---
title: "Consulting Informationssicherheit & Datenschutzberatung in Karlsruhe"
description: "Secorvo ist ein auf Informationssicherheit und Datenschutz spezialisiertes unabhängiges Beratungsunternehmen aus Karlsruhe mit mehr als 25 Jahren Erfahrung."
lang: "de"
created_at: "2026-06-16T14:08:03.905Z"
---
# Consulting Weil Sicherheit Erfahrung braucht

## Das zeichnet die Beratung von Secorvo aus

Secorvo war 1998 **eines der ersten auf IT-Sicherheit und Datenschutz spezialisierten Beratungsunternehmen in Europa**. Seitdem haben wir **mehr als 2.500 Projekte** erfolgreich durchgeführt - vom eintägigen Workshop bis zur Begleitung von mehrjährigen, fachlich und technologisch herausfordernden Großprojekten.

Zu unseren Kunden zählen sowohl kleinere, spezialisierte mittelständische Unternehmen als auch große Mittelständer, Weltmarktführer und DAX-Unternehmen - aus allen Branchen (siehe unsere [Referenzliste](/referenzen/index.html)).

So stark sich bei unseren Kunden Geschäftszweck, Projektziele und Voraussetzungen unterscheiden - ein paar Erwartungen an unsere Arbeit teilen alle:

-   IT- und Informationssicherheit sind kein Selbstzweck - sondern **müssen den Geschäftszielen dienen**. Ihre Umsetzung muss wirksam Risiken für die IT-unterstützten Geschäftsprozesse senken.
-   Auch wenn oft Compliance-Anforderungen zur Beschäftigung mit Informationssicherheit und Datenschutz zwingen, so dient die Umsetzung jedoch nicht allein der formalen Erfüllung dieser Anforderungen, sondern vor allem der **Verbesserung und Professionalisierung der internen Prozesse**.
-   Maßnahmen zur Erreichung von Informationssicherheit und Datenschutz müssen immer **angemessen und wirtschaftlich** sein - daher werden pragmatische, auf das Unternehmen passende Antworten und Lösungen gesucht und keine starren, "standardisierten" Vorgehensweisen.
-   Auch wenn in jedem Unternehmen Kultur, Struktur und Geschäftsmodell einmalig sind, so ähneln sind sich doch viele Aufgaben- und Fragestellungen. Passende Lösungen für Informationssicherheit und Datenschutz ergeben sich daher aus einer **sinnvollen Abwägung zwischen hilfreicher Vereinheitlichung und notwendiger Spezialisierung**.
-   Die Kompetenz der für Informationssicherheit und Datenschutz Verantwortlichen soll durch unsere Erfahrung aus zahlreichen anderen Projekten und einen unverstellten "Blick von außen" ergänzt und erweitert werden. Daher sollen die fachlichen Ansprechpartner **im Projektverlauf dazulernen** - und nicht von unserer Beratungsleistung abhängig werden.

Dass wir die Risiken und wirtschaftlichen Erfordernisse unserer Kunden "mitdenken" und unsere Projekte daran ausrichten, sehen wir als einen wichtigen Teil unseres Erfolges. Dass uns das immer wieder gelingt, verdanken wir sowohl der offenen und partnerschaftlichen Zusammenarbeit mit unseren Kunden als auch der langjährigen Erfahrung unseres Teams.

## Unsere Beratungsthemen

[Informationssicherheitsmanagement (ISMS)](isms-informationssicherheitsmanagement.html)

Ab einer bestimmten Komplexität erfordert das Management der Informationssicherheit eine durchgängige Systematik, damit man den Überblick über Anforderungen und Umsetzung behält und "vor der Bugwelle" unvermeidlicher Probleme und Herausforderungen operiert: Ausgehend von regelmäßig zu aktualisierenden Risikobewertungen müssen Verantwortlichkeiten zugeordnet, Vorgaben abgeleitet und Richtlinien umgesetzt werden - und durch Kontrollen und Audits in einen Prozess der kontinuierlichen Verbesserung überführt werden.

