Das Projekt auf einen Blick

SECWATCH führt jedes Jahr rund 200 Penetrationstests und Sicherheitsbewertungen durch und  arbeitet dabei in jeder Projektphase mit hochsensiblen Informationen. Für den verschlüsselten Dateiaustausch nutzte das Unternehmen bereits seit Längerem Tresorits Secure Cloud. Kommunikation und Zusammenarbeit im Projekt liefen jedoch weiterhin über verschiedene Kanäle.

SECWATCH zog zunächst in Betracht, ein eigenes System zu entwickeln, entschied sich dann aber für Tresorit Engage, um das Projektmanagement an einem zentralen Ort zu bündeln. Onboarding, Kommunikation, Dokumentation und Reporting finden nun in einer einzigen sicheren Umgebung statt.

Das Ergebnis: mehr Effizienz, bessere Nachvollziehbarkeit und eine stärkere Wettbewerbsposition auf Basis eines strukturierten, vertrauensbasierten Projekmanagements. Mit Engage konnte das Unternehmen die Onboarding-Zeit pro Kunde von rund einer Stunde auf nur zehn Minuten verkürzen. Bei Hunderten Projekten pro Jahr ist das ein deutlicher operativer Gewinn.

 „Wenn man Hunderte Penetrationstests pro Jahr durchführt, reicht ein einziger Sicherheitsvorfall – und das Spiel ist vorbei. Davon erholt man sich nicht sagt Henk-Jan Angerman, Gründer und  Chief Visionary Officer bei SECWATCH, über die Gründe für die Einführung von Engage.

Über SECWATCH

SECWATCH wurde 2005 gegründet und ist ein Beratungsunternehmen mit Fokus auf Cyber-Risikomanagement, Sicherheitsbewertungen, und digitale Forensik. Im Laufe der Jahre wandelte sich das Unternehmen vom Implementierungspartner für klassische Antiviren- und Firewall-Lösungen zu einer spezialisierten Cybersecurity-Beratung, die prüft, ob Sicherheitsmaßnahmen in der Praxis wirklich wirksam sind. 

Heute unterstützt SECWATCH sowohl Organisationen mit etablierten Informationssicherheits-Teams als auch Unternehmen, die während des gesamten Testprozesses eine engere Begleitung benötigen.  

Wir liefern nicht einfach einen Bericht ab und verschwinden dann wieder. Wir wollen ein echter Partner sein und unsere Kunden auf ihrem gesamten Weg begleitenerklärt Mitgründer Henk-Jan Angerman.

Die Herasuforderung

Penetrationstests sind von Natur aus projektbasiert und hochsensibel. Jedes Projekt umfasst ein sicheres Scoping,  rechtliche Vereinbarungen, den Austausch von Zugangsdaten, technische Tests, Reporting, gegebenenfalls  Retests sowie die anschließende Aufbewahrung und Löschung von Daten. Eine enge Zusammenarbeit mit den Kunden ist dabei unverzichtbar.

Obwohl SECWATCH mit Tresorit Secure Cloud bereits unsichere E-Mail-Anhänge und unzeitgemäße Abläufe abgelöst hatte, blieb das eigentliche Projektmanagement fragmentiert. Kunden arbeiteten häufig mit ihren eigenen Kollaborationstools, und sensible Informationen tauchten vereinzelt weiterhin in E-Mail-Verläufen auf.

Das Kundenfeedback machte mit der Zeit deutlich, dass die technische Leistung überzeugte, die Zusammenarbeit in Kommunikation und Projektmanagement jedoch noch Verbesserungspotenzial hatte.

 „Einen Sicherheitsbericht per E-Mail zu verschicken, ist ein absolutes No-Go sagt Henk-Jan Angerman. Das Management dachte deshalb darüber nach, eine interne Projektmanagement-Lösung zu entwickeln, die exakt auf die eigenen Anforderungen zugeschnitten ist. Ein solches System zu bauen, abzusichern und so zu konzipieren, dass es auch Audit- und Compliance-Anforderungen erfüllt, hätte jedoch hohe Investitionen erfordert und vom eigentlichen Kerngeschäft abgelenkt.  Unsere Aufgabe ist es, Dinge zu testen und Schwachstellen offenzulegen – nicht, selbst Systeme zu bauen. Eine eigene sichere Lösung zu entwickeln und auditfähig aufzusetzen, wäre enorm teuer”, so Henk-Jan Angerman.

Als Tresorit Engage vorstellte, wurde dem Management schnell klar, dass Engage genau die Herausforderung adressierte, für die SECWATCH schon seit Längerem nach einer passenden Lösung suchte. Daher stieg das Unternehmen sofort in die Early-Adopter-Phase ein.

Die Anforderungen

SECWATCH brauchte mehr als nur eine Plattform für sichere Zusammenarbeit. Gesucht war eine sichere, zentrale Umgebung, die alle Phasen der Kundenbeziehung abbildet und während des gesamten Projekts als Single-Source-of-Truth dient – vom ersten Gespräch bis zum finalen Reporting und der kontrollierten Löschung der Daten.

Die Lösung sollte das Onboarding strukturiert und transparent abbilden, aufgabenbasierte Zusammenarbeit ermöglichen, klare Audit-Logs für den Dokumentenzugriff liefern und gleichzeitig für technische wie nicht technische Kunden einfach nutzbar bleiben. Vor allem aber sollte sie das Vertrauen stärken.

 „Ohne Vertrauen gibt es im Grunde kein Projekt. Denn wir sehen und hören bei unseren Kunden nahezu jedes Detail”, sagt Henk-Jan Angerman.

