Die Cybervize-Plattform ist eine Lösung, die mit Ihnen mitwächst, vom eigentümergeführten Mittelständler mit 200 Mitarbeitenden bis zum Konzern mit 50.000. Module werden lizenziert, alle teilen Datenbasis, Berechtigungsmodell und Audit-Trail. So entsteht ein durchgängiger Informationsfluss statt isolierter Insellösungen. Die Einführung erfolgt über zwei klare Pfade: mit virtuellem CISO als Bundle (dauerhafte Sicherheitsfunktion) oder als Plattform-Lizenz mit Einführungsprojekt (für Häuser mit eigenem CISO).
Demo anfordern
Wer ein ISMS-Tool sucht, vergleicht meist drei Kategorien: einzelne ISMS-Software (nur ISO 27001), Excel-/SharePoint-Eigenbau und große GRC-Suites. Die Cybervize-Plattform ist keine davon. Hier die vier Dimensionen, in denen sie sich messbar unterscheidet.
Klassisch wird ISMS in einem Tool, BCM in einem zweiten, TPRM in einem dritten und Assessments in Excel oder einem vierten Tool geführt. Vier Datenmodelle, vier Berechtigungsmodelle, vier Audit-Trails. Daten werden manuell synchronisiert oder gar nicht.
ISMS, BCM, TPRM und Assessment teilen eine Datenbasis. Assessment-Lücken erzeugen automatisch ISMS-Maßnahmen, BIA-Daten validieren BCM-Pläne, kritische Lieferanten im TPRM erzeugen BCM-Bedrohungsszenarien. Ein Audit-Trail, ein Berechtigungsmodell, ein Reportingstand.
Wenn ein neuer Standard wie DIN SPEC 27076 dazukommt, dauert es bei klassischen ISMS-Tools Monate, bis der Anbieter den Katalog einpflegt. Bis dahin Excel.
OSCAL-Import (das offizielle NIST-Format für Sicherheitskataloge) erlaubt, neue Standards in Minuten einzulesen. BSI IT-Grundschutz, NIST SP 800-53, IEC 62443, DIN SPEC 27076 sind bereits da. Eigene Branchenkataloge ebenfalls.
Viele neue ISMS-Tools nutzen ChatGPT-API für Antwortvorschläge. Die Daten verlassen Deutschland, durchlaufen die OpenAI-Pipeline. Für mittelständische Compliance-Daten regulatorisch problematisch.
Drei Betriebsmodi: Sovereign (selbst betriebene LLMs in Deutschland, keine externe Datenweitergabe), BYOK (Kunde nutzt eigene OpenAI/Anthropic/Azure-Keys unter eigenem Vertrag) oder Managed. Drei Modi, drei Datenfluss-Logiken, jeder pro Mandant einstellbar.
Klassische ISMS-Tools sind Software-Produkte, deren Hersteller die regulatorische Tiefe einkaufen oder von Beratern lizenzieren.
Die Plattform codifiziert die vCISO-Methodik aus 25 Jahren Beratungspraxis (PwC Partner, Deloitte Direktor). Entstanden in 14-monatiger Forschungspartnerschaft mit dem CISPA-Inkubator (Helmholtz-Zentrum für Informationssicherheit), gefördert vom BMFTR-Programm StartupSecure. ISO 27001 Lead Auditor, BSI IT-Grundschutz Auditor, BS 25999 Lead Auditor sind die Quelle, nicht das Beratungsbudget.
Diese Sektion vergleicht typische Tool-Architektur-Muster, keine namentlich genannten Anbieter. Für eine Anbieter-spezifische Gegenüberstellung mit Ihrem aktuellen Tool im Erstgespräch buchen.
Informationssicherheits-Management nach ISO 27001. Organisationsstruktur, BIA, Incident Management mit Meldepflichten (DSGVO 72h, NIS-2, KRITIS), Asset-Inventar mit Abhängigkeitsgraph, duale Risikobewertung, Maßnahmensteuerung, Controls und Statement of Applicability.
Mehr zum ISMS-Modul →Fragebogen-basierte Sicherheitsbewertungen gegen beliebige Standards. OSCAL-Import (BSI Grundschutz, NIST SP 800-53, IEC 62443), Multi-Standort-Kampagnen, automatisiertes Scoring, revisionssichere Snapshots und KI-gestützte Reports (PDF, Excel, PowerPoint).