Genau das leistet ein Informationssicherheitsmanagementsystem (ISMS). Es verknüpft Risikobewertungen, daraus resultierende risikoreduzierende Maßnahmen, deren Umsetzung und Überprüfung zu einem strukturierten Ganzen, das für ein klar definiertes, dokumentiertes und fortlaufend verbessertes Schutzniveau im Unternehmen sorgt.

Ein solches ISMS verringert nicht nur die operationellen Risiken im Unternehmen, sondern steigert auch dessen Wert: Es ist inzwischen ein wichtiges Prüfkriterium bei Due-Diligence-Prüfungen. Durch eine Zertifizierung können Funktionsweise und Qualität des ISMS auch gegenüber Kunden und Geschäftspartnern sichtbar gemacht werden.

Secorvo hat zahlreiche Unternehmen auf eine entsprechende ISO 27001-Zertifizierung vorbereitet - meist weit unter dem ursprünglich erwarteten Aufwand und immer mit deutlichen Qualitätssteigerungen beim Sicherheitsniveau. Eine Einführung in das Thema Informationssicherheitsmanagement bietet unser Seminar [ISMS verstehen und planen](/seminare/isms-seminar.html).

Mehr zu unseren Beratungsleistungen zum Thema Informationssichereitsmanagement finden Sie [hier](isms-informationssicherheitsmanagement.html).

[IT-Grundschutz-Audits](it-grundschutz-audit.html)

Der BSI-Grundschutz war 1994 der erste Ansatz, Maßnahmen für ein einheitliches Mindestsicherheitsniveau in Unternehmen und Behörden zu definieren. Federführend von Frau Münch (BSI) vorangetrieben, wurde aus der ursprünglichen "FAQ" über die Jahre ein am Stand der Technik ausgerichteter IT-Sicherheitsstandard, der Sicherheitsmanagement, eine Umsetzungsmethode und Maßnahmenempfehlungen umfasst. 2017 wurde das Sicherheitsmanagement im BSI-Grundschutz am Standard ISO 27001 ausgerichtet.

Die Erfüllung des IT-Grundschutz-Standards kann man vom BSI zertifizieren lassen. Voraussetzung für die Durchführung eines Zertifizierungsaudits ist ein Auditor mit Zertifizierung als "Auditteamleiter für ISO 27001-Audits auf der Basis von IT-Grundschutz". Seit 2008 hat Secorvo zahlreiche Unternehmen und Behörden erfolgreich nach IT-Grundschutz auditiert, darunter 8COM, DE-CIX, DLR, EnBW und die Lebensversicherung von 1871, sowie viele weitere bei der Umsetzung von IT-Grundschutz unterstützt.

Mehr zu unseren Beratungsleistungen zum Thema IT-Grundschutz finden Sie [hier](it-grundschutz-audit.html).

[Datenschutzberatung, EDSB](datenschutz.html)

Datenschutz und Informationssicherheit sind eng verwandt - während die Informationssicherheit dem Schutz aller Arten von schützenswerten Daten dient, konzentriert sich der Datenschutz auf personenbezogene Informationen. Datenschutz dient dem Schutz der "freien Entfaltung der Persönlichkeit" ([Art. 2 Grundgesetz](https://www.gesetze-im-internet.de/gg/art_2.html)). Die daraus vom Bundesverfassungsgericht 1983 abgeleitete "informationelle Selbstbestimmung" ist inzwischen selbst ein Grundrecht - 2009 verankert in [Art. 8 der EU-Grundrechtscharta](https://fra.europa.eu/de/eu-charter/article/8-schutz-personenbezogener-daten).

Die Umsetzung der Anforderungen des Datenschutzrechts nach DSGVO, BDSG, KDG und weiteren spezialgesetzlichen Regelungen erfordert Gestaltung, damit berechtigte Unternehmensinteressen erreicht werden und zugleich die Rechte der Betroffenen geschützt bleiben. Werden beispielsweise Löschfristen, der Umgang Auskunftsersuchen und "Privacy by Default" schon zu Beginn des Lebenszyklus einer Verarbeitung - bei der Entwicklung oder der Lösungsauswahl - mitgedacht, wird Datenschutz zu einem Wettbewerbsvorteil.

