds integriert werden (SIEM, SOAR, Ticketing)?
Wie häufig sollen Feeds aktualisiert und veraltete IOCs bereinigt werden?
SIEM
Plattform zur zentralen Sammlung, Korrelation und Auswertung von Sicherheitsereignissen aus verschiedenen Quellen.
Log-Sammlung & Korrelation
Welche Logquellen sollen angebunden werden (AD, Firewalls, EDR, Cloud)?
Gibt es Vorgaben zu Logformaten, Agents oder Syslog/SIEM-Konnektoren?
Wie lange sollen Logs aufbewahrt werden, und wo werden sie gespeichert?
Echtzeit-Alarmierung
Für welche Use-Cases sollen Alarme sofort ausgelöst werden?
Welche Schwellenwerte oder Muster gelten als kritisch?
Wer erhält Alerts zu welchen Tageszeiten, und wie läuft die Rufbereitschaft?
Compliance-Reporting
Gegen welche Standards oder Vorgaben soll berichtet werden (ISO 27001, SOC 2, KRITIS)?
Welche Metriken oder KPIs sollen in die Reports aufgenommen werden?
Welche Frequenz und welches Format (PDF, CSV, Dashboard) benötigen Sie?
Managed Detection & Response
Dienstleistung, bei der externe Experten Bedrohungen erkennen, analysieren und aktiv darauf reagieren.
Managed Firewall & Endpoint
Welche Firewall- und Endpoint-Produkte setzen Sie aktuell ein?
Welche Aufgaben sollen wir übernehmen (Monitoring, Regelwerk, Patching)?
Welche Freigabe- und Wartungsfenster gelten für Änderungen?
Managed EDR
Welche EDR-Plattform nutzen Sie, und wie viele Endpunkte sind im Scope?
Sollen wir nur monitoren oder auch isolieren und Maßnahmen ausführen dürfen?
Wie sollen schwerwiegende Incidents eskaliert werden?
Regelmäßige Updates & Wartung
Welche Systeme sollen wir patchen oder warten (Firewalls, Server, EDR-Agenten)?
Welche Wartungsfenster sind freigegeben, und gibt es Change-Freeze-Zeiten?
Wie sollen Änderungen dokumentiert und freigegeben werden?
Asset-Management & IT-Dokumentation
Erfassung und Pflege aller IT-Komponenten und ihrer Konfigurationen als Grundlage für Sicherheitsmaßnahmen.
Hardware- & Software-Inventarisierung
Gibt es bereits eine CMDB oder Inventar-Tools, an die wir anschließen sollen?
Welche Gerätetypen und Standorte sind im Scope?
Wie aktuell sollen Bestände gehalten werden, und ist Auto-Discovery erlaubt?
Lizenzmanagement
Welche Softwareprodukte und Lizenzmodelle sollen überwacht werden?
Gibt es bestehende Verträge oder True-Ups, die berücksichtigt werden müssen?
Welche Reports oder Warnungen benötigen Sie vor Ablauf oder Unterlizenzierung?
IT-Dokumentation
Welche Dokumentationen fehlen aktuell (Netzpläne, Runbooks, Kontaktlisten)?
Wo soll dokumentiert werden (Wiki, CMDB, Ticketing), und wer darf editieren?
Wie oft sollen Inhalte überprüft und aktualisiert werden?
Phishing & Mitarbeiter-Awareness
Maßnahmen zur Sensibilisierung und Schulung von Mitarbeitern als wichtigste Verteidigungslinie gegen Social-Engineering-Angriffe.
Phishing-Simulationen
Kontrollierte Test-E-Mails und -Nachrichten an Mitarbeiter, um deren Reaktion auf Betrugsversuche zu messen und Lerneffekte zu erzielen.
Phishing-Kampagnen
Wie viele Mitarbeiter sollen getestet werden, und gibt es Fokus-Abteilungen?
Gab es bereits Awareness-Schulungen, oder ist dies eine Erstmessung?
Soll die Auswertung anonymisiert oder personenbezogen erfolgen?
SMS-Phishing
Welche Rufnummern oder Diensthandys dürfen wir adressieren, und gibt es Ausschlüsse?
Sind Links oder Rückrufnummern erlaubt, oder soll nur Text getestet werden?
