Fractional SAP CISO — auf Vorstandsebene

Das CISO-Office ist exzellent.
Nur bei SAP ist eine Lücke.

Wir füllen den SAP-Teil im CISO-Office. Strategische und operative SAP-Sicherheitsführung, Risiko-Berechnung, Vorstands-Reporting, Audit-Begleitung, SAP Vendor-Management, Krisenpräsenz.

Erstgespräch vereinbaren → Pakete ansehen
März 2026 3 Tage / Monat
Tag 1 Monthly Review · Threat Briefing · KPI-Stand
Tag 2 Audit-Vorbereitung · Vendor-Call · Patch-Strategie
Tag 3 Vorstandsbriefing · SAP-Risk-Roadmap-Update
2–4
Tage / Monat
12
Monate Bindung
4h
Eskalations-SLA
30+
Jahre SAP-Tiefe
Warum dieser Service existiert

Das CISO-Office kennt klassische IT und Netzwerke.
SAP gehört meistens nicht dazu.

SAP ist in den meisten DAX- und Mittelstandsunternehmen das größte und kritischste System überhaupt — und das mit dem speziellsten Sicherheitsmodell. Das CISO-Office kommt typischerweise aus dem Netzwerk-, Identity- oder Cloud-Security-Umfeld. SAP-Tiefe aus eigener Erfahrung ist dort selten vertreten — nicht aus Mangel an Kompetenz, sondern weil SAP-Security eine eigene Disziplin ist.

Daraus entsteht eine strukturelle Asymmetrie: Der größte Risikoblock ist gleichzeitig der, über den intern am wenigsten fundiert berichtet werden kann. Audits, Vorstandsfragen und Vendor-Verhandlungen passieren mit Hintergrundrauschen, weil niemand im Raum ist, der die SAP-spezifischen Antworten technisch validieren kann.

Ein Fractional SAP CISO schließt genau diese Lücke — ohne Vollzeitstelle, ohne Headhunter, ohne 18-Monats-Onboarding.

  • SAP Security Notes werden bewertet, aber niemand kann beurteilen, welche Note in Ihrer Landschaft wirklich kritisch ist.
  • RFC-Verbindungen zwischen Produktionssystemen werden von der IT verwaltet, aber niemand denkt sie aus Angreiferperspektive.
  • BTP-, RISE- und S/4-Migrationen werden von Systemintegratoren gefahren — deren Sicherheitsversprechen niemand kritisch hinterfragen kann.
  • Vendor- und Berater-Zugänge proliferieren über Jahre; das CISO-Office bekommt das Audit-Finding, aber nicht die SAP-seitige Ursachenanalyse.
  • Vorstandsfragen zu NIS2 und SAP werden nach oben weitergereicht und unten ausgehalten, weil keine fundierte Antwort verfügbar ist.
  • Im Krisenfall entscheidet das CISO-Office über System-Shutdowns — ohne belastbare SAP-seitige Einschätzung der Folgekosten für das laufende Geschäft.
Drei Engagement-Stufen

Wählen Sie die Tiefe,
nicht die Person.

Alle drei Stufen sind 12-Monats-Mandate mit fester monatlicher Präsenz, unbenutzte Tage sind im Quartal übertragbar. Eine namhafte Person, ein direkter Draht, keine Account-Manager.

Stufe 1
CISO Sparring
2 Tage / Monat

Für etablierte CISOs, die einen kompetenten Sparringspartner für alle SAP-Themen brauchen — ohne dass eine Führungsrolle abgegeben wird.

  • Monatliches strategisches Sparring (4–6 h)
  • Bewertung kritischer SAP Security Notes
  • Reaktiver Eskalationskanal (4h-SLA)
  • Quartalsweise Threat-Briefings
  • SAP-Anteile im Vorstandsreporting
Geeignet für: Mittelstand 500–2.000 MA
Stufe 2
CISO Office Extension
3 Tage / Monat

Operative Erweiterung des CISO-Office: SAP-Sicherheit wird aktiv mitgestaltet, gegenüber Vorstand, Vendor und Audit eigenständig vertreten.

  • Alles aus Stufe 1
  • Eigene Vorstandsslots zur SAP-Risikolage
  • Audit-Begleitung (intern und extern)
  • Vendor- & SI-Verhandlungs-Sparring
  • Quartalsweise Attack-Path-Status-Review
  • Mitgestaltung der SAP-Security-Roadmap
Geeignet für: Konzerne 2.000–10.000 MA, hohe SAP-Abhängigkeit
Stufe 3
Acting SAP CISO
4 Tage / Monat

Für Unternehmen ohne dedizierten SAP-CISO — oder während der Vakanz-/Aufbauphase. Volle SAP-Sicherheits-Führungsrolle als externe Funktion.

