BLOG
Leistungen
Security
Über Mich
Kontakt

Informationssicherheit, die wirkt –

einfach, pragmatisch, umsetzbar

kostenloses Erstgepräch vereinbaren

Über mich

Alexander Kunze – Ihr Berater für Informationssicherheit

Ich unterstütze Unternehmen dabei, Informationssicherheit schlank, effizient und wirksam einzuführen. Kein unnötiger Overhead, sondern Lösungen, die sich schnell auszahlen – praxisnah, verständlich, wirtschaftlich.

Erfahrungen

 

  • Mehr als 6 Jahre Projekterfahrung in Informationssicherheit und Cybersecurity – von der schnellen Gap-Analyse bis zur nachhaltigen ISMS-Einführung

Bisherige Projekte

  • Erfolgreiche Einführung eines ISMS nach ISO 27001 (inkl. Zertifizierung)
  • Umsetzungsprojekt nach DORA
  • Etablierung und Verbesserung nach TISAX
  • Diverse NIS2 Umsetzungsprojekte 

Zertifikate und abschlüsse

  • ISO 27001 Lead Auditor (IRCA)        
  • ISO 27001 Officer (TÜV-Süd)             
  • IT Risk Manager (Bitkom) 
  • IT-Sicherheit und IT-Forensik        (Master of Engineering – Hochschule Wismar) 
  •  

BLOG

Dienstleistungen

Beratung / Informationssicherheit

Internes Audit & Gap-Analyse

Pflicht nach ISO 27001 und unverzichtbar für NIS2/DORA: Mit einem internen Audit oder einer Gap-Analyse erhalten Sie Klarheit über den Status Ihrer Informationssicherheit.



MEHR Erfahren

Einführung ISMS nach ISO 27001

Von der ersten Gap-Analyse bis zur Zertifizierung: Ich begleite Sie pragmatisch und wirtschaftlich bei der Einführung eines ISMS nach ISO 27001 – ohne unnötige Bürokratie.

 

 

Mehr Erfahren

NIS2, DORA und weitere EU-Vorgaben

Neue EU-Regeln wie NIS2 und DORA erhöhen die Anforderungen an IT-Sicherheit, Risikomanagement und Reporting. Ich helfe Ihnen, die Pflichten effizient und pragmatisch umzusetzen.

Mehr Erfahren

Security Advisory Retainer

Ihre Sicherheit – laufend begleitet.
Mit meinem Advisory Retainer haben Sie einen festen Ansprechpartner für Informationssicherheit: planbar, reaktionsschnell und ohne jedes Mal neu zu starten.

Mehr erfahren

Need Help?

FAQs

Wie lange dauert ein internes Audit?

Je nach Größe/Scope meist 1–3 Tage für die Durchführung plus Reporting.

Vor Ort oder remote?
Beides ist möglich; effizient ist oft ein Hybrid-Setup.

Was wird geprüft?
Scope, Risiken, Rollen/Prozesse, Controls & Nachweise – pragmatisch, evidenzbasiert, nach ISO 19011.

Wie lange dauert die Einführung?
Das hängt von Größe/Scope ab. Typisch planen wir mehrere Sprints über einige Wochen bis wenige Monate.

Wie viel Aufwand entsteht intern?
Wir bündeln Interviews & Workshops effizient. Kernrollen (Process Owner, IT, Management) sind punktuell eingebunden; die Umsetzung erfolgt über eine priorisierte Maßnahmenliste.

Remote oder vor Ort?
Beides. Häufig ist ein Hybrid-Setup am effektivsten: Workshops und kleinere Meetings remote, kritische Termine vor Ort.

Passt ISO 27001 auch zu NIS2/DORA?
Ja. ISO 27001 strukturiert Informationssicherheit sauber – NIS2/DORA-Anforderungen lassen sich darin sehr gut verankern. Wir legen das von Beginn an so an.

Brauche ich zuerst ein ISMS?
Nein, aber ein schlanker Rahmen hilft. Ich setze Maßnahmen so auf, dass sie ISMS‑fähig sind – falls später zertifiziert werden soll.