Business Continuity Management nach ISO 22301. Kontinuitätspläne mit RTO-Validierung gegen BIA-Daten, Bedrohungsszenarien, Gap-Analyse, BCM-Tests (Tabletop bis Volltest), Compliance Score und Management Reviews mit automatisch befüllten KPIs.
Mehr zum BCM-Modul →Third-Party Risk Management nach EBA-Richtlinien. KI-gestützte Kritikalitätsbewertung, Vertragsregister mit 19 EBA-Pflichtfeldern, Subunternehmer-Ketten, Due Diligence, Konzentrationsrisiko, Exit-Strategien und Cross-App Impact-Analyse.
Keine Insellösungen. Definierte Schnittstellen zwischen allen Modulen.
Lücken erzeugen automatisch Maßnahmen
BIA-Daten validieren BCM-Pläne. Testfehler erzeugen Maßnahmen
Lieferanten-Risiken verknüpft mit Assets und Incidents
Kritische Lieferanten erzeugen Bedrohungsszenarien
Plattform-Basis für alle Module
Strikte Datenisolierung. Berater arbeiten mandantenübergreifend, ohne Daten zu vermischen.
Modullizenz, Rollen, Attribute und Entity-Scoping. 16 vordefinierte Rollen. Default-Deny.
Segregation of Duties bei Freigaben, Snapshots, Risikoakzeptanzen und Maßnahmenabschlüssen.
Jede Aktion protokolliert. Wer, wann, was, von welcher IP. CSV-Export für Auditoren.
Fünf Management-Fragen, die jede Geschäftsführung gegenüber Aufsichtsrat, Wirtschaftsprüfer und Versicherer parat haben sollte. Die Plattform liefert sie als Knopfdruck-Antwort, nicht als IT-Übersetzungsleistung.
Investitions-Priorisierung anhand quantifizierter Risiken. Risiko-Top-10 mit Mitigation-Status und Budget-Annotation, sortiert nach Geschäftsauswirkung. Sie wissen, welche 20 Prozent der Maßnahmen 80 Prozent der Risikoreduktion bringen.
Knopfdruck-Reports mit Audit-Trail, ISO-27001-/NIS-2-Status, sektor-spezifischen Nachweisen (DORA, IEC 62443, TISAX). Exportierbar als PDF, Excel und PowerPoint. Jede Aussage ist mit Zeitstempel, Bearbeiter und Quelle dokumentiert.
Risiko-Register mit Status, Eigentümer, Fälligkeit und Trend über 12 Monate. Akzeptierte Risiken sind dokumentiert begründet, offene Risiken haben Eigentümer und Termin, überfällige Risiken sind als solche gekennzeichnet. Keine versteckten Risiko-Listen mehr.
Maßnahmen-Tracking mit Budget-Annotation pro Maßnahme. Sie sehen, welche Mittel für welche Risikoreduktion freigegeben sind, was bereits ausgegeben wurde und welche Maßnahmen ohne Budget hängen.
RACI-Modell mit klaren Eigentümer-Rollen pro Kontrolle und Maßnahme. Sie können vor jeder Aufsichtsratssitzung sagen, wer welche Maßnahme verantwortet, statt bei der nächsten Eskalation zu suchen.
Dieselbe Plattform, in zwei Ausbaustufen. Mittelstand bekommt Konzern-Substanz im Werkzeug. Konzerne bekommen Konzern-Substanz in Mittelstand-Pace.
Eigentümergeführt, klassisch 50 bis 500 Mitarbeitende, auch Hidden Champions bis mehrere Tausend.
Börsennotiert oder familiengeführt, Multi-Entity, Multi-Country, regulierte Branchen.
Für jede Rolle die richtigen Funktionen
Compliance-Status auf einen Blick. NIS-2, ISO 27001 und DORA Fortschritt als Dashboard. Risiko-Heatmap für fundierte Entscheidungen. Revisionssichere Nachweise für Aufsichtsbehörden.
Incident-Lifecycle, Risikomanagement, Assessment-Kampagnen und Maßnahmensteuerung in einem System. 16 Rollen mit feingranularen Berechtigungen. Playbooks für strukturierte Incident Response.
Modulübergreifender Lesezugriff, revisionssicherer Audit-Trail, unveränderliche Assessment-Snapshots, automatisierte Reports (PDF, Excel, PowerPoint). SoA mit Implementierungsgrad.
