Informationssicherheit —
von Regulatorik bis Umsetzung.
Blackfort Technology verbindet regulatorische Expertise mit technischer Sicherheitsumsetzung und KI-Kompetenz – für Unternehmen, die Sicherheit nicht nur auf dem Papier brauchen.
Warum Sicherheitsprogramme scheitern
Das Problem liegt nicht in der Regulatorik. Es liegt in der Lücke zwischen Konzept und Umsetzung.
Sicherheitsprogramme scheitern selten daran, dass kein Konzept oder keine Richtlinie vorhanden war. Sie scheitern daran, dass zwischen regulatorischer Anforderung und technischer Wirklichkeit eine Lücke bleibt, die niemand schließt. Eine Gap-Analyse liegt vor. Das Audit ist vielleicht bereits bestanden. Die Maßnahmen sind dokumentiert. Aber in den Systemen hat sich wenig geändert.
Die Regulatorik schreibt „angemessene technische Maßnahmen“ vor. Was das konkret bedeutet – für eine Telekommunikationsinfrastruktur, eine Produktionsanlage oder eine Cloud-native SaaS-Plattform – lässt sich selten direkt aus dem Gesetzestext ableiten. Erforderlich sind regulatorische Einordnung, Architekturkenntnisse und operative Umsetzungskompetenz.
Blackfort Technology ist an genau dieser Schnittstelle tätig. Wir entwickeln keine Konzepte, die für den Auditor abgelegt werden. Wir begleiten Sie von der Analyse bis zur Implementierung – in denselben Projekten, mit denselben Teams.
Partner der Allianz für Cyber-Sicherheit (BSI)
Kompetenzfelder
Drei Bereiche. Eine Beratung.
Die meisten IT-Sicherheitsberatungen sind in einem dieser Bereiche stark. Wir decken alle drei ab – und verbinden sie in Projekten, die erfolgreich und nachhaltig umgesetzt werden.
Regulatorische Anforderungen verstehen, priorisieren und in Maßnahmen übersetzen.
Die regulatorische Lage hat sich in den vergangenen drei Jahren grundlegend verändert. NIS2 erweitert den Kreis der verpflichteten Unternehmen erheblich und erhöht die Anforderungen an Sicherheitsmaßnahmen, Meldepflichten und Governance-Strukturen. DORA stellt den gesamten Finanzsektor vor verbindliche ICT-Resilienzanforderungen. Der Cyber Resilience Act verpflichtet Produkthersteller zu Security by Design.
Diese Anforderungen lassen sich nicht durch einmalige Audits oder abgehakte Checklisten erfüllen. Sie erfordern ein Informationssicherheitsmanagementsystem, das tatsächlich gelebt wird – mit klaren Verantwortlichkeiten, dokumentierten Prozessen und der Fähigkeit, auf Veränderungen im Betrieb zu reagieren.
Wir begleiten Unternehmen von der ersten Gap-Analyse bis zur Zertifizierung. Das umfasst den Aufbau von ISMS-Strukturen, die Erarbeitung von Sicherheitskonzepten und Richtlinien, die Vorbereitung auf externe Audits sowie die laufende Betreuung als externer Informationssicherheitsbeauftragter.
Alle Consulting-Leistungen im ÜberblickSchwachstellen erkennen, Systeme härten, Sicherheitsinfrastruktur aufbauen.
Informationssicherheit ist kein Papierthema. Jede Anforderung aus dem regulatorischen Rahmen muss sich in einer technischen Maßnahme widerspiegeln: in einem Prozess, einer Systemkonfiguration, einer Monitoring-Regel oder einer Netzwerksegmentierung.
In der Praxis sehen wir regelmäßig dieselben Lücken: kein systematisches Patch-Management, unzureichendes oder inkonsistentes Logging, ein Active Directory, das über Jahre Angriffsflächen aufgebaut hat, oder fehlende Kontrollen über privilegierte Zugriffe. Diese Probleme sind bekannt. Sie werden trotzdem nicht adressiert – weil die technische Umsetzung über eine klassische Beratungsleistung hinausgeht.
