Alain Rees · 09-07-2026 · 17 min leestijd
In mehr als zwanzig Jahren Arbeit in der Informationssicherheit, zunächst im Finanzsektor und in der Telekommunikation, später als (Interim-)Chief Information Security Officer (CISO), der letztverantwortlichen Funktion für Informationssicherheit, im Hochschulwesen, habe ich immer wieder ein und dasselbe Muster beobachtet. Organisationen, die auf dem Papier alles im Griff hatten, mit Richtlinien, Zertifikaten und dicken Berichten, erwiesen sich bei einem Vorfall oder einer kritischen Prüfung dennoch als verwundbar. Umgekehrt kam es ebenso vor, dass Organisationen, die ihre Angelegenheiten faktisch gut geregelt hatten, dies im entscheidenden Moment nicht zeigen konnten. Das gelang dann weder gegenüber der Aufsichtsbehörde oder dem Wirtschaftsprüfer, noch gegenüber dem Kunden, der eine Lieferantenbewertung schickte, und manchmal nicht einmal gegenüber der eigenen Leitung.
Aus dieser Erfahrung ist das Arbeitsmodell entstanden, das den Kern von Kantyra bildet. Es besteht aus vier Phasen, die zusammen einen fortlaufenden Zyklus bilden, in dem die Nachweisbarkeit kein Schlussstück, sondern eine vollwertige Phase ist. Diese Phasen heißen Erkennen, Bewerten, Lösen und Nachweisen. Als ich dieses Modell zu Papier brachte, drängte sich die Frage auf, ob es sich um ein praktisches Beratermodell handelt oder ob wirklich Wissenschaft dahintersteht. Als ehemaliger Dozent für Risikomanagement fühlte ich mich verpflichtet, diese Frage ernst zu nehmen.
Ich habe mich daher in die akademische Literatur vertieft. Dieser Artikel ist das Ergebnis dieser Suche. Er zeigt, dass die vier Phasen des Modells kein Marketingeinfall sind, sondern eine Zusammenfassung dessen, was vier eigenständige Forschungslinien seit Jahren belegen: die Forschung über den Unterschied zwischen symbolischer und tatsächlicher Sicherheit, die Forschung über die Wirksamkeit von Zertifizierung, die Forschung über fortlaufende Kontrolle und Beweisführung sowie die Forschung über Informationssicherheit in kleinen und mittleren Unternehmen (KMU). Alle Quellen sind unten aufgeführt, mit DOI (Digital Object Identifier), der dauerhaften digitalen Fundstelle einer wissenschaftlichen Veröffentlichung, sodass Sie alles selbst nachlesen können.
Der Vollständigkeit halber weise ich darauf hin, dass ich der Gründer von Kantyra bin und somit ein Interesse an dieser Darstellung habe. Gerade deshalb lege ich die Untermauerung vollständig transparent offen, damit Sie die Argumente beurteilen können statt des Absenders.
Der wichtigste wissenschaftliche Befund unter diesem Artikel stammt aus einer Ecke, die viele Informationssicherheitsfachleute nicht täglich lesen, nämlich der Organisationswissenschaft. Innerhalb der institutionellen Theorie ist seit Jahrzehnten bekannt, dass Organisationen Normen und Standards aus zwei sehr unterschiedlichen Gründen einführen. Manchmal tun sie es, um wirklich davon zu profitieren. Mindestens ebenso oft tun sie es jedoch, um Legitimität zu erlangen, etwa weil das Umfeld es erwartet, der Kunde danach fragt oder der Wettbewerber es ebenfalls hat. In diesem zweiten Fall sprechen Forscher von symbolischer oder zeremonieller Adoption. Die Organisation hängt das Zertifikat an die Wand, während sich die tägliche Praxis kaum verändert.
Lange Zeit war dies vor allem eine theoretische Unterscheidung. Das änderte sich mit der Forschung von Corey Angst und Kollegen, veröffentlicht in MIS Quarterly, einer der führenden wissenschaftlichen Fachzeitschriften der Informatik. Sie untersuchten mehrjährige Daten US-amerikanischer Krankenhäuser und betrachteten den Zusammenhang zwischen Investitionen in Informationssicherheit und dem Auftreten von Datenlecks. Der Kern ihres Befundes ist, dass es darauf ankommt, wie eine Organisation Sicherheit einführt. Krankenhäuser, die Maßnahmen symbolisch einführten, verzeichneten keinen nachweisbaren Rückgang der Zahl der Datenlecks. Krankenhäuser, die Sicherheit substanziell einführten und sie somit tief in ihren Prozessen und Routinen verankerten, hatten sehr wohl weniger Datenlecks zu verarbeiten. Für jede Führungskraft, die in Quartalen denkt, ist dabei wichtig, dass dieser Effekt erst mit der Zeit sichtbar wurde.