  • Alles aus Stufe 2
  • Verantwortliche SAP-Security-Führungsfunktion
  • Direktes Vorstands- und Aufsichtsratsreporting
  • BSI- / BaFin- / NIS2-Kommunikation
  • Eigenständige Krisenstabs-Präsenz
  • Aufbau und Coaching interner Nachfolge
Geeignet für: KRITIS, Behörden, Konzerne in Übergangsphasen
Leistungsspektrum

Was Sie konkret bekommen.

Vier Kernbereiche, die in allen Stufen unterschiedlich gewichtet werden — je nach Reifegrad und Anforderung Ihrer Organisation.

🎯

Strategie & Roadmap

SAP-Sicherheits-Roadmap auf Basis Ihrer realen Landschaft — nicht aus dem Beratungs-Baukasten. Priorisierung nach Angreiferperspektive, abgestimmt mit Audit-, BSI- und NIS2-Anforderungen.

📊

Vorstands- & Aufsichtsratsreporting

SAP-Risiken in Vorstandssprache übersetzt. Quartalsberichte, Sonderlagen-Briefings, vorbereitete Antworten auf typische Vorstands- und Aufsichtsratsfragen.

Audit- & Compliance-Begleitung

Vorbereitung und Begleitung interner Revisionen, ISO 27001-, BSI C5-, NIS2- und SOX-Prüfungen mit SAP-Bezug. Antwortqualität, die Prüfer als kompetent erleben.

🤝

Vendor- & SI-Management

Sparring bei Verhandlungen mit SAP, Systemintegratoren und Security-Dienstleistern. Sicherheitsversprechen werden gegen Realität geprüft, nicht gegen Marketing.

🚨

Incident- & Krisenpräsenz

Im SAP-relevanten Sicherheitsvorfall verfügbar — ohne neuen Vertrag, ohne Eskalations-Tarif. Krisenstabs-Teilnahme, technische Entscheidungsvorlagen, Kommunikationsunterstützung.

🔍

Threat Intelligence & Hot News

SAP-spezifische Bedrohungslage kontextualisiert auf Ihre Landschaft. Kein generischer Newsletter — konkrete Bewertung: Was bedeutet diese Note, dieser Exploit, diese Kampagne für Ihre Systeme?

Wie der Einstieg läuft

Vom Erstgespräch zum laufenden Mandat
in vier Wochen.

01 / Woche 1

Erstgespräch

Unverbindlich, 60 Minuten. Inhalt: aktuelle SAP-Landschaft, größte Sorgen, Reifegrad. Ergebnis: Einschätzung, ob ein Mandat sinnvoll ist — und in welcher Stufe.

02 / Woche 2

Scoping & Angebot

Konkretes Mandat: Stufe, Schwerpunkte, monatlicher Tagesrhythmus, Eskalationspfade. Festpreis pro Monat, 12 Monate Laufzeit.

03 / Woche 3

Onboarding

Zwei strukturierte Onboarding-Tage: Systemlandschaft, Stakeholder, laufende Initiativen, offene Audit-Punkte. Anschluss an interne Kommunikationswege.

04 / Woche 4

Erster Monatsslot

Erstes Vorstands- oder CISO-Office-Reporting. Quick-Win-Plan für die ersten 90 Tage. Ab hier läuft der vereinbarte Monatsrhythmus.

„Wir habe ein exzellentes CISO Office. Aber bei SAP haben wir uns auf die Aussagen unseres Systemintegrators verlassen. Bis das Audit kam. Heute steht jeden Monat jemand im Raum, der die richtigen Fragen stellt — bevor sie der Prüfer stellt."
Sinngemäße Bestandskunde Handel
Für wen das passt

Nicht für jeden.
Für die Richtigen.

Ein Fractional CISO ist kein verkappter Pentest und keine ausgelagerte SAP-Basis. Das Mandat funktioniert dort, wo SAP strategisch kritisch ist und eine fundierte zweite Meinung zwischen Vorstand, CISO und Systemintegrator gebraucht wird.

Klarer Fit, wenn folgendes zutrifft

  • SAP ist geschäftskritisch (S/4HANA, ECC, BTP, RISE im Einsatz)
  • CISO existiert, kommt aber nicht aus SAP-Tiefe
  • NIS2-, KRITIS- oder regulatorischer Druck steigt
  • Mehrere Systemintegratoren und Vendoren im Spiel
  • Vorstand stellt zunehmend SAP-spezifische Sicherheitsfragen
  • Letzter Audit hatte SAP-spezifische Findings
  • Aktuelle oder bevorstehende Migrationsphase (S/4, RISE, BTP)
  • Geschwindigkeitsvorteil durch externe, neutrale Stimme erwartet

Erstgespräch in 60 Minuten.
Danach wissen Sie, ob das passt.

Kein Verkaufsgespräch. Eine ehrliche Einschätzung, ob ein Fractional CISO für Sie Sinn macht — oder ob ein anderes log(2)-Format besser zu Ihrer aktuellen Lage passt.

Erstgespräch vereinbaren → info@log2.de
Investment-Niveau: deutlich unter Vollzeit-CISO · Festpreis pro Monat · 12 Monate Laufzeit