Dirk Fox, Geschäftsführer von Secorvo, ist seit über 25 Jahren (1997) Herausgeber der im Verlag Springer Nature publizierten, monatlichen Fachzeitschrift [Datenschutz und Datensicherheit (DuD)](https://www.dud.de) - der ältesten Datenschutz-Zeitschrift der Welt, die seit 1977 erscheint. Daher sind wir dem Thema Datenschutz seit der Gründung des Unternehmens eng verbunden.

Wir unterstützen ausgewählte Unternehmen als externer Datenschutzbeauftragter (EDSB), führen Datenschutzfolgenabschätzungen (DSFA) und Datenschutzaudits durch und helfen beim Aufbau eines Datenschutzmanagements nach einem von uns entwickelten praxisbewährten Reifegradmodell.

Mehr zu unseren Beratungsleistungen zum Thema Datenschutz finden Sie [hier](datenschutz.html).

[Pentest - Sicherheitsaudit](pentest-sicherheitsaudit.html)

Ein wesentliches Element des Informationssicherheits- und Risikomanagements ist die regelmäßige Überprüfung der IT-Infrastruktur auf mögliche Schwachstellen. Ein Penetrationstest liefert dazu eine Momentaufnahme über das Vorhandensein _bekannter_ Schwachstellen - das ist wichtig, aber keine Garantie für die Abwesenheit von technisch ausnutzbaren Angriffspunkten.

Eine Sicherheitsanalyse sollte daher auch das Sicherheitskonzept und die gesamte Infrastruktur in den Blick nehmen. Nur aus dieser Perspektive lässt sich feststellen, an welchen Stellen mögliche bisher unentdeckte Schwachstellen eine Bedrohung darstellen (Threat Modeling) und ob die ergriffenen Schutzmaßnahmen ausreichen, deren erfolgreiche Ausnutzung zu verhindern.

Mit unserer Erfahrung aus vielen hundert Sicherheitsaudits und unserem "unverstellten" Blick, mit dem wir Ihre Infrastruktur betrachten und analysieren, gelingt es uns immer wieder, nicht offensichtliche und bislang übersehene Schwachstellen zu identifizieren. Das ist weit mehr als Pentest alleine liefern kann, der sich naturgemäß auf die Aktualität und Konfiguration eingesetzter Systeme konzentriert, nicht aber auf deren Zusammenspiel und Abhängigkeiten sowie deren tatsächliche Bedeutung für die zentralen Geschäftsprozesse.

Mehr zu unseren Beratungsleistungen zum Thema Sicherheitsanalyse/Pentest finden Sie [hier](pentest-sicherheitsaudit.html).

[Sichere Software](sichere-softwareentwicklung.html)

Software ist sicher - und die Erde eine Scheibe.

Sicherheitskritische Fehler in Software sind seit über zwei Jahrzehnten das Haupteinfallstor für Angreifer. Nicht zuletzt aufgrund der Leistungsfähigkeit moderner KIs (LLMs) hat die Zahl der entdeckten, zuvor unbemerkt ausgelieferten Software-Schwachstellen noch einmal dramatisch zugenommen. Diese wichtigste Ursache erfolgreicher Cyberangriffe auf Unternehmen und Behörden lässt sich nur über verbesserte Prozesse in der Softwareentwicklung beseitigen.

Daher engagieren wir uns seit vielen Jahren für "sichere Software-Entwicklung" - nicht nur in Projekten, in denen wir bei der Umsetzung sicherheitsorientierten Software Engineerings unterstützen, sondern auch durch die Entwicklung und Weiterentwicklung des Curriculums für das Seminar "[TeleTrusT Professional for Secure Software Engineering](/seminare/tpsse-seminar.html)". Seit 2006 haben wir mit diesem Seminar viele hundert Softwareentwickler mit den Prinzipien des Secure Software Engineering vertraut gemacht.

Mehr zu unseren Beratungsleistungen zum Thema Secure Software Engineering finden Sie [hier](sichere-softwareentwicklung.html).

