Häufige Fragen
Nachfolgend finden Sie Antworten auf häufige Fragen zur Zusammenarbeit und zu dem,
was Sie von KW Cybersecurity erwarten können.
Mit welchen Organisationen arbeiten Sie?
Ich arbeite hauptsächlich mit kleinen und mittleren Organisationen,
die bereits IT-Systeme betreiben, aber mehr Klarheit, stärkere Zugriffskontrollen
und mehr Sicherheit im laufenden Betrieb benötigen.
Typische Kunden sind professionelle Dienstleister, Non-Profit-Organisationen,
Ingenieur- und Forschungsumfelder sowie private Unternehmen in Großbritannien und Europa.
Bieten Sie Umsetzung oder nur Beratung an?
Beides – je nach Bedarf.
In den meisten Fällen starten Organisationen mit dem Baseline Security Sprint,
um zu verstehen, wo Risiken tatsächlich liegen und was zuerst zu tun ist.
Umsetzung kann anschließend erfolgen, wird jedoch immer separat abgegrenzt und bepreist.
Viele Kunden bevorzugen einen „gemeinsam umsetzen“-Ansatz statt eines reinen Berichts.
Worin unterscheiden Sie sich von Managed-Service-Anbietern oder großen Beratungen?
- Keine Produktverkäufe oder Lock-ins. Ich verkaufe keine Software und dränge nicht zu Abonnements.
- Fokus auf Grundlagen. Die Arbeit beginnt bei den Kontrollen, die Risiko tatsächlich reduzieren.
- Direkter Kontakt. Sie arbeiten direkt mit mir – ohne Account-Management-Ebenen.
Wie unterscheidet sich der Baseline Security Sprint von einer klassischen Risikoanalyse?
Der Baseline Security Sprint enthält eine fokussierte Risikobetrachtung,
bleibt jedoch nicht bei der Identifikation von Problemen stehen.
Klassische Risikoanalysen erzeugen oft lange Listen oder abstrakte Scores.
Der Sprint ist darauf ausgelegt, Entscheidungen zu ermöglichen.
Er priorisiert die Risiken, die in Ihrer Umgebung wirklich relevant sind,
und übersetzt sie in einen klar geordneten Maßnahmenplan:
Was zuerst zu tun ist, was warten kann und was bewusst außerhalb des Scopes liegt.
Wie sieht eine typische Zusammenarbeit aus?
Die Zusammenarbeit folgt einem klaren, strukturierten Ablauf:
- Discovery. Verständnis Ihrer Systeme, Rahmenbedingungen und Prioritäten.
- Fokussierte Analyse. Identifikation von Schwachstellen in zentralen Kontrollen.
- Umsetzung (optional). Umsetzung vereinbarter Maßnahmen in kontrollierter Form.
- Übergabe. Klare Dokumentation und abgestimmte nächste Schritte.
Arbeiten Sie remote oder vor Ort?
Der Großteil der Arbeit erfolgt remote, was effizient und kostenschonend ist.
Vor-Ort-Termine sind möglich, wenn sie einen klaren Mehrwert bieten,
zum Beispiel bei Zugriffskontrollen, internen Netzwerkbetrachtungen
oder bei der Analyse von Arbeitsabläufen.
Wie lange dauert eine typische Zusammenarbeit?
Kleinere Härtungs- oder Zugriffsthemen lassen sich oft innerhalb von zwei bis vier Wochen umsetzen,
abhängig von Umfang und Verfügbarkeit.
Größere oder komplexere Vorhaben werden in klar abgegrenzte Phasen mit definierten Meilensteinen unterteilt.
Mit welchen Technologien arbeiten Sie?
Der Schwerpunkt liegt auf Linux-basierten und Cloud-Umgebungen.
Typische Themenbereiche sind:
- Linux-Plattformen (RHEL, Debian, Ubuntu)
- Konfiguration und Automatisierung (Ansible, Satellite)
- Identitäts- und Zugriffskontrollen (SSH-Keys, MFA, Privilegienmodelle)
- Virtualisierung und Container-Umgebungen
- AWS-Infrastruktur
- Logging, Auditing und Baseline-Konfiguration
- Sichere Remote-Zugänge und Systemhärtung
Arbeiten Sie auch mit Organisationen ohne eigenes IT-Team?
Ja. Viele Kunden verfügen über begrenzte interne IT-Kapazitäten.
Die Arbeit wird so strukturiert, dass sie sowohl für technische
als auch für nicht-technische Ansprechpartner nachvollziehbar bleibt.
Bieten Sie auch laufende Unterstützung an?
Ja, wenn es sinnvoll ist.
Einige Organisationen bevorzugen regelmäßige Reviews oder punktuelle Follow-ups,
um Verbesserungen stabil zu halten.
Es gibt keine verpflichtenden Retainer oder langfristigen Bindungen.
Wie werden Umsatzsteuer und rechtliche Aspekte für deutsche und EU-Kunden geregelt?
Die Leistungserbringung erfolgt als Business-to-Business-Dienstleistung über eine britische Limited Company.
Für deutsche und EU-umsatzsteuerlich registrierte Auftraggeber erfolgt die Abrechnung netto im
Reverse-Charge-Verfahren. Es entsteht keine deutsche Lohn-, Beschäftigungs- oder Betriebsstättenstruktur.
Eine ausführliche Darstellung für Einkaufs- und Finanzabteilungen finden Sie hier:
EU / Deutschland – Vertragsstruktur, Umsatzsteuer & rechtlicher Rahmen
Welche Leistungen bieten Sie bewusst nicht an?
Um Sicherheit effektiv und planbar zu verbessern, sind meine Leistungen klar abgegrenzt.
Ich biete keine Managed Services, keine Penetrationstests, keine vollständigen Compliance-Zertifizierungen
und keine umfassenden Tool- oder Architekturprojekte an.
Diese Abgrenzung stellt sicher, dass der Fokus auf umsetzbaren Maßnahmen mit echter Risikoreduktion liegt
und dass Umfang, Zeitrahmen und Ergebnisse jederzeit transparent bleiben.
Eine vollständige Übersicht finden Sie hier:
Was ich nicht anbiete
Bieten Sie Penetrationstests an?
Nein. Ich führe keine Penetrationstests oder Red-Team-Einsätze durch.
Ich kann jedoch unterstützen zu beurteilen, ob ein Penetrationstest sinnvoll ist,
den Scope sauber zu definieren und die Ergebnisse einzuordnen,
damit daraus tatsächlich wirksame Verbesserungen entstehen.
Sind Sie qualifiziert und sicherheitsüberprüft?
Ja. Ich verfüge über eine britische Security Check (SC) Clearance
sowie anerkannte Zertifizierungen wie CompTIA Security+, LPIC und
AWS Solutions Architect Associate.
Meine Erfahrung umfasst über 20 Jahre in staatlichen,
unternehmensweiten und akademischen Umgebungen in Großbritannien und Europa.
Wie setzen sich die Kosten zusammen?
Die Preisgestaltung ist transparent und basiert auf klar abgegrenztem Umfang.
Wann immer möglich, werden Leistungen als Festpreisprojekte mit
vorhersehbaren Kosten angeboten.
Ein kurzes Erstgespräch ist der beste Weg, um den nächsten sinnvollen Schritt festzulegen.
Nächster Schritt
Wenn Sie klären möchten, ob die Zusammenarbeit passt und welcher nächste Schritt sinnvoll ist,
vereinbaren Sie ein kurzes Erstgespräch.