Seite wählen

Managementberatung für Informationssicherheit

Wir sind die Experten für Information Security und Business Continuity Management.  

Sprechen Sie uns an
Bild Risikomanagement

Aufbau, Weiterentwicklung und Betrieb für Ihr ISMS

Sie brauchen Hilfe und Unterstützung wenn es um Informationssicherheit oder Business Continuity Management geht? Ihre Kunden verlangen von Ihnen eine Zertifizierung nach ISO 27001? Wir beraten und unterstützen Sie, Ihre Ziele zu erreichen. Egal, ob Sie fachliche Hilfe bei speziellen Themen benötigen oder ob Sie ihr gesamtes ISMS extern betreiben lassen möchten, sind wir der richtige Partner. 

Informationssicherheit nach ISO 27001

Das Information Security Management System (ISMS) steuert alle Maßnahmen zur Informationssicherheit. Wenn es nach ISO 27001 zertifiziert ist, beweisen Sie Ihren Kunden, dass Sicherheit für Ihr Unternehmen kein Fremdwort ist. Wie machen Ihr ISMS reif für die Zertifizierung – Garantiert!

  • Wir entwickeln Strategien zur Einführung eines Information Security Management Systems (ISMS).
  • Wir helfen, die optimale Aufbau- und Ablauforganisation für das ISMS passend zu Ihrem Unternehmen zu finden.
  • Wir analysieren die bestehenden Managementsysteme und zeigen Stärken und Schwächen sowie Chancen und Risiken auf.
  • Wir beraten und begleiten die Verantwortlichen für Informationssicherheit (Chief Information Security Officers – CISO, Informationssicherheitsbeauftragte – ISB) bei der Um- und Durchsetzung ihrer Ideen und Vorhaben.
  • Wir unterstützen Ihr Zertifizierungsvorhaben und begleiten Sie bei Ihrer Zertifizierung nach ISO 27001 oder ISO 27019 (§11 Abs. 1a EnWG).
  • Wir prüfen Ihr Information Security Management System im Rahmen eines Internen Audits (First Party Audit) auf Basis von ISO 27001 mit Hilfe erprobter Checklisten. Auch helfen wir bei der Beurteilung Ihrer Lieferanten zum Beispiel mit Lieferantenaudits (Second Party Audits).
Business Continuity Management nach ISO 22301

Not- und Krisenfälle können die Existenz von Unternehmen bedrohen. Das Business Continuity Management (BCM) bereitet eine Organisation vor, auf Not- und Krisenfälle schnell zu reagieren, Schäden abzuwenden und die Geschäftsfortführung zu ermöglichen. Die Wiederherstellung der IT-Infrastruktur und der IT-Anwendungen ist eine eigene Teildisziplin des BCM: das IT-Service Continuity Management (ITSCM). 

  • Wir verbinden das Business Continuity Management mit dem Information Security Management und ermöglichen, Synergien zu heben.
  • Wir unterstützen Sie beim Aufbau eines ISO 22301 konformen Business Continuity Management Systems.
  • Wir identifizieren mit Ihnen Ihre geschäftskritischen Prozesse, IT-Systeme und Rollen.
  • Wir helfen beim Erstellen von Notfallplänen, Krisenmanagementorganisationen und Testkonzepten, damit Sie für den Ernstfall gut vorbereitet sind.
  • Wir zeigen verschiedene Notfallstrategien und technische Lösungen auf, und bewerten sie gemeinsam mit Ihnen.
Branchenfokus

Das deutsche Finanzaufsichtsrecht kennt klare Vorgaben für die Ausgestaltung des ISMS. Wichtigste Quelle für Banken und Finanzdienstleister sind die MaRisk, die die Einhaltung von anerkannten Standards wie die ISO 27000-Normenreihe fordern, und die Konkretiesierungen in den BAIT, VAIT bzw. KAIT. Wir kennen und verstehen diese Anforderungen aus langjähriger praktischer Erfahrung und sind mit den branchentypischen Prozesse und Regeln sehr gut vertraut.

Kritische Infrastrukturen (KritisVO)

Unternehmen, die zu den kritschen Infrastrukturen gerechnet werden, müssen umfangreiche Sicherheitsanforderungen erfüllen. Die Anforderungen gehen dabei über die der ISO 27001 hinaus. Wir unterstützen Unternehmen, die an ihre Branche gestellten Anforderungen zu bewerten und angemessen zu erfüllen. Dabei können wir auch auf unsere Expertise zurückgreifen, die wir selbst als durch das BSI zugelassene Prüfer nach §8a BSIG erworben haben.

