Basis-Workshop und Scope-Klärung
Typisch 1 bis 3 Tage
Gemeinsames Bild zu regulatorischem Druck, Produktlandschaft, Datenquellen und erstem Pilotumfang.
CRA, NIS2 und Vulnerability Disclosure
Wenn CRA, NIS2 oder Kundenanforderungen Druck machen, schaffen wir zuerst fachliche Klarheit und dann technische Umsetzbarkeit. SBOMs, Formate wie CycloneDX und Werkzeuge wie Dependency-Track setzen wir so ein, dass daraus belastbare Abläufe für Transparenz, Bewertung und Nachverfolgbarkeit entstehen.
Einstieg und Pilot besprechenCRA, NIS2, Kundenaudits und Vulnerability Disclosure erzeugen Handlungsdruck. Viele Verantwortliche wissen aber zuerst nur, dass mehr Transparenz über eingesetzte Software und Schwachstellen nötig wird.
Builds, Paketquellen, Lieferantenangaben und manuelle Listen liefern Informationen mit unterschiedlicher Qualität. Ohne gemeinsames Zielbild bleibt unklar, welche Daten für Audits, Support und Meldepflichten belastbar sind.
SBOMs, Formate wie CycloneDX oder SPDX und Werkzeuge wie Dependency-Track sind Mittel zum Zweck. Erst mit Projektstruktur, Rollen, Freigaben und Nachverfolgbarkeit entsteht nutzbarer Mehrwert.
Plattformbetrieb, Ticketing, Produktpflege, Releaseprozesse und bestehende Security-Abläufe müssen sauber zusammenspielen. Sonst bleibt Transparenz punktuell und versandet nach dem ersten Pilot.
Erst fachlich verstehen, dann passende Technik auswählen und sinnvoll einführen.
Im Kern geht es um nachvollziehbare Antworten auf einfache Fragen: Welche Fremd- und Open-Source-Bausteine stecken in welchem Produkt? Welche Schwachstellen sind relevant? Wer muss reagieren und wie lässt sich das gegenüber Kunden, Audits und Regulierung belegen?
Eine SBOM ist vereinfacht gesagt die Zutatenliste einer Software. Sie beschreibt Komponenten, Versionen und Beziehungen. Dadurch werden Vulnerability Disclosure, Patch-Planung, Lieferantenbewertung und spätere Nachverfolgung überhaupt erst systematisch möglich.
Typische Austauschformate sind CycloneDX und SPDX. Erzeugt werden sie oft in Build- oder CI/CD-Strecken. Werkzeuge wie Dependency-Track helfen später beim Sammeln, Bewerten und Nachverfolgen. Wir erklären diese Technik im richtigen Maß und binden nur das ein, was für Ihren Einstieg sinnvoll ist.
Erst Scope, Zielbild und Pilot. Danach klarer Ausbaupfad mit passenden Paketen statt isolierter Tool-Einführung.
Typisch 1 bis 3 Tage
Gemeinsames Bild zu regulatorischem Druck, Produktlandschaft, Datenquellen und erstem Pilotumfang.
Typisch 5 bis 15 Tage
Erste nutzbare Umgebung und belastbarer durchgängiger Pfad für ausgewählte Produkte, Releases und SBOM-Daten.
Typisch 4 bis 12 Tage, verteilt über mehrere Termine
Zielmodell für Projektstruktur, Verantwortlichkeiten, Lifecycle und Einbindung in bestehende Abläufe.
Typisch ab 5 Tagen, abhängig von Rollouttiefe
Ausbau vom Piloten zu wiederholbaren Rollout- und Integrationsmustern für weitere Produkte und Teams.
Typisch 1 bis 3 Tage
Praxisnaher Wissenstransfer für SBOM-Nutzung, Bewertung, Pflege und Betrieb.
Typisch 3 bis 10 Tage Setup, danach laufende monatliche Unterstützung
Nachhaltige Unterstützung für Plattform, Projektpflege und operative Fragen im Tagesgeschäft.
Richtwerte für typische Einstiege. Inhalt und Aufwand passen wir an Produktlandschaft, Reifegrad und regulatorischen Druck an.
2 Tage
ab 5.000 EUR
Schneller Einstieg mit erstem Zielbild für Transparenz, Vulnerability Disclosure und sinnvolle nächste Schritte.
