IT-Security Beratung
IT-Sicherheitsberatung: Wir schützen Ihr Kerngeschäft
Trotz zunehmender IT-Bedrohungslagen und Regulatorik: Ihr Kerngeschäft hat oberste Priorität! Damit dies so bleibt, entwickeln unsere Berater:innen wir für Sie eine tragfähige IT-Sicherheitsstrategie.
Typische Probleme beim IT-Security Management
-
Fachkräftemangel, fehlende Ressourcen und Expertise
-
Steigende Anforderungen an die IT-Sicherheit
-
Komplexe Regulatorik
-
Steigende Bedrohungen
-
Komplexe Anbieterlandschaft
-
Steigender Kostendruck
Kapazitäten wirksam nutzen
Wiederkehrende Aufgaben automatisieren
Budget auf Wirkung ausrichten
Tool-Landschaft entwirren
Compliance vereinfachen
Strategie- & Architekturberatung
Wir entwickeln passgenaue Strategien für die IT-Security-Systemlandschaft und IT-Architektur von Unternehmen, Behörden und Organisationen. Unsere Expertinnen und Experten beraten Firmen von der Konzeption bis zur professionellen Umsetzung ihrer IT-Anforderungen und helfen bei der Zertifizierung der IT-Security-Standards nach internationalen Normen.
NIS-2 und ISO 27001
Unsere Beraterinnen und Berater übersetzen die diversen Anforderungen aus verschiedensten Regulatoriken wie NIS-2 und ISO 27001 in ein konkretes Zielbild mit Governance, Prozessen und Kontrollen.
Statt Tool-Shopping schaffen wir Architektur-Klarheit: Welche Use-Cases brauchen Unternehmen wirklich? Und wie werden vorhandene IT-Sicherheits-Lösungen so integriert, dass sie verlässlich Ergebnisse liefern?
So unterstützen wir auch beim Aufbau eines Information Security Management System (ISMS) und beraten Firmen bei der realisierung ihrer ISO-27001- oder NIS-2-Zertifizierung.
Information Security Management System (ISMS)
Wir etablieren eine pragmatische Steuerungslogik, die alle Rollen, Protection Level Agreements und Entscheidungsregeln umfassen, verankern diese in ein Information Security Management System (ISMS) und bauen ein wirkungsvolles Business Continuity Management (BCM) auf.
Aufbau eines Business Continuity Managements (BCM)
Ein funktionierendes Business Continuity Konzept kann im Ernstfall über das Überleben eines Unternehmens entscheiden. Denn finanzielle Ausfälle, beschädigtes Vertrauen bei Kunden und im schlimmsten Fall der Verlust des gesamten Geschäftsbetriebs können die Folgen sein, wenn z.B. in einem IT-Krisenfall nicht schnell genug reagiert wird. Ohne strukturierte Notfallpläne, klare Rollen und vorbereitete Abläufe steigt das Risiko, dass selbst ein einzelner Vorfall den Betrieb dauerhaft beeinträchtigt.
Wir unterstützen Unternehmen daher ganz pragmatisch beim Aufbau eines Business Continuity Managements und Beratung bei der Notfallvorbereitung.
Interims Chief Information Security Officer (CISO)
Auf Wunsch unterstützen wir unsere Kunden nicht nur bei der Planung, sondern auch bei der konkreten Umsetzung von IT-Sicherheitsmaßnahmen. Dafür stellen wir temporär erfahrene Expert:innen aus unserem Team bereit, die interimistisch als Informationssicherheitsbeauftragte (ISB) oder Chief Information Security Officer (CISO) in Ihrem Unternehmen tätig werden.
„Mit Serviceware habe ich einen strategischen Partner an meiner Seite, der nicht nur berät, sondern auch technisches Know-how mitbringt und professionelles Projektmanagement übernehmen kann. Das schafft Vertrauen und lässt mir viel Raum für meine eigene Arbeit.“
Jan Kornfeld
Director IT Cloud Management Services bei Hapag-Lloyd AG
„Dank der professionellen Begleitung durch Serviceware verlief die Erstellung des IT-Notfallhandbuchs für die Schwing GmbH reibungslos. Sie haben nicht nur unser Team eingebunden, sondern auch praxisnahe Lösungen geliefert, die wir im Ernstfall sofort umsetzen können.“
Jörg Anders
IT Manager bei Schwing GmbH
„Die Unterstützungsleistung von Serviceware in drei Worten: unkompliziert, persönlich und professionell.“
Thomas Lang
Geschäftsführender Partner bei valantic Management Consulting und Partner der valantic GmbH
„Daten gehören zum wichtigsten Kapital eines Unternehmens. Wenn wir Daten verlieren, sind wir auch als Unternehmen verloren. Deshalb müssen wir hohe Sicherheitsstandards erfüllen, um unsere Daten und somit unsere Geschäftsprozesse zu schützen.“
Holger Ried
Teamleiter IT Operations bei FFT Produktionssysteme GmbH & Co. KG
„Serviceware denkt mit – sie kommen mit Ideen auf uns zu, bevor wir überhaupt danach fragen. So stellen wir uns Partnerschaft vor.“
Denis Karbstein
Information- & Cybersecurity Representative bei LGI
Wissen Sie wie hoch der Reifegrad Ihrer IT-Security-Strukturen ist?