IT-Sicherheitskatalog (§11 Abs. 1a EnWG)

Die Anforderungen für Betreiber von Energieversorgungsnetzen gehen über den Katalog der ISO 27001 Anhang A deutlich hinaus. Zudem stellt der Betrieb von Alt-(Legacy-)Systemen und über viele Jahre gewachsene IT-Landschaften besondere Herausforderungen an ein ISMS. Wir helfen, diese Herausforderungen zu bestehen und aus der vermeintlichen Mehrbelastung einen Mehrwert zu schaffen.

Damit Ihr Unternehmen geschützt ist – und Sie auch

Informationssicherheit bedeutet nicht Sicherheit um jeden Preis. Nur wer die Risiken kennt, kann die richtigen Entscheidungen treffen. Auch wenn Technik und Organisation im Unternehmen immer angreifbar sein wird, Ihre Entscheidungen sollten es nicht sein. Mit einem guten ISMS sind es auch nicht. 

Fragen Sie uns!
Symbol Schutzmaßnahme

Wer wir sind

Die thinkSec GmbH ist eine inhabergeführte Unternehmensberatung, die sich auf das Themenfeld Informationssicherheit fokussiert hat. Hinter dem Unternehmen stehen über 20 Jahre praktische Erfahrung in IT- und in Informationssicherheit. So können wir ohne Umwege und Experimentieren schnell jedes Problem lösen. Bei großen Projekten können wir auf zuverlässige und kompetente Partner zurückgreifen und Ihre Projekte mit speziellen Fachkenntnisse und zusätzlichen Ressourcen unterstützen. Auch kennen wir die Prozesse und Ansprechpartnern bei Zertifizieren genau, so dass Ihr Zertifizierungsprojekt nicht mit unnötigen Abstimmungen und Rückfragen verzögert wird. 

N

Langjährige Erfahrung

N

Detaillierte Branchenkenntnisse

N

Bewährtes Partnernetz

N

Direkte Verbindung zu Zertifizierungsstellen

ISMS Strategie Symbol

Mission

Informationssicherheit ist keine Frage der Größe des Unternehmens. Wir schaffen für Sie ein maßgeschneidertes ISMS und helfen Ihnen, sich richtig zu schützen.

Unser Anspruch ist es, Ihrem Unternehmen ein System an die Hand zu geben, mit dem Sie jederzeit die Kontrolle über die Informationssicherheit und über Ihre Risiken haben.  

 

 

Vision

Sicherheit ist nur dann gegeben, wenn Menschen, Technik und Organisation zusammenpasst. Unsere Vision ist es, hier eine Einheit zu schaffen:

  • Eine Organisation, die zur Technik passt und die die Kultur des Unternehmens trägt.
  • Technologien, die Mitarbeiter effektiv unterstützen und Prozesse effizient werden lassen.
  • Mitarbeiter, die sich wertgeschätzt und geschützt, aber nicht Maßnahmen ausgebremst und durch Richtlinien bedroht fühlen.

Werte

Unser Anspruch ist es, unseren Kunden die bestmögliche Qualität zu bieten. Die Basis hierzu bilden: 

  • Ehrlichkeit
    Zu sagen, was sich vermeintlich gefällig anhört, ist zwar einfach. Andere Standpunkte einzunehmen und unterschiedliche Ansichten zu diskutieren, halten wir aber für den besseren Weg. 
  • Zuverlässigkeit
    Ein Projekt wird nur dann zum Erfolg, wenn jeder sich auf den Anderen verlassen kann. Wir stehen zu unseren Zusagen sowohl zu Terminen als auch zu Qualität.
  • Vertraulichkeit
    Der Schutz aller uns anvertrauten Informationen ist uns sehr wichtig. Wir wollen für Informationssicherheit immer ein guten Beispiel sein.

Jürgen Wutschka

Seit über 20 Jahren ist Jürgen Wutschka auf dem Gebiet der Informationssicherheit tätig. Seine Karriere startete er 1997 bei der Commerzbank AG und wechselte 2001 zu Union Investment. Als Chief Information Security Officer (CISO) war er für den Aufbau des Information Security und Business Continuity Managements verantwortlich. 2014 gründete er die thinkSec GmbH und berät seit dem Unternehmen beim Aufbau und bei der Weiterentwicklung ihrer Managementsysteme zur Informationssicherheit bzw. zur Business Continuity und in allen Fragen zur IT-Sicherheit. Als ISO 27001 Lead Auditor führt er Zertifizierungsaudits im Auftrag von Zertifizierungsstellen durch.

Der Diplom Wirtschaftsinformatiker (Univ.) ist als CISSP und Cyber Security Practitioner (ISACA) zertifiziert.