Diese Forschung gibt einem Namen und eine Beweisgrundlage für etwas, das viele CISOs intuitiv wissen. Der Unterschied zwischen einer Organisation, die sicher scheint, und einer Organisation, die sicher ist, liegt nicht in der Liste der Maßnahmen. Er liegt in der Frage, ob diese Maßnahmen im täglichen Arbeiten verankert sind. Genau dieser Unterschied ist von außen, und oft auch von innen, schwer zu erkennen. Diese Kluft zwischen Scheinen und Sein nenne ich die Verifikationslücke. Damit meine ich, dass eine zuverlässige und aktuelle Möglichkeit fehlt, festzustellen, dass Maßnahmen bestehen, wirken und bewertet worden sind.
Wenn symbolische Einführung nicht schützt, was sagt dann ein Zertifikat aus? Diese Frage ist inzwischen gut erforscht. Guido Culot und Kollegen veröffentlichten 2021 einen systematischen Literaturüberblick über fünfzehn Jahre wissenschaftlicher Forschung zu ISO/IEC 27001, der Norm der internationalen Normungsorganisationen ISO (International Organization for Standardization) und IEC (International Electrotechnical Commission), weltweit die bekannteste Norm für das Informationssicherheitsmanagement und eine der am weitesten verbreiteten ISO-Zertifizierungen. Ihr Überblick ordnet das Forschungsfeld entlang fünf Themen: die Beziehung zu anderen Standards, die Motive für die Einführung, die Implementierungsprobleme, die möglichen Ergebnisse und die Kontextfaktoren.
Zwei Muster aus diesem Überblick sind für diesen Artikel von Bedeutung. Erstens erweisen sich die Motive zur Zertifizierung auffallend häufig als externer Natur, etwa Kundenanforderungen, Ausschreibungsbedingungen und Marktdruck. Das ist genau das Profil, vor dem die institutionelle Theorie im Zusammenhang mit symbolischer Einführung warnt. Zweitens stellen die Autoren fest, dass die empirische Evidenz darüber, was Zertifizierung tatsächlich bringt, nach wie vor begrenzt und fragmentiert ist. Nach fünfzehn Jahren Forschung ist die Frage, ob ein ISO-27001-Zertifikat zu besserer Sicherheit führt, schlicht nicht überzeugend beantwortet.
Neuere Forschung schärft dieses Bild weiter. Eine schwedische Interviewstudie unter Fachleuten der Informationssicherheit, veröffentlicht 2023, untersuchte die sogenannte Output-Legitimität von ISO/IEC 27001, also das Maß, in dem der Standard einlöst, was die Beteiligten von ihm erwarten. Die Forscher unterschieden acht Informationssicherheitsziele und stellten fest, dass der Standard diese Ziele in stark unterschiedlichem Maße einlöst. Ihre Schlussfolgerung verdient es, beherzigt zu werden. Wer ISO 27001 als ein rein technisches Dokument behandelt, holt wenig daraus. Der Wert entsteht erst, wenn Menschen mit den richtigen Kenntnissen und Fähigkeiten den Standard als Unterstützung ihrer Arbeit nutzen. Vergleichende Fallstudienforschung von Robert van Wessel und Henk de Vries (Rotterdam School of Management) zur Implementierung von Sicherheitsstandards in Europa und China zeigte schon früher, wie stark die Ausgestaltung desselben Standards je nach Organisation und Kontext variiert.
Die Summe dieser Forschungslinie ist nicht, dass Zertifizierung sinnlos wäre. Die Summe ist, dass ein Zertifikat eine Momentaufnahme eines Systems ist, während der Schutz von der täglichen Wirkung dieses Systems abhängt. Ein Zertifikat beantwortet die Frage, ob das System am Prüfdatum angemessen aufgebaut war. Die Frage, die Ihre Leitung, Ihre Aufsichtsbehörde und Ihre Kettenpartner wirklich stellen, nämlich ob es heute funktioniert und ob Sie das zeigen können, beantwortet es nicht.