Arbeiten Sie tool‑/anbieter‑neutral?
Ja. Ich orientiere mich am Risiko und an Ihren vorhandenen Systemen. Empfehlungen dokumentiere ich transparent.

Remote oder vor Ort?
Beides – häufig hybrid für Tempo und Effizienz.

Wie messen wir Fortschritt?
Mit wenigen, klaren KPIs (z. B. Patch‑SLA, MFA‑Quote, Restore‑Zeit, Mean‑Time‑to‑Detect/Respond) und regelmäßigen Reviews.

Bin ich betroffen?
Viele Organisationen aus Energie, Industrie, Gesundheit, Digitale Dienste u. a. – häufig größenbasiert. Ich prüfe Betroffenheit und Scope im Kick‑off.

Reicht ISO 27001 aus?
Ein ISO‑ISMS ist die beste Basis – NIS2 fordert zusätzlich u. a. klare Management‑Verantwortung, Meldestrukturen und Lieferketten‑Kontrollen. Das ergänze ich gezielt.

Welche Bußgelder drohen?
Die Richtlinie sieht deutlich erhöhte, umsatzbasierte Bußgelder vor (abhängig von Einstufung „wichtig“/„besonders wichtig“). Mit einem geordneten Programm minimieren Sie das Risiko.

Wie schnell geht das?
Wir arbeiten mit Sprints und Quick‑Wins. Üblicherweise sind erste, nachweisbare Ergebnisse binnen weniger Wochen möglich.

Ab wann gilt DORA?
Seit dem 17. Januar 2025. Wir richten Prozesse und Nachweise entsprechend aus.

Muss jedes Institut TLPT durchführen?
Nein. TLPT betrifft nur bestimmte, risikorelevante Institute und folgt behördlichen Kriterien; grundsätzlich in mehrjährigen Intervallen. Ich bereite Sie gezielt darauf vor (Scope, Rollen, Evidenzen).

Wie laufen Vorfall‑Meldungen ab?
Mit Initialmeldung → Updates → Abschlussbericht über nationale Meldewege/Formulare. Wir definieren Kriterien, Playbooks und Nachweise – inklusive Kommunikationsplan.

Wie adressieren wir Cloud & kritische ICT‑Dienstleister?
Mit einem evidenzfähigen Third‑Party‑Programm (Register, Verträge, Kontrollen, Exit). Für als kritisch eingestufte Provider existiert ein gesondertes ESAs‑Oversight‑Regime – darauf bereite ich Ihre Zusammenarbeit vor.

1) Was umfasst Ihre Beratung im Kern?
Risikobasierte Cyber‑/Informationssicherheit mit klaren Prioritäten: von Gap‑Analyse über Maßnahmenplan bis zur Umsetzung und Audit‑Readiness.

2) Wie läuft das Erstgespräch ab?
30 Minuten kostenlos: Ziele, Betroffenheit (z. B. ISO 27001/NIS2/DORA/TISAX), grober Scope, nächster Schritt. Sie erhalten im Anschluss eine kurze Zusammenfassung.

3) Ab wann sehen wir Ergebnisse?
Schnell. Wir starten mit Quick‑Wins (z. B. Zugriff, Backup‑Restore‑Test, Patch‑Prozess, Incident‑Playbooks) und liefern in wenigen Wochen messbare Verbesserungen.

4) Arbeiten Sie remote oder vor Ort?
Beides. Häufig am effizientesten: hybrid (Workshops remote, kritische Termine vor Ort).

5) Wie wird abgerechnet?
Transparent per Tagessatz oder Paket/Festpreis für klar umrissene Leistungen. Optional: Retainer für laufende Begleitung.

6) Arbeiten Sie tool‑/anbieter‑neutral?
Ja. Entscheidungen treffen wir risikobasiert und dokumentieren sie nachvollziehbar – unabhängig von Herstellern.

7) Mit welchen Standards/Regulatorik arbeiten Sie?
ISO 27001/22301, NIS2, DORA, TISAX – plus praxisnahe Controls (z. B. IAM, EDR, Backup, Vulnerability‑/Patch‑Prozess, Monitoring/IR, TPRM, BCM).

