Security Sparring Partner

Praxisnahe Security-Expertise, die mit Ihrem Team arbeitet

Dauer
Abonnement
Art
Support
Wo
Remote
Sprache
Deutsch oder Englisch

Ihr externer Security-Experte auf Abruf

Die meisten Security-Engagements sind projektbasiert: Sie buchen einen Pentest, ein Training oder Consulting-Tage, wenn ein konkreter Bedarf entsteht. Das funktioniert gut für definierte Aufgaben. Aber es hinterlässt eine Lücke — den fortlaufenden Strom an Architekturentscheidungen, Designfragen und Security-Trade-offs, mit denen Ihre Teams zwischen diesen Engagements konfrontiert sind.

Der Security Sparring Partner füllt diese Lücke. Es ist ein monatlicher Retainer, der Ihren Teams kontinuierlichen Zugang zu einem erfahrenen Security-Experten gibt. Ich bin die Person, an der sie Ideen testen, bevor sie sich auf einen Ansatz festlegen — nicht erst, nachdem ein Problem bereits ausgeliefert wurde.

Ich ersetze nicht Ihre interne Security-Funktion — ich arbeite neben ihr. Stellen Sie es sich so vor: jemanden auf Kurzwahl zu haben, der genug Architekturen und Angriffsflächen gesehen hat, um die Dinge zu erkennen, die Ihr Team möglicherweise übersieht.

Warum ein Retainer statt stundenweiser Buchung?

Bei stundenweiser Buchung rufen Ihre Teams an, wenn sie ein konkretes Problem haben. Das ist reaktiv, und es gibt mehr Reibung, als man denkt. Ich habe es immer wieder gesehen: Leute zögern, „eine Stunde zu verbrennen" für eine kurze Frage zu einem Architekturansatz oder einer Dependency-Entscheidung. Also fragen sie nicht, und die Frage bleibt unbeantwortet.

Ein Retainer dreht diese Dynamik um. Ihre Teams wissen, dass die Zeit bereits reserviert ist, also nutzen sie sie auch tatsächlich. Sie fragen zur Architekturentscheidung, bevor sie final ist. Sie binden mich beim neuen Feature ein, bevor es ausgeliefert wird. Die kleinen Fragen, die später teure Probleme verhindern, werden tatsächlich gestellt.

In der Praxis engagieren sich Retainer-Kunden zwei- bis dreimal häufiger als Stundenkunden, und die Gespräche verlagern sich vom Firefighting zur Prävention.

Drei Stufen

Dieses Engagement gibt es in drei Abstufungen von Tiefe und Zeitaufwand:

