Was wir nicht anbieten

Wir führen keine Compliance-Audits durch

Der Sprint ist kein ISO-27001-, Cyber-Essentials-, SOC-2- oder regulatorisches Compliance-Audit.
Es gibt keine formale Zertifizierung, kein Pass/Fail-Ergebnis und keine vollständige Zuordnung von Kontrollen zu Standards.

Wenn jedoch wesentliche Compliance-Lücken ein reales Risiko erzeugen, benennen wir diese als Risiko und priorisieren sie entsprechend.

Wir inventarisieren nicht „alles“

Der Sprint versucht nicht, jedes Asset, jedes Konto, jedes Gerät und jedes Konfigurationselement vollständig zu erfassen.
Es ist kein umfassendes Discovery-Programm und kein Aufbau eines vollständigen Asset-Registers.

• Kein vollständiges Asset-Register
• Keine erschöpfenden Konfigurations-Reviews
• Keine zeilenweise Policy-Analyse

Die Evidenzaufnahme endet dort, wo zusätzliche Detailtiefe die Prioritäten oder die Reihenfolge der Maßnahmen nicht mehr relevant verändert.

Wir entwerfen keine vollständigen Zielarchitekturen

Der Sprint liefert keine detaillierte Zielarchitektur, keine mehrjährige Roadmap, keine Tool-Vergleichsstudien
und keine Vendor-Selection-Projekte.

Solche Arbeit kann später sinnvoll sein – ist aber bewusst nicht Teil des Sprints, wenn das Ziel eine belastbare Baseline ist.

Wir setzen im Sprint keine Änderungen um

Der Sprint ist unabhängig von der Umsetzung. Während Discovery und Auswertung werden keine Konfigurationen verändert,
keine Controls ausgerollt und keine Systeme „nebenbei“ angepasst.

Wenn Sie Unterstützung bei der Umsetzung möchten, wird diese separat abgegrenzt und bepreist.
Diese Trennung schützt die Objektivität des Sprints und verhindert Druck in Richtung Folgeaufträge.

Wir optimieren nicht für bestimmte Tools oder Anbieter

Der Sprint ist nicht durch bevorzugte Tools, Vendor-Beziehungen oder Reselling-Modelle geprägt.
Wenn Tools diskutiert werden, dann ausschließlich im Kontext: reduzieren sie Risiko in Ihrer Umgebung tatsächlich?

Es gibt keine Provisionsziele, keine Kickbacks und keine Produktverkaufsagenda.

Wir jagen keine theoretischen oder niedrig priorisierten Risiken

Der Sprint zielt nicht darauf ab, jede denkbare Schwachstelle zu finden.
Der Fokus liegt auf Risiken, die realistische Schäden verursachen können – und auf Maßnahmen, die Exponierung in sinnvoller Reihenfolge reduzieren.

• Niedrig priorisierte Themen können bewusst zurückgestellt werden
• Einige Risiken werden explizit akzeptiert oder vertagt
• Wir vermeiden Arbeit, die gut aussieht, aber Outcomes nicht verändert

Wir arbeiten nicht ohne Entscheidungsträger und Umsetzungsbereitschaft

Der Sprint funktioniert nur, wenn Entscheidungen getroffen werden können.
Wir starten nicht, wenn Verantwortlichkeiten unklar sind oder wenn es keine Bereitschaft gibt, Prioritäten anzunehmen und umzusetzen.

Ein Bericht ohne Ownership reduziert kein Risiko.

Warum diese Abgrenzungen existieren

Sicherheitsarbeit liefert nur dann Wert, wenn sie zu klaren Entscheidungen und praktischer Umsetzung führt.
Diese Abgrenzungen verhindern Scope Creep und Analyse-Paralyse.

Der Sprint reduziert Risiko schneller, weil Zeit und Budget nicht in niedrig wirksame oder verfrühte Maßnahmen fließen.

Was der Sprint stattdessen liefert

• Klarheit darüber, wo sich Risiko tatsächlich konzentriert
• Einen realistischen, priorisierten Maßnahmenplan mit klarer Reihenfolge
• Explizite Deferrals und Out-of-Scope-Punkte, damit der Fokus sauber bleibt
• Dokumentation für interne Abstimmung und externe Assurance-Gespräche

Das sind die wichtigsten Grundlagen für jeden strukturierten Cybersecurity-Verbesserungsprozess.