[IT-Forensik - forensische Analysen](forensische-analyse.html)

Informationssicherheit zielt auf die Vermeidung von Sicherheitsvorfällen. Doch gänzlich ausschließen lassen sie sich nicht. Ist ein Vorfall eingetreten, haben Aufklärung und Schadensbegrenzung Priorität: Die Folgen lassen sich meist erst bewerten, wenn bekannt ist, was genau vorgefallen ist (ist eine Meldung bei einer Aufsichtsbehörde erforderlich und sind Kunden oder Geschäftspartner zu informieren?).

Auch für eine wirksame Schadensbegrenzung kann die Aufklärung bedeutsam sein (wie können verlorene Daten zurückgewonnen werden?). Die Vorfallsaufklärung mit Hilfe einer forensischen Analyse kann zudem gerichtsverwertbare Nachweise liefern und hilft bei der Auswahl von präventiven Maßnahmen zur Vermeidung zukünftiger Vorfälle.

Die Sicherung von Spuren sollte - wie in der "analogen" Forensik - möglichst schnell erfolgen, damit sie für die anschließende forensische Auswertung nicht verloren sind. Damit Spuren nicht zerstört und Schäden wirksam begrenzt werden, sollten Unternehmen zudem einen (im Idealfall eigenen) Vorfalls-Experten hinzuziehen. Dazu [bilden wir nach dem Curriculum des BSI](/seminare/seminar-bsi-vorfall-experte.html) aus.

Mehr zu unseren Beratungsleistungen zum Thema IT-Forensik und forensische Analyse finden Sie [hier](forensische-analyse.html).

[PKI-Beratung - Enterprise PKI](pki-public-key-infrastruktur.html)

Public-Key-Verfahren spielen eine zentrale Rolle in modernen IT-Infrastrukturen: für die Verschlüsselung von Nachrichten zwischen E-Mail-Servern, die Authentifizierung von Benutzern und Administratoren, die Integritätsprüfung von Softwareupdates, den Schutz von VPNs oder DKIM-Signaturen mit Domainkeys.

Seit dem Aufbau einer weltweiten PKI für die Deutsche Bank Ende der 90er Jahre haben wir zahlreiche große und mittelständische Unternehmen bem Aufbau und der Weiterentwicklung ihrer Enterprise PKIs unterstützt. Wir wirkten an der Spezifikation von E-Mail-Verschlüsselungsformaten mit, haben die [European Bridge CA](https://www.ebca.de) mit aufgebaut und das Testbed für ISIS-MTT (MailTrust) entwickelt.

Wir unterstützen bei allen Fragen rund um Public-Key Infrastrukturen - deren Konzeption und Aufbau, die Integration in das AD und die Verknüpfung mit Signatur-, Verschlüsselungs- oder Authentifikationsdiensten - und bei der Erstellung einer Cryptography Bill of Materials (CBOM), als Grundlage für die Umstellung auf Post-Quanten-Kryptografie (PQC) oder für das Risikomanagement nach NIS2.

Seit über 25 Jahren vermitteln wir mit unserem deutschlandweit einzigartigen [PKI-Seminar](/seminare/pki-seminar.html) Grundlagen und die erforderlichen Kenntnisse für den Aufbau, den Einsatz und den Betrieb von Public-Key Infrastrukturen.

Mehr über unsere Beratungsleistungen zum Thema PKI finden Sie [hier](pki-public-key-infrastruktur.html).

[Security Awareness](security-awareness.html)

Die Sensibilisierung der Mitarbeiter für Informationssicherheit ist eine wichtige Komponente in jedem Sicherheitsmanagement. Damit die Maßnahmen wirken ist eine messbare und präzise Zielsetzung unerlässlich: Welche Risiken und Bedrohungen erfordern ein spezifisches Verhalten der Mitarbeiter? Was müssen die Mitarbeiter dafür wissen? Wie lässt sich dieses Wissen effektiv vermitteln - und wie können nachhaltige Verhaltensänderungen bewirkt werden?