Da SECWATCH jedes Jahr Hunderte sensible Berichte erstellt, musste auch die Zustellung dieser Dokumente nachvollziehbar sein. Mit Engage kann das Unternehmen im Audit-Log nachvollziehen, ob und wann ein Kunde einen Bericht heruntergeladen hat.

Die Umsetzung

SECWATCH stieg als Early Adopter bei Tresorit Engage ein und testete die Lösung zunächst mit ganz unterschiedlichen Kunden – von sehr technikaffinen Nutzern bis hin zu Personen, die digitalen Tools eher zurückhaltend gegenüberstehen. Die Einführung verlief durchweg reibungslos und erforderte meist kaum Unterstützung.

 „Als ich Engage zum ersten Mal gesehen habe, war mir sofort klar, wofür sich die Lösung einsetzen lässt. Ich habe sie dann mit einigen vertrauten Kunden getestet – und zwar mit sehr technikaffinen ebenso wie mit Kunden, die am liebsten gar nicht am Computer arbeiten. Die meisten hatten überhaupt keine Probleme, und wenn überhaupt, brauchte vielleicht eine Person anfangs etwas Unterstützung. Da wurde mir erst richtig klar, wie einfach die Lösung in der Anwendung ist”, erklärt Henk-Jan Angerman.

Nach dem Onboarding arbeiteten die Kunden in einem sicheren, strukturierten Workspace, in dem Dokumente, zentrale Projektinformationen und Aufgaben klar organisiert waren. SECWATCH behielt dabei jederzeit die volle Kontrolle über die Zugriffsrechte und profitierte von detaillierten Audit-Logs, einschließlich der Bestätigung, wenn Berichte heruntergeladen wurden – ein wichtiger Vorteil sowohl für operative Transparenz als auch für die rechtliche Absicherung.

Nach der ersten Testphase und den positiven Rückmeldungen seiner Kunden führte SECWATCH Engage schnell in allen Security-Assessment-Projekten ein.

Heute beginnt der Prozess bereits in der Vertriebsphase. Sobald aus einem Lead eine ernsthafte Verkaufschance wird, legt SECWATCH einen eigenen Engage-Raum an. Angebote, Leistungsumfang und Abläufe werden von Anfang an transparent geteilt. Kommt es nicht zum Auftrag, löscht das Unternehmen den Workspace wieder.

Wird ein Kunde übernommen, begleitet dieselbe sichere und gebrandete Umgebung sowohl das Onboarding als auch die Durchführung des Projekts. Sensible Informationen werden im Datenraum ausgetauscht, und wenn Input vom Kunden benötigt wird, weist SECWATCH die entsprechenden Aufgaben direkt zu. Projektupdates werden transparent geteilt, sodass beide Seiten während der gesamten Testphase auf dem gleichen Stand bleiben.

Auch das Reporting und die Bereitstellung von Nachweisen erfolgen über Engage. Denn Penetrationstests erzeugen eine umfangreiche Dokumentation – darunter detaillierte Berichte, Skripte, Logs und reproduzierbare Nachweise. SECWATCH stellt diese Materialien sicher im Datenraum bereit und kann über Audit-Logs jederzeit nachvollziehen, wann Dokumente aufgerufen oder heruntergeladen wurden.

Wenn ein Retest notwendig ist, bleibt derselbe Datenraum bestehen. Nach Projektabschluss entzieht SECWATCH den Zugriff nach definierten Fristen und löscht die Daten gemäß den geltenden Richtlinien sicher.

 „Ich möchte nicht 200 Sicherheitsberichte irgendwo auf einem verstaubten Server liegen haben. Daten haben einen Lebenszyklus”, erklärt Henk-Jan Angerman.

Die Ergebnisse

Aus geschäftlicher Sicht zeigte sich der Nutzen sofort. Onboarding-Prozesse, die zuvor viel Abstimmung erforderten, wurden deutlich vereinfacht. Und selbst weniger technikaffine Kunden konnten mit minimaler Unterstützung starten.

 „Früher konnte das Onboarding schon mal eine Stunde in Anspruch nehmen. Mit Engage sind es heute zehn Minuten – das ist ein echter Effizienzgewinnsagt Henk-Jan Angerman.

Auch die Kommunikation wurde strukturierter und transparenter. So konnten sich sowohl SECWATCH als auch seine Kunden besser auf Berichtsgespräche und die Planung von Maßnahmen vorbereiten. Der Abstimmungsbedarf im Nachgang sank, zugleich wurde die Zusammenarbeit insgesamt klarer.

Für sensible Abstimmungen hat SECWATCH E-Mails vollständig ersetzt. Wichtige Dokumentation entsteht heute stattdessen in Pages – einer Funktion, mit der Projektbeteiligte direkt im Engage-Raum Notizen festhalten können.

Neben den Effizienzgewinnen hat Engage auch die Position von SECWATCH im Wettbewerb gestärkt. Sicherheitsbewertungen sind im Markt grundsätzlich breit verfügbar. Der Unterschied liegt vielmehr in strukturierter Kommunikation, Nachvollziehbarkeit und einer engen Kundenführung. Genau darin sieht SECWATCH heute den Mehrwert eines sicheren, effizienten und transparenten Projektmanagements mit Engage.

Fazit

Mit Tresorit Engage steuert SECWATCH heute Vertrieb, Onboarding, Zusammenarbeit, Reporting und den gesamten Datenlebenszyklus in einem einzigen sicheren Portal. Das Ergebnis sind nicht nur effizientere Abläufe und geringere Sicherheitsrisiken, sondern auch eine deutlich stärkere Vertrauensbasis in der Zusammenarbeit mit den Kunden.