STRATEGIE
Sicherheit verbessern beginnt mit einer klaren Strategie.
Was will die Organisation erreichen? Welche regulatorischen und geschäftlichen Anforderungen müssen erfüllt sein? Und steht das Senior Management hinter diesen Zielen? Erst wenn diese Fragen beantwortet sind, lässt sich eine Taktik entwickeln, die mit bestehenden Prozessen und Technologien in Einklang steht.
Genau hier setzen wir an. Unsere Experten arbeiten auf allen Ebenen: von der strategischen Planung mit dem Management über die Definition konkreter Massnahmen bis hin zur operativen Begleitung. Wir haben SOC-Organisationen über mehrere Jahre aufgebaut, Vulnerability-Management-Prozesse von Grund auf neu ausgerichtet und IT-Outsourcing-Strategien von der Anforderung bis zur Umsetzung begleitet.
„Bei unserer Architekturarbeit starten wir immer mit einer einfachen Frage: Was braucht die Organisation wirklich? Erst wenn wir das verstehen, schauen wir auf Technologie – und oft stellen wir fest, dass bestehende Systeme mit der richtigen Anpassung schon sehr weit tragen. Architektur ist für uns kein isoliertes Thema, sondern eng verbunden mit Strategie, Assessments und dem Verständnis der Menschen, die damit arbeiten."
LUKAS REITER
Senior Security Consultant
Unsere Strategiebereiche
SOC-Reifegradentwicklung & Governance
Ein Security Operations Center aufzubauen oder weiterzuentwickeln ist kein Technologieprojekt. Es ist eine organisatorische Aufgabe: Rollen definieren, Fähigkeiten entwickeln, Prozesse etablieren und Fortschritt messbar machen. Viele Organisationen wissen, dass ihr SOC besser werden muss, aber nicht wo sie stehen und was realistisch erreichbar ist.
Wir starten mit einer strukturierten Reifegradanalyse auf Basis von SOC-CMM, identifizieren die relevanten Lücken und entwickeln eine realistische Roadmap. Dabei bleiben wir nicht beim Dokument stehen: Wir begleiten die Umsetzung, definieren Rollen und KPIs und koordinieren das Programm über die gesamte Laufzeit. Die operative Basis dafür liefern häufig Assessments, die zeigen, wo Detection und Response tatsächlich greifen. Wo Kompetenzlücken sichtbar werden, verknüpfen wir die Entwicklung mit gezielten Trainings.
Risikomanagement & Compliance
Sicherheitsprozesse erzeugen oft Volumen, aber zu wenig Wirkung. Vulnerability-Management-Reports mit hunderten Findings, aber ohne klare Verantwortlichkeit. Regulatorische Anforderungen, die dokumentiert, aber nicht operationalisiert sind. Neue Risiken wie Post-Quantum-Kryptographie (PQC), die auf der Agenda stehen, aber keinen konkreten Plan haben.
Wir helfen Organisationen, von reaktiven Prozessen zu einem risikobasierten Ansatz zu gelangen: mit klarer Priorisierung, realistischen Remediation-Zeitplänen und Reporting, das technische Findings mit Business Impact verbindet. Bei Themen wie PQC entwickeln wir Strategien, die Bewertung, Priorisierung und einen phasenweisen Migrationsplan umfassen. Die technische Umsetzung begleiten wir gemeinsam mit dem Architektur-Team.
IT-Strategie & Sourcing
IT-Entscheidungen mit strategischer Tragweite brauchen eine saubere Grundlage: Welche Anforderungen bestehen? Welche regulatorischen Rahmenbedingungen gelten? Was kann intern geleistet werden und was nicht? Ohne diese Klarheit werden Sourcing-Entscheidungen, Cloud-Strategien oder Disaster-Recovery-Planungen zu einem Risiko statt zu einer Absicherung.
