Blackfort Technology
Blackfort Technology – Informationssicherheit

Informationssicherheit —
von Regulatorik bis Umsetzung.

Blackfort Technology verbindet regulatorische Expertise mit technischer Sicherheitsumsetzung und KI-Kompetenz – für Unternehmen, die Sicherheit nicht nur auf dem Papier brauchen.

Erstgespräch vereinbarenLeistungen entdecken

Warum Sicherheitsprogramme scheitern

Das Problem liegt nicht in der Regulatorik. Es liegt in der Lücke zwischen Konzept und Umsetzung.

Sicherheitsprogramme scheitern selten daran, dass kein Konzept oder keine Richtlinie vorhanden war. Sie scheitern daran, dass zwischen regulatorischer Anforderung und technischer Wirklichkeit eine Lücke bleibt, die niemand schließt. Eine Gap-Analyse liegt vor. Das Audit ist vielleicht bereits bestanden. Die Maßnahmen sind dokumentiert. Aber in den Systemen hat sich wenig geändert.

Die Regulatorik schreibt „angemessene technische Maßnahmen“ vor. Was das konkret bedeutet – für eine Telekommunikationsinfrastruktur, eine Produktionsanlage oder eine Cloud-native SaaS-Plattform – lässt sich selten direkt aus dem Gesetzestext ableiten. Erforderlich sind regulatorische Einordnung, Architekturkenntnisse und operative Umsetzungskompetenz.

Blackfort Technology ist an genau dieser Schnittstelle tätig. Wir entwickeln keine Konzepte, die für den Auditor abgelegt werden. Wir begleiten Sie von der Analyse bis zur Implementierung – in denselben Projekten, mit denselben Teams.

NIS2 · DORA · CRA
Regulatorische Expertise
seit 2017
Bonn, Deutschland
Allianz für Cyber-Sicherheit – Partner

Partner der Allianz für Cyber-Sicherheit (BSI)

Referenzen

Ausgewählte Kunden.

Horváth AG
Variolytics GmbH
LapID Service GmbH
SUMUS Software
Aurum Consulting
RED Global
aquatune GmbH
3steps2web
Vuca Simulations
DESH Datenservice
Reimbold Immobilien
Praxis Dr. Ksendsowski
Zahnfee
Bullets Playing Cards
Alle Referenzprojekte

Kompetenzfelder

Drei Bereiche. Eine Beratung.

Die meisten IT-Sicherheitsberatungen sind in einem dieser Bereiche stark. Wir decken alle drei ab – und verbinden sie in Projekten, die erfolgreich und nachhaltig umgesetzt werden.

01Compliance & Governance

Regulatorische Anforderungen verstehen, priorisieren und in Maßnahmen übersetzen.

Die regulatorische Lage hat sich in den vergangenen drei Jahren grundlegend verändert. NIS2 erweitert den Kreis der verpflichteten Unternehmen erheblich und erhöht die Anforderungen an Sicherheitsmaßnahmen, Meldepflichten und Governance-Strukturen. DORA stellt den gesamten Finanzsektor vor verbindliche ICT-Resilienzanforderungen. Der Cyber Resilience Act verpflichtet Produkthersteller zu Security by Design.

Diese Anforderungen lassen sich nicht durch einmalige Audits oder abgehakte Checklisten erfüllen. Sie erfordern ein Informationssicherheitsmanagementsystem, das tatsächlich gelebt wird – mit klaren Verantwortlichkeiten, dokumentierten Prozessen und der Fähigkeit, auf Veränderungen im Betrieb zu reagieren.

Wir begleiten Unternehmen von der ersten Gap-Analyse bis zur Zertifizierung. Das umfasst den Aufbau von ISMS-Strukturen, die Erarbeitung von Sicherheitskonzepten und Richtlinien, die Vorbereitung auf externe Audits sowie die laufende Betreuung als externer Informationssicherheitsbeauftragter.

Alle Consulting-Leistungen im Überblick
02Technische Umsetzung

Schwachstellen erkennen, Systeme härten, Sicherheitsinfrastruktur aufbauen.

Informationssicherheit ist kein Papierthema. Jede Anforderung aus dem regulatorischen Rahmen muss sich in einer technischen Maßnahme widerspiegeln: in einem Prozess, einer Systemkonfiguration, einer Monitoring-Regel oder einer Netzwerksegmentierung.

In der Praxis sehen wir regelmäßig dieselben Lücken: kein systematisches Patch-Management, unzureichendes oder inkonsistentes Logging, ein Active Directory, das über Jahre Angriffsflächen aufgebaut hat, oder fehlende Kontrollen über privilegierte Zugriffe. Diese Probleme sind bekannt. Sie werden trotzdem nicht adressiert – weil die technische Umsetzung über eine klassische Beratungsleistung hinausgeht.