Sie möchten wissen, wie hoch der Reifegrad Ihres Unternehmens in Sachen IT-Security ist oder wie gut Sie die IT-Sicherheits-Normen ISO 27001 oder NIS-2 umgesetzt haben?
Dann sprechen Sie mit unserem Experten: Matthias Lehmann ist langjähriger Experte für IT-Security-Strategie und IT-Architekturen und verantwortet als Practice Lead den Bereich IT-Security bei Serviceware.
Er berät Kunden bei der Definition und Planung ihrer IT-Security-Initiativen sowie ihrer Informationssicherheitsmanagementsysteme.
Im Rahmen eines eintägigen Assessment-Workshops mit ihm erhalten Sie eine fundierte Bestimmung, wo sie in Sachen IT-Security stehen.
Matthias Lehmann
Partner Strategic Service Consulting – a Serviceware Company
Webinare
On demand
Von der Theorie zur Dienstleistung: NIS-2 verstehen und in der Praxis umsetzen Go to webinar
FAQs
Die ISO 27001 / IEC 27001 ist ein internationaler Standard für Informationssicherheitsmanagementsysteme und verlangt, dass Unternehmen Informationsrisiken systematisch identifizieren, bewerten, behandeln und die Wirksamkeit ihrer Sicherheitsmaßnahmen fortlaufend verbessern. (ISO)
Eine Zertifizierung bestätigt damit nicht einzelne IT-Tools, sondern ein geprüftes Managementsystem aus Verantwortlichkeiten, Prozessen, Richtlinien, Kontrollen, Audits und kontinuierlicher Verbesserung.
Rechtlich zwingend ist ISO 27001 in der Regel nicht für alle Unternehmen; faktisch wird sie aber häufig zur Pflicht, wenn Kunden, Konzernvorgaben, Ausschreibungen, Lieferkettenanforderungen oder branchenspezifische Nachweise sie verlangen.
Gefordert wird sie also meist vom Markt, von Auftraggebern, Partnern oder regulierten Kunden – nicht automatisch vom Staat für jedes Unternehmen.
Die NIS-2-Regulierung verfolgt einen anderen Ansatz als der ISO/IEC 27001Standard. Sie ist eine EU-Richtlinie, die ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union schaffen soll und seit Januar 2023 in Kraft ist. (Digital Strategy)
In Deutschland wird sie über nationale Regelungen umgesetzt und erweitert den Kreis der regulierten Organisationen deutlich auf „wichtige“ und „besonders wichtige“ Einrichtungen. (BSI)
Betroffen sind insbesondere mittlere und große Unternehmen aus kritischen und gesellschaftlich relevanten Sektoren wie Energie, Verkehr, Finanzwesen, Gesundheit, Wasser, digitale Infrastruktur, öffentliche Telekommunikation, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste und Forschung sowie Betreiber kritischer Anlagen. (BSI)
Für diese Organisationen ist NIS 2 keine freiwillige Zertifizierung, sondern eine gesetzliche Pflicht mit Anforderungen an Registrierung, Risikomanagement, technische und organisatorische Sicherheitsmaßnahmen, Lieferkettensicherheit, Meldeprozesse und Verantwortung der Geschäftsleitung. (BSI)
Genau deshalb reicht eine ISO-27001-Zertifizierung für viele Unternehmen nicht mehr aus: Sie schafft zwar eine sehr starke Grundlage, deckt aber nicht automatisch alle konkreten gesetzlichen Pflichten aus NIS 2 ab.
NIS 2 verlangt zusätzlich eine regulatorische Einordnung der Betroffenheit, verbindliche Incident-Meldungen, Nachweise gegenüber Aufsichtsbehörden und eine direkte Einbindung der Unternehmensleitung in die Cyberrisikosteuerung.
Unternehmen, die bereits ISO 27001 zertifiziert sind, starten daher mit einem Vorsprung, müssen ihr ISMS aber gezielt um die NIS-2-Anforderungen erweitern, wenn sie zu den betroffenen Einrichtungen gehören.
