3
KI-Engines parallel
KI-SPEZIAL SecOps · SIEM LLAMA · MiniMax
<15 min
Mean Time to Respond
bei kritischen Alerts, SLA-gesichert
100%
on-premises
eigene GPU-Inferenz in DE
SHA-512
signierte Exporte
HMAC + Verify-URL, gerichtsfest
Engine-Arena · das KI-Herz der Plattform

Drei KI-Engines. Live-Duell bei jedem Alert.

Nicht OpenAI. Nicht Anthropic. Nicht DeepSeek. Sondern drei spezialisierte vLLM-Engines in unserer eigenen GPU-Cloud in Deutschland: KI-SPEZIAL SecOps, SIEM LLAMA und MiniMax – die sich gegenseitig prüfen und widersprechen dürfen. Der Analyst sieht jede Stimme, jeden Score, jede Quelle.

Engine-Arena · Session

Alle Engines aktiv

KI, die sich selbst widerspricht – und damit ehrlich ist.

Jeder Alert wird parallel durch alle vier Engines geschickt. Stimmen sie überein, greift die Automatik. Widersprechen sie sich, wird der Analyst eingeschaltet – mit allen Scores, Begründungen und Quellenzitaten aus Ihren Playbooks.

  1. 1
    Parallel-Bewertung Alert läuft simultan durch alle Engines. Jede liefert Score 0–100, Klassifikation nach MITRE ATT&CK und eine Begründung mit Quellen.
  2. 2
    Konsens oder Dissens Stimmen > 85 % überein: Automatik läuft. Abweichung > 15 %: Der Alert landet sofort beim menschlichen Analysten mit Kontext.
  3. 3
    RAG auf eigenen Playbooks Jede Empfehlung zitiert Ihre Runbooks, Security-Policies, Baselines. Kein Halluzinieren – nur prüfbare Herkunft.
  4. 4
    Rule-Quality + Blindspot Die Arena bewertet Ihre Detection-Regeln selbst mit. Welche feuert zu oft? Welche ATT&CK-Technik übersehen alle Engines?
Plattform-Tour

Was die Plattform kann – klickbar.

Acht Funktions-Bereiche, 14 Screenshots aus dem produktiven Betrieb. Alle Screenshots mit einem Klick in voller Auflösung.

Cockpit Live-View

Dashboard-Cockpit: die Lage in einer Screen

Alle Mandanten, DEFCON-Level, offene Alerts, Meldepflicht-Timer, Suspicion-Scores und Top-Actors – auf einer Ansicht. Analysten behalten ohne Kontextwechsel die Kontrolle.

Dashboard-Cockpit – Live-Lage aller Mandanten
  • DEFCON-Level je Mandant
  • Meldepflicht-Timer (24 h / NIS2)
  • Top-Actors mit Suspicion-Score
  • Engine-Arena Status-Widget
  • MTTD / MTTR Live-KPIs
  • Honey-Canary-Events Stream
Incident Fallakte

Fallakte: ein Vorfall, eine strukturierte Akte

Timeline, IoCs, betroffene Assets, Containment-Schritte, forensische Artefakte, Kommunikation – lückenlos dokumentiert. Direkt als SHA-512-signiertes PDF exportierbar.

Fallakte Ransomware-Vorfall
  • Vollständige Incident-Timeline
  • IoCs & MITRE ATT&CK-Mapping
  • Betroffene Assets verlinkt
  • Automatische Forensik-Sicherung
  • Direkt-Export als signiertes PDF
  • Post-Incident-Review-Template
KI-Engine Konsens / Dissens

Engine-Arena: vier Meinungen, eine Entscheidung

Jeder Alert durchläuft alle vier Engines parallel. Bei Konsens ist die Automatik schnell. Bei Dissens holt die Plattform den Analysten ins Boot – mit allen Scores, Begründungen und ATT&CK-Klassifikationen.

Engine-Arena im Konsens
Engine-Arena im Dissens – Analyst-Review triggert
  • Konsens-Schwelle konfigurierbar
  • Pro-Engine Score & Begründung
  • Audit-Log jeder Entscheidung
  • Dissens-Eskalation in < 500 ms
RAG Explainable AI

KI-Empfehlung mit Herkunftsnachweis

Jede KI-Empfehlung zitiert Quellen aus Ihren SOC-Playbooks, Runbooks und Security-Policies. Analyst sieht: welche Passage hat welchen Vorschlag ausgelöst. Kein Halluzinieren.