8) Wie stellen Sie Audit‑/Nachweisfähigkeit sicher?
Evidenz‑First: Policies/Prozesse, Register, Protokolle, Reports. Was nicht nachweisbar ist, gilt als nicht erfolgt.

9) Wie stark binden Sie unser Team ein?
Nur so viel wie nötig. Wir bündeln Interviews/Workshops und arbeiten mit einem priorisierten Maßnahmenplan (Owner, Fälligkeit, Wirkung).

10) Begleiten Sie Zertifizierungen?
Ja – von Readiness‑Check über internes Audit & Management‑Review bis zur Zert‑Begleitung.

11) Übernehmen Sie auch operative Aufgaben?
Auf Wunsch interimistisch (z. B. ISB, TPRM‑Koordination, Incident‑Runbooks, KPI‑Reporting) – mit klaren Übergaben ins Team.

12) Vertraulichkeit & NDA?
Selbstverständlich. NDA und Need‑to‑know‑Prinzip sind Standard.

1) Was macht ein Auditor genau?
Ich prüfe Prozesse, Kontrollen und Nachweise evidenzbasiert gegen Standards (z. B. ISO 27001/ISO 19011, TISAX) – mit Interviews, Dokumenten‑Checks und Stichproben.

2) Interner Auditor vs. Zertifizierer – was ist der Unterschied?
Ich führe interne Audits/Readiness‑Audits durch und bereite auf die externe Zertifizierung vor. Zertifikate stellt ausschließlich eine akkreditierte Zertifizierungsstelle aus.

3) Wie stelle ich Unabhängigkeit/Objektivität sicher?
Keine Prüfung der eigenen Arbeit: Für Beratungsmandate trenne ich Rollen strikt (Chinese‑Wall‑Prinzip) oder setze einen unabhängigen Auditor ein.

4) Wie läuft ein Audit ab?
Kick‑off → Dokumenten‑Review → Interviews/Stichproben → Befunde & Priorisierung → Management‑Summary mit Maßnahmenliste (Owner, Fälligkeit, Wirkung).

5) Wie lange dauert das?
Je nach Scope meist 1–3 Tage Durchführung plus Reporting. Größere Scopes planen wir frühzeitig.

6) Was braucht mein Team zur Vorbereitung?
Aktuelle Policies/Prozesse, SoA, Risikoregister, Rollen/Verantwortlichkeiten, Nachweise (z. B. Zugriffs‑/Backup‑Protokolle, Patch‑Reports, Lieferanten‑Nachweise), letzte Auditergebnisse.

7) Vor Ort oder remote?
Beides – oft hybrid am effizientesten (Workshops remote, kritische Stichproben vor Ort).

8) In welchen Regelwerken auditiere ich?
ISO 27001/ISO 19011, TISAX‑Readiness, NIS2/DORA‑Readiness, ISO 22301 (BCM) – mit Fokus auf Nachweisfähigkeit.

9) Was ist das Ergebnis?
Ein auditfähiger Bericht mit klar priorisierten Befunden (kritisch/hoch/mittel/niedrig), umsetzbarer Maßnahmenliste und einer 1‑Seiten‑Summary für Geschäftsführung/Beirat.

10) Wie wird abgerechnet?
Transparent per Tagessatz oder Paket/Festpreis für klar definierten Scope.

11) Vertraulichkeit & NDA?
Selbstverständlich. NDA, Need‑to‑Know und sichere Übermittlungskanäle sind Standard.

12) In welchen Sprachen auditiere ich?
Deutsch & Englisch.

Sie haben Fragen?

 

Gerne. Rufen Sie mich an oder schreiben Sie mir eine E-Mail. Ich freue mich auf ein Gespräch mit Ihnen!

Tel.: +49 (0) 155 62974543 oder per E-Mail an : info@alexander-kunze.com

Kontaktformular
Name

Weitere Informationen

Impressum

Datenschutz

Kontakt

Alexander Kunze 

Berater für Informationssicherheit

Telefon: +49 (0) 155 62974543

info@alexander-kunze.com

www.alexander-kunze.com

© 2025, Alexander Kunze , All rights reserved.