Wir übernehmen diese technische Umsetzung: Schwachstellenanalyse und Penetrationstests, System Hardening nach CIS Benchmarks, Active Directory Absicherung gegen Pass-the-Hash und Kerberoasting, PKI-Aufbau, SBOM-Management und zentrales Logging mit SIEM-Integration. Nicht nur als Einmalprojekt, sondern mit nachhaltiger Integration in Ihre Prozesse.
Penetrationstests & technische SicherheitslösungenKI-Systeme sicher entwickeln, integrieren und kontrolliert betreiben.
KI-Systeme sind keine zukünftige Herausforderung. Sie sind heute in Produktionsprozessen, Kundeninteraktionen und Entscheidungsunterstützungssystemen integriert. Und sie erzeugen Risiken, für die klassische Sicherheitsansätze keine etablierten Antworten haben.
Prompt-Injection-Angriffe auf Sprachmodelle lassen sich nicht mit einem Firewall-Regelwerk abwehren. Intransparente Entscheidungslogiken in regulierten Umgebungen erzeugen Haftungsrisiken, die weder DORA noch NIS2 explizit adressieren. Der EU AI Act führt neue Compliance-Anforderungen für Hochrisiko-KI-Systeme ein, deren Umsetzung technische Dokumentation und Nachvollziehbarkeit voraussetzt.
Wir helfen Unternehmen, KI-Systeme sicher zu entwickeln, zu integrieren und zu betreiben. Das umfasst KI-Strategie und Governance, technisches Security Testing, LLM-Pentesting, Explainability-Konzepte sowie Monitoring und Audit-Logging für KI-gestützte Prozesse im regulierten Umfeld.
KI-Sicherheit bei Blackfort TechnologyVorgehen
Wie wir arbeiten.
Bestandsaufnahme
Was ist technisch vorhanden? Welche Prozesse, Dokumentationen und Verantwortlichkeiten existieren? Keine Annahmen – nur Fakten.
Einordnung
Welche regulatorischen Anforderungen gelten konkret für dieses Unternehmen, diesen Sektor, diese Infrastruktur? Was sind die tatsächlichen Prioritäten?
Maßnahmenarchitektur
Was muss technisch und organisatorisch umgesetzt werden – und in welcher Reihenfolge? Eine realistische Roadmap, keine Wunschliste.
Umsetzung
Wir implementieren in Ihren Systemen, mit Ihren Teams, unter Ihren Betriebsbedingungen. Nicht übergeben – begleitet.
Betrieb & Fortschreibung
Sicherheit ist kein Projektergebnis. Wir bleiben als externer ISB, durch regelmäßige Reviews oder im laufenden Betrieb dabei.
Perspektive
Warum regulatorische Anforderungen und technische Umsetzung zusammengehören – und warum diese Verbindung fehlt.
Wenn Auditoren „Logging und Monitoring“ fordern, bedeutet das Unterschiedliches: für einen Energieversorger mit OT-Systemen, für eine SaaS-Plattform in der AWS-Cloud oder für ein Krankenhaus mit medizinischen Geräten. Die Anforderung ist formal dieselbe. Die technische Antwort ist jedes Mal anders.
Das ist die Lücke, die viele Compliance-Programme nicht schließen: Die Beratung interpretiert die regulatorischen Anforderungen. Die technische Umsetzung bleibt beim internen IT-Team – oder wird auf ein anderes Projekt vertagt.
Das Verbindungsstück ist eine strukturierte Security Architecture Review: eine Analyse der bestehenden IT-Landschaft mit dem Ziel, konkrete Maßnahmen abzuleiten – technisch präzise, regulatorisch vertretbar, priorisiert nach tatsächlichem Risiko und Betriebsrealität.
In unseren Projekten sieht die Kooperation häufig so aus: Auf der einen Seite steht die Anforderung aus dem Audit oder der Behörde. Auf der anderen Seite steht das Netzwerkdiagramm und der konkrete Technologiestack. Unsere Aufgabe ist die Übersetzung – bis zur implementierten Maßnahme.
Typische Handlungsfelder
KI erfordert neue Sicherheitskontrollen
KI-Sicherheit
KI braucht Sicherheitsarchitektur. Nicht nur Richtlinien.
