Advise. Build. Choose. Transfer. Wir beschreiben unsere Arbeit als Tätigkeiten, nicht als Produkte. Was bei Ihnen ansteht, ergibt sich aus dem Gespräch.
01
Die Arbeit, die
Reihenfolge zu finden.
Organisationen wissen oft ziemlich genau, dass sie ein Security-Problem haben. Unklar ist meistens nur, welches zuerst. Advise ist die Arbeit, die Reihenfolge zu finden — und dabei die Aufmerksamkeit des Vorstands so lange zu halten, bis sie trägt.
Wir kommen meistens dann, wenn eine Security-Strategie neu aufgesetzt werden muss. Wenn ein Audit ansteht und niemand weiß, wo der Startpunkt ist. Oder wenn der vorhandene CISO Verstärkung braucht, und zwar auf Augenhöhe.
Das sieht typischerweise so aus
Das ist es nicht Keine Papier-Strategien, keine Powerpoint-Theater. Wenn das Ergebnis nur in einer Präsentation existiert, haben wir den Auftrag nicht erfüllt.
02
Menschen, Prozesse,
Werkzeuge —
in dieser Reihenfolge.
Security-Funktionen entstehen nicht durch Installation. Sie entstehen, wenn Menschen wissen, was sie tun, Prozesse definieren, wann sie es tun, und Werkzeuge dabei helfen. Build ist die Arbeit, diese Reihenfolge einzuhalten.
Wir kommen meistens dann, wenn ein SOC aufgebaut oder neu aufgestellt werden soll. Wenn ein Security-Bereich professionalisiert wird. Oder wenn nach einer Reorganisation klar wird, dass die bestehenden Abläufe nicht mehr tragen.
Das sieht typischerweise so aus
Das ist es nicht Wir betreiben nicht selbst. Wir bauen, bis andere übernehmen können — und bleiben so lange, wie die Übergabe dauert, nicht länger.
03
Das Versprechen abziehen
und schauen, was bleibt.
Jede Security-Technologie kommt mit einer Wolke aus Versprechen. Die Frage ist: Was bleibt, wenn man die Wolke abzieht? Choose ist die Arbeit, genau das herauszufinden, bevor Geld und Zeit investiert sind.
Wir kommen meistens dann, wenn eine größere Beschaffung ansteht — SIEM, EDR, IAM, SOAR. Wenn eine vorhandene Lösung ihre Grenzen erreicht. Oder wenn ein Vendor-Versprechen ungewöhnlich überzeugend klingt.
Das sieht typischerweise so aus
Das ist es nicht Wir sind kein Reseller. Wir bekommen keine Provisionen, keine Affiliate-Zahlungen, keine Boni für Empfehlungen. Unsere Empfehlung ist die, die wir selbst einsetzen würden.
04
Damit Sie uns irgendwann
nicht mehr brauchen.
Ein gutes Beratungsverhältnis endet damit, dass der Kunde die Beratung nicht mehr braucht. Transfer ist die Arbeit, diesen Moment näher zu bringen — durch Wissen, das in der Organisation bleibt, wenn wir gehen.
Wir kommen meistens dann, wenn Security-Teams sich weiterentwickeln sollen. Wenn ein Vorstand ein realistisches Bild der Bedrohungslage braucht, nicht nur Zahlen. Oder wenn eine Organisation ihre Incident-Response-Fähigkeit testen will, bevor es ernst wird.
Das sieht typischerweise so aus
Das ist es nicht Keine Pflicht-E-Learnings, keine Zertifikats-Fabriken, keine generischen Awareness-Kampagnen. Wir trainieren Menschen, nicht Klick-Häkchen.
Ein Engagement hat oft mehr als einen Namen. Manchmal alle vier. Die Reihenfolge und Gewichtung ergibt sich aus Ihrer Frage — nicht aus einem Katalog.
Konkrete Angebote
Die vier Tätigkeiten oben sind der Rahmen. Was unten steht, sind konkrete Formen davon: Einstiege, die kostenlos sind, Pakete mit klarem Umfang, und eigene Produkte. Nicht jeder Service passt zu jedem — aber jeder ist real.