Seit 2002 unterstützen wir unsere Kunden in Awareness-Fragen. Weit über 30 große Awareness-Kampagnen und zahlreiche kleinere Projekte zur Verbesserung des Sicherheitsbewusstseins in Unternehmen haben wir seitdem konzipiert und durchgeführt oder begleitet. Zwei dieser Kampagnen wurden ausgezeichnet: die Awareness-Kampagne der EnBW (2022) und die Awareness-Kampange der T-Systems (2007) gewannen den [Sicherheitspreis Baden-Württemberg](/auszeichnungen/index.html).

Von großer Bedeutung ist auch die Erfolgsmessung - durch vorausgehende, anschließende und idealerweise eine kontinuierliche Bestimmung eines "Awareness-Index". Dazu haben wir zusammen mit dem Steinbeiß-Transferzentrum eine Evaluationsmethode entwickelt, die inzwischen in vielen Großunternehmen jährlich eingesetzt wird.

Mehr über unsere Beratungsleistungen zum Thema Awareness finden Sie [hier](security-awareness.html).

##### Kontakt

-   Telefon [+49 721 255171-0](tel:+497212551710 "Wir freuen uns auf Ihren Anruf")
-   [info@secorvo.de](mailto:info@secorvo.de "info@secorvo.de")

##### Referenzprojekte

Eine Übersicht unserer Referenzkunden und -projekte finden Sie [hier](/referenzen/index.html).

##### Ausgewählte Success Stories

-   [Success Story: Etablierung eines zentralen Dach-ISMS (enercity AG)](/referenzen/isms-success-storys-enercity.pdf)
-   [Success Story: ISMS ready2go (KRZ-SWD)](/referenzen/success-story-secorvo-isms-krz.pdf)
-   [Success Story: IT-Grundschutz-Zertifizierung (DE-CIX)](/referenzen/success-story-secorvo-it-grundschutz-de-cix.pdf)
-   [Zertifikat: IT-Grundschutz-Zertifizierung civillent (Komm.ONE)](https://www.civillent.de/site/Komm.ONE_Civillent2/get/params_E-1912642534_Dattachment/23808445/BSI-Zertifikat%20civillent%202025.pdf)
-   [Success Story: Datenschutzorganisation der ewmr](/referenzen/success-story-secorvo-datenschutz-orga-ewmr.pdf)
-   [Success Story: Datenschutz bei Toll Collect](/referenzen/success-story-secorvo-datenschutz-toll-collect.pdf)
-   [Gutachten zur Zulässigkeit des Einsatzes von Microsoft 365 an Hochschulen](https://www.bwuni.digital/think-tank-05/)
-   [Success Story: Sicherheitspreis für die "Mission Security" (T-Systems)](/referenzen/success-story-secorvo-awareness-t-systems.pdf)

[![Logo IT-Security made in Germany](../_content/portfolio/it-security-made-in-germany.jpg)](https://www.teletrust.de/itsmig/)

## Rückmeldungen unserer Kunden

Wir freuen uns, einige exemplarische Bewertungen und Empfehlungen unserer Kunden wiedergeben zu dürfen.

-   ![Blanc & Fischer](../_content/kommentare/blanc&fischer.jpg)

    > _Secorvo hat uns im Rahmen unseres ISMS-Projekts fachlich exzellent und sehr strukturiert unterstützt. Besonders hervorzuheben ist die durchweg professionelle, angenehme und pragmatische Zusammenarbeit._

    **Marc-Andre Pantea**
    Chief Information Security Officer, BLANC & FISCHER Corporate Services GmbH

    ![seven2one](../_content/kommentare/seven2one.png)

    > _Secorvo begleitet uns seit Jahren zuverlässig. Die Zusammenarbeit zeichnet sich durch fachliche Tiefe, pragmatische Empfehlungen und ein echtes Verständnis für unsere Geschäftsprozesse aus._

    **Jan Marco Heinz**
    Geschäftsführer Seven2one Informationssysteme GmbH

    ![enercity](../_content/kommentare/enercity.jpg)

    > _Wir haben diese Aufgabe 2016 mit Respekt begonnen und praktisch das gesamte ISMS für die Zukunft neu ausgerichtet. Für unsere integrierte ISMS-Konzeption und die damit verbundene Zertifizierungsstruktur konnten wir problemlos eine Zertifizierungsstelle finden. Mit Secorvo haben wir einen erfahrenen, kreativen und verlässlichen Partner an unserer Seite gehabt._