Die zweite Forschungslinie stammt aus der Prüfungswissenschaft und ist älter, als viele denken. Bereits 1991 beschrieben Miklos Vasarhelyi und Fern Halper, damals bei AT&T Bell Laboratories tätig, ein System für die fortlaufende Prüfung großer Onlinesysteme. Ihr Ausgangspunkt war ebenso einfach wie radikal. In einer Umgebung, die sich permanent verändert, ist eine periodische Kontrolle im Nachhinein per Definition veraltete Information. Wer einmal im Jahr kontrolliert, weiß elf Monate im Jahr nicht, wo er steht.
Aus dieser Idee erwuchs ein ganzes Forschungsfeld, das des continuous auditing, also der fortlaufenden Kontrolle und fortlaufenden Sicherheit. Alexander Kogan, Ephraim Sudit und Vasarhelyi formulierten dafür 1999 ein Forschungsprogramm. Michael Alles und Kollegen prüften die Theorie 2006 an der Praxis mit einer Pilotimplementierung bei Siemens, bei der die Wirkung interner Steuerungsmaßnahmen in Geschäftsprozessen fortlaufend und automatisiert überwacht wurde. Ihre Befunde und die Lehren aus den Folgeversuchen, die sie 2008 veröffentlichten, zeigen zweierlei. Die fortlaufende Überwachung von Maßnahmen ist technisch machbar. Sie verlangt jedoch nach Formalisierung, denn wer fortlaufend feststellen können will, dass eine Maßnahme wirkt, muss vorab festlegen, was diese Maßnahme beinhaltet, welcher Norm sie genügen muss und welches Signal als Abweichung gilt.
Für die Informationssicherheit ist diese Forschungslinie unmittelbar relevant, denn der klassische Rechenschaftsrhythmus in unserem Fach ist nach wie vor periodisch, mit der jährlichen internen Prüfung, der dreijährlichen Rezertifizierung und der Selbstbewertung im Rechenschaftszyklus. Zwischen diesen Zeitpunkten entsteht, was man getrost einen blinden Fleck nennen darf. Maßnahmen verwässern, Ausnahmen häufen sich an und neue Systeme entziehen sich dem Überblick. Die Literatur über fortlaufende Kontrolle weist einen Ausweg. Behandeln Sie die Beweisführung nicht als jährliches Projekt, sondern als fortlaufendes Nebenprodukt der gewöhnlichen Arbeit. Jede Bewertung, jede Änderung und jede abgeschlossene Maßnahme liefert ein Stück Beweis, sofern es im Moment selbst festgehalten wird.
Ehrlichkeitshalber muss ich hinzufügen, dass das Messen von Sicherheit auch wissenschaftlich ein schwieriges Problem bleibt. Schon seit den ersten Leitlinien für Sicherheitsindikatoren, etwa der Publikation 800-55 des US-amerikanischen Normungsinstituts NIST (National Institute of Standards and Technology), ringt das Feld mit der Frage, welche Indikatoren wirklich etwas über die Wirksamkeit von Maßnahmen aussagen. Das ist kein Grund, das Messen dann bleiben zu lassen. Es ist aber ein Grund, klein anzufangen, bei der Grundfrage, die überraschend oft unbeantwortet bleibt, nämlich ob die Maßnahme besteht, ob sie wirkt und ob das kürzlich von jemandem bewertet worden ist.
Die dritte Forschungslinie ist juristischer Natur, und hier berührt die Wissenschaft unmittelbar die aktuelle Praxis in Deutschland und Österreich. Im europäischen Datenschutzrecht ist mit der Datenschutz-Grundverordnung (DSGVO) ein Grundsatz verankert, der über die Pflicht, es gut zu tun, hinausgeht. Dieser Grundsatz heißt Rechenschaftspflicht. Artikel 5 Absatz 2 der DSGVO bestimmt, dass der Verantwortliche die Grundsätze nicht nur einhalten, sondern deren Einhaltung auch nachweisen können muss. Die Artikel-29-Datenschutzgruppe, die Vorläuferin des Europäischen Datenschutzausschusses, arbeitete diesen Grundsatz bereits 2010 in ihrer Stellungnahme zum Grundsatz der Rechenschaftspflicht aus, mit dem Kern, dass Verantwortung ohne Nachweisbarkeit rechtlich nicht genügt.
