Von Datenflut zu Entscheidungsfähigkeit

Ihre Scanner liefern Daten. Wir liefern Entscheidungen.

Funktionierende Infrastruktur. Audit-fähig. Wissenstransfer inklusive. Für die Software-Lieferkette und die KI-Lieferkette.

📊

SBOM-Generierung

Vollständige Inventur jedes Builds. Automatisch in Ihrer CI/CD-Pipeline.

CycloneDX SPDX
🛡️

Vulnerability Management

Kritische Schwachstellen sofort erkennen. Priorisiert nach echtem Risiko, nicht nach CVSS-Score allein.

CVE-Alerts Risiko-Priorisierung
🤖

KI-Lieferkette

KI-Inventar, ML-Pipeline-Dependencies, Modell-Provenienz, MCP-Server Security, Agent Audit-Trails.

AI Act Annex IV CycloneDX ML-BOM
📈

Management-Reporting

Dashboards für den CISO. Audit-fähige Dokumentation auf Knopfdruck. Nicht 4.000 Findings, sondern die 10 Entscheidungen, die zählen.

CISO-Dashboard Audit-Nachweise

Die drei Angebote im Detail

Durchleuchtung, KI-Durchblick, Dauerhafte Transparenz

Von 4.000 Findings zu Ihren 7 Entscheidungen.

Für Unternehmen, die wissen wollen, was sie jetzt tun sollten.

In 2–3 Wochen scannen wir Ihre Software- und KI-Landschaft und liefern Ihnen ein Decision Board: Ihre priorisierten Entscheidungen mit Kontext, Optionen und klarer Empfehlung. Kein 200-Seiten-Report. Kein Dashboard mit 4.000 roten Punkten. Sondern: Diese Dinge brauchen jetzt eine Entscheidung.

🔍

Woche 1

Zugang zu Repos, CI/CD, AI-Toolchain. Automatisierte Scans mit Syft, Grype, CycloneDX.

⚙️

Woche 2

KI-Inventar. Welche Modelle, welche Frameworks, welche Agenten, welche MCP-Server? Triage nach Erreichbarkeit, Exploitability, Blast Radius, strategischem Risiko.

🎓

Woche 3

Decision Board, Executive Summary, Ergebnispräsentation.

Was Sie erhalten:

  • Decision Board: Jede priorisierte Entscheidung auf einer Seite. Was, Warum jetzt, Optionen, Empfehlung, Wer entscheidet, Bis wann.
  • Vollständiges SBOM-Set (CycloneDX, BSI TR-03183 konform)
  • KI-Komponenteninventar mit Risikobewertung
  • 1-Seiter für die Geschäftsführung
  • Konkreter Umsetzungsplan für identifizierte Risiken

2–3 Wochen · Remote · Festpreis

KI nutzen. Und sehen, was passiert.

Für Unternehmen, die KI einsetzen und die Kontrolle behalten wollen.

Ihre Entwickler nutzen KI-Tools. Die Frage ist nicht ob, sondern ob Sie sehen, was dabei passiert. Und ob Sie eingreifen können, wenn es nötig ist. Wir bauen die technische Infrastruktur für sichtbare, steuerbare KI-Nutzung.

🔍

Wochen 1–2

Bestandsaufnahme aller KI-Komponenten. Risikobewertung nach EU AI Act Risikoklassen.

⚙️

Wochen 3–5

Implementierung von Audit-Trails, MCP-Server-Härtung, Output-Validierung.

🎓

Wochen 6–8

Monitoring-Dashboard, Dokumentation, Wissenstransfer.

Was Sie erhalten:

  • KI-Agent Audit-Trails (jeder Tool-Call nachvollziehbar)
  • MCP-Server Security (Berechtigungen, Isolation, Supply-Chain-Prüfung)
  • KI-Nutzungsmonitoring-Dashboard
  • Technische Dokumentation nach EU AI Act Annex IV
  • Governance-Leitfaden für Entwicklerteams

4–8 Wochen · Hybrid · Festpreis

Entscheidungsfähigkeit ist kein Projekt. Es ist ein Zustand.

Für Unternehmen, die nicht wieder blind fliegen wollen.

Software und KI verändern sich täglich. Neue Abhängigkeiten, neue Modelle, neue Risiken. Wir halten Ihre Transparenz aktuell, damit Sie nie wieder blind fliegen.

Was Sie erhalten:

  • DependencyTrack-Betrieb (gehostet oder on-prem)
  • Tägliche SBOM-Aktualisierung und Vulnerability-Scans
  • Monatlicher Transparenz-Report mit Trendanalyse
  • KI-Supply-Chain-Alerts bei neuen Risiken
  • Regulatorischer Radar (CRA, NIS2, AI Act Updates)
  • Quartals-Strategiegespräch (60 Min. mit dem Gründer)

Kontinuierlich · Überwiegend automatisiert

Regulatorik

Audit-fähig für NIS2, CRA und den AI Act

Drei Gesetze verlangen dasselbe: Wissen, was in Ihren Systemen steckt. Wir liefern die Infrastruktur. Die Compliance-Nachweise kommen als Nebenprodukt.

In Kraft seit Dez. 2025

NIS2

Lieferkettensicherheit (Artikel 21d). In Kraft seit Dezember 2025. Geschäftsführer haften persönlich.

Reporting Sep 2026

CRA

SBOM-Pflicht, Vulnerability Reporting ab September 2026. Volle Compliance ab Dezember 2027.

Transparenz ab Aug 2026

EU AI Act

Technische Dokumentation, Transparenzpflichten ab August 2026. Artikel 11(2): Einheitliche Dokumentation mit CRA.

Fortlaufend

BSI Grundschutz

APP.6 Software-Entwicklung. Wir mappen unsere Deliverables auf die konkreten Kontrollen.

BSI-Lagebericht: KRITIS-Vorfälle 2021–2024

385 2021
475 2022
537 2023
769 2024

+43% YoY — SBOM und Vulnerability Management sind zentrale Kontrollen, um Ihre Lieferkette abzusichern.

Technologie-Stack

Open-Source-Tools, Frameworks & Standards

Bewährte Technologien aus der CNCF- und OpenSSF-Community. Keine Vendor-Abhängigkeit.

Software Supply Chain

📊

DependencyTrack

SBOM-Plattform

🔍

Syft

SBOM-Generierung

🛡️

Grype

Vulnerability Scanner

📋

CycloneDX

SBOM-Format

🔗

GUAC

Supply Chain Graph

✍️

Sigstore

Software Signing

SLSA

Build Provenance & Attestation

KI Supply Chain

🤖

CycloneDX ML-BOM

AI/ML Bill of Materials

📑

OWASP AIBOM

AI Transparency Standard

🔒

OpenSSF Model Signing

Modell-Integrität

📦

cdxgen

BOM-Generierung inkl. AI-Komponenten

Infrastruktur

🔐

OpenBAO

Secrets Management

📦

Zarf

Air-Gap Deployment

30 Minuten. Unverbindlich. Konkrete Optionen für Ihre Situation.

Kostenloses Erstgespräch

Bereit für Entscheidungsfähigkeit?

30 Minuten Erstgespräch. Unverbindlich. Wir analysieren Ihre Situation und zeigen Ihnen, wo die blinden Flecken in Ihrer Software- und KI-Lieferkette liegen.

Kostenloses Erstgespräch