The Atlas Group · Security Consulting

Den Betrieb schützen
bevor es darauf ankommt

Für Betreiber von Versorgungsstrukturen im Gesundheitswesen und anderen kritischen Infrastrukturen wachsen die Anforderungen:

Die Bedrohungslage verschärft sich spürbar
Risikoszenarien sind dynamisch und multidimensional
Wirksamer Schutz kostet, aber Ausfall kostet mehr
Die Regulierung zwingt zu professionellem Sicherheitsmanagement

Näher rangehen! Wir entwickeln keine Sicherheitskonzepte am Schreibtisch, sondern begreifen Ihren realen Geschäftsbetrieb. Damit eine Strategie entsteht, die in der Praxis funktioniert.

Leistungen

Vier Leistungsbereiche, die ineinandergreifen

Von der Strategie über Notfallplanung und Krisenübungen bis zum Compliance-Nachweis — die Leistungsfelder greifen ineinander und lassen sich je nach Bedarf kombinieren oder einzeln einsetzen.

Strategie & Planung Emergency Preparedness Tabletop Exercises Compliance

01–02 / 04

Strategie & Planung

Von der Strategie zur Projektplanung

Startpunkt ist das individuelle Profil der Organisation: Infrastruktur, Personal, Prozesse, operative Abhängigkeiten, Geographie und Risikoprofil. Auf dieser Basis wird eine Sicherheitsstrategie entwickelt und ergänzt durch eine Gap-Analyse gegen relevante Standards (ISO 27001, B3S, NIS2, BSI C5). Damit die Strategie auch umsetzbar ist, gibt es einen priorisierten Sofortmaßnahmenplan und einen konkreten Projektplan mit realistischen Kalkulationsgrößen — verständlich formuliert für das Top-Management.

Emergency Preparedness

Notfallpläne, die unter Druck halten

Entwicklung von Notfallplänen auf Basis der Anforderungen des Geschäftsbetriebs. Die Methodik orientiert sich an High-Reliability-Organisationen, z.B. in Luftfahrt oder Spezialeinheiten, wo Fehler keine zweite Chance lassen. Ergebnis sind szenarienbasierte Notfallkonzepte mit klaren Verfahren, Entscheidungspunkten, Rollen und Kommunikationswegen — praxistauglich formuliert und auf die Führungsstruktur und Kultur des Unternehmens zugeschnitten.

Tabletop Exercises

Üben. Auswerten. Wiederholen... Routine statt Theorie.

Tabletop Exercises sind Krisenübungen in einem leichtgewichtigen und effizienten Format. Ein konkretes Szenario wird in kleinem Kreis und vertraulichem Rahmen durchgespielt — ohne großes Aufsehen in der Organisation. Die Moderation erfolgt durch erfahrene Krisenmanager. Entscheidungsprozesse und Kommunikationswege werden sichtbar, Lücken identifiziert — und in einem strukturierten Auswertungsbericht mit priorisierten Handlungsempfehlungen dokumentiert.

Compliance

Nachweisbar sicher: Compliance als Ergebnis

Wirksame Sicherheitsmaßnahmen müssen dokumentiert und nachweisbar sein — entsprechend den Control-Katalogen der relevanten Regelwerke und Standards. Das Ergebnis ist auditfähige Dokumentation entsprechend NIS2, KRITIS-Dachgesetz, BSI C5 und B3S — belastbar für die Nachweisführung gegenüber Behörden und Auftraggebern und für die Vermeidung von Haftungsrisiken der Geschäftsleitung.

Herausforderungen

Was zwischen Plan und Wirklichkeit liegt

Die meisten Probleme im Gefahren- und Sicherheitsmanagement sind am Ende keine technischen Probleme. Es sind Organisations- und Umsetzungsprobleme. Die gute Nachricht: Sie sind lösbar.

Regulatorischer Druck

B3S, ISO 27001, BSI C5, NIS2, KRITIS-Dachgesetz, die Anforderungen werden strenger und Sanktionen drohen. Das Problem ist selten fehlendes Wissen darüber, was verlangt wird. Es ist der Weg von der Anforderung zur belastbaren Umsetzung in einer Multi-Compliance-Welt zwischen konkurrierenden Audits und Meldepflichten.

Sicherheit auf dem Papier

Wie viel wurde in den vergangenen Jahren in Sicherheitsberatung investiert — und wie viel davon hat die Praxis wirklich verändert? Zertifizierungen liegen vor, Konzepte füllen Ordner, und im Alltag kennt die Regeln kaum jemand. Schulungen fanden statt, Richtlinien wurden beschlossen — und dann in die Schublade gelegt. Im Ernstfall greift keines davon.

Pläne, die nie getestet wurden

Die Notfallpläne existieren. Manche sind sogar gut durchdacht. Das Problem: Nie unter realistischen Bedingungen erprobt. Das zeigt sich spätestens nach einem Vorfall, nach Führungswechseln in der Notfallorganisation — oder wenn neue Bedrohungen wie Ransomware, OT-Angriffe oder Lieferkettenvorfälle den blinden Fleck sichtbar machen.

Unklare Verantwortlichkeiten

Wer entscheidet, wenn ein Angriff läuft? Auf dem Papier sind Rollen definiert. In der Praxis fehlen im entscheidenden Moment die Klarheit, die Strukturen — und manchmal der Mut, überhaupt eine Entscheidung zu treffen.

Ressourcenmangel

Im Grunde ist oft klar, was zu tun wäre. Was fehlt, sind die internen Kapazitäten, es wirklich umzusetzen. Sicherheitsteams sind dünn besetzt, Projekte bleiben stecken, Maßnahmenpläne veralten in Schreibtischen.

Komplexe IT/OT-Landschaften

Gewachsene Infrastrukturen, Legacy-Systeme, zunehmende Vernetzung von IT und OT — das schafft Angriffsflächen, die keine einzelne Stelle vollständig überblickt. Segmentierung auf dem Papier ist nicht dasselbe wie Segmentierung in der Praxis.

Unsere Haltung

Näher rangehen.
Sicherheit entsteht nicht am Schreibtisch.

Wirkungsvolle Sicherheit entsteht aus dem Verständnis der Systeme, der Abläufe und der Menschen, die täglich damit arbeiten — nicht aus Checklisten vom Schreibtisch.

Verstehen vor Handeln
Kein Konzept überlebt ohne Kontext. Reale Infrastruktur, echte Prozesse, operativer Alltag: erst analysieren, dann handeln.

Das Geschäft führt
Den Betrieb absichern, nicht ausbremsen. Das erfordert Branchenkenntnis und Respekt vor operativen Zwängen.

Keine Security-Kulisse
Was auf dem Papier steht, zählt nicht; was im Betrieb funktioniert, schon. Maßnahmen, die niemand kennt oder lebt, sind keine Sicherheit.

Reaktionsfähigkeit ist das Ziel
Nicht jeder Angriff lässt sich verhindern. Die Frage ist, wie eine Organisation im Ernstfall reagiert.

There is no glory in prevention. But prevention is better than recovery.

Den Betrieb schützen bevor es darauf ankommt