    **Thomas Dorstewitz**
    enercity AG

-   ![kv-telematik](../_content/kommentare/kv-telematik.jpg)

    > _Die Erstzertifizierung zur ISO 27001 haben wir erfolgreich bestanden!
    > "ISMS ready2go" bietet automatisierte Unterstützung beim Betrieb unseres ISMS. Die Dokumentenlenkung und das Risikomanagement werden damit effizient und übersichtlich umgesetzt. Den Aufwand zur Implementierung des ISMS konnten wir damit erheblich reduzieren und auch die Auditoren waren davon sehr angetan._

    **Sonia Béringuier-Manhart**
    KV Telematik GmbH

    ![krz](../_content/kommentare/krz.jpg)

    > _Wir haben unser ISO27001-Zertifikat!
    > Vielen Dank für Ihre Unterstützung - das ist auch "Ihr Baby" ... Und "ISMS ready2go" hat die Feuertaufe mit Bravour bestanden._

    **Detlef Pouw**
    Stiftung Kirchliches Rechenzentrum Südwestdeutschland, Eggenstein

    ![3iMedia](../_content/kommentare/3imedia.png)

    > _Automatische Auswertungen auf Knopfdruck, ein hierarchischer Workflow,
    > so haben wir unser Risikomanagement sicher im Griff!_

    **Markus Hotz**
    3iMedia GmbH

    ![ovag Netz](../_content/kommentare/ovag-netz.jpg)

    > _Vielen Dank. Das war in der Tat wieder eine sehr angenehme Zusammenarbeit mit Ihnen und Secorvo. Das wird bestimmt auch nicht das letzte gemeinsame Projekt gewesen sein._

    **Jens Schmidt**
    ovag Netz GmbH

-   ![decix](../_content/kommentare/decix.jpg)

    > _Mit unserer BSI-Zertifizierung stellen wir einen Beweis für unsere hohen Sicherheits-Standards im Internet._

    **Arnold Nipper**
    DE-CIX Management GmbH

    ![Toll Collect](../_content/kommentare/toll-collect.jpg)

    > _Toll Collect hat die gesetzlich geforderte Löschung aller Bewegungs- und Kontrolldaten im Mautsystem durch ein geschlossenes und alle datenführenden und datenhaltenden Systeme erfassendes Löschkonzept umgesetzt. Dieses Maßstäbe setzende Konzept und seine Realisierung wären ohne den Input der Secorvo GmbH und insbesondere den Input von Dr. Volker Hammer nicht denkbar gewesen. Die von Dr. Hammer angewandte Methode der "Normativen Anforderungsanalyse" mit den daraus resultierenden praxisgerechten Ergebnissen hat den Grundstein für eine Datenschutzkultur bei Toll Collect gelegt, in der Löschen ein selbstverständlicher Bestandteil ist und sich ein echter Return of Invest für den IT-Betrieb ergibt._

    **Reinhard Fraenkel**
    Betrieblicher Datenschutzbeauftragter, Toll Collect GmbH

    ![ewmr](../_content/kommentare/ewmr.jpg)

    > _Durch die vielfältigen Diskussionen und innerbetrieblichen Beratungen während der Projektlaufzeit können
    > wir heute eine wesentlich erhöhte Sensibilität der Fachabteilungen in Datenschutzfragen feststellen._

    **Kristina Harder**
    ewmr

-   ![EnBW](../_content/kommentare/enbw.jpg)

    > _Die Firma Secorvo hat sehr zielorientiert und klar strukturiert mit großem Fachwissen diesen Security Check zu meiner vollsten Zufriedenheit durchgeführt._

    **Klaus Holzwarth**
    EnBW AG

    ![Markant](../_content/kommentare/markant.jpg)

    > _Die Penetrationstests waren stets sehr gut vorbereitet und wurden exakt nach zeitlicher Absprache durchgeführt. Dabei ist die hohe Qualität des Reports und die detaillierte Dokumentation der Prüfung besonders zu erwähnen._

    **Michael Bähr**
    Markant Handels und Service GmbH