  • Geplanter monatlicher Review-Call, in dem wir durchgehen, was auf Ihrem Tisch liegt, was ansteht und was Ihr Team sicherheitstechnisch beschäftigt
  • Verbleibende Stunden für Ad-hoc-Fragen Ihres Teams per E-Mail oder Chat. Kein Call nötig, nur um zu fragen „Ist diese Session-Konfiguration sicher?" oder „Sollten wir uns um diese Dependency Sorgen machen?"
  • Proaktives Security Monitoring für Ihren Tech Stack: Ich behalte das Security-Ökosystem rund um die Technologien im Auge, die Ihr Team tatsächlich einsetzt, und melde mich, wenn etwas Aufmerksamkeit braucht — sei es eine kritische Schwachstelle, eine aufkommende Supply-Chain-Angriffskampagne oder ein neu entdecktes Angriffsmuster, das speziell Ihre eingesetzten Komponenten betrifft.
  • Bevorzugte Terminierung und Rabatte, wenn Sie Projektarbeit (Pentests, Trainings, Workshops) separat buchen
  • Alles aus Sparring, plus:
  • Zweiwöchentliche (statt monatliche) Review-Calls, damit weniger Zeit bleibt, in der sich größere Architekturentscheidungen aufstauen und Entscheidungen abdriften
  • Findings Triage: Wenn Ihre Scanner oder Tools Ergebnisse ausspucken, schicken Sie sie rüber. Ich sortiere Rauschen von echten Problemen und sage Ihnen, was zuerst behoben werden muss — alles innerhalb der Retainer-Stunden
  • AI Coding Security Guidance: Ihre Teams setzen AI Coding Assistants und Agentic Workflows ein, und die Sicherheitsimplikationen ändern sich rasant. Ich bin die Person, die sie fragen, wenn sie unsicher sind, ob der Vorschlag eines Agenten tatsächlich sicher ist, ob ein AI-generiertes Architekturmuster sinnvoll ist oder welche neuen Risiken diese Tools mit sich bringen
  • Vierteljährliches Architektur- oder Security-Posture-Deep-Dive: Wir analysieren im Detail, was sich seit dem letzten Quartal in Ihrer Architektur verändert hat — etwa neue Komponenten, Schnittstellen oder relevante Anpassungen. Wenn ein Threat Model vorhanden ist, überprüfen wir gemeinsam, ob alle definierten Controls noch mit der aktuellen Realität übereinstimmen. Sollte noch kein Modell existieren, nutzen wir diese Gelegenheit, um mit dem Aufbau zu starten.
  • Optional: DNS- und Domain-Monitoring: Ich prüfe periodisch auf neu registrierte Lookalike-Domains, die auf Ihre Marke abzielen, und behalte Ihre DNS-Subdomains im Blick. Vergessene Staging-Subdomains, Dangling CNAMEs, die reif für Übernahme sind, jemand der ihr-unternehmen-login.com registriert — solche Dinge werden leicht übersehen, bis sie in einem Incident-Report auftauchen.
  • Alles aus Advisory, plus:
  • Wöchentliche (statt zweiwöchentliche) Review-Calls. In dieser Kadenz kenne ich die Arbeit Ihres Teams gut genug, um Probleme früh zu erkennen, nicht nur darauf zu reagieren
  • Ich nehme an Design Reviews für sicherheitskritische Features teil. Ihr Team lädt mich zu bestimmten Meetings ein, wenn es etwas Sensibles baut, und ich habe bereits genug Kontext, um nützlich zu sein, ohne lange Briefings vorher
  • Laufende Threat-Model-Pflege: Wenn Sie ein Attack Tree- oder Threagile-Modell haben, halte ich es aktuell, wenn sich Ihre Architektur weiterentwickelt. Neue Komponenten bekommen neue Angriffspfade, ausgemusterte Teile werden bereinigt, Control Mappings bleiben ehrlich. Das Modell bleibt ein lebendes Artefakt, kein PDF, das Staub ansetzt.
  • Vierteljährliches Control Review: Ich gehe alle gemappten Security Controls durch und prüfe, ob sie tatsächlich noch das tun, was wir denken. Ergebnisse fließen direkt in die Verbesserungs-Roadmap unten ein.
  • Strukturierte Security-Verbesserungs-Roadmap: Ich pflege eine priorisierte Liste empfohlener Verbesserungen basierend auf allem, woran wir gemeinsam arbeiten, und wir prüfen den Fortschritt jedes Quartal
  • Optional: Externes Attack-Surface-Monitoring: Wenn Sie mir Ihre Netzwerkbereiche nennen, scanne ich periodisch nach von außen erreichbaren Diensten und melde alles Unerwartete. Neuer Port nach einem Deployment offen? Vergessene Testinstanz läuft noch? Sie erfahren es von mir, bevor jemand weniger freundliches es findet.
  • Hands-on-Unterstützung bei Security Incidents. Wenn etwas schiefgeht, stehe ich im Rahmen des Retainers zur Verfügung, um herauszufinden, was passiert ist, was noch gefährdet ist und was als Nächstes zu tun ist.

Wie es in der Praxis funktioniert

  1. Wir starten mit einem Scoping-Call, um Ihre Teamstruktur, Ihren Tech Stack und die Bereiche zu verstehen, in denen externer Security-Input am meisten helfen würde.
  2. Sie wählen eine Stufe basierend darauf, wie tief Sie den Retainer in Ihren Workflow integrieren möchten. Mindestlaufzeit sind üblicherweise 6 Monate.
  3. Wir richten eine Kadenz ein (je nach Stufe): wöchentliche, zweiwöchentliche oder monatliche Calls, vierteljährliche Deep Reviews und Kommunikationskanäle für Ad-hoc-Fragen.
  4. Ihre Teams beginnen mit der Nutzung: Architekturfragen, Design Reviews, Scan-Ergebnis-Triage, schnelle Checks zu Security-Trade-offs — was auch immer anfällt.
  5. Monatliche Stunden gelten nach dem Prinzip „use it or lose it": kein Rollover, damit Ihr Team motiviert ist, sich tatsächlich einzubringen, statt ungenutzte Stunden anzusammeln.

