Sicherheit und Vertrauen

Ein externer Berater, der eure Angriffsfläche kaum vergrössert

Bevor ihr einen Externen ins Haus lasst, wollt ihr wissen: Was sieht er, was kann er, was bedeutet er für eure Sicherheit? Die ehrliche Antwort: Als Adoptions- und Enablement-Berater arbeite ich mit euren Menschen, nicht mit euren Systemen. Ich brauche keine Admin-Rechte, keinen Tenant-Zugang und keinen Zugriff auf produktive Daten. Diese Seite sagt euch offen, was das heisst, und wo klar die Grenze zu eurer IT verläuft.

Der Kern

Minimaler Zugriff als Prinzip, nicht als Versprechen

Die meisten Sicherheitsbedenken bei Externen drehen sich um eine Frage: Was kann diese Person anrichten, absichtlich oder aus Versehen? Bei mir ist die Antwort strukturell klein. Adoption braucht keine Rechte an euren Systemen.

Keine Admin-Rechte, kein Tenant-Zugang

Ich konfiguriere euren Microsoft-365-Tenant nicht. Ich brauche weder globale Admin-Rollen noch Zugriff auf eure produktiven Systeme oder sensiblen Daten. Meine Arbeit findet in Schulungsräumen, Workshops und Gesprächen statt, nicht in euren Admin-Centern.

Ich arbeite mit Menschen, nicht mit Systemen

Mein Gegenüber sind eure Mitarbeitenden, Champions und Führungskräfte. Ich zeige ihnen, wie sie die Tools sicher und produktiv nutzen. Der Hebel liegt im Verhalten, nicht in technischen Einstellungen. Das hält meine Berührung mit euren Systemen bei nahezu null.

Kleine Angriffsfläche für euer Security-Team

Jeder externe Zugang ist ein Risiko, das ihr verwalten müsst. Wenn ein Berater in aller Regel keinen technischen Zugang braucht, entfällt dieses Risiko grösstenteils. Für euer Security-Team ist das der wichtigste Punkt: kein Konto mit weitreichenden Rechten, das kompromittiert werden könnte.

Eine Person, nicht wechselnde Teams

Du arbeitest durchgehend mit mir, nicht mit rotierenden Junior-Teams, die je Zugang, Onboarding und Einblick brauchen. Weniger Menschen mit Einblick heisst weniger Fläche, die ihr im Auge behalten müsst.

Klare Rollenteilung

Meine Arbeit gegen eure IT und Security

Damit es keine Missverständnisse gibt: Adoption und technische Governance sind zwei getrennte Welten. Ich kenne beide Seiten, setze aber nur die eine um. Die andere bleibt bewusst bei euch, wo sie hingehört.

Meine Arbeit · Adoption und Verhalten

Schulungen, E-Learnings, Champion-Programme, Anwendungsfälle, Change-Begleitung, Nutzungsmessung und C-Level-Coaching. Ich vermittle den sicheren und produktiven Umgang mit Microsoft 365 und Copilot. Details dazu findest du bei der Copilot-Schulung inklusive sicherer Umgang.

Eure IT und Security · Technische Governance

Berechtigungen, Purview, DLP, Datenresidenz, Admin-Settings und Tenant-Konfiguration bleiben bei eurer IT und Security. Ich setze das nicht um und will es nicht. Das ist eure Hoheit und eure Verantwortung.

Wo die beiden Welten sich treffen

Ich kenne die technischen Themen und fordere sie als Voraussetzung ein, bevor Copilot ausgerollt wird. Ein Beispiel ist das Oversharing-Risiko: Bevor breit geschult wird, sollten eure Berechtigungen sitzen. Mehr dazu in der Oversharing-Checkliste als IT-Voraussetzung.

Keine schleichende Ausweitung

Ich bleibe in meiner Rolle. Ich schleiche mich nicht schrittweise in technische Aufgaben, für die eure IT die Kontrolle behalten muss. Klare Grenzen schützen euch und halten die Verantwortlichkeiten sauber getrennt.

Vertraulichkeit und Erfahrung

Vertrauen aus Praxis, nicht aus Marketing

Neben dem minimalen Zugriff zählt, wie ich mit dem umgehe, was ich sehe und höre, und ob ich das regulierte Umfeld verstehe, in dem ihr euch bewegt.

NDA und Vertraulichkeit

Ich unterzeichne eure Vertraulichkeitsvereinbarung und behandle alles vertraulich, was mir im Rahmen der Zusammenarbeit begegnet. Das ist für mich Standard, kein Sonderfall.

Erfahrung im regulierten Umfeld

Vier Jahre in einer Schweizer Grossbank. Ich kenne den Bankgeheimnis- und FINMA-Kontext und die berechtigte Zurückhaltung regulierter Häuser aus der Praxis. Ich arbeite innerhalb eurer bestehenden Leitplanken, nicht dagegen. Mehr dazu bei Copilot für Banken und regulierte Branchen.

Schweizer Anbieter unter dem revDSG

Ich arbeite als Schweizer Anbieter unter dem revidierten Datenschutzgesetz. In den Schulungen vermittle ich den sicheren Umgang: welche Anwendungsfälle in Ordnung sind und was man nicht in Copilot eingibt. Das ist das verhaltensseitige Gegenstück zu den technischen Leitplanken eurer IT. Wie ich mit euren Daten umgehe, steht im Datenschutz.

Nachweisbar gegenüber Leitung und Revision

Nutzung wird gemessen und ist gegenüber Geschäftsleitung und Revision belegbar. Bei einer Schweizer Grossbank ergaben 712 Rückmeldungen 97.9 % Zustimmung und 90.2 % Klarheit, bei über 4'000 Schulungs-Teilnahmen in vier Jahren. Die anonymisierte Fallstudie findest du in den Referenzen.

Häufige Fragen

Was Security- und Einkaufsteams fragen

Brauchst du Zugriff auf unsere Systeme oder Daten?

Nein. Für Adoption und Enablement brauche ich keine Admin-Rechte, keinen Tenant-Zugang und keinen Zugriff auf eure produktiven Systeme oder sensiblen Daten. Ich arbeite mit euren Menschen in Schulungen, Workshops und Gesprächen. Falls für eine Aufgabe ausnahmsweise ein begrenzter Zugang nötig