Zum Inhalt springen
tech reform

Stack betreiben

Managed Compliance

Wir betreiben die Plattformen, die euren Audit-Trail halten — ISMS, E-Signature, souveräne Cloud — und die einzelnen Systeme, auf die euer Team im Tagesbetrieb angewiesen ist. Service-Desk inklusive. Live Compliance durch ProcesOS.

ISMS & Compliance-Tooling

Day-2-Operations für die Plattformen, die euren Audit-Trail halten — Hyperproof, Vanta, Drata oder ein Custom-ISMS. Wir mappen Controls, sammeln Evidence, bereiten Reviews vor.

  • Control-Mapping (ISO 27001, SOC 2, BSI Grundschutz, TISAX, NIS2)
  • Evidence-Collection-Workflows mit Reviewer-Zuweisung
  • Audit-Vorbereitung und Auditor-Liaison
  • Risiko-Register-Lifecycle und Quartalsreporting

E-Signature & Dokumenten-Workflows

Wir betreiben euren Docusign-Tenant — und das Ökosystem drumherum. Templates, die Legal-Reviews überstehen, Konnektoren, die unter Last halten, und Lifecycle-Governance, die altert.

  • Tenant-Administration und User-Lifecycle
  • Template- und Workflow-Engineering, Multi-Party-Signing
  • API/Konnektor-Integrationen (Salesforce, M365, Custom)
  • Quartals-Compliance-Audits und Retention-Policy-Enforcement

Souveräner Cloud-Betrieb

Managed Operations für souveräne Clouds (Open Telekom, STACKIT, Plus Server) und Standard-Hyperscaler unter Datenresidenz-Constraints. Infrastructure-as-Code durchgehend.

  • Landing-Zone-Design mit Souveränitäts-Constraints
  • IaC mit Terraform/Bicep, GitOps-Pipelines
  • Patch-, Backup- und Disaster-Recovery-Management
  • Cost-Monitoring und FinOps-Reporting

Integration & Service-Desk

Wir übernehmen auch einzelne Systeme End-to-End — Integration, Service-Desk, Second-Level-Support. Von Microsoft 365 über Salesforce bis zu dem einen Legacy-Tool, das sonst keiner versteht.

  • System-Integration-Design und -Betrieb (APIs, iPaaS, Custom-Middleware)
  • Service-Desk mit benannten Ownern und EU-Zeitzonen-Coverage
  • Second- und Third-Level-Support mit Vendor-Eskalation
  • Single Point of Contact über heterogene Tool-Landschaften

Prozessbasierte Compliance

Ein Prozess. Hunderte Perspektiven.

Klassische GRC-Tools sitzen neben der Arbeit und fragen Evidence im Nachhinein an. Prozessbasierte Compliance dreht es um: Jedes Compliance-Framework wird zu einer Scoring-Perspektive auf dasselbe Prozessmodell. DSGVO, ISO 27001, NIS2 — das sind keine separaten Systeme. Das sind Linsen auf das BPMN-Diagramm, das ihr eh schon habt. Perspektive wechseln, Score sehen, auf das Ziel optimieren.

Live Compliance

Compliance, die im Prozess wohnt — nicht daneben

DSGVO, NIS2, DORA und ISO 27001 sind kein zweites System. Sie sind eine Sicht auf das Prozessmodell, das ihr eh schon habt. Jede Validierung berechnet den Score neu. Jede Änderung ist sichtbar.

Ein Prozess, viele Perspektiven

Auditor, Owner, Mitwirkender — dasselbe Diagramm, andere Sicht

Lane-basierte Rollen-Governance: Verantwortliche entscheiden, Mitwirkende schlagen vor, Beobachter sehen zu. Der Auditor sieht dasselbe BPMN wie das Team, das den Prozess fährt. Kein Reconcile mehr zwischen BPM- und ISMS-Tool.

Einmal modellieren. Für immer verbessern.

Ein BPMN feedet Compliance, Audit, Training, Automatisierung

Jede validierte Ist-Version ist eingefroren. Jeder Soll-Fork wird mit Kosten- und Compliance-Delta simuliert, bevor er live geht. Stakeholder stimmen ab. Der Decision-Trail ist immutable. Audit-ready by default.

Das CPG-Framework dahinter

Compliance-Perspektiven

Auf beliebige Ziele optimieren

Jeder Prozess in ProcesOS kann gegen jedes Compliance- oder Policy-Framework gescored werden. Der Score ist keine Selbsteinschätzung — er wird aus Prozessdaten berechnet: Task-Annotationen, Lane-Zuweisungen, IT-Abhängigkeiten, Stakeholder-Abdeckung. Perspektive wechseln, Status sehen, Änderungen simulieren, die die Lücke schließen.

DSGVO / GDPR

Datenverarbeitungsflüsse, Verantwortlichen-/Auftragsverarbeiter-Mapping, Consent-Management, Aufbewahrungsfristen — gescored pro Prozesspfad.