Wir übernehmen diese technische Umsetzung: Schwachstellenanalyse und Penetrationstests, System Hardening nach CIS Benchmarks, Active Directory Absicherung gegen Pass-the-Hash und Kerberoasting, PKI-Aufbau, SBOM-Management und zentrales Logging mit SIEM-Integration. Nicht nur als Einmalprojekt, sondern mit nachhaltiger Integration in Ihre Prozesse.

Penetrationstests & technische Sicherheitslösungen
03KI & AI Security

KI-Systeme sicher entwickeln, integrieren und kontrolliert betreiben.

KI-Systeme sind keine zukünftige Herausforderung. Sie sind heute in Produktionsprozessen, Kundeninteraktionen und Entscheidungsunterstützungssystemen integriert. Und sie erzeugen Risiken, für die klassische Sicherheitsansätze keine etablierten Antworten haben.

Prompt-Injection-Angriffe auf Sprachmodelle lassen sich nicht mit einem Firewall-Regelwerk abwehren. Intransparente Entscheidungslogiken in regulierten Umgebungen erzeugen Haftungsrisiken, die weder DORA noch NIS2 explizit adressieren. Der EU AI Act führt neue Compliance-Anforderungen für Hochrisiko-KI-Systeme ein, deren Umsetzung technische Dokumentation und Nachvollziehbarkeit voraussetzt.

Wir helfen Unternehmen, KI-Systeme sicher zu entwickeln, zu integrieren und zu betreiben. Das umfasst KI-Strategie und Governance, technisches Security Testing, LLM-Pentesting, Explainability-Konzepte sowie Monitoring und Audit-Logging für KI-gestützte Prozesse im regulierten Umfeld.

KI-Sicherheit bei Blackfort Technology

Vorgehen

Wie wir arbeiten.

01

Bestandsaufnahme

Was ist technisch vorhanden? Welche Prozesse, Dokumentationen und Verantwortlichkeiten existieren? Keine Annahmen – nur Fakten.

02

Einordnung

Welche regulatorischen Anforderungen gelten konkret für dieses Unternehmen, diesen Sektor, diese Infrastruktur? Was sind die tatsächlichen Prioritäten?

03

Maßnahmenarchitektur

Was muss technisch und organisatorisch umgesetzt werden – und in welcher Reihenfolge? Eine realistische Roadmap, keine Wunschliste.

04

Umsetzung

Wir implementieren in Ihren Systemen, mit Ihren Teams, unter Ihren Betriebsbedingungen. Nicht übergeben – begleitet.

05

Betrieb & Fortschreibung

Sicherheit ist kein Projektergebnis. Wir bleiben als externer ISB, durch regelmäßige Reviews oder im laufenden Betrieb dabei.

Perspektive

Warum regulatorische Anforderungen und technische Umsetzung zusammengehören – und warum diese Verbindung fehlt.

Wenn Auditoren „Logging und Monitoring“ fordern, bedeutet das Unterschiedliches: für einen Energieversorger mit OT-Systemen, für eine SaaS-Plattform in der AWS-Cloud oder für ein Krankenhaus mit medizinischen Geräten. Die Anforderung ist formal dieselbe. Die technische Antwort ist jedes Mal anders.

Das ist die Lücke, die viele Compliance-Programme nicht schließen: Die Beratung interpretiert die regulatorischen Anforderungen. Die technische Umsetzung bleibt beim internen IT-Team – oder wird auf ein anderes Projekt vertagt.

Das Verbindungsstück ist eine strukturierte Security Architecture Review: eine Analyse der bestehenden IT-Landschaft mit dem Ziel, konkrete Maßnahmen abzuleiten – technisch präzise, regulatorisch vertretbar, priorisiert nach tatsächlichem Risiko und Betriebsrealität.

In unseren Projekten sieht die Kooperation häufig so aus: Auf der einen Seite steht die Anforderung aus dem Audit oder der Behörde. Auf der anderen Seite steht das Netzwerkdiagramm und der konkrete Technologiestack. Unsere Aufgabe ist die Übersetzung – bis zur implementierten Maßnahme.

Typische Handlungsfelder

Netzwerksegmentierung
NIS2, IEC 62443
Security Logging & SIEM
NIS2, BSI IT-Grundschutz, ISO 27001
Vulnerability Management
NIS2, CIS Controls, BSI
Identity & Access Management
ISO 27001, DORA
Incident Response
NIS2, DORA, BSI

KI erfordert neue Sicherheitskontrollen

Berechtigungen & Datenzugriff
Welche Informationen kann das KI-System abrufen? Welche Aktionen kann es ausführen? Klassische Zugriffskontrolle reicht nicht.
Adversarielle Eingaben
Prompt-Injection, Jailbreaking, indirekte Manipulation: LLMs müssen gezielt auf Angreifbarkeit getestet werden.
Audit-Trail & Nachvollziehbarkeit
Was hat das Modell wann entschieden? In regulierten Prozessen ist Nachvollziehbarkeit keine Option.
EU AI Act Compliance
Hochrisiko-KI-Systeme brauchen technische Dokumentation, Konformitätsbewertung und laufendes Monitoring.