KI-Empfehlung mit Quellenangabe (RAG)
  • Zitierte Quellen aus Playbooks
  • Vertrauens-Score je Quelle
  • One-Click Playbook-Öffnung
  • Feedback-Loop zur Re-Indexierung
Containment Playbook-getrieben

Containment-Cockpit: Isolation auf Knopfdruck

Netzwerk-Isolation, Account-Disable, Session-Kill, VM-Snapshot – alles über dokumentierte Playbooks ausführbar. Kein Tool-Jonglieren, kein Skript-Chaos.

Containment-Cockpit mit Playbook-Aktionen
  • Host-Isolation über EDR/Firewall
  • Account-Disable in AD/Entra ID
  • Session-Kill & Token-Revoke
  • Rollback-Pfad je Aktion
  • Audit-Trail jeder Ausführung
  • 4-Augen-Prinzip optional
Meldepflicht NIS2 · BSI-Vorlage Gerichtsfest

Von Alert zu signiertem PDF an das BSI – in einem Flow

Meldepflichtige Alerts werden automatisch markiert. Entwurf wird vorausgefüllt, vom Analysten bestätigt, als SHA-512 + HMAC signiertes PDF gespeichert. Mit Verify-URL für spätere Nachprüfbarkeit.

Alerts mit Meldepflicht-Kennzeichnung
Alert-Detail mit Melde-Aktion
Meldungs-Entwurf nach BSI-Vorlage
Meldung signiert – gerichtsfest
  • 24 h-Frist-Timer pro Alert
  • Auto-vorausgefüllte BSI-Vorlage
  • SHA-512 + HMAC Signatur
  • Öffentliche Verify-URL
  • Audit-Seite im PDF
  • Archivierung revisionssicher
Asset-Inventar Rule-Quality

Assets und Engine-Vergleich: Transparenz über Ihre Angriffsfläche

Jedes überwachte System mit Schutzbedarf, Risiko-Score, Patch-Stand – und die Rule-Quality-Matrix zeigt, welche Engine welche ATT&CK-Technik wie zuverlässig erkennt.

Asset-Inventar mit Risiko-Scores
Engine-Vergleich mit Rule-Quality-Scoring
  • Schutzbedarf & Risiko je Asset
  • Patch-Stand auto-synchronisiert
  • Rule-Quality-Score je Regel
  • Blindspot-Matrix MITRE ATT&CK
MSP-ready Architektur

Mandantenfähig vom ersten Tag – bis zum Konzern

Sauberes Tenant-Modell, Background-Queue für schwere Jobs (Embeddings, Enrichment, Rendering). Vom MSP mit 20 Kunden bis zum Konzern – ohne Re-Platforming.

Mandanten-Administration für MSPs
Komplette SOC-Pipeline-Architektur
  • Tenant-Isolation auf DB-Ebene
  • RBAC mit Mandanten-Grenzen
  • Background-Queue für heavy Jobs
  • Horizontale Skalierung je Stage
DEFCON-Automatik

Fünf Eskalations-Stufen. Eine klare Regel: was passiert wann?

Aus Suspicion-Score, Engine-Arena-Konsens und Actor-Profil berechnet die Plattform automatisch das aktuelle DEFCON-Level je Mandant. Jedes Level hat ein definiertes Playbook – vom Normalbetrieb bis zum Tenant-weiten Containment.

Detection-Pipeline

Vom Log zur signierten Meldung – in fünf Stages.

Jeder Event durchläuft die gleiche transparente Pipeline. Keine versteckten Blackboxes. Jede Stage ist horizontal skalierbar, je Mandant isoliert, vollständig auditierbar.