ISO 27001

Control-Mapping auf Prozess-Tasks, Risikobehandlung pro Lane, Asset-Klassifikation via CMDB-Integration, automatische Evidence-Collection.

NIS2

Kritische Infrastruktur-Abhängigkeiten, Incident-Response-Readiness, Supply-Chain-Governance über Pools hinweg.

DORA

IKT-Risikomanagement, Drittanbieter-Abhängigkeiten, operationelle Resilienz-Tests gemappt auf Prozess-Simulationen.

BSI Grundschutz

Bausteine gemappt auf Tasks, Schutzbedarfsfeststellung pro Lane, Kreuzreferenz mit IT-Systemkatalog.

ESG / SDG

Ökologischer Fußabdruck pro System, soziale Inklusion durch Stakeholder-Beteiligung, Governance-Vollständigkeits-Scores.

Neue Frameworks werden als Scoring-Templates hinzugefügt — nicht als neue Tools. Das Prozessmodell bleibt gleich. Nur die Linse ändert sich.

End-to-end. Datengetrieben. Erstmalig.

ISMS + Governance + Audit + Iteration — in einem Modell

Traditionelle Ansätze behandeln diese als separate Disziplinen mit separaten Tools, separaten Teams und separaten Zeitplänen. Prozessbasierte Compliance vereint sie: Das BPMN-Modell ist gleichzeitig die ISMS-Dokumentation, die Governance-Struktur, die Audit-Basis und der Iterationstreiber.

Das ist keine Integration zwischen Tools. Das ist ein Modell, das alle vier Funktionen bedient — weil alle vier Perspektiven auf dieselbe Realität sind: wie Arbeit tatsächlich passiert, wer verantwortlich ist, und was es kostet.

ISMS

Das Informationssicherheits-Managementsystem ist kein separates Tool — es ist die Sicherheitsperspektive auf dasselbe Prozessmodell. Controls mappen auf Tasks. Risiken mappen auf Lanes. Evidence entsteht durch normalen Governance-Betrieb.

Governance

Stakeholder-Rollen, Abstimmungsprotokolle und Entscheidungs-Trails sind kein Governance-Theater — sie sind der Mechanismus, der Compliance verifizierbar macht. Jede Policy-Entscheidung hat einen Namen, eine Stimme und einen quantifizierten Impact.

Audit-Basis

Der Audit-Trail wird nicht vor dem Audit zusammengestellt. Er existiert kontinuierlich: unveränderliche Entscheidungsprotokolle, eingefrorene Prozessversionen, zeitgestempelte Stakeholder-Validierungen. Audits werden zur Abfrage, nicht zum Projekt.

Iterationstreiber

Compliance ist keine Checkbox — es ist ein Optimierungsziel. Jede Soll-Simulation zeigt das Compliance-Delta neben Kosten und Zeit. Man kann sich buchstäblich zur Zertifizierungsreife simulieren.

Was das unterscheidet:

Jeder Compliance-Score, jedes Audit-Artefakt, jede Governance-Entscheidung wird aus Prozessdaten berechnet — nicht aus manuell gepflegter Dokumentation. Wenn sich der Prozess ändert, aktualisiert sich die Compliance-Position. Wenn sich das Compliance-Ziel ändert, läuft die Gap-Analyse gegen echte Daten. Das ist das erste Mal, dass Compliance komplett datengetrieben und end-to-end gedacht ist.

So arbeiten wir

Onboarding: Discovery-Workshop. Ist-Zustand, Ownership, Eskalationswege und SLA-Definition pro Track — dokumentiert, unterschrieben, in eurer Hand. Der Prozess wird in BPMN modelliert. Die Compliance-Sicht folgt automatisch.

Run-Phase: Tickets, Incidents und Service-Requests laufen über unser Service-Desk. Reporting über ProcesOS. Ihr seht jederzeit, was wir tun — und wie es eure Compliance-Position beeinflusst.

Weiterentwicklung: Jede Änderung wird als SHOULD-BE-Fork mit simulierten Cost-, Risk- und Compliance-Deltas vorgeschlagen. Quartalsweise Service-Reviews mit Backlog-Priorisierung. Wir bringen Vorschläge — ihr stimmt ab, was live geht.

Gespräch über ein Managed-Engagement

Erzählt uns, welche Plattformen ihr betreibt — wir melden uns mit einem Vorschlag für einen Discovery-Call.

Discovery Call buchen Sprecht uns an

Auf dem Laufenden bleiben

Governance-Innovation, Produkt-Updates und kuratierte Lektüre — kein Spam, nur Substanz. Wähle die Themen, die dich interessieren.

Themen

Abonniere tech reform oder ProcesOS und erhalte unser Innovation & Excellence Feature als kostenlosen Download.