Die juristische Literatur ist über diesen Grundsatz im Übrigen nicht kritiklos. Analysen in unter anderem der European Journal of Risk Regulation weisen darauf hin, dass die Kombination aus Rechenschaftspflicht und risikoorientiertem Ansatz die Beweislast nachdrücklich der Organisation selbst auferlegt, mit allen damit verbundenen Dokumentationslasten. Gerade diese Kritik bestätigt jedoch den Kern der Sache, nämlich dass der Gesetzgeber die Nachweisbarkeit zu einer eigenständigen Verpflichtung gemacht hat und dass Organisationen ihre Arbeitsweise darauf ausrichten müssen.
Dieselbe Bewegung sehen Sie nun in der Cybersicherheitsgesetzgebung. NIS2, die europäische Richtlinie über Netz- und Informationssicherheit (Richtlinie (EU) 2022/2555), erlegt Organisationen eine Sorgfaltspflicht auf und macht die Unternehmensleitung ausdrücklich dafür verantwortlich. In Deutschland wird die Richtlinie durch das NIS-2-Umsetzungsgesetz umgesetzt, das das BSI-Gesetz (BSIG) ändert; zuständige Behörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). In Österreich erfolgt die Umsetzung über das Netz- und Informationssystemsicherheitsgesetz (NISG). Wer unter das Gesetz fällt, muss auf Grundlage einer Risikobewertung angemessene Maßnahmen treffen und gegenüber der Aufsichtsbehörde nachweisen können, dass dieses System besteht und gepflegt wird. Auch die sektorspezifischen Rechenschaftsrahmen in Europa drehen sich im Kern um dasselbe Prinzip. Der Digital Operational Resilience Act (DORA), die europäische Verordnung für den Finanzsektor, verlangt von Finanzunternehmen, einen dokumentierten Rahmen für das Management von Risiken der Informations- und Kommunikationstechnologie zu unterhalten, ihn zu testen und laufend zu überprüfen, wobei das Leitungsorgan die Endverantwortung dafür trägt. Eine Organisation muss die Maßnahmen nicht nur treffen, sondern auch darüber Rechenschaft ablegen können.
Wer diese juristische Linie neben die früheren Forschungslinien legt, sieht etwas Bemerkenswertes. Der Gesetzgeber verlangt genau das, wovon die Organisationswissenschaft zeigt, dass es den Unterschied macht. Substanzielle Einführung, in der Forschung von Angst und Kollegen die Form, die wirklich schützt, hinterlässt Spuren in Form von Bewertungen, Entscheidungen, Anpassungen und Verankerung in Prozessen. Symbolische Einführung hinterlässt vor allem Dokumente, die von der Praxis losgelöst sind. Eine Rechenschaftspflicht, die aktuellen und nachvollziehbaren Beweis aus dem täglichen Betrieb verlangt, ist damit, ob der Gesetzgeber es so gemeint hat oder nicht, ein Test auf den Unterschied zwischen Scheinen und Sein.
Die vierte Forschungslinie bringt das Problem zu den Organisationen, bei denen es in den kommenden Jahren am stärksten zum Tragen kommt, nämlich den kleinen und mittleren Unternehmen. Durch NIS2 und vor allem durch deren Ausstrahlung in Lieferketten, über Lieferantenbewertungen, Einkaufsbedingungen und Versicherungsanforderungen, sehen sich Tausende von Organisationen mit Rechenschaftsfragen konfrontiert, ohne dafür eine eigene Sicherheitsabteilung zu haben.
Eine Forschergruppe rund um Marco Spruit (Universität Utrecht, inzwischen Universität Leiden) veröffentlichte 2021 einen systematischen Literaturüberblick über sozio-technische Sicherheitsindikatoren für KMU. Ihre Analyse legt zwei ungelöste Probleme offen, die jeder KMU-Unternehmer wiedererkennen wird, nämlich das Zusammenführen einzelner Messungen zu einem verständlichen Gesamtbild und das Anpassen des Vorgehens an die eigene Situation. Einzelne Messungen und einzelne Maßnahmen gibt es genug, aber KMU brauchen deren Übersetzung in eine Handlungsempfehlung, die auf die eigene Organisation zugeschnitten ist. Die Forscher schlussfolgern, dass ein dringender Bedarf an intuitiven, bedrohungsorientierten Formen der Risikobewertung für die am wenigsten digital ausgereiften KMU besteht. In Anschlussforschung arbeiteten sie einen solchen bedrohungsorientierten Bewertungsansatz für KMU auch tatsächlich aus.