STAGE 01

Ingest

syslog, JSON, Windows Event, Cloud-APIs, EDR-Telemetrie

ingest.normalize()
STAGE 02

Enrichment

GeoIP, Threat-Intel, Asset-Kontext, User-Behavior

enrich.actor()
STAGE 03

Detection

Sigma-Regeln, Anomalie-Detection, Honey-Canary-Trigger

detect.sigma()
STAGE 04

Arena

Vier vLLM-Engines, Konsens-Vote, RAG-Begründung

arena.evaluate()
STAGE 05

Respond

DEFCON-Shift, Playbook-Ausführung, signierte Meldung

respond.playbook()
Integrationen

Offen, standardbasiert, ohne Lock-in.

Die Plattform spricht die Sprache Ihrer Bestandssysteme. SIEM, EDR, Cloud, Netzwerk, E-Mail, Identity – über 60 native Connectors, plus beliebige Syslog/JSON-Quellen.

Wz
Wazuh
SIEM
El
Elastic
SIEM
Sp
Splunk
SIEM
QR
QRadar
SIEM
Gr
Graylog
SIEM
Sy
Syslog
Logs
CS
CrowdStrike
EDR
SO
SentinelOne
XDR
MD
Defender ATP
EDR
SE
Sophos Intercept
EDR
WD
Wazuh EDR
EDR
M3
Microsoft 365
Cloud
Az
Azure
Cloud
AW
AWS CloudTrail
Cloud
GC
Google Cloud
Cloud
Ft
Fortinet
Firewall
PA
Palo Alto
Firewall
Ci
Cisco ASA/FTD
Firewall
OP
OPNsense
Firewall
pf
pfSense
Firewall
AD
Active Directory
Identity
En
Entra ID
Identity
Ok
Okta
Identity
Kc
Keycloak
Identity
Px
Proxmox
Virtualisierung
K8
Kubernetes
Container
Dk
Docker
Container
Vm
VMware ESXi
Virtualisierung
Branchen-Use-Cases

Passgenau für regulierte Industrien

Banken, Versicherungen, Stadtwerke, Energieversorger – jede Branche hat eigene Bedrohungslage und eigenes Regulierungsgeflecht. Die Plattform ist für KRITIS, NIS2, DORA, BAIT/VAIT und den IT-Sicherheitskatalog der BNetzA ausgelegt.

Banken & Finanzdienstleister: DORA, BAIT, MaRisk – auf einer Plattform

Ab dem 17. Januar 2025 ist DORA (Digital Operational Resilience Act) verbindlich. Meldepflichten für schwerwiegende IKT-Vorfälle binnen 4 Stunden, penible Dokumentation jeder SOC-Entscheidung, IT-Drittparteirisiken. Unsere Plattform liefert diese Nachweise ab Tag 1 – signiert, mandantenfähig, auditierbar.

DORA BAIT MaRisk AT 7.2 KWG KRITIS Finanz SWIFT CSP PSD2 ZAG TIBER-DE MaComp PCI DSS GwG / AML EBA Guidelines BaFin-Aufsicht
DORA-Meldefrist
4 Stunden
Typ. Log-Volumen
200+ GB/Tag
Retention-Pflicht
10 Jahre
MTTD-Ziel
< 5 Min

Typische Bedrohungen

  • SWIFT-Angriffe & FraudCarbanak-artige Manipulationen von Zahlungsnachrichten, MT-Message-Anomalien.
  • APT-Gruppen (Lazarus, FIN7)Nation-State-Akteure auf Trading-Systemen und Custody-Plattformen.
  • Ransomware auf Kernbanken-SystemenREvil, LockBit mit Double-Extortion – Hebel für Erpressung.
  • Insider-FraudPrivilegierte Händler-Konten, Treasury-Zugriffe außerhalb üblicher Zeiten.