Erste Orientierung ohne Bezahlung und ohne Verpflichtung. Ein Lead-Magnet ist es auch — wir machen daraus keinen Hehl.
Strukturierter Fragebogen, sofortige Ampel-Auswertung Ihres NIS2-Reifegrads, konkrete nächste Schritte. Keine Rechtsberatung — technisch-organisatorische Einschätzung in wenigen Minuten.
Wöchentlicher Security-Newsletter für Vorstände und Geschäftsführer — öffentlich auf LinkedIn, KI-gestützt, mit Österreich/DACH-Fokus. Kein IT-Jargon, kein Buzzword-Bingo.
Festgelegte Beratungsformate für klar umrissene Fragestellungen. Wenn Sie wissen, dass eine dieser Arbeiten bei Ihnen anliegt, ist das der direkte Weg.
Wir gehen mit Ihnen durch den NIS2-Stand Ihrer Organisation — ein bis zwei Tage, mit konkreter Lückenanalyse und priorisiertem Maßnahmenplan. Vom Anwalt unterscheidet uns: Wir sagen, was zu tun ist, nicht nur, was im Gesetz steht.
Cyber-Security für Menschen, die Entscheidungen treffen müssen — aber nicht selbst Security machen. Keine Folien-Wand. Eine offene Sitzung mit den Fragen, die im Vorstand wirklich relevant sind.
Wir helfen, das Richtige zu kaufen — Anforderungen schärfen, Anbieter bewerten, Versprechen abziehen. Wir verkaufen weder ein Produkt noch verdienen wir an Empfehlungen.
Wenn die Security-Aufstellung Ihrer Organisation grundlegend neu zu sortieren ist — bei M&A, Outsourcing, Reorganisation oder einfach, weil die alte Struktur nicht mehr trägt. Mit Ergebnis, nicht mit Foliensatz.
Sie überlegen, ein Security Operations Center aufzubauen — intern, extern oder hybrid? Wir klären die Anforderungen, machen die Make-or-Buy-Entscheidung sauber und liefern den Business Case. Kein Eigeninteresse am Ergebnis.
Ein Konzept liegt vor — von Ihrem Dienstleister, vom IT-Team oder von einem Berater. Wir lesen es, prüfen es, und sagen Ihnen, was wir anders sehen. Schnell, ehrlich, ohne politische Rücksichten.
Sie haben eine Strategie und wollen wissen, ob sie noch trägt. Wir prüfen — gegen die Lage, gegen die Regulatorik, gegen die eigene Realität. Was bleibt, was muss raus, was fehlt.
Eigenentwickelte Werkzeuge, die in der Beratungsarbeit entstanden sind und sich verselbstständigt haben. Jahresabo, mit dem ehrlichen Hinweis: Das Werkzeug ist nicht die Sache.
Interaktive Awareness-Übungen für Mitarbeitende, die nicht wie Pflicht-E-Learning aussehen. Praxisnah, kurz, regelmäßig. Mit einem Reporting, das im Vorstand erklärt werden kann. secdrills.com →
Branchenspezifisches Notfallhandbuch für den Cybervorfall. Eigene Zugänge für Abteilungsleitungen, quartalsweise aktualisiert. So vorbereitet, dass es im Ernstfall nicht das erste Mal ist.
Moderierter Austausch unter Gleichrangigen — CISOs und Security-Leiter, die regelmäßig zusammenkommen und Themen besprechen, die unter Vier-Augen leichter offen liegen als in Konferenz-Foren.
Co-finanzierte Lösungen für eine ganze Branche. Eine Plattform, ein gemeinsamer Standard, geteilte Aufwände, gegenseitiges Lernen — und keine zehn parallelen Insellösungen.
Informationssicherheits-Management auf Basis eines branchenspezifischen Templates. Statt jedes Unternehmen baut sein ISMS aus Null auf, nutzt eine Branche gemeinsam ein Template, das auf ihre Realität zugeschnitten ist — Skaleneffekte machen den Einstieg deutlich günstiger als jede individuell entwickelte Lösung. BlueGravitas pflegt Templates, Updates und Audit-Vorbereitung.
Sprechen Sie mit uns.
Ohne Agenda, ohne Folien, ohne Verkaufsversuch.