Schon früher zeigten Bilge Yigit Ozkan und Spruit, dass die bestehenden Standards und Reifegradmodelle für dieses Segment schlicht zu schwer sind und dass KMU von leichter, vorstrukturierter Selbstbewertung profitieren, die mit der Organisation mitwachsen kann. Aus kriminologischer Sicht unterstreicht die Forschungslinie von Rutger Leukfeldt, verbunden mit der Universität Leiden, dem NSCR und der Haagse Hogeschool, zudem seit Jahren, dass Cyberkriminalität längst nicht mehr nur ein Problem der Großunternehmen ist und dass gerade kleinere Organisationen eine Unterstützung brauchen, die zu ihrer Größe passt.
Der rote Faden in dieser Forschung ist, dass KMU keinen Bedarf an einer abgespeckten Version des Instrumentariums des Großkonzerns haben, sondern an einer wesentlich anderen Form. Diese Form ist vorstrukturiert, verständlich, in der eigenen Sprache formuliert und mit einer eingebauten Übersetzung von Signalen in konkrete Maßnahmen versehen.
Wer diese vier Forschungslinien nebeneinanderlegt, sieht eine Arbeitsweise entstehen. Das ist das Modell, das ich in der Praxis entwickelt habe und das in Kantyra verarbeitet ist, aber seine Logik folgt unmittelbar aus der Literatur.
Der Zyklus beginnt nicht mit einer jährlichen Bestandsaufnahme, sondern mit dem fortlaufenden Auffangen von Signalen aus der Praxis, etwa Vorfällen, Änderungen an Systemen und Lieferanten, Ergebnissen von Lieferantenbewertungen und Veränderungen bei Normen, Gesetzgebung und Kettenanforderungen. Die Grundlage liegt in der Literatur über fortlaufende Kontrolle, die zeigt, dass eine Momentaufnahme ab dem Tag ihrer Erstellung veraltet. Fortlaufend bedeutet dabei übrigens nicht, dass alles von Sekunde zu Sekunde überwacht wird. In der Praxis entsteht ein Teil der Signale im Moment des Handelns, etwa bei einem Vorfall oder einer misslungenen Übung, und ein anderer Teil kommt aus festen täglichen Kontrollen von Fristen, Testdaten und Bewertungen. Auch diese Kombination unterscheidet sich bereits wesentlich von einer einzigen jährlichen Messung. Die bedrohungsorientierte Bewertungsforschung für KMU zeigt zudem, dass der Beginn bei konkreten Bedrohungen besser funktioniert als der Beginn bei abstrakten Normtexten.
Signale werden erst nach einer Abwägung nutzbar. Die Frage lautet dann, was ein Signal für die eigene Organisation bedeutet, mit ihren Systemen, ihren Menschen und ihrer Risikobereitschaft. Hier liegt das Zusammenführungsproblem aus der KMU-Forschung, denn einzelne Befunde müssen in einer Bewertung zusammenkommen, die zu einer Entscheidung führt. Dies ist auch die Phase, in der der Unterschied zwischen symbolisch und substanziell beginnt. Wer bewertet, um ein Häkchen zu setzen, produziert Papier. Wer bewertet, um zu entscheiden, gibt Richtung.
Der Befund von Angst und Kollegen ist hier maßgebend. Schutz entsteht erst, wenn Maßnahmen substanziell eingeführt und somit in Prozessen und Routinen verankert werden, mit klarer Eigentümerschaft und Nachverfolgung. Lösen ist in diesem Modell daher nicht das Abhaken einer Liste, sondern das Zuweisen, Ausführen und Verankern von Maßnahmen, im Bewusstsein, dass die Wirkung Zeit braucht und Pflege verlangt.