Wie die Plattform das löst

  • Engine-Arena auf Transaktions-Anomalienvier KI-Engines analysieren MT-Messages, Trade-Flows, Payment-Batches parallel.
  • Honey-Canary auf Treasury-AccountsScheinbar privilegierte Accounts als Köder – jeder Zugriff ist Insider- oder APT-Indiz.
  • DORA-4h-Meldepflicht-TimerAutomatische BaFin-Meldekette mit vorausgefülltem Formular und Audit-Trail.
  • 10-Jahre-Retention revisionssicherSHA-512-signierte Archive, WORM-Storage-kompatibel.
Praxis-Szenario
Unauthorisierte SWIFT-MT103 an unbekannten Empfänger um 03:17 Uhr

Die Engine-Arena erkennt eine MT103-Nachricht mit ungewöhnlichem Korrespondenzbank-Pfad. KI-SPEZIAL SecOps: 96, SIEM LLAMA: 94, MiniMax: 91 – Konsens 93,7 %. Die Plattform kickt automatisch das Playbook contain_swift_fraud: MT-Gateway pausiert, Treasury-CISO wird geweckt, DORA-Entwurf an BaFin vorausgefüllt, SHA-512-PDF nach 4h erstellt. Dauer bis zur Meldung: 2h 12m.

Versicherungen: VAIT, DORA, DSGVO – und sensible Gesundheitsdaten

Lebensversicherer und Krankenversicherer verarbeiten besonders schützenswerte Daten nach Art. 9 DSGVO. Die BaFin-VAIT fordert dokumentierte Überwachungs- und Reaktionsprozesse. Ab 2025 kommt DORA dazu. Die Plattform deckt DSGVO-Meldepflicht (72h), VAIT-Monitoring und DORA-Meldekette in einem Workflow ab.

VAIT VAG §23–26 Solvency II MaGo ORSA DORA DSGVO Art. 9 IDD VVG BSI-Grundschutz ISO 27001 BaFin-Aufsicht
DSGVO-Meldefrist
72 Stunden
Schutzklasse
Art. 9 DSGVO
Typ. Tenants
3–20 Tochtergesellschaften
MTTR-Ziel
< 30 Min

Typische Bedrohungen

  • Ransomware auf BestandssystemenBusiness Disruption durch Verschlüsselung von Policen- und Schadensdatenbanken.
  • Gesundheitsdaten-DiebstahlExfiltration von Art.-9-Daten – hoher Erpressungs- und Meldefristen-Druck.
  • Claims-ManipulationInsider mit Agenten-Zugriffen erstellen fingierte Schäden, manipulieren Auszahlungen.
  • Makler-Phishing & Credential-StuffingExterne Makler-Portale als leichtes Einfallstor in den Konzern.

Wie die Plattform das löst

  • Mandantenfähigkeit für Tochter-KonzerneSaubere Trennung je Versicherungssparte – Life, Kranken, Sach auf einer Plattform.
  • Claims-Anomalie-DetectionEngine-Arena erkennt ungewöhnliche Schadens-Muster, ausufernde Auszahlungen.
  • DSGVO-72h-Meldung gerichtsfestAutomatischer Entwurf für Landesdatenschutzbehörden inkl. Art.-33-Angaben.
  • Honey-Canary in Policy-DBsScheinbare VIP-Kundenrecords als Köder – verdeckt Lateral-Movement-Versuche.
Praxis-Szenario
Massen-Query auf Krankenversicherungs-DB aus einem Makler-Account

Ein Makler-Account löst plötzlich Full-Table-Scans auf der Krankenakten-DB aus. Der Honey-Canary-Record vip_patient_archive wird gelesen – automatisch DEFCON 2. Die Plattform isoliert den Account, fordert 4-Augen-Freigabe für weitere Schritte, startet den DSGVO-72h-Entwurf. Tenant der Krankenversicherung ist containt, andere Sparten (Life, Sach) bleiben unberührt – kein Übergreifen des Incidents auf den Konzern.

Stadtwerke: IT und OT gemeinsam überwachen – KRITIS-konform

Strom, Wasser, Gas, Fernwärme – Stadtwerke sind KRITIS-Betreiber mit besonderen Pflichten aus EnWG §11 Abs. 1a und dem IT-Sicherheitskatalog der BNetzA. Die Plattform korreliert IT- und OT-Telemetrie, ohne in die Leittechnik einzugreifen. Read-only, segmentiert, NIS2-ready.