Wie erfassen Sie Erfolge (Klicks, Antworten), und sollen automatische Resets vermieden werden?
Telefon-Phishing/Vishing
Welche Abteilungen oder Rollen sollen angerufen werden, und welche Cover-Stories sind tabu?
Dürfen wir Rückrufe annehmen oder Weiterleitungen auslösen?
Wie viele Versuche pro Woche sind erlaubt, und gibt es feste Zeitfenster?
Awareness-Schulungen
Trainingsmaßnahmen, die Mitarbeitern beibringen, Cyberbedrohungen zu erkennen und richtig darauf zu reagieren.
Online-Lernmodule / E-Learning
Welche Zielgruppen und Sprachen sollen abgedeckt werden?
Gibt es bereits ein LMS oder bevorzugte Formate (SCORM/xAPI)?
Wie soll der Lernfortschritt gemessen werden (Tests, Zertifikate, Wiederholungen)?
Präsenz-Workshops
An welchen Standorten sollen Workshops stattfinden, und wie groß sind die Gruppen?
Welche Use-Cases stehen im Fokus (Phishing, Passwort, Incident-Meldung)?
Wie viel Zeit steht pro Session zur Verfügung, und sollen Übungen oder Live-Demos enthalten sein?
Spezialtrainings für Führungskräfte
Welche Themen sind wichtig (Crisis-Comm, Board-Reporting, regulatorische Pflichten)?
Gibt es vertrauliche Beispiele, die nicht geteilt werden dürfen?
Welcher Zeitrahmen ist pro Training eingeplant, und bevorzugen Sie Präsenz oder Remote?
Social Engineering Tests
Versuche, durch Manipulation an vertrauliche Informationen von Mitarbeitern zu gelangen.
Telefonische Täuschungsversuche
Welche Teams oder Rollen sollen getestet werden, und welche Legenden sind nicht erlaubt?
Dürfen echte Daten erfragt werden, oder nur generische Informationen?
Wie soll eskaliert werden, wenn sensible Informationen preisgegeben werden?
Vor-Ort-Tests
Welche Standorte und Zutrittszonen dürfen getestet werden, und gibt es No-Go-Bereiche?
Sind Tailgating, Badge-Klonen oder platzierte Geräte erlaubt?
Zu welchen Zeiten dürfen Tests laufen, und wer ist der Sicherheitskontakt vor Ort?
USB-Stick-Tests
Wo dürfen die Datenträger ausgelegt werden (Büro, Parkplatz, Lager)?
Sollen Payloads rein beobachtend/loggend sein, oder dürfen harmlose Dateien geöffnet werden?
Wie wird dokumentiert, wenn Sticks eingesteckt werden, und wer wird vorab informiert?
Security Awareness Training
Spezialisierte technische Weiterbildungen für IT-Personal zu Themen wie Incident Response, sichere Programmierung oder Forensik.
Managed
Wie viele Mitarbeitende sollen kontinuierlich betreut werden, und in welchen Sprachen?
Welche Kanäle wünschen Sie für Nudges und Erinnerungen (E-Mail, Chat, Intranet)?
Wie oft sollen Reports oder KPI-Updates geliefert werden?
Cloud-Sicherheit
Absicherung von Daten, Anwendungen und Infrastruktur, die in Cloud-Umgebungen betrieben werden.
Cloud-Konfigurationsprüfung
Analyse von Cloud-Einstellungen auf Fehlkonfigurationen, die zu Datenlecks oder unbefugtem Zugriff führen könnten.
Microsoft 365 / Azure
Welche M365-Dienste und Azure-Ressourcen sind im Einsatz?
Gegen welche Standards soll geprüft werden (ISO 27001, BSI C5, intern)?
Wer hat aktuell globale Admin-Rechte, und gibt es ein dokumentiertes Rollenkonzept?
Amazon Web Services
Welche AWS-Accounts oder Organisationen und welche Regionen sind im Scope?
Welche Services stehen im Fokus (z. B. IAM, S3, EC2, RDS, VPC, EKS)?
Gegen welche Standards oder Guardrails sollen wir prüfen, und wer erhält die Findings?
Google Cloud Platform
Welche GCP-Projekte oder Folders sollen geprüft werden, und gibt es Shared VPCs?