Rahmen Portrait
Symbol Analyse

Wenn Sie denken, dass Technologie Ihre Sicherheitsprobleme lösen kann, dann verstehen Sie die Probleme nicht und Sie verstehen die Technologie nicht.

Bruce Schneier, Vorwort von Secrets and Lies, 2000

Verschlüsselung wird nicht gebrochen, sie wird umgangen.

Adi Shamir

Zusammen mit Ron Rivest und Leonard Adleman hat Adi Shamir als Kryptologieexperte das asymmetrische Kryptographische Verfahren RSA entwickelt.

Um die Denkweise von jemandem zu ändern, musst du verstehen, wie Menschen denken und in welchen Weisen sie denken.

Kevin Mitnick – Aus dem Buch “Social Engineering: The Art of Human Hacking“

Fragen und Antworten

u

Wir brauchen eine ISO 27001-Zertifizierung. Was müssen wir tun?

Der Weg zum Zertifikat hat drei wesentliche Meilensteine. Zuerst muss das ISMS spezifiziert sein, d.h. Prozesse, Richtlinien und Vorlagen sind zu entwickeln. Der zweite Meilenstein ist ein erfolgreicher initialer Betrieb. Prozesse, Richtlinien und die Vorlagen kommen zur Anwendung und durchlaufen den ersten Verbesserungszyklus. Dritter und wichtigster Meilenstein ist die Zertifizierung durch eine Zertifizierungsgesellschaft (Certification Body). Wir leiten Sie an, das Richtige zum richtigen Zeitpunkt zu machen, damit Sie schnell und ohne Umwege zum Ziel kommen.

u

Mit welchem Aufwand ist eine Zertifizierung verbunden?

Der Aufwand hängt von sehr vielen Faktoren ab und lässt sich pauschal leider so nicht abschätzen. Damit Ihr Zertifizierungsprojekt sowohl von der Dauer als auch vom Aufwand verlässlich planbar wird, empfehlen wir, zuerst eine Reifegradanalyse durchzuführen. So können Sie genau bestimmen, wo Sie stehen, welche Handlungsfelder anzugehen sind und mit welchem zeitlichen und personellen Aufwand zu rechnen ist. Sprechen Sie uns für eine Reifegradanalyse und Projektplanung gerne an. 

u

Inwieweit können Sie uns bei technischen Projekten unterstützen?

Unser Schwerpunkt sind zwar Managementsysteme, aber Technik und Organisation bilden immer eine Einheit. Sicherheitstechnik ist nur so gut, wie deren Einbindung in bestehende Prozesse und Steuerungssysteme. Wir unterstützen Sie bei der Entwicklung und Überprüfung der Netzwerkkonzeptionen und Systemarchitekturen mit den dazugehörigen Anforderungen. Die technische Implementierung überlassen wir den Spezialisten. Wir verstehen aber deren Sprache, können so die technische Umsetzung begleiten und das Sicherheitsniveau sicherstellen.  

u

Führen Sie selbst Audits und Pentests durch ?

Wir machen viel, aber nicht alles. Technische Schwachstellentests (Pentests) ist ein eigenes Aufgabengebiet, das wir nicht anbieten. Wir helfen jedoch, bei der Planung, Konzeption und Auswahl von Spezialisten für Pentests. Unser Fachgebiet ist die Beurteilung des Managementsystems. Wir führen wir gerne ein Audit nach Ihren Wünschen bei Ihnen selbst als internes Audit (1st party audit) oder bei Ihren Lieferanten als Lieferantenaudit (2nd party audit) durch. Zertifizierungsaudits (3rd party audit) dürfen jedoch nur Zertifizierungsgesellschaften anbieten. Hier sind wir immer Auftrag dieser Gesellschaften als Auditor tätig. 

 

 

Nachrichtenüberblick

30.01.2026

9

Two Ivanti EPMM Zero-Day RCE Flaws Actively Exploited, Security Updates Released

The Hacker News 30.01.2026 04:43
Ivanti has rolled out security updates to address two security flaws impacting Ivanti Endpoint Manager Mobile (EPMM) that have been exploited in zero-day attacks, one of which has been added by the U.S. Cybersecurity and Infrastructure Security Agency (CISA) to its Known Exploited Vulnerabilities (KEV) catalog.
The critical-severity vulnerabilities are listed below –

CVE-2026-1281 (CVSS score:

9

Operation Winter SHIELD: FBI Issues Call to Arms for Organizations to Improve Cybersecurity

Infosecurity Magazine 29.01.2026 16:50
The FBI outlines ten actions which organizations can take to defend networks against cybercriminal and nation-state threats

9

FBI Takes Down RAMP Ransomware Forum

Infosecurity Magazine 29.01.2026 13:05
The dark web forum administrator confirmed the takedown and said they had “no plans to rebuild”

9

Nvidia Sicherheitslücken: Attacken auf GPU-Treiber können zu Abstürzen führen

Heise Security 29.01.2026 12:54
Softwareschwachstellen gefährden PCs mit Grafikkarten von Nvidia. Sicherheitspatches sind verfügbar.