Enthalten
Workshop plus erste Pilotimplementierung
ab 10.000 EUR
Vom Verstehen ins Machen: Nach Workshop setzen wir für ausgewählte Produkte erste belastbare Datenflüsse und eine nutzbare Pilotumgebung auf.
Enthalten
Workshop, Pilot, Prozessberatung und Training
ab 25.000 EUR
Kompletter Einstieg mit fachlicher Einordnung, technischem Pilot, Prozessberatung und Enablement für Teams, die nicht nur prüfen, sondern tragfähig aufbauen wollen.
Enthalten
Kein loses Tool-Setup, sondern ein nutzbarer Arbeitsmodus für Produkte, Releases und laufenden Betrieb.
Sie sehen früher, welche Komponenten in welchen Produkten stecken, welche Daten belastbar sind und wo akuter Handlungsbedarf entsteht.
Security, Produktpflege, Betrieb und Ticketing arbeiten auf Basis eines gemeinsamen Zielbilds für Transparenz, Vulnerability Disclosure und Nachverfolgbarkeit.
Wenn Pilot und Zielbild stehen, lassen sich weitere Produkte, Integrationen und Rolloutmuster planbar ergänzen.
Ihr Team bekommt einen nutzbaren Arbeitsmodus für Bewertung, Nachverfolgung und Betrieb, punktuell begleitet oder dauerhaft unterstützt.
Wenn zuerst regulatorische Einordnung, Betroffenheit und erste Handlungsfelder geklärt werden sollen, passt unser CRA Workshop als vorgelagerter Einstieg.
Eine SBOM ist eine strukturierte Stückliste Ihrer Software. Sie beschreibt, welche Komponenten und Versionen in einem Produkt stecken. Das schafft Grundlage für Schwachstellenbewertung, Kundenanfragen, Audits und Vulnerability Disclosure.
Häufig begegnen uns CycloneDX und SPDX. Welches Format sinnvoll ist, hängt von vorhandenen Tools, Lieferanten und Zielen ab. Wir erklären Vor- und Nachteile im Workshop und bauen darauf passenden Pilot auf.
Nein. Wir unterstützen Betriebsmodelle in Azure, AWS und On-Premises und richten den Ansatz nach Ihrer Infrastruktur und Governance aus.
Nein. Genau dafür ist Einstieg gedacht. Wir holen Fachbereiche, Entwicklungsleitung und technische Teams auf gemeinsamen Stand und führen Begriffe, Formate und Werkzeugoptionen so ein, dass daraus konkrete Entscheidungen werden.
Nein. Der Einstieg ist bewusst gestuft angelegt: erst Scope, SBOM-Pilot und Zielbild, danach optional Rollout und weiterer Ausbau.
Nein. Neben Schwachstellen betrachten wir auch Lizenz-Governance, Produktkontext, Nachverfolgbarkeit und Prozessintegration.
Das Vorgehen schafft Transparenz über Abhängigkeiten, unterstützt nachvollziehbare Sicherheitsprozesse und hilft, regulatorische Anforderungen im Produktlebenszyklus praktisch umzusetzen.
In vielen Fällen ja. Wir binden vorhandene Flows aus bestehenden Pipeline-, Build- oder Automatisierungssystemen ein, statt unnötig neue Toolketten aufzubauen.
Nein. Im Workshop klären wir, welche Daten heute schon aus Builds, Paketquellen oder bestehenden Tools kommen und was im Pilot ergänzt werden muss.
Typisch sind Produktverantwortliche, Entwicklung, Security und Plattform oder DevOps. Ziel ist ein Pilot, der technisch funktioniert und organisatorisch getragen wird.
Typisch stehen dann ein belastbarer durchgängiger Pfad, klare Verantwortlichkeiten, erste auswertbare CycloneDX und Dependency-Track Daten und ein priorisierter Ausbaupfad für weitere Produkte und Integrationen.
Ja. Je nach Bedarf unterstützen wir bei Rollout, Schulung, Betriebsstabilisierung oder als Managed Service im laufenden Betrieb.
Wir starten mit wenigen Produkten, belastbaren Datenflüssen und einem operativ nutzbaren Setup. Danach entscheiden Sie auf Basis echter Ergebnisse, wie weit Rollout, Schulung und Betriebsmodell ausgebaut werden sollen.