KRITIS-DachG §8a BSIG EnWG §11 Abs. 1a EnWG §11 Abs. 1b ISO 27019 ISO 27001 IT-Sicherheitskatalog BNetzA NIS2 / NIS2UmsuCG B3S Wasser MsbG TSM BSI-Grundschutz
BSI-Meldefrist
unverzüglich + 24h Folgebericht
Netze
IT + OT separiert
Log-Quellen
SCADA, HMI, RTU read-only
Audit-Zyklus
2 Jahre (§8a BSIG)

Typische Bedrohungen

  • OT-Angriffe via IT-BrückenkopfStuxnet-Pattern: IT-Kompromittierung als Sprungbrett in die Leittechnik.
  • Ransomware auf Kunden-/Billing-SystemenAbrechnung, Kundenportal, SAP IS-U – hoher wirtschaftlicher Schaden.
  • Supply-Chain über SCADA-Herstellerkompromittierte Firmware-Updates für RTUs und Feldgeräte.
  • Fernwartungs-VPN als EinfallstorHerstellerzugänge mit schwachen Credentials, ungepatchte Jumphosts.

Wie die Plattform das löst

  • Read-only OT-Telemetriepassive Tap-Anbindung an SCADA/HMI – Leittechnik bleibt unberührt.
  • IT/OT-Korrelation via Engine-Arenaerkennt Brückenkopf-Pattern zwischen Büro-IT und Feldleittechnik.
  • BNetzA-/BSI-KRITIS-MeldepflichtZwei-Phasen-Meldung (unverzüglich + 24h) automatisiert, signiert.
  • Containment ohne Leittechnik-AusfallPlaybooks greifen nur in die IT – OT-Betrieb bleibt redundant.
Praxis-Szenario
Unbekannte DNP3-Query an Umspannwerk-HMI aus Engineering-Netz

Ein Engineering-Laptop öffnet plötzlich eine Session zur HMI im Umspannwerk außerhalb der Wartungsfenster. Die Arena erkennt das abweichende DNP3-Muster. Containment läuft ausschließlich IT-seitig: Engineering-Netz-Segment wird isoliert, der HMI-Zugriff wird über die Firewall blockiert. Das Umspannwerk bleibt voll betriebsfähig, keine Netz-Versorgung unterbrochen. Gleichzeitig startet der BNetzA-Meldeprozess unverzüglich plus 24h-Folgebericht.

Energieversorger: Nation-State-Bedrohungen ernst genommen

Übertragungsnetzbetreiber, Verteilnetzbetreiber und große Kraftwerksbetreiber sind Ziel von Sandworm, BlackEnergy und APT-Gruppen. Der IT-Sicherheitskatalog der BNetzA und der branchenspezifische Sicherheitsstandard B3S Strom fordern ein dediziertes SIEM mit 24/7-Auswertung. Wir liefern es – on-prem, deutsch, auditierbar.

KRITIS Strom / Gas §8a BSIG EnWG §11 IT-Sicherheitskatalog BNetzA ISO 27019 ISO 27001 NIS2 / NIS2UmsuCG B3S Strom SMGW-BSI (TR-03109) IEC 62443 IEC 61850 MsbG REMIT / ACER TSM
Bedrohungsniveau
Nation State
Typ. Infrastruktur
SCADA + SMGW + Billing
MTTD-Ziel
< 3 Min
Schutzziel
Versorgung kontinuierlich

Typische Bedrohungen

  • Sandworm & BlackEnergyAPT-Gruppen mit nachweislichen Stromabschaltungen in der Ukraine als Blaupause.
  • Ransomware auf Marktprozess-ITMaBiS, REMIT-Schnittstellen, Bilanzkreismanagement – Geschäftsstillstand.
  • Supply-Chain auf Smart-Meter-GatewaysBSI-zertifizierte SMGW als hochwertiges Ziel – massenhafte Kompromittierung.
  • Wartungszugriffe von AnlagenherstellernFernwartung von Turbinen-, Trafo-, Wind-Herstellern als Einfallstor.

