Leistung · Hybrides Projektmanagement
Cyber Security, die im Audit besteht — nicht nur auf dem Papier.
Wir machen Cyber Security in Produkt- und Maschinenentwicklung operational: von der Bedrohungsanalyse bis zum auditfähigen Nachweis — umsetzbar für den Mittelstand, konform mit ISO 27001, IEC 62443 und dem Cyber Resilience Act.
01 / Problem & Lösung
Cyber Security scheitert nicht am Wissen — sondern an der Umsetzung.
Die meisten Unternehmen wissen, dass sie handeln müssen. Die wenigsten haben ein Modell, das von der Bedrohungsanalyse bis zum Audit-Nachweis trägt.
Ohne strukturiertes Security-Modell
- Cyber-Security-Anforderungen sind bekannt, aber nicht in die Produktentwicklung integriert — sie hängen daneben.
- Threat Modeling findet einmalig statt, Ergebnisse sind nicht traceabel — im Audit nicht verwendbar.
- Security-Maßnahmen werden umgesetzt, aber nicht dokumentiert — der Nachweis fehlt.
- IT-Security und OT-/Produktsicherheit werden getrennt behandelt — Schnittstellenrisiken bleiben blind.
- NIS2, CRA und IEC 62443 wirken parallel, aber niemand hat das Gesamtbild — doppelte Arbeit, Lücken trotzdem.
Mit Product Cyber Security von Probates
- Cyber-Security-Anforderungen sind in den Entwicklungsprozess integriert — als eigene Anforderungsschicht mit Traceability.
- Threat Modeling ist nicht einmalig, sondern lifecycle-verankert — Ergebnisse sind auditierbar und aktuell.
- Jede Maßnahme ist dokumentiert, mit Nachweis hinterlegt und im Security Evidence Package zusammengeführt.
- IT/OT-Schnittstellen werden systematisch analysiert — Angriffsflächen sind sichtbar und adressiert.
- Ein gemeinsames Framework übersetzt CRA, IEC 62443 und ISO 27001 in koordinierte Controls — einmal, nicht dreimal.
02 / Regulatorischer Rahmen
Was wir konkret liefern.
Kein generisches PM-Framework. Wir entwickeln mit Ihnen ein Steuerungsmodell, das zu Ihrer Projektstruktur, Ihrer Branche und Ihren Auditanforderungen passt.
EU 2024/2847
Cyber Resilience Act
Verpflichtende Cyber-Security-Anforderungen für alle Produkte mit digitalen Elementen — von der Risikoanalyse bis zur Schwachstellenmeldepflicht und dem Software-Bill-of-Materials.
Pflicht ab Dezember 2027
IEC 62443
Industrielle Automatisierung
Der Standard für Cyber Security in industriellen Steuerungssystemen und OT-Umgebungen. Relevant für Maschinenbau, Anlagenbau und alle Hersteller vernetzter Maschinen.
Marktanforderung heute
ISO/IEC 27001:2022
Informationssicherheits-Management
Das ISMS-Framework für Governance, Rollen, Prozesse und Controls im Bereich Informationssicherheit — als Grundlage für alle weiteren Produktsicherheits-Maßnahmen.
Zertifizierungsstandard
IEC 81001-5-1
Medizintechnik-Security
Cyber-Security-Anforderungen für Gesundheitssoftware und Medizinprodukte — im Zusammenspiel mit MDR, IEC 62304 und EU-MDCG-Leitfäden zur Cyber Security.
MDR-Umfeld
MVO 2023/1230 — Anhang I
Maschinenverordnung — Cyber Security
Anhang I schreibt Cyber Security für Steuerungssysteme explizit vor — Schutz vor Manipulation, unbefugtem Zugriff und sicherheitsrelevanten Fehlfunktionen.
Pflicht ab Januar 2027
NIS2-Richtlinie
Netz- & Informationssicherheit
Erweiterte Meldepflichten und Sicherheitsanforderungen für Betreiber wesentlicher und wichtiger Einrichtungen — betrifft zunehmend auch mittelständische Zulieferer.
In Kraft seit Oktober 2024
03 / CYBERSECURITY-QUICK-CHECK
Fünf Fragen. Drei Reifegrade.
Eine Selbsteinschätzung in unter zwei Minuten. Die Ergebnisseite zeigt, wie gut Ihr Unternehmen bei Cybersicherheit aufgestellt ist — und wo Informationssicherheit, Risiken, technische Schutzmaßnahmen, Produkt- oder OT-Security noch Lücken erzeugen.
Je nach Ergebnis erhalten Sie eine klare Einordnung: gute Ausgangsbasis, vereinzelte Lücken oder hoher Handlungsdruck.
≈ 2 MINUTEN · DIREKTES ERGEBNIS + E-MAIL
04 / Leistungen
Von der Analyse bis zum auditfähigen Nachweis.
Wir liefern nicht nur Konzepte. Wir begleiten die Umsetzung — von der ersten Bedrohungsanalyse bis zum Security Evidence Package, das im Audit standhält.
IT/OT-Sicherheitsanalyse & Zielbild
Wir nehmen Ihre IT/OT-Architektur auf, identifizieren Angriffsflächen und Schnittstellenrisiken und entwickeln ein konkretes Zielbild mit Maßnahmen-Roadmap — priorisiert nach Risiko und Umsetzbarkeit.
IT/OT-Analyse | Angriffsflächen | Roadmap
Threat Modeling & Risikoanalyse
Strukturierte Bedrohungsanalyse nach STRIDE und weiteren bewährten Methoden: Wir identifizieren Angreiferprofile, bewerten Risiken und leiten konkrete technische und organisatorische Maßnahmen ab.