Welche Produkte stehen im Fokus (IAM, Cloud Storage, GKE, BigQuery, Cloud Run)?
Gibt es interne Policies oder Benchmarks, gegen die wir bewerten sollen?
Cloud-Zugriffsmanagement
Steuerung und Überwachung, welche Benutzer und Systeme auf welche Cloud-Ressourcen zugreifen dürfen.
Berechtigungsanalyse
Welche Identitätsquellen und Ziel-Clouds sollen analysiert werden (IAM, AAD, Okta)?
Gibt es besonders sensible Rollen oder Cross-Account-Zugriffe, die priorisiert werden sollen?
Wie detailliert sollen Reports sein, und welches Zielsystem soll sie erhalten?
Rollenkonzepte erstellen
Für welche Teams oder Anwendungen sollen Rollen neu zugeschnitten werden?
Welche Granularität wünschen Sie (Rollen pro Funktion, pro Anwendung, pro Umgebung)?
Wie laufen Provisioning und De-Provisioning heute, und welche Tools sollen eingebunden werden?
Privileged Access Management
Welche privilegierten Konten oder Keys sollen in ein PAM/JIT-Modell überführt werden?
Welche Approval-Workflows und MFA-Anforderungen bestehen bereits?
Sollen Sessions aufgezeichnet werden und in welches SIEM oder Ticketsystem gemeldet werden?
Cloud-Datenschutz
Maßnahmen zur Verschlüsselung, Klassifizierung und Standortkontrolle von Daten in Cloud-Umgebungen.
Verschlüsselungslösungen
Welche Datenarten und Cloud-Services sollen verschlüsselt werden (Storage, DB, Backups)?
Nutzen Sie bereits KMS/HSM oder wünschen Sie BYOK/Customer Managed Keys?
Gibt es Vorgaben zu Schlüssellängen, Rotation und Zugriff auf Key-Material?
Datenklassifizierung
Welche Klassifizierungsstufen nutzen Sie oder sollen eingeführt werden?
Sollen Labels/Tags automatisiert gesetzt werden und in welchen Tools (Storage, DLP, M365)?
Welche Workloads oder Abteilungen sollen zuerst onboarded werden?
Standortkontrolle
In welchen Regionen dürfen Daten gespeichert oder verarbeitet werden?
Gibt es Kunden- oder Regulatorik-Vorgaben zu Datenresidenz oder Schrems II?
Wie werden Backups/DR über Regionen hinweg gehandhabt, und sind Ausnahmen erlaubt?
Cloud-Workload-Schutz
Absicherung von Anwendungen, Containern und serverlosen Funktionen, die in der Cloud ausgeführt werden.
Container- & Kubernetes-Sicherheit
Welche Plattform nutzen Sie (EKS, AKS, GKE, On-Prem) und welche Versionen?
Sollen Cluster-Konfiguration, Netzwerk-Policies und Runtime-Verhalten geprüft werden?
Bekommen wir Zugriff auf Manifeste/Helm-Charts und die CI/CD-Pipeline für Tests?
Serverless-Absicherung
Welche Functions und Laufzeitumgebungen nutzen Sie (Lambda, Cloud Functions, Azure Functions)?
Welche Trigger und angebundenen Dienste sollen mitgeprüft werden?
Gibt es Leistungs- oder Kostenbudgets, die bei zusätzlichen Sicherheitskontrollen beachtet werden müssen?
Image-Scanning
Welche Container-Registries und CI/CD-Pipelines nutzen Sie?
Welche Basis-Images und Policies (CVE-Schwellen, Signaturen) sollen gelten?
Sollen Builds bei kritischen Findings blockieren oder nur warnen?
Identitäts- & Zugriffsmanagement
Verwaltung digitaler Identitäten und Steuerung, wer auf welche Systeme und Daten zugreifen darf.
Authentifizierung & Multi-Faktor
Verfahren zur Überprüfung der Benutzeridentität durch Passwörter, Tokens, Biometrie oder Kombinationen davon.
Multi-Faktor-Authentifizierung
Für welche Anwendungen und Nutzergruppen soll MFA verpflichtend werden?
Welcher IdP wird genutzt, und welche Verfahren sind erlaubt (App, Token, SMS)?