Die Frage ist nicht mehr, ob Unternehmen KI einsetzen. Die Frage ist, ob sie es kontrolliert tun. Ein Sprachmodell, das intern auf Unternehmensdaten zugreift, ist ein privilegiertes System – ohne die explizite Autorisierungslogik, die ein klassisches Zugriffssteuerungssystem hätte.
Ein KI-Agent, der Aktionen in Produktionssystemen ausführt, ist eine neue Angriffsfläche. Ein KI-Entscheidungssystem in einer regulierten Umgebung erzeugt Dokumentationspflichten, die noch nicht alle Compliance-Frameworks explizit abdecken. Diese Lücken sind real – und sie schließen sich nicht durch eine KI-Strategie allein.
Wir adressieren diese Herausforderungen aus der Perspektive von Sicherheitsarchitektur und Betrieb. Welche Berechtigungen hat das KI-System? Welche Aktionen sind auditiert? Wie wird das Modell auf adversarielle Eingaben getestet? Welche Logging-Anforderungen entstehen aus dem EU AI Act?
Das sind keine abstrakten Fragen. Sie entscheiden darüber, ob ein KI-System im Produktivbetrieb sicher, nachvollziehbar und compliant ist.
KI-Sicherheit bei Blackfort TechnologyEigenentwicklungen
Sicherheitslösungen aus eigener Entwicklung.
Blackfort Security Bridge
Automatisierte Integration von Microsoft Defender und Jira – Schwachstellenmeldungen direkt in strukturierte Tickets überführt.
Independent Log Vault
Manipulationssichere, revisionskonforme Logaufbewahrung. Unabhängig vom produktiven SIEM – für Compliance-Nachweise und Forensik.
Privileged Access Bridge
Privilegierte Zugriffe ohne VPN, ohne Agenten, mit vollständigem Audit-Trail. Für Dienstleister und interne Administratoren.
Threat Exposure Filter
CERT- und CVE-Meldungen gefiltert auf die eigene Infrastruktur – keine generischen Newsletter, sondern relevante Signalinformationen.
Privileged Activity Review
Kontrolle und Überwachung administrativer Zugriffe. Wer hat wann was getan? Für Audit-Berichte und laufendes Monitoring.
Executive Security Experience
Sicherheitslage auf Führungsebene verständlich kommunizieren – ohne Fachterminus-Rauschen, mit klarer Handlungsempfehlung.
Branchenexpertise
Regulatorik und Technik sind branchenspezifisch.
Jede Branche bringt eigene regulatorische Anforderungen, Angriffsvektoren und Betriebsrealitäten mit. Unsere Projekte sind entsprechend kontextualisiert – nicht generisch.
Positionierung
„Strategieberatung ohne IT-Architektur ist wie ein Koch ohne Küche“
Christian Gebhardt
Gründer & Geschäftsführer, Blackfort Technology
Bei Blackfort arbeiten Berater und Sicherheitsingenieure in denselben Projekten. Empfehlungen entstehen nicht im Workshop-Raum und werden dann übergeben – wir sind von der Gap-Analyse bis zur implementierten Maßnahme dabei.
Gespräch anfragen
Womit können wir Ihnen helfen?
Jedes Gespräch beginnt mit einer konkreten Frage. Wählen Sie den Einstieg, der Ihrer aktuellen Situation am nächsten kommt.
NIS2 Betroffenheitsanalyse
Sind Sie als Unternehmen von NIS2 betroffen? In welchem Umfang? Was sind die konkreten Handlungsfelder? Klären wir das in einem strukturierten Erstgespräch.
DORA Gap Assessment
Wie weit ist Ihr Unternehmen von DORA-Compliance entfernt? Wo sind die größten Lücken im ICT Risk Management? Was muss als Erstes angegangen werden?
Security Architektur Review
Eine systematische Analyse Ihrer IT-Architektur: Schwachstellen, Angriffsflächen, strukturelle Lücken. Ergebnis: konkrete Maßnahmen, priorisiert nach Risiko.
AI Security Bewertung
Welche KI-Systeme sind in Betrieb? Welche Risiken entstehen daraus? Wie sieht eine angemessene Sicherheitsarchitektur aus? Ein Gespräch mit konkretem Ergebnis.