IT-Security Consulting (IT-Sicherheitsberatung) hilft Unternehmen, Cyber-Risiken und Informationssicherheitsrisiken so zu steuern, dass sie zu Geschäftsprozessen, Regulatorik und IT-Realität passen. Es geht dabei nicht nur um die Technik: Die Expertinnen und Experten von Serviceware kombinieren bei der IT-Security-Beratung People, Process & Technology, also Rollen und Verantwortungen, Governance und Prozesse sowie die Sicherheitsarchitektur und Kontrollmechanismen, damit Sicherheitsmaßnahmen wirksam, nachweisbar und betriebsfähig sind.
Das IT-Security-Portfolio von Serviceware ist modular aufgebau und besteht aus den vier Feldern:
1.) Strategie- & Sicherheitsarchitektur-Entwicklung, wobei das Security-Zielbild, Prinzipien, die Referenzarchitektur und Roadmap entwickelt werden.
2.) ISMS / ISO 27001 / NIS-2-Beratung, die den Aufbau, die Gap-Analyse, das Maßnahmenprogramm sowie die Audit-Vorbereitung enthält.
3.) Das Business Continuity Management (BCM / BIA / Resilienz) umfasst die Bereiche Business Impact Analyse, Wiederanlaufziele (RTO/RPO) sowie Notfall- und Recovery-Konzepte.
4.) Schließlich können die Serviceware Expertinnen und Experten auch als Interims Informationssicherheitsbeauftragter (ISB) bzw. Interims Chief Information Security Officer (CISO) die Steuerung, Governance, das Stakeholder-Management sowie das Reporting und Enablement bei unseren Kunden übernehmen.
Typische Auslöser sind: ISO/IEC 27001-Zertifizierung, NIS-2-Vorbereitung, Cloud-/M365-Transformation, neue digitale Produkte, Incident-Erfahrungen (z. B. Ransomware), unklare Verantwortlichkeiten oder „zu viele Tools, zu wenig Wirkung“.
Kurz: Wenn Security entweder zu technisch diskutiert wird (Tool-Fixierung) oder zu formal (Checklisten ohne Umsetzung).
Wir verstehen IT-Security weder als Tool-Wettbewerb unter Technikern noch als reines Abhaken von Compliance-Checklisten. Unser Ansatz verbindet beides sinnvoll, indem wir Security als Management- und Architekturthema begreifen.
Im Zentrum stehen zunächst die geschäftlichen Risiken und der tatsächliche Schutzbedarf: Welche Services und Daten sind kritisch, und welche Auswirkungen hätte ein Sicherheitsvorfall auf das Business?
Darauf aufbauend entwickeln wir ein klares Governance- und Operating-Modell mit definierten Rollen und Verantwortlichkeiten, geeigneten Richtlinien und Standards sowie praxistauglichen Prozessen – von IAM über Incident Response bis zum Change-Management.
Diese Grundlagen übersetzen wir anschließend in eine konsistente Security-Architektur mit klaren Zonen und Segmenten, modernen Identity-Konzepten, belastbarem Logging und Response sowie Resilienz orientierten Maßnahmen.
Das Ergebnis sind fundierte Sicherheitsentscheidungen, die wirtschaftlich sinnvoll, technisch realistisch und revisionssicher sind – und nicht in Tool-Diskussionen oder formaler Compliance steckenbleiben.
Wir folgen einem vierphasigen, bewährten Vorgehen, das Security strukturiert vom Ist-Zustand bis in die Umsetzung führt.
In der ersten Phase klären wir Scope und Kontext, indem wir relevante Systeme und Services, schützenswerte Daten, Identitäten, Lieferkettenabhängigkeiten sowie regulatorische Anforderungen einordnen.
Darauf aufbauend analysieren wir in Phase zwei Risiken, Reifegrad, bestehende Architekturen und Controls und identifizieren operative Schwachstellen.
In Phase drei entwickeln wir ein klares Zielbild mit Security-Prinzipien, einer Referenzarchitektur über People, Process und Technology sowie einem passenden Kontrollprofil je Schutzbedarf.
Die vierte Phase übersetzt dieses Zielbild in eine priorisierte Roadmap mit konkreten Maßnahmen, Quick Wins, klaren Abhängigkeiten und einer sauberen Übergabe in den Betrieb – für Ergebnisse, die umsetzbar sind und nicht bei reinen Findings enden.
Je nach gewähltem Modul liefern wir klar verwertbare Ergebnisse, die als Entscheidungs- und Steuerungsgrundlage dienen. Dazu gehören ein belastbares Security-Zielbild und eine transparente Einordnung der aktuellen Fähigkeiten und des Reifegrads. Auf dieser Basis entsteht eine priorisierte Security-Roadmap, die Investitionen und Maßnahmen nachvollziehbar ausrichtet.