Mandantenfähige Plattform für Ihre Kunden. Assessments, ISMS und Risikomanagement als Service anbieten. Strikte Datenisolierung, Staffelpreise, automatisierte Reports.
Zwei Wege, die Plattform produktiv zu machen
Für Unternehmen ohne eigenen CISO: die Plattform plus ein virtueller CISO, der die Sicherheitsfunktion dauerhaft besetzt. 2 bis 6 Tage pro Monat, je nach Größe. Inklusive Risikoanalyse, NIS-2-Gap-Check, C-Level-Reporting. Im Mittelstand ab 3.600 €/Monat, für Konzerne projektbezogen.
Zum vCISOFür Unternehmen, die einen kurzzeitigen Engpass überbrücken: CISO-Vakanz, Audit-Vorbereitung, Post-Incident-Stabilisierung oder Übergangsphasen. Senior-CISO vor Ort, projektbezogen, meist ohne Plattform. Keine Bindung an die Cybervize-Plattform notwendig.
Zum Interim CISOHosting und Datenverarbeitung ausschließlich in Deutschland bei einem deutschen Provider.
Drei Betriebsmodi für die KI-Verarbeitung, jeder mit eigener Datenfluss-Logik. Sovereign Mode: selbst betriebenes LLM in Deutschland, keine Datenweitergabe an externe Modellanbieter. BYOK Mode: kundeneigene API-Keys (OpenAI, Azure, Anthropic, Ollama), Datenverarbeitung gemäß Kundenvertrag mit dem jeweiligen Modellanbieter. Managed Mode: von Cybervize betriebene Variante mit definierter Datenresidenz.
DSGVO-konform mit vollständigem Datenexport, Anonymisierung und terminierter Datenlöschung.
Weil klassische GRC-Tools Compliance zur Ankreuzübung machen, statt sie im operativen Betrieb zu verankern.
Cybervize entstand 2021 mit einer klaren These: Informationssicherheits-Beratung liefert dann den größten Wert, wenn die passende Plattform mitkommt. Alexander Busse gründete die Cybervize Consulting GmbH nach 25 Jahren Erfahrung in Cyber Security und Informationssicherheit mit Stationen als Partner bei PwC und Direktor bei Deloitte. Ziel war von Anfang an, Informationssicherheit für Unternehmen wirtschaftlicher umzusetzen als mit den klassischen Methoden der Beratung.
Klassische GRC-Tools stellen meist nur Fragen, die irgendjemand in der IT beantworten muss. So wird Compliance zu einer Ankreuzübung neben dem Tagesgeschäft, ohne dass sie wirtschaftlich im operativen Betrieb verankert ist. Die Cybervize-Plattform wurde gebaut, um genau diese Trennung aufzuheben: Compliance-Anforderungen werden in die laufenden Sicherheits- und IT-Prozesse eingewoben, Evidenzen entstehen im operativen Betrieb, und operative Prozesse sind von vornherein konform. Die Entwicklung wurde durch das Programm StartupSecure der Bundesregierung gefördert und entstand in einer 14-monatigen Forschungspartnerschaft mit dem CISPA-Inkubator, dem Helmholtz-Zentrum für Informationssicherheit.
Heute besteht Cybervize aus zwei eigenständigen Gesellschaften: die Cybervize Consulting GmbH übernimmt vCISO- und Interim-CISO-Mandate, die Cybervize Operations GmbH lizenziert die Plattform an Mittelstand und Konzern. Die Beratung war zuerst da und trägt die Plattform; die Plattform ist das durable Artefakt, das aus der Beratung entstanden ist.
Mitgliedschaften, Programme und Partnerschaften
Der NIS-2-Meldeprozess scheitert nicht an fehlender Dokumentation, sondern daran, dass er unter Stress nicht funktioniert. Was mittelständische Unternehmen jetzt tun müssen.
Die Zeit zwischen Schwachstelle und Exploit schrumpft auf 5 Tage. Warum manuelle Prozesse nicht mehr mit automatisierten Angriffen mithalten können.
Wie Unternehmen digitale Souveränität als Betriebsprinzip etablieren und Risiken bewusst steuern statt reaktiv handeln.
Externer CISO (vCISO): strategische Sicherheitsführung auf C-Level, flexibel und kosteneffizient.
Mehr erfahrenSofortige Sicherheitsexpertise für Übergangsphasen und kritische Projekte.
Mehr erfahrenStrategie, Compliance und operative Sicherheit für den Mittelstand.
Mehr erfahren