KI-Sicherheit

KI braucht Sicherheitsarchitektur. Nicht nur Richtlinien.

Die Frage ist nicht mehr, ob Unternehmen KI einsetzen. Die Frage ist, ob sie es kontrolliert tun. Ein Sprachmodell, das intern auf Unternehmensdaten zugreift, ist ein privilegiertes System – ohne die explizite Autorisierungslogik, die ein klassisches Zugriffssteuerungssystem hätte.

Ein KI-Agent, der Aktionen in Produktionssystemen ausführt, ist eine neue Angriffsfläche. Ein KI-Entscheidungssystem in einer regulierten Umgebung erzeugt Dokumentationspflichten, die noch nicht alle Compliance-Frameworks explizit abdecken. Diese Lücken sind real – und sie schließen sich nicht durch eine KI-Strategie allein.

Wir adressieren diese Herausforderungen aus der Perspektive von Sicherheitsarchitektur und Betrieb. Welche Berechtigungen hat das KI-System? Welche Aktionen sind auditiert? Wie wird das Modell auf adversarielle Eingaben getestet? Welche Logging-Anforderungen entstehen aus dem EU AI Act?

Das sind keine abstrakten Fragen. Sie entscheiden darüber, ob ein KI-System im Produktivbetrieb sicher, nachvollziehbar und compliant ist.

KI-Sicherheit bei Blackfort Technology

Eigenentwicklungen

Sicherheitslösungen aus eigener Entwicklung.

Zum Online-Shop

Blackfort Security Bridge

Automatisierte Integration von Microsoft Defender und Jira – Schwachstellenmeldungen direkt in strukturierte Tickets überführt.

Independent Log Vault

Manipulationssichere, revisionskonforme Logaufbewahrung. Unabhängig vom produktiven SIEM – für Compliance-Nachweise und Forensik.

Privileged Access Bridge

Privilegierte Zugriffe ohne VPN, ohne Agenten, mit vollständigem Audit-Trail. Für Dienstleister und interne Administratoren.

Threat Exposure Filter

CERT- und CVE-Meldungen gefiltert auf die eigene Infrastruktur – keine generischen Newsletter, sondern relevante Signalinformationen.

Privileged Activity Review

Kontrolle und Überwachung administrativer Zugriffe. Wer hat wann was getan? Für Audit-Berichte und laufendes Monitoring.

Executive Security Experience

Sicherheitslage auf Führungsebene verständlich kommunizieren – ohne Fachterminus-Rauschen, mit klarer Handlungsempfehlung.

Branchenexpertise

Regulatorik und Technik sind branchenspezifisch.

Alle Branchen

Jede Branche bringt eigene regulatorische Anforderungen, Angriffsvektoren und Betriebsrealitäten mit. Unsere Projekte sind entsprechend kontextualisiert – nicht generisch.

Energie & KRITISFinanzunternehmen & VersicherungenHealthcare & MedTechIndustrie & ProduktionIT-Dienstleister & MSPSoftware & SaaS-AnbieterTelekommunikation

Positionierung

„Strategieberatung ohne IT-Architektur ist wie ein Koch ohne Küche“

Bei Blackfort arbeiten Berater und Sicherheitsingenieure in denselben Projekten. Empfehlungen entstehen nicht im Workshop-Raum und werden dann übergeben – wir sind von der Gap-Analyse bis zur implementierten Maßnahme dabei.

Gespräch anfragen

Womit können wir Ihnen helfen?

Jedes Gespräch beginnt mit einer konkreten Frage. Wählen Sie den Einstieg, der Ihrer aktuellen Situation am nächsten kommt.

Compliance

NIS2 Betroffenheitsanalyse

Sind Sie als Unternehmen von NIS2 betroffen? In welchem Umfang? Was sind die konkreten Handlungsfelder? Klären wir das in einem strukturierten Erstgespräch.

Gespräch anfragen
Finance & Regulierung

DORA Gap Assessment

Wie weit ist Ihr Unternehmen von DORA-Compliance entfernt? Wo sind die größten Lücken im ICT Risk Management? Was muss als Erstes angegangen werden?

Gespräch anfragen
Technisch

Security Architektur Review

Eine systematische Analyse Ihrer IT-Architektur: Schwachstellen, Angriffsflächen, strukturelle Lücken. Ergebnis: konkrete Maßnahmen, priorisiert nach Risiko.

Gespräch anfragen
KI & AI Security

AI Security Bewertung

Welche KI-Systeme sind in Betrieb? Welche Risiken entstehen daraus? Wie sieht eine angemessene Sicherheitsarchitektur aus? Ein Gespräch mit konkretem Ergebnis.

Gespräch anfragen
Direkt Kontakt aufnehmen