Für Organisationen im Geltungsbereich von ISO 27001, BSI IT-Grundschutz, KRITIS, NIS 2 oder EU AI Act. Wir übernehmen das Mandat, bauen das Managementsystem auf und sichern die Lieferkette. So tief, wie der Reifegrad es verlangt. So übergeben, dass der Betrieb danach ohne uns weiterläuft.
Anonymisiert aus realen Mandaten. Form und Tiefe legen wir am ersten Tag fest, nicht im Vertrieb.
Vier Leitsätze, an denen wir jede Entscheidung messen, vom ersten Discovery-Termin bis zur Übergabe an das Bestandsteam.
Wir übergeben, was wir bauen, mit Dokumentation und Runbooks, damit das Bestandsteam nach dem Projekt ohne uns weitermacht. Wir kommen nicht, um zu bleiben. Aber wir kommen gerne wieder.
Einmal automatisieren, nie wieder manuell. Wiederkehrende Tätigkeiten bekommen ein Script, eine Pipeline, einen Agent. Die Zeit mit uns ist begrenzt, die Automatisierung bleibt.
Was wir in anderen Projekten bauen, fließt in interne Bibliotheken: Policy-Templates, Risiko-Kataloge, Prüfroutinen. Jedes Projekt startet nicht bei Null, sondern auf dem Stand, den die Vorprojekte erreicht haben. Umgekehrt wandert, was generalisierbar ist, in unsere Open-Research-Repositorien.
Wenn ein Projekt größer wird als wir selbst, kuratieren wir. Kein Body-Leasing, keine Partner-Pyramide. Die Verantwortung bleibt bei uns, die Expertise kommt aus einem vorab geprüften Netzwerk aus Einzel-Spezialisten. Ein Vertrag, eine Eskalationskette — egal wie groß das Projekt wird.
Von langfristigen Mandaten über definierte Projekte und wiederkehrende Controls bis zum einmaligen Task. Eine Skala, kein Katalog.
Die CISO-Rolle ist selten ein Recruiting-Problem, sondern ein Abdeckungsproblem. Dialog mit der Geschäftsführung, Audit-Steuerung und Incident-Lead müssen jeden Tag funktionieren, nicht erst ab dem Tag, an dem die Stelle besetzt ist. Wir übernehmen die Rolle extern, in der Tiefe einer internen Besetzung, bis intern besetzt wird — oder dauerhaft, wenn dies nicht gewollt ist.
Der EU AI Act fragt nicht, ob AI eingesetzt wird. Er fragt, wer dafür einsteht, in welcher Risikoklasse und mit welcher Evidenz. Wir übernehmen die Rolle extern und bauen parallel die Grundlage auf, auf die ein interner Nachfolger aufsetzen kann: Inventar, Klassifizierung, menschliche Aufsicht, Dokumentation.
Die meisten ISMS-Projekte erzeugen einen Aktenordner, bestehen ein Audit und sterben dann leise. Der Grund ist fast immer derselbe: Dokumentation für den Auditor, nicht für die Organisation, die damit arbeiten soll. Wir kehren das um. Das System, das im Betrieb läuft, ist das System, das geprüft wird.
Cyber-Risiko wird im Vorstand entschieden, lange bevor es im SOC gemindert wird. Die Zahlen, die dort vorgelegt werden, halten oft der ersten Rückfrage aus der Geschäftsführung nicht stand. Unsere halten, weil sie auf benannten Szenarien, anerkannter Methodik (ISO 27005, FAIR-orientiert) und sichtbaren Annahmen beruhen, die man auch widerlegen kann.
KRITIS ist kein Compliance-Sprint, sondern ein Dauerzustand: Schwellenwerte, sektorspezifischer Stand der Technik, zweijährliche Nachweispflicht und eine Aufsicht, die die Tonart vorgibt. Drei parallele Projekte (KRITIS-Pflichten, ISO 27001, B3S) sind die teure Variante. Wir bauen es als ein Werk, in dem jede Anforderung genau einmal verankert ist.
NIS 2 trifft mehr Organisationen als die meisten erwarten und macht persönliche Verantwortung des Leitungsorgans zum Bestandteil, nicht zur Fußnote. Der teuerste Fehler ist das Warten auf endgültige Klarheit. Wer Betroffenheit, Schulungspflicht und Maßnahmen jetzt entscheidet, kontrolliert das eigene Tempo statt das der Aufsicht.
Die Angriffsfläche endet längst nicht an der eigenen Firewall, und das Zertifikat eines Lieferanten sagt wenig über das Restrisiko. Tragfähig wird Supplier Security erst, wenn Bewertung, Anforderung und Monitoring nach Kritikalität abgestuft sind: viel Tiefe für wenige, schlanker Standard für die Masse.
Interne Audits scheitern selten an Methode, sondern an Konsequenz: Erkenntnisse, die niemand priorisiert, Restrisiken, die niemand zeichnet, Maßnahmen ohne Termin. Wir kehren das um: neutrale Außensicht, ISO 19011 als Methode, Bericht in der Sprache, in der die Geschäftsleitung sonst auch entscheidet.
Wir vereinen Hochschullehre, einschlägige Zertifizierungen und aktive Beratungsmandate im selben Team. Theorie und Praxis bestätigen einander, weil dieselben Personen beides tragen.
Unsere Tools und Research-Ergebnisse veröffentlichen wir auf git.neomint.com/nm. Permissive Lizenzen, nachvollziehbare Commits, nutzbar ab dem ersten Release. Wer mit uns arbeitet, sieht die Methode, bevor wir sie verkaufen.
Alle Repos auf ForgejoSicherer File-Transfer über PAKE. Browser-basiertes Wormhole-Frontend ohne Server-Vertrauen.
Reproduzierbare VHDX-Container für Forensik-Labs und isolierte Malware-Analyse.
Weitere Repositories sind in Vorbereitung. Wir veröffentlichen erst, wenn ein Tool stabil läuft, dokumentiert ist und in mehreren unserer Projekte im Einsatz war.
Aktuell schreiben wir nichts aus. Trotzdem: wenn du Cybersecurity als Handwerk siehst und zu Open Research beitragen willst, schreib uns. Wir antworten ehrlich, ob und wann es passen könnte.
Im Gespräch wird die Lage geschildert. Wir hören zu, stellen Rückfragen, sagen am Ende ehrlich, ob wir passen. Kein Sales-Funnel, keine Folien. Wenn wir nicht passen, sagen wir das im selben Gespräch.