Entscheidungsfähigkeit ist kein Projekt.
Es ist ein Zustand.
Das Lagebild schafft die Grundlage. Das Mandat hält sie aktuell.
Ein fester Platz am Tisch. Persönlich, nicht delegiert.
Ab 6 Monate · Festpreis pro Monat
Ihre Software-Lieferkette ist kein Zustand.
Sie ist ein lebendiges System.
Heute haben Sie 200 Open-Source-Abhängigkeiten. In sechs Monaten sind es 240. Neue Projekte. Neue Frameworks. Maintainer, die aufhören. Lizenzen, die sich ändern. Schwachstellen, die gestern noch nicht existierten.
Und demnächst: KI-Agenten, die eigenständig Entscheidungen treffen. MCP-Server mit Produktionszugriff. Modelle, die Sub-Agenten spawnen. Jeder Aufruf eine neue, undokumentierte Abhängigkeit.
Das Lagebild beantwortet die Frage: Wo stehen wir heute?
Das Mandat beantwortet die Frage: Wer steuert, was morgen passiert?
Ohne laufende Steuerung passiert das Gleiche wie vor dem Lagebild: Transparenz zerfällt. Findings häufen sich. Entscheidungen fehlen. Nicht weil die Tools versagen. Sondern weil niemand die Verantwortung für die Entscheidung trägt.
Das Mandat ist diese Verantwortung. Einmal im Monat, persönlich, mit jemandem, der Ihre Landschaft kennt und Ihre Entscheidungen mitträgt.
Leistungsumfang
Vier feste Bestandteile. Jeden Monat.
📅 Monatlicher Sync
90 Minuten mit Ihrem AppSec-Lead oder IT-Leiter. Persönlich oder remote.
Agenda steht vorher fest:
- Neue Schwachstellen seit dem letzten Sync: Was ist relevant, was nicht?
- Änderungen in der Abhängigkeitslandschaft: Neue Projekte, neue Ökosysteme
- Offene Entscheidungen aus dem Decision Board: Status, Blocker, Eskalationen
- Regulatorische Entwicklungen: NIS2-Enforcement, CRA-Fristen, BSI-Veröffentlichungen
Ergebnis: Aktualisiertes Decision Board. Neue Entscheidungen, wenn nötig.
📊 Quartals-Review
Halbtägiger Workshop mit erweitertem Kreis (CISO, IT-Leitung, Teamleads).
Drei Fragen:
- Wie hat sich die Abdeckung seit dem letzten Quartal verändert?
- Welche Entscheidungen stehen für das nächste Quartal an?
- Wo hat sich die Bedrohungslage verschoben?
Ergebnis: Quartals-Briefing (2 Seiten). Neue Einträge im Decision Board. Vorlage für das Management-Reporting an Vorstand oder Geschäftsführung.
🚨 Reaktionsfähigkeit im Ernstfall
Wenn die nächste kritische Schwachstelle veröffentlicht wird, haben Sie jemanden, der Ihre Landschaft kennt.
Nicht: „Wir melden uns innerhalb von 48 Stunden.“
Sondern: „Ich schaue in Ihr DependencyTrack-Dashboard und sage Ihnen in 15 Minuten, ob Sie betroffen sind.“
Voraussetzung: Dashboard-Zugang und Eskalationspfad sind im Mandat definiert. Kein separater Incident-Vertrag nötig.
🗺 Roadmap-Steuerung
Die Software-Lieferkette verändert sich schneller als Ihr Jahresplan.
Neue Ökosysteme kommen dazu (Rust, Go, Python ML-Stacks). Teams führen KI-Coding-Assistenten ein. Agenten bekommen Schreibzugriff auf Produktionssysteme.
Im Mandat bewerten wir diese Veränderungen gemeinsam, bevor sie zum Sicherheitsproblem werden. Nicht reaktiv. Proaktiv.
Ergebnis: Aktualisierte Roadmap. Angepasste Blueprints. Neue Entscheidungen im Board, wenn sich die Landschaft verschiebt.
Die nächste Welle
Die nächste Lieferkette ist keine Bibliothek. Es ist ein Agent.