Schwerpunkte wählen

Beim Scoping-Call definieren wir ein oder zwei Schwerpunkte, die bestimmen, womit wir die meiste Zeit verbringen. Das hält den Retainer fokussiert, statt sich dünn über alles Security-Relevante zu verteilen.

Allgemeine Security-Architektur ist das klassische Setup: Ihre Teams bringen Architekturentscheidungen, Designfragen und Security-Trade-offs mit, und ich helfe ihnen, diese durchzudenken. Dependency-Entscheidungen, Authentifizierungsmuster, API-Design, Infrastruktur-Hardening — die alltäglichen Sicherheitsentscheidungen, die sich über die Zeit summieren.

Agentic AI Security ist für Organisationen, die AI Agents einsetzen und fortlaufende Beratung brauchen, während sich diese Landschaft weiterentwickelt. Neue Agent-Deployments bekommen Ad-hoc-Threat-Modeling-Sessions, bestehende Agenten bekommen periodische Attack-Surface-Reviews, und Ihr Team hat jemanden zum Fragen, wenn es unsicher ist, ob eine neue MCP-Integration oder Tool Chain Risiken einführt, an die noch nicht gedacht wurde. Wenn Sie bereits ein Agentic AI Security Assessment mit mir durchgeführt haben, ist der Retainer der natürliche Weg, dieses Threat Model lebendig und aktuell zu halten, wenn sich Ihre AI-Architektur ändert. Wenn nicht, können wir die initialen Threat-Model-Elemente als Teil des Retainers aufbauen.

Secure Development Lifecycle konzentriert sich darauf, Security in die Art und Weise einzubetten, wie Ihr Team Software baut: CI/CD-Pipeline-Hardening, Dependency Management, Secure Coding Practices und sicherstellen, dass AI-gestützte Coding Tools nicht stillschweigend die Schwachstellen wieder einführen, die Ihr Team gerade mit Aufwand behoben hat.

Cloud und Infrastruktur Security deckt IaC-Reviews, Cloud-Configuration-Assessments und Supply-Chain-Hardening für Ihre Deployment-Pipeline ab.

Das sind keine starren Pfade. Die meisten Kunden starten mit einem oder zwei und passen an, wenn sich Prioritäten verschieben. Jemand könnte mit allgemeiner Architektur beginnen und sechs Monate später AI Security hinzufügen, wenn der erste Agent in Produktion geht. Diese Bereiche sorgen einfach dafür, dass wir beide Klarheit darüber haben, wo der Retainer am meisten fokussiert.

Was das nicht ist

Dies ist eine Advisory-Beziehung. Sie umfasst nicht:

Diese Leistungen sind komplementär, und Retainer-Kunden erhalten bevorzugte Terminierung und Rabatte für alle.

Beziehung zu anderen Angeboten

Der Retainer entwickelt sich oft natürlich aus projektbasierten Engagements. Ein Kunde bucht z. B. ein Web Security Bootcamp, dann einen Application Pentest, und stellt dann fest, dass er fortlaufenden Input und Oversight möchte — der Security Sparring Partner formalisiert diese fortlaufende Beziehung.

Er passt auch gut zum Attack Tree Quickstart für initiales Threat-Landscape-Modeling, das dann als Teil des fortlaufenden Retainers gepflegt und weiterentwickelt werden kann. Dasselbe gilt für das Agentic AI Security Assessment — das einmalige Threat Model wird zur Baseline, und der Retainer hält es aktuell, wenn Ihr AI-Deployment wächst.

Allerdings müssen Sie nicht zuerst vorherige Projekte gebucht haben. Viele Organisationen starten direkt mit dem Retainer.

Interesse daran, welche Stufe zu Ihrem Team passt? Lassen Sie uns sprechen