Gibt es Legacy-Systeme oder Ausnahmen, die berücksichtigt werden müssen?
Biometrie & Hardware-Token
Welche Plattformen sollen biometrisch oder mit Hardware-Token abgesichert werden?
Bevorzugen Sie bestimmte Token-Typen (FIDO2, Smartcards, YubiKey)?
Wie sollen Backup-Codes oder Ersatzgeräte verwaltet werden?
Passwort-Manager
Für welche Teams oder Standorte soll der Passwort-Manager ausgerollt werden?
Soll er über SSO/IdP angebunden werden oder getrennt laufen?
Welche Richtlinien wünschen Sie (Shared Vaults, Policy für starke Passwörter, Audit-Logs)?
Single Sign-on
Technologie, die Benutzern erlaubt, sich einmal anzumelden und dann auf mehrere Anwendungen zuzugreifen.
SSO-Einrichtung
Welchen Identity-Provider nutzen Sie (z. B. Entra ID, Okta, Keycloak)?
Welche Protokolle werden unterstützt (SAML, OIDC), und gibt es Vorgaben für Session-Laufzeiten?
Welche Anwendungen sollen zuerst angebunden werden?
Federation Services
Mit welchen Partnern oder Mandanten soll eine Vertrauensstellung aufgebaut werden?
Welche Claims oder Attribute sind Pflicht, und welche Sicherheitsstufe wird erwartet?
Wie sollen Logging und Zugriffsreviews für Federation-Zugriffe erfolgen?
Anbindung von Fachanwendungen
Welche Fachanwendungen haben noch kein SSO und sollen angebunden werden?
Welche Schnittstellen unterstützen sie (SAML, OIDC, LDAP, SCIM)?
Gibt es Testumgebungen und Ansprechpartner bei den Herstellern?
Benutzerrechteverwaltung
Systematische Vergabe, Kontrolle und Entzug von Zugriffsrechten auf Basis von Rollen und Zuständigkeiten.
Rollenkonzepte entwickeln
Für welche Systeme sollen Rollen neu definiert werden (AD, ERP, Cloud)?
Welche Trennungs- oder Least-Privilege-Vorgaben müssen eingehalten werden?
Wer genehmigt neue Rollen oder Rechte, und wie läuft das Provisioning heute?
Rechte-Audits durchführen
Welche Nutzerkreise und Systeme sollen auditiert werden?
Gibt es regulatorische Vorgaben zur Frequenz und Dokumentation der Audits?
Welche Export- oder Report-Formate benötigen Sie (CSV, PDF, SIEM)?
Automatischer Entzug bei Austritt
Aus welchem HR- oder Identity-System sollen Austritts-Events kommen?
Welche Zielsysteme müssen beim Austritt entzogen werden (Cloud, VPN, SaaS, On-Prem)?
Gibt es Ausnahmen für Externe oder gestaffelte Offboarding-Fristen?
Public-Key-Infrastruktur & Signaturen
System zur Erstellung, Verwaltung und Nutzung digitaler Zertifikate für Verschlüsselung und elektronische Unterschriften.
Zertifikats-Lifecycle-Management
Welche internen oder externen CAs werden genutzt, und für welche Zertifikatstypen (TLS, User, Geräte)?
Gibt es eine Inventarliste aktueller Zertifikate und deren Laufzeiten?
Sollen Ausstellung/Erneuerung automatisiert werden, und über welche Tools?
Elektronische Signaturen
Für welche Dokumenttypen oder Prozesse sollen Signaturen genutzt werden?
Benötigen Sie qualifizierte oder fortgeschrittene Signaturen nach eIDAS?
Welche Systeme sollen angebunden werden (DMS, ERP/CRM, E-Mail)?
Schlüsselmanagement
Welche Schlüsselarten sollen verwaltet werden (TLS, SSH, API, Code-Signing)?
Gibt es Vorgaben für Aufbewahrung (HSM, KMS, Smartcards) und Zugriffsrechte?
Wie oft sollen Schlüssel rotiert werden, und wer genehmigt Ausnahmen?
Netzwerk-Sicherheit
Schutz der Unternehmensinfrastruktur vor unbefugtem Zugriff, Angriffen und Datendiebstahl auf Netzwerkebene.
Firewall-Lösungen
Sicherheitssysteme, die den Datenverkehr zwischen Netzwerken überwachen und nach definierten Regeln erlauben oder blockieren.
Einrichtung & Konfiguration
Welche Standorte/Segmente sollen abgesichert werden, und welche Hersteller/Modelle setzen Sie ein?
Gibt es bestehende Regelwerke oder Allowlists, die übernommen werden müssen?
Gibt es Wartungsfenster und ein High-Availability-Setup, das berücksichtigt werden soll?
Next-Generation Firewalls
Welche NGFW-Features sollen aktiv genutzt werden (IPS, SSL-Inspection, App-Control)?
Wie hoch ist das aktuelle Verkehrsaufkommen, und gibt es Performance-Engpässe?
Welche Applikationen oder User-Gruppen brauchen feingranulare Regeln?
Unified Threat Management
Welche UTM-Module sollen aktiv sein (Webfilter, AV, IPS, Anti-Spam)?
Sollen mehrere Standorte zentral verwaltet werden?
Welche Reporting- oder Compliance-Anforderungen müssen erfüllt werden?
Intrusion Detection & Prevention
Systeme zur Erkennung und automatischen Abwehr von Eindringversuchen und verdächtigem Netzwerkverkehr in Echtzeit.
Netzwerk- und Host-basierte Erkennung
Welche Netzsegmente und Server/Clients sollen überwacht werden?
Welche vorhandenen IDS/IPS/EDR-Lösungen gibt es bereits?
In welches SIEM oder Ticketsystem sollen Alerts eingespeist werden?
Automatische Blockierung
Welche Arten von Events dürfen automatisch geblockt werden, und was bleibt nur beobachtend?
Gibt es Freigabeprozesse oder Wartungsfenster, die vor Eingriffen nötig sind?
Welche Rückfall- oder Rollback-Optionen benötigen Sie bei False Positives?
Wer ist 24/7 erreichbar, und welche Eskalationsstufen gibt es?
Über welche Kanäle sollen Alarme kommen (SIEM, E-Mail, Pager, Chat)?
Ab welchen Schwellwerten oder Events soll eskaliert werden?
VPN & Remote Access
Technologien zur verschlüsselten und sicheren Verbindung von Mitarbeitern und Standorten über öffentliche Netzwerke.
Remote-Access-VPN
Wie viele Nutzer und Geräte sollen angebunden werden, und welche Clients sind im Einsatz?
Welche Authentifizierung wird genutzt (MFA, Zertifikate, Tokens)?
Welche internen Ressourcen dürfen erreichbar sein, und gilt Split-Tunneling?
Zero-Trust-Netzzugang
Welche Nutzergruppen oder Partner sollen zuerst auf ZTNA umgestellt werden?
Welchen IdP/MDM nutzen Sie derzeit, und gibt es Geräte-Posture-Vorgaben?
Welche Anwendungen sollen priorisiert werden und mit welchen Zugriffsrichtlinien?
Fernwartungszugänge absichern
Welche Dienstleister oder Tools nutzen aktuell Fernzugang (RDP, TeamViewer, VPN)?
Sollen alle Fernwartungen über Bastion/Jump-Host oder Session-Recording laufen?
Welche Zeiten sind für Wartungen üblich, und wie erfolgt die Freigabe?
DDoS-Abwehr
Schutzmaßnahmen gegen Überlastungsangriffe, bei denen Angreifer Systeme durch massenhafte Anfragen zum Ausfall bringen wollen.
Volumetrische Angriffe abwehren
Welche Dienste oder Domains sind geschäftskritisch und müssen geschützt werden?
Wie hoch ist der übliche und der maximale Traffic (Bandbreite/pps)?
Gibt es bereits Upstream-Provider oder Scrubbing-Services, an die wir anbinden sollen?
Anwendungsschicht-Schutz
Welche Web- oder API-Services sollen auf Layer 7 geschützt werden?
Nutzen Sie bereits WAF/CDN, und sollen bestehende Regeln übernommen werden?
Welche legitimen Bots oder Integrationen müssen freigeschaltet bleiben?
Always-on-Schutz
Soll der Schutz dauerhaft aktiv sein oder nur bei Angriff umschalten?