Was Sie heute für Open-Source-Abhängigkeiten aufbauen, brauchen Sie morgen für KI-Agenten.
Heute:
Welche npm-Pakete nutzen wir? Wer pflegt sie? Sind sie sicher?
Morgen:
Welcher Agent hat Zugriff auf unsere Produktionsdatenbank?
Welches Modell in welcher Version trifft dort Entscheidungen?
Wer hat ihn freigegeben? Gibt es einen Audit-Trail?
Die Methodik ist dieselbe: Transparenz, Governance, Entscheidungsfähigkeit. Die Fragen werden nicht einfacher. Sie werden drängender.
Das Mandat stellt sicher, dass Ihre Governance-Struktur mitwächst, wenn sich die Angriffsfläche verändert. Nicht einmal im Jahr in einem Strategie-Workshop. Jeden Monat. Konkret.
Zusammenhang
Das Lagebild ist der Startpunkt. Das Mandat ist der Zustand.
Das Lagebild liefert
- Landscape Map, Blueprints, Architektur, Decision Board
- In 6 Wochen. Festpreis. Abgeschlossen.
Das Mandat baut darauf auf
- Decision Board wird laufend aktualisiert
- Blueprints werden angepasst, wenn neue Ökosysteme dazukommen
- Architektur-Entscheidungen werden revidiert, wenn sich die Infrastruktur ändert
- Neue Bedrohungslagen (CVEs, Supply-Chain-Angriffe, Agent-Risiken) werden bewertet, bevor sie eskalieren
Sie können das Mandat nur nach einem abgeschlossenen Lagebild starten. Nicht weil wir es so wollen, sondern weil das Mandat ohne die Grundlage des Lagebilds keinen Kontext hat.
Festpreis
Festpreis pro Monat. Mindestlaufzeit 6 Monate.
Das Mandat ist kein Stundenkontingent. Es ist ein fester monatlicher Betrag für eine definierte Leistung.
Enthalten
- 1 monatlicher Sync (90 Min)
- 1 Quartals-Review pro Quartal (halbtägig, vor Ort oder remote)
- Incident-Einschätzung bei kritischen Schwachstellen
- Laufende Aktualisierung des Decision Boards
- Zugang per Telefon und E-Mail für Rückfragen zwischen den Syncs
Nicht enthalten
- Implementierung (das macht Ihr Team oder ein separates Engagement)
- Tooling-Betrieb (DependencyTrack-Hosting, Monitoring)
- Schulungen über den Quartals-Review hinaus
Mindestlaufzeit: 6 Monate. Danach monatlich kündbar.
Preisindikation: Im Erstgespräch, abhängig von Portfolio-Größe und Anzahl der Ökosysteme.
Passt das Mandat?
Für Organisationen, die Entscheidungsfähigkeit behalten wollen.
Das Mandat passt, wenn
- Sie ein Lagebild abgeschlossen haben und die Umsetzung läuft, aber niemand intern die Rolle des Supply-Chain-Governance-Eigentümers vollständig ausfüllen kann oder will.
- Ihr AppSec-Team stark genug ist für den Tagesbetrieb, aber einen externen Sparringspartner braucht, der die Landschaft aus der Vogelperspektive sieht und regulatorische Entwicklungen einordnet.
- Sie KI-Agenten einführen und wissen, dass die nächste Welle an Governance-Fragen kommt, für die es intern noch keine Antworten gibt.
Das Mandat passt nicht, wenn
- Sie eine einmalige Implementierung brauchen. → Das besprechen wir im Erstgespräch.
- Sie noch kein Lagebild haben. → rebaze Lagebild
- Sie erst einmal sehen wollen, was in einem Produkt steckt. → rebaze Pilot
Entscheidungsfähigkeit beginnt mit einem Gespräch.
Das Mandat startet nach dem Lagebild. Wenn Sie bereits ein Lagebild abgeschlossen haben oder gerade eines planen, klären wir im Erstgespräch, wie das Mandat für Ihre Situation aussieht.
Erstgespräch vereinbarenNoch kein Lagebild? Lagebild ansehen →