Wie die Plattform das löst

  • IoC-Feeds mit Nation-State-FokusSandworm-, BlackEnergy-, Volt-Typhoon-Signaturen permanent abgeglichen.
  • SMGW-Telemetrie-IntegrationSmart-Meter-Gateway-Flotten im Blick – Massen-Anomalien werden erkannt.
  • DEFCON-Automatik mit VersorgungsprioPlaybooks priorisieren Netzstabilität vor Containment – nie Blackout-Risiko erzeugen.
  • BSI-KRITIS-Meldekette 24/7Unverzüglich + 24h-Folgebericht – vorausgefüllt, signiert, per Kurier einreichbar.
Praxis-Szenario
Volt-Typhoon-IoC schlägt auf Jumphost zur Leittechnik an

Ein bekannter Volt-Typhoon-C2-Host wird von einem Jumphost der Leittechnik kontaktiert. Engine-Arena-Konsens: 98 % – DEFCON 1. Containment läuft IT-seitig: Jumphost isoliert, alle Fernwartungs-Sessions terminiert. Die Leittechnik bleibt über redundante Pfade erreichbar, die Netzstabilität ist ungefährdet. BSI-KRITIS-Meldung binnen 47 Minuten, BNetzA-Folgebericht nach 18h – alle Artefakte SHA-512-signiert im Audit-Archiv.

Security · Datenhoheit · Compliance

Eine Security-Plattform muss selbst maximal sicher sein.

Null Telemetrie nach Hause, Null Cloud-KI, Null Tracker. Signierte Builds, Hardening nach CIS Benchmark, Zero-Trust-Architektur intern. Auditierbar bis auf die Bit-Ebene.

100 % Datenhoheit

Alle Logs, Embeddings, KI-Inferenz und Reports bleiben auf HostSpezial-Infrastruktur in Deutschland. Keine Third-Party-Tracker, keine Cloud-KI.

DSGVOKRITIS

Zero-Trust intern

mTLS zwischen allen Services, Workload-Identity, kurzlebige Tokens. Kein Service vertraut einem anderen blind – auch intern nicht.

mTLSSPIFFE

Signierte Builds

Container-Images signiert mit cosign, Supply-Chain über SBOM nachvollziehbar. Reproduzierbare Builds, keine Runtime-Überraschungen.

SBOMcosign

Gerichtsfeste Exporte

Jedes PDF mit SHA-512-Hash, HMAC-Signatur, Zeitstempel und öffentlich prüfbarer Verify-URL. Rechtssicher für Versicherung und Behörden.

SHA-512HMAC

Tenant-Isolation

Datenbank-, Netzwerk- und KI-Inferenz je Mandant isoliert. Analyst eines Tenants sieht niemals Daten eines anderen – auch nicht versehentlich.

RBACMulti-Tenant

Härtung nach CIS

Alle Container gehärtet nach CIS Docker Benchmark, Hosts nach CIS Linux. Regelmäßige Pentests, öffentliches Security-Policy, Bug-Bounty.

CISPentest
Live-Demo & Angebot

30-Minuten-Live-Demo mit echten Daten.

Kein Sales-Pitch, kein PowerPoint. Unsere Analysten zeigen die Plattform live — Engine-Arena, DEFCON-Automatik, Honey-Canary, signierter NIS2-PDF-Export. Danach unverbindliches Angebot basierend auf Ihrem Schutzbedarf.

  • Live-Demo an echtem Mandanten-Datensatz
  • Branchen-spezifisches Playbook-Beispiel
  • Kompatibilitäts-Check Ihrer Log-Quellen
  • Unverbindliches Angebot nach Demo
DSGVO-konform Keine Verpflichtungen Antwort < 24h
SOC-Plattform Live-Demo anfragen
Alle Felder mit * sind Pflicht. Wir melden uns innerhalb von 24 Stunden.

Mit dem Absenden akzeptieren Sie unsere Datenschutzerklärung. Ihre Daten werden ausschließlich zur Kontaktaufnahme verwendet, nicht an Dritte weitergegeben und nach Abschluss der Anfrage gelöscht, sofern kein Vertrag zustande kommt.

Danke — Anfrage ist raus.

Wir melden uns innerhalb von 24 Stunden (Mo–Fr) mit Terminvorschlägen für die Live-Demo.

Häufige Fragen

FAQ zur Plattform

Technisch tief, rechtlich sauber. Weitere Fragen? Sprechen Sie direkt mit unseren Analysten.