Zum Schluss folgt die Phase, die in den gängigen Rahmenwerken fehlt. Die bekannten internationalen Rahmenwerke ordnen die Arbeit entlang von Funktionen wie Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen, seit Kurzem ergänzt um Steuern. Für keine dieser Funktionen ist die Nachweisbarkeit das organisierende Prinzip, während die Rechenschaftspflicht aus der DSGVO und die Sorgfaltspflicht aus NIS2 sehr wohl danach verlangen und während die Prüfungsliteratur zeigt, dass Beweis, der im Nachhinein rekonstruiert werden muss, immer zu spät kommt. In diesem Modell ist das Nachweisen daher eine vollwertige vierte Phase. Die Spur aus Signalen, Bewertungen, Entscheidungen und abgeschlossenen Maßnahmen entsteht darin von selbst im Moment des Handelns, und Beweisstücke werden im selben Moment mit dem richtigen Urteil oder der richtigen Maßnahme verknüpft, sodass sie dort auffindbar bleiben. Die Beweisführung wird so zum größten Teil ein Nebenprodukt der gewöhnlichen Arbeit. Eine Organisation tut das nicht, weil der Prüfer kommt, sondern weil sie selbst wissen will, wo sie steht. Dass die Akte damit auch für die Aufsichtsbehörde, den Wirtschaftsprüfer und den Kettenpartner bereitliegt, ist ein willkommener Nebeneffekt.
Die vier Phasen bilden nachdrücklich einen Zyklus. Was Ihnen beim Nachweisen begegnet, etwa eine Maßnahme, die sich als unwirksam erweist, oder eine Bewertung, die veraltet ist, bildet sogleich wieder ein Signal für die nächste Runde. Wer den Deming-Zyklus kennt, erkennt die Verwandtschaft. Der wesentliche Unterschied liegt in der letzten Phase. Wo der Kontrollschritt in jenem klassischen Zyklus eine interne Angelegenheit ist, richtet sich das Nachweisen nach außen, auf die Leitung, die Aufsichtsbehörde und die Kette, und ist damit ein Test, den Sie nicht bis zur jährlichen Prüfsaison aufschieben können.
Wenn Sie sich nach diesem Artikel eines merken, dann sei es die Schlussfolgerung, dass die Wissenschaft keinerlei Grund gibt, sich auf ein Zertifikat oder einen Ordner mit Richtlinien zu verlassen, und allen Grund, in die tatsächliche Verankerung von Maßnahmen und in die Fähigkeit zu investieren, deren Wirkung fortlaufend zu zeigen. Stellen Sie sich drei Fragen. Wissen Sie, was in diesem Moment in Ihrer Organisation und in Ihrer Kette geschieht? Können Sie heute, ohne Vorbereitungszeit, zeigen, dass Ihre drei wichtigsten Maßnahmen bestehen, wirken und kürzlich bewertet worden sind? Und wenn die Antwort verneinend ausfällt, wie viele Wochen kostet es Sie dann, diesen Beweis nachträglich zusammenzusuchen?
Organisationen, die diese Fragen nicht beantworten können, haben auf dem Papier vielleicht kein Sicherheitsproblem, aber sie haben sehr wohl eine Verifikationslücke. Diese Lücke verwandelt sich in den kommenden Jahren, mit NIS2 und der Ausstrahlung von Kettenanforderungen, von einem internen Unbehagen in ein externes Risiko. Die vier Phasen aus diesem Artikel bilden meine Antwort darauf, nicht als theoretisches Konstrukt, sondern als Arbeitsweise, mit der Sie morgen beginnen können. Beginnen Sie mit dem Erkennen, bewerten Sie, was Sie sehen, lösen Sie das Wichtigste und halten Sie vom ersten Tag an fest, was Sie tun.
Dieser Artikel ist eine fundierte Synthese bestehender wissenschaftlicher Forschung und keine eigenständige, von Fachkollegen begutachtete Forschung. Die genannten Studien wurden nach Relevanz, nach Veröffentlichung in wissenschaftlichen Fachzeitschriften oder Konferenzbänden und nach Überprüfbarkeit ausgewählt. Wo ich deute oder interpretiere, geht diese Interpretation auf meine Rechnung.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demoMessen Sie als CISO, wo Ihre Organisation und Ihr CISO Office stehen, und erfahren Sie, wie Sie mit einer Scorecard steuern und rechtzeitig nachsteuern.
Wie Sie Schwachstellenmanagement als CISO steuern, von der Richtlinie bis zur Rechenschaft gegenüber der Geschäftsleitung.
So bauen Sie Penetrationstests strukturiert auf, von der Pentest-Richtlinie und dem Kalender bis zum Bericht und zur Nachverfolgung der Erkenntnisse.