Ergänzend schaffen wir Transparenz gegenüber regulatorischen Anforderungen durch ein strukturiertes Control-Mapping, etwa zu ISO-Standards oder NIS-2. Einheitliche Richtlinien- und Standardvorlagen, klar definierte Rollen und Verantwortlichkeiten sowie ein konsistentes Set aus Kennzahlen ermöglichen eine wirksame Governance und Steuerung.
Bei Resilienz-Themen ergänzen wir dies um belastbare Aussagen zur Geschäftsauswirkung, klare Leitplanken für Wiederanlaufzeiten und Datenverluste sowie umsetzbare Recovery-Konzepte.
Weil Security in der Praxis ein Business-Risiko ist: Erst der Fachbereichs-Kontext zeigt, welche Auswirkungen ein Vorfall hat (z. B. Lieferfähigkeit, Umsatz, Compliance, Reputation). Ohne Business-Einordnung werden Controls oft falsch priorisiert: technisch „kritisch“ kann geschäftlich nebensächlich sein – und umgekehrt.
Technische Sicherheitswerkzeuge wie Endpoint Detection and Response (EDR), Security Information and Event Management (SIEM), Identity and Access Management (IAM), Cloud Access Security Broker (CASB) oder Vulnerability Management (VM) sind wichtige Bausteine, aber immer nur ein Teil einer wirksamen Sicherheitsstrategie.
Ohne klare Governance – also verbindliche Standards, eindeutig geregelte Verantwortlichkeiten, etablierte Betriebsprozesse und eine messbare Steuerung der Wirksamkeit – entstehen in der Praxis häufig Alarme ohne Reaktion, Ausnahmen ohne bewusste Risikoentscheidung oder Investitionen, die als ungenutzte „Shelfware“ enden.
Deshalb koppeln wir den Einsatz von Tooling konsequent an ein passendes Operating Model und klar definierte Prozesse und denken Themen wie Incident Response (IR), Disaster Recovery (DR) und Business Continuity Management (BCM) von Anfang an integriert mit.
Die pauschale „weakest link“-Logik führt oft zu Einheitsmaßnahmen und damit zu Über- oder Unterprotektion. Große Organisationen brauchen differenzierte Schutzbedarfe und Segmentierung (z.B. Zonen für kritische Services, Admin-Pfad, OT/IT, Partnerzugänge). So werden Controls dort maximal stark, wo der Business Impact am höchsten ist.
Wir behandeln Security als steuerbares Investment: Kosten-Transparenz, Zuordnung zu Services/Einheiten und Priorisierung nach Risiko-/Nutzenbeitrag. TBM-Ansätze unterstützen dabei Showback / Chargeback und schaffen eine sachliche Diskussion zwischen Business, IT und CISO.
Ja – von der Scope-Definition und der Risiko-Methodik über die Policies, und SoA, bis hin zum Maßnahmenprogramm und der Audit-Vorbereitung. Wichtig ist: ISMS nicht ein „Dokumentationsprojekt“, sondern ein Managementsystem, das Entscheidungen, Umsetzung und Wirksamkeit verbindet. Für viele NIS-2-Kontexte spielt zudem BCM/Resilienz eine wichtige Rolle.
Weil Unternehmen nicht jedes Risiko verhindern können. BIA identifiziert kritische Geschäftsprozesse, Abhängigkeiten und akzeptable Ausfallzeiten – daraus folgen RTO/RPO, Prioritäten für Wiederanlauf und realistische Resilienz-Ziele. Gerade bei Ransomware entscheidet Resilienz (IR/DR/BCM) oft darüber, ob ein Incident nur eine Störung oder vielleicht eine Existenzkrise wird.
Ja, Serviceware bietet seinen Kunden auch ein Interims ISB/CISO an. Typischerweise ist das sinnvoll, wenn Verantwortung oder Steuerung fehlt, oder ein Programm beschleunigt werden soll: Security-Governance, Risiko-Entscheidungen, Roadmap-Steuerung, Reporting an Management, Koordination von IT/Fachbereichen/Dienstleistern und Know-how-Transfer („enable, not outsource“) werden dann von unseren Expertinnen und Experten übernommen.
AI ist beides: Risiko (z. B. Datenabfluss, Shadow-AI, neue Angriffsflächen) und Chance (Automatisierung in Detection/Response, Triage, Evidence-Sammlung, Compliance-Nachweisen). Entscheidend ist Governance: klare Datenklassifizierung, Zugriffskontrollen, Logging, Nutzungsvorgaben – plus ein realistischer Use-Case-Katalog, in dem AI nachweisbar entlastet.