Wir unterstützen bei der Definition von IT-Strategien und Roadmaps auf Basis geschäftlicher und regulatorischer Anforderungen. Anschliessend begleiten wir die operative Umsetzung, denn eine Strategie, die nur als Dokument existiert, ändert nichts. Wo Architekturentscheidungen anstehen, arbeiten wir eng mit dem Architektur-Team zusammen, um sicherzustellen, dass strategische Vorgaben technisch tragfähig sind.
Projektbeispiele
SOC-Entwicklung
Ein Kunde wollte sein SOC weiterentwickeln, hatte aber keine Baseline. Wir führten eine strukturierte Reifegradanalyse auf Basis von SOC-CMM durch, identifizierten die Lücken und schlugen eine realistische Zwei-Jahres-Roadmap vor. Anschliessend begleiteten wir die Umsetzung: Definition von Rollen, Festlegung von KPIs und Koordination des gesamten Programms. Das Engagement verband strategische Planung mit operativer Begleitung über die gesamte Laufzeit.
Post-Quantum-Kryptographie-Strategie
Ein Kunde musste seine Exposition gegenüber Quantencomputing-Risiken verstehen und einen Migrationspfad planen. Wir entwickelten eine PQC-Strategie auf Grundlage aktueller Empfehlungen (TNO PQC Migration Handbook). Diese umfasste eine Bestandsaufnahme, Priorisierung der betroffenen Systeme und einen phasenweisen Migrationsplan, abgestimmt auf die bestehende Infrastruktur und realistische organisatorische Zeitrahmen.
Vulnerability Management Advisory
Mehrere Kunden kamen mit einer gemeinsamen Herausforderung auf uns zu: Vulnerability-Management-Prozesse, die Volumen erzeugten, aber keinen Fokus hatten. Wir bewerteten bestehende Workflows, Tooling und Priorisierungslogik und unterstützten den Übergang zu einem risikobasierten Ansatz. Mit klarer Ownership, realistischen Remediation-Zeitplänen und Reporting, das technische Findings mit Business Impact verbindet.
IT-Outsourcing
Wir unterstützten einen Kunden bei der Definition seiner IT-Outsourcing-Strategie und Roadmap auf Basis geschäftlicher und regulatorischer Anforderungen. Nach der strategischen Definition begleiteten wir den operativen Bereich bei der tatsächlichen Umsetzung der Strategie. Das Engagement zeigte, dass Outsourcing-Entscheidungen nur dann tragfähig sind, wenn sie von Anfang an auf klar definierten Anforderungen aufbauen.
Disaster Recovery Planning
Für einen Kunden entwickelten wir ein durchgängiges Disaster-Recovery-Konzept, das über einzelne Wiederherstellungsmassnahmen hinausging. Grundlage war eine systematische Klassifizierung geschäftskritischer Systeme mit Abhängigkeitsanalysen und Recovery-Reihenfolgen. Für jeden Service definierten wir RTOs und RPOs. Das Konzept umfasste einen Kommunikationsplan mit klaren Eskalationswegen und Verantwortlichkeiten sowie strukturierte Testprotokolle, um die Wiederherstellungsfähigkeit regelmässig zu validieren.
Unser Vorgehen
Wir beginnen mit Anforderungen, nicht mit Annahmen. Bevor wir eine Richtung empfehlen, klären wir, was die Organisation braucht, welche Rahmenbedingungen bestehen und wo die tatsächlichen Lücken liegen. Ergebnisse dokumentieren wir in Formaten, die für technische Teams und Management gleichermassen nutzbar sind: ob Roadmap, Policy, Rollenkonzept oder Business Case.
Die Strategie betrachten wir selten isoliert. Sie baut häufig auf Assessments auf, die den Ist-Zustand sichtbar machen. Architekturentscheidungen werden von strategischen Vorgaben geleitet. Und wo Umsetzung Kompetenzaufbau erfordert, verknüpfen wir Strategie mit Trainings. Wo es sinnvoll ist, bleiben wir über die Strategiephase hinaus eingebunden, statt ein Dokument zu übergeben und zurückzutreten.
Nächster Schritt
Kontaktieren Sie uns für ein unverbindliches Erstgespräch.