Drei spezialisierte vLLM-Engines bewerten parallel jeden Alert: KI-SPEZIAL SecOps als Security-Spezialmodell, SIEM LLAMA für Kontext- und Log-Analyse, MiniMax als unabhängige Audit-Engine. Einigen sie sich > 85 %, greift Automatik. Bei Dissens eskaliert die Plattform an den Analysten. Jede Entscheidung wird mit allen Engine-Votes geloggt.

Ja. Alle drei Engines (KI-SPEZIAL SecOps, SIEM LLAMA, MiniMax) laufen auf HostSpezial-GPU-Hardware in deutschen Rechenzentren. Keine Daten gehen an OpenAI, Anthropic, DeepSeek, Google oder andere externe Cloud-Anbieter. Die Inferenz findet im Kunden-Tenant statt. Grundvoraussetzung für KRITIS und NIS2.

Fünf Eskalations-Stufen, aus Suspicion-Score, Engine-Arena-Votes und Actor-Profil berechnet. Jede Stufe löst definierte Playbooks aus – von erhöhter Log-Retention über Teil-Containment bis Tenant-weitem Lockdown.

Honey-Canaries sind scheinbar reguläre, aber ungenutzte Ressourcen: Konten, Shares, API-Endpoints, DB-Rows. Jeder Zugriff ist per Definition verdächtig – Insider oder laterale Bewegung. Die Plattform deployt sie automatisch, korreliert Zugriffe mit Suspicion-Score und erkennt Angreifer, bevor klassische SIEMs loggen.

Jeder Export wird SHA-512-gehasht, HMAC-signiert und mit sichtbarer Audit-Seite sowie Verify-URL versehen. Dritte (Versicherung, Gericht, BSI) können die Integrität öffentlich prüfen. Damit beweiswertig, nicht nur dokumentarisch.

Ab Tag eins. Tenant-Isolation auf DB-, Netzwerk- und Inferenz-Ebene. RBAC mit Mandanten-Grenzen. Background-Queue trennt schwere Jobs sauber. MSPs skalieren von 20 Kunden bis zum Konzern ohne Re-Platforming.

Nativ: Wazuh, Elastic, Splunk, QRadar, Graylog, CrowdStrike, SentinelOne, Defender, Sophos, Fortinet, Palo Alto, Cisco, OPNsense, Microsoft 365, Azure, AWS, GCP, AD/Entra, Okta, Proxmox, K8s, ESXi. Plus generisch: Syslog, JSON, Webhook. Keine Lock-ins.

Primär als Managed Service – inkl. 24/7-Analysten. On-Premises-Deployment für Konzerne und Forschung möglich, inkl. Schulung, Playbook-Transfer und Updates. Sprechen Sie uns an.

Ja. Die 4-Stunden-Meldepflicht nach DORA ist als automatisierter Workflow hinterlegt: Alert erkannt, Schwere eingeschätzt, BaFin-Entwurf vorausgefüllt, SHA-512-PDF signiert und innerhalb der Frist eingereicht. Darüber hinaus sind BAIT-, MaRisk-AT-7.2- und SWIFT-CSP-Anforderungen abgebildet – inklusive 10-Jahre-Retention revisionssicher.

Ja. Die Plattform erfüllt §8a BSIG, den IT-Sicherheitskatalog der BNetzA, ISO 27019 und den B3S Strom. OT-Telemetrie wird read-only über passive Taps angebunden – die Leittechnik selbst bleibt unberührt. Containment-Playbooks priorisieren Versorgungssicherheit vor IT-Containment. Die zweistufige BSI-Meldekette (unverzüglich plus 24h-Folgebericht) ist automatisiert.

Die Mandantenfähigkeit ab Tag 1 trennt Tochtergesellschaften sauber – Life, Kranken, Sach sowie ausländische Töchter laufen isoliert nebeneinander. Jeder Tenant hat eigene Regeln, Playbooks und DEFCON-Level. DSGVO-Meldungen (72h) werden pro Tenant erstellt. Analysten sehen nie Daten aus einem anderen Tenant – auch nicht versehentlich.

Sehen Sie die Plattform live.

30-minütige Live-Demo mit echten Daten – Engine-Arena, DEFCON-Automatik, gerichtsfester PDF-Export. Anschließend unverbindliches Angebot.

Demo-Termin anfragen Managed SOC Service Lösungs-Kompendium