STRIDE | TARA | ISO 14971-analog
Security-by-Design Integration
Wir verankern Cyber-Security-Anforderungen direkt im Entwicklungsprozess: als Anforderungsschicht, in Architekturentscheidungen, in Design-Reviews und in der Testplanung — mit lückenloser Traceability.
Security-by-Design | Traceability | IEC 62304
Security Evidence Package
Wir strukturieren alle Security-Artefakte — Threat Models, Risikobewertungen, Maßnahmen, Testresultate, Nachweise — zu einem vollständigen, auditfähigen Paket, das Zertifizierungs- und Behördenanforderungen erfüllt.
Audit-Paket | CRA-konform | MDR-ready
ISMS-Aufbau & ISO-27001-Vorbereitung
Wir konzipieren Ihr Informationssicherheits-Management-System von Scope und Governance bis zu Controls und Verantwortlichkeiten — und begleiten Sie durch die Zertifizierungsvorbereitung nach ISO 27001.
ISO 27001I | SMS-Design | Zertifizierung
Incident Response & Monitoring
Wir entwickeln ein schlankes Incident-Response-Framework und ein Monitoring-Konzept — mit klaren Eskalationswegen, Meldepflichten nach NIS2 und CRA sowie Rollen und Verantwortlichkeiten im Ernstfall.
Incident Response | NIS2-Meldepflicht | Monitoring
05 / Lifecycle-Verankerung
Security gehört in jede Entwicklungsphase — nicht nur ans Ende.
Wir verankern Security-Aktivitäten über den gesamten Produktlebenszyklus — weil eine nachträgliche Security-Analyse kein Audit besteht.
Konzept
Security-Anforderungen
TARA-Start
Scope-Definition
Entwicklung
Threat Modeling
Security-by-Design
Arch.-Reviews
Konzept
Security-Tests
Pentest-Planung
Nachweis-Führung
Markt / Betrieb
Vulnerability Mgmt.
Monitoring
Incident Response
Audit / Zertifizierung
Evidence Package
Behörden-Doku
CRA / MDR-Nachweis
06 / Unser Vorgehen
Von der ersten Analyse zum auditfähigen Security-Modell.
Kein theoretisches Framework. Wir starten mit Ihrem konkreten Produkt und Ihrer konkreten Regulierungslage — und liefern in vier Phasen ein umsetzbares, prüfbares Ergebnis.
01 · Security-Assessment & Regulierungsanalyse
Wir analysieren Ihr Produkt, Ihre IT/OT-Architektur und Ihre relevante Normen- und Regulierungslandschaft. Ergebnis: ein klares Bild der Ist-Situation, der offenen Lücken und des regulatorischen Handlungsbedarfs — priorisiert nach Dringlichkeit.
02 · Threat Modeling & Risikopriorisierung
Auf Basis der Architekturanalyse führen wir ein strukturiertes Threat Modeling durch, bewerten Risiken und entwickeln einen priorisierten Maßnahmenplan — mit klaren Verantwortlichkeiten und Umsetzungshorizonten.
03 · Security-Integration in den Entwicklungsprozess
Wir integrieren Security-Anforderungen, -Aktivitäten und -Nachweise in Ihren bestehenden Entwicklungsprozess — in Ihren Tools (Azure DevOps, Polarion, Jira) und mit Ihrer Dokumentationslogik. Keine Parallelwelt, sondern echter Teil des Workflows.
04 · Evidence Package & Audit-Vorbereitung
Alle Security-Artefakte werden zu einem vollständigen Evidence Package zusammengeführt. Wir bereiten Ihr Team auf interne und externe Audits vor — mit strukturierten Unterlagen, Interviewvorbereitung und klarer Argumentation gegenüber Auditoren.
07 / Projekterfahrung
Product Cyber Security — in der Praxis umgesetzt.
Wir kennen Cyber Security nicht aus Lehrbüchern. Wir haben sie in laufenden Produktentwicklungen verankert — in Medizintechnik, Maschinenbau und High-Tech.
Software-as-a-Service · Mittelstand
Fehlende Informationssicherheits-Nachweise führten zu Verlusten bei Ausschreibungen.
Wir implementierten ein normkonformes Informationssicherheits-Managementsystem (ISMS) inkl. Risikoregister und Awareness-Programm.
Ergebnis: ISO/IEC 27001-Zertifizierung in 9 Monaten, Sicherheitsbewusstsein von 62 % auf 91 % gesteigert, neue Kundenverträge gewonnen.
Medizintechnik · Konzern
Ein vernetztes Medizinprodukt (Klasse IIb) benötigte vor der EU-Zulassung (MDR) einen Cybersecurity-Nachweis.
Wir führten Bedrohungsanalyse (Threat Modeling) und Penetrationstest durch und beseitigten alle Schwachstellen.
Ergebnis: 14 Schwachstellen behoben, Zulassung ohne Nachforderungen erteilt.
Medizintechnik · Mittelstand
Ein Medizintechnikunternehmen vernetzte Medizingerät (OT), Auswertesoftware (Edge) und Cloud ohne Sicherheitskonzept.
Wir definierten ein Zonenmodell (IEC 62443), rollenbasierte Zugriffskontrollen (RBAC) und Secure-by-Design-Vorgaben.
Ergebnis: Angriffsfläche um 70 % reduziert, MDR- und IEC 62443-Anforderungen erfüllt.
08 / Erstgespräch
Welche Norm fordert Sie gerade am meisten heraus?
In einem 30-minütigen Erstgespräch analysieren wir Ihren konkreten Regulierungsdruck, identifizieren die größten Lücken und zeigen, wo ein strukturiertes Security-Modell den größten Hebel hat.
- Analyse Ihres Regulierungsdrucks
- Lückenortung mit größtem Hebel
- Absage bis 2 Stunden vorher in Ordnung