9

Critical RCE bugs expose the n8n automation platform to host‑level compromise

CSO Online 29.01.2026 12:38
Two critical sandbox escape flaws in the popular n8n workflow automation platform are allowing authenticated users to achieve remote code execution on affected instances.
According to new JFrog findings, sandboxing safeguards meant to contain untrusted workflow logic can be bypassed, exposing enterprise automation environments to full host compromise. Enterprises that rely on n8n to orchestrate integrations, automate internal processes, and streamline cloud services and on-prem systems are at risk. JFrog’s researchers said n8n’s sandboxing mechanism can fail in specific configurations when users evaluate expressions or run custom scripts.

9

Survey of 100+ Energy Systems Reveals Critical OT Cybersecurity Gaps

The Hacker News 29.01.2026 11:55
A study by OMICRON has revealed widespread cybersecurity gaps in the operational technology (OT) networks of substations, power plants, and control centers worldwide. Drawing on data from more than 100 installations, the analysis highlights recurring technical, organizational, and functional issues that leave critical energy infrastructure vulnerable to cyber threats.
The findings are based on

9

Schlag gegen Ransomware: FBI nimmt Cybergangstern ihr Forum weg

Golem 29.01.2026 11:22
Das FBI hat ein vor allem an Ransomware-Hacker gerichtetes Cybercrime-Forum namens Ramp übernommen. Gründer war wohl ein alter Bekannter aus Russland. (Cybercrime, Server)

9

Sicherheitspatch: Authentifizierung von SolarWinds Web Help Desk umgehbar

Heise Security 29.01.2026 11:15
Die Ticketing-Software SolarWinds Web Help Desk ist unter anderem über vier kritische Sicherheitslücken angreifbar.

9

EU’s answer to CVE solves dependency issue, adds fragmentation risks

CSO Online 29.01.2026 09:30
The security community has offered broad support for the creation of an EU-hosted vulnerability database as a means of reducing dependence on US databases.
However, some experts have expressed concerns that the potential fragmentation of security intelligence risks impeding rapid vulnerability identification and remediation.

9

Kritik am Kritis-Dachgesetz: “Flickenteppich” befürchtet

CSO Online 29.01.2026 09:18
Der Gesetzesentwurf der Bundesregierung zum Schutz kritischer Infrastruktur reicht nach Meinung des Deutschen Städtetag nicht aus.
Der Deutsche Städtetag hält den zur Abstimmung im Bundestag anstehenden Vorschlag der Koalition zum Schutz kritischer Infrastruktur für unzureichend. Der Entwurf von Union und SPD sieht für Unternehmen der kritischen Infrastruktur wie etwa große Energieversorger oder Verkehrsunternehmen strengere Verpflichtungen zum Schutz ihrer Anlagen vor. Vorgesehen sind neben Zugangsbeschränkungen und anderen praktischen Maßnahmen auch eine Pflicht zur Meldung sicherheitsrelevanter Vorfälle sowie Bußgelder bei Regelverstößen. 

9

SolarWinds Fixes Four Critical Web Help Desk Flaws With Unauthenticated RCE and Auth Bypass

The Hacker News 29.01.2026 09:00
SolarWinds has released security updates to address multiple security vulnerabilities impacting SolarWinds Web Help Desk, including four critical vulnerabilities that could result in authentication bypass and remote code execution (RCE).
The list of vulnerabilities is as follows –

CVE-2025-40536 (CVSS score: 8.1) – A security control bypass vulnerability that could allow an unauthenticated

9

JavaScript-Sandbox vm2: kritische Lücke erlaubt Ausbruch

Heise Security 29.01.2026 08:36
Die JavaScript-Sandbox vm2 für Node.js war eigentlich beendet. Nun schließt ein Update eine kritische Sicherheitslücke.

29.01.2026

9

Angriffe auf WinRAR-Lücke laufen weiter

Heise Security 28.01.2026 14:09
Wer WinRAR auf dem Rechner hat, sollte sicherstellen, die jüngste Version zu installieren. Google warnt vor aktiven Angriffen.

9

Two High-Severity n8n Flaws Allow Authenticated Remote Code Execution

The Hacker News 28.01.2026 12:43
Cybersecurity researchers have disclosed two new security flaws in the n8n workflow automation platform, including a crucial vulnerability that could result in remote code execution.
The weaknesses, discovered by the JFrog Security Research team, are listed below –

CVE-2026-1470 (CVSS score: 9.9) – An eval injection vulnerability that could allow an authenticated user to bypass the Expression

9

Critical vm2 Node.js Flaw Allows Sandbox Escape and Arbitrary Code Execution

The Hacker News 28.01.2026 11:50
A critical sandbox escape vulnerability has been disclosed in the popular vm2 Node.js library that, if successfully exploited, could allow attackers to run arbitrary code on the underlying operating system.
The vulnerability, tracked as CVE-2026-22709, carries a CVSS score of 9.8 out of 10.0 on the CVSS scoring system.
"In vm2 for version 3.10.0, Promise.prototype.then Promise.prototype.catch

9

Netzwerkmanagementlösung HPE Aruba Fabric Composer ist angreifbar

Heise Security 28.01.2026 10:33
Angreifer können Systeme mit HPE Aruba Networking Fabric Composer mit Schadcode attackieren.

9

Sicherheitslücke: Mehrere Hackergruppen attackieren Winrar-Nutzer seit Monaten

Golem 28.01.2026 08:09
Cyberakteure aus mehreren Ländern nutzen seit Mitte 2025 eine bekannte Winrar-Lücke aus. Sie schleusen Trojaner und andere Malware ein. (Sicherheitslücke, Virus)

9

IT-Vorfall in Forscherfabrik Schorndorf: Käufer wurden zu Telegram umgeleitet

Heise Security 28.01.2026 06:37
Möglicherweise sind bei einem IT-Vorfall der Forscherfabrik Schorndorf Daten von mehr als 19.000 Kundinnen und Kunden abgeflossen.

28.01.2026

9

Fixes released for a serious Microsoft Office zero-day flaw

CSO Online 27.01.2026 23:26
Microsoft is warning admins of an Office security bypass zero day vulnerability that can be triggered simply by a user opening a document. The flaw is currently being actively exploited.
“The vulnerability is serious,” said Johannes Ullrich, dean of research at the SANS Institute. “The root cause is that Microsoft Office still supports the older OLE document format, which provides access to various OLE components. The effect is similar to what an attacker could do with Office Macros. But Office Macros are typically blocked for documents downloaded from the internet. Microsoft implemented similar protections for OLE components, but this recent exploit found a way to bypass them.”

9

Pyodide Sandbox Escape Enables Remote Code Execution in Grist-Core

Infosecurity Magazine 27.01.2026 16:45
Critical sandbox escape vulnerability in Grist-Core enables remote code execution via a malicious formula

9

Telnet-Sicherheitslücke: Wegen kritischen Risikos patchen

Heise Security 27.01.2026 11:13
Eine kritische Sicherheitslücke in telnetd der GNU InetUtils erheischt derzeit Aufmerksamkeit. Admins sollten patchen.

9

Microsoft Releases Patch for Office Zero Day Amid Evidence of Exploitation

Infosecurity Magazine 27.01.2026 10:45
Microsoft urged customers running Microsoft Office 2016 and 2019 to apply the patch to be protected

9

World Leaks Ransomware Group Claims 1.4TB Nike Data Breach

Infosecurity Magazine 27.01.2026 09:45
Nike is investigating after the World Leaks ransomware group posted a 1.4TB data dump

9

Apache Hadoop: Fehler im HDFS-Native-Client lässt Schadcode passieren

Heise Security 27.01.2026 09:17
Das Framework Apache Hadoop ist verwundbar. Attacken können im Kontext des HDFS-Dateisystems geschehen. Ein Sicherheitspatch ist verfügbar.

9

Microsoft bringt Notfallpatch: Office-Nutzer werden über Zero-Day-Lücke attackiert

Golem 27.01.2026 07:38
Eine gefährliche Sicherheitslücke betrifft alle gängigen Office-Versionen. Angesichts der aktiven Ausnutzung sollten Anwender zügig patchen. (Sicherheitslücke, Microsoft)

Legen wir heute los

Aufschieben ist manchmal eine Lösung. Lassen Sie uns eine bessere finden. Wir stellen Ihnen gerne unseren Ansatz für Ihre Herausforderungen vor – selbstverständlich kostenfrei. 

Lassen Sie uns jetzt über Ihr Anliegen sprechen

Nehmen Sie Kontakt auf