Skip to content
Hamburger Menu

Sicherheit als strategische Grundlage, nicht als Reaktion. 

Sicherheit liefert dann den grössten Wert, wenn sie dem Unternehmen ermöglicht, effizient zu arbeiten und informierte Risikoentscheidungen zu treffen. Wir bei der Popp Schweiz AG unterstützen dabei, indem wir Anforderungen verstehen, den Zielzustand erheben und priorisierte Massnahmen pragmatisch umsetzen.

 

Erstgespräch vereinbaren
pexels-fauxels-3183183 (1)

Was wir tun

Jede Zusammenarbeit folgt derselben Logik: Zuerst die Ausgangslage und Zielsetzung verstehen, anschliessend den Weg definieren und in die Umsetzung bringen. So stellen wir sicher, dass Massnahmen auf Fakten basieren und im Betrieb ankommen.

01

Verstehen

 
Geschäftliche und
regulatorische
Anforderungen sowie
den Istzustand
erfassen.

 

>

02

Gestalten

 
Realistischen
Sollzustand
definieren und
priorisierte
Massnahmen ableiten.

 

>

03

Umsetzen

 
Massnahmen
realisieren und
Ergebnisse messbar
machen, damit Pläne
Praxis werden.

Diese Arbeitsweise zieht sich durch alle unsere Dienstleistungsbereiche. Je nach Ausgangslage setzen wir an unterschiedlichen Punkten an. Die vier Bereiche sind keine festen Phasen, sondern Werkzeuge, die wir kombinieren, wie es die Situation erfordert.

Strategy

Strategie

Die richtigen Entscheidungen vor den richtigen Investitionen treffen

Wir erfassen Geschäftsziele und regulatorische Anforderungen, ordnen Risiken ein und leiten daraus konkrete Prioritäten ab. Wo nötig, entwickeln wir Richtlinien und Governance-Strukturen, die diese Ausrichtung im Betrieb verankern.

Assessments

Assessments

Den Unterschied zwischen Papier und Praxis sichtbar machen

Wir stellen fest, wo die Organisation heute steht, und zeigen auf, wo die tatsächlichen Lücken liegen, welche Konsequenzen sie haben und wie sie behoben werden können.

Architecture

Architektur

Weniger Komplexität statt mehr Technologie

Wir definieren, wie die Zielumgebung aussehen soll, und begleiten die Umsetzung. Das umfasst technische Architekturen ebenso wie Standards, Betriebsprozesse und Pläne. Wir arbeiten herstellerunabhängig und orientieren uns ausschliesslich an den tatsächlichen Anforderungen.

Trainings

Trainings

Fähigkeiten aufbauen, die am nächsten Tag einsetzbar sind

Wir stellen sicher, dass getroffene Massnahmen wirksam werden, indem wir Trainingsprogramme für Spezialisten und die gesamte Organisation entwickeln.

Projektbeispiele

Assumed Compromise Assessment

Ein Angreifer hat Zugang zur Arbeitsumgebung eines Benutzers erlangt. Wie weit kommt er? Wir kartierten Lateral-Movement-Pfade, bewerteten den Zugriff auf sensible Ressourcen und testeten, wo Erkennung und Eindämmung greifen. 

Assessments

Tabletop Exercises mit Live-SOC-Validierung

Planübungen, bei denen das SOC in Echtzeit mitgeprüft wird. Strukturierte Injects über den gesamten Verlauf zeigten, wie Erkennung, Eskalation und Entscheidungsfindung unter anhaltendem Druck funktionieren. 

Assessments

Microsoft 365 Tenant Security

Audit der Tenant-Konfiguration gegen aktuelle Best Practices, Analyse verfügbarer Logs auf Kompromittierungsindikatoren und Identifikation von Fehlkonfigurationen, die zu Account-Übernahmen oder Datenabfluss hätten führen können.

Assessments

Post-Quantum-Kryptographie

Bestandsaufnahme kryptographischer Assets, Priorisierung von Algorithmen und phasenweiser Migrationsfahrplan auf Basis des TNO PQC Migration Handbook. Von der Strategie über die Architektur bis zum Wissensaufbau im Team.

Strategie · Architektur

Cloud-Migration

Der Entscheid zur Cloud stand fest, aber kein klarer Plan. Wir strukturierten die Anforderungen, identifizierten Quick Wins und Blocker und entwickelten einen Migrationsplan, der technische und organisatorische Rahmenbedingungen berücksichtigte. Anschliessend begleiteten wir die Umsetzung aktiv.

Architektur

Developer Security Training

Massgeschneidertes Training auf Basis von OWASP WSTG und CI/CD-spezifischen Risiken. Unsere verwundbare Lab-Umgebung wurde an die Kundeninfrastruktur angepasst, damit Entwickler die realen Konsequenzen typischer Fehler selbst erleben konnten.

Trainings

Security Awareness mit Live-Demonstration

 Demonstrationen zu WLAN-Sicherheit und Open Source Intelligence (OSINT) zeigten, welche Informationen über das Unternehmen öffentlich zugänglich sind. Informelle Gestaltung förderte offene Fragen und echtes Engagement statt Pflichtbewusstsein. 

Trainings

Kryptographie-Training

Ein Trainingsprogramm für Einsteiger und Praktiker gleichermassen, ausgerichtet an dem, was die Organisation bereits im Einsatz hatte: Secrets Management, Identity Provider und Public Key Infrastructure. Praxis statt Theorie.

Trainings

Breaking BitLocker — Black Hat USA

Von 2023 bis 2025 haben wir dieses Spezialistentraining an der Black Hat in Las Vegas durchgeführt. Fortgeschrittene Techniken zur Analyse und Umgehung von BitLocker-Verschlüsselung, ausgerichtet auf erfahrene Sicherheitsprofis.

Trainings

Wie wir arbeiten

Jedes Engagement beginnt mit Anforderungen, nicht mit Annahmen. Bevor wir eine Richtung empfehlen, klären wir, was die Organisation braucht, welche Rahmenbedingungen bestehen und wo die tatsächlichen Lücken liegen.

Unser Team arbeitet auf Basis etablierter Frameworks und Standards wie MITRE ATT&CK, CIS Benchmarks, SOC-CMM, NIST Special Publications oder TNO PQC Migration Handbook und weitere. Diese geben die Struktur vor. Die Tiefe und den Fokus passen wir an die jeweilige Ausgangslage an.

Wir sind herstellerunabhängig und denken in Lösungen, nicht in Produkten. Bevor wir etwas Neues empfehlen, prüfen wir, ob bestehende Systeme die Anforderungen durch Anpassung bereits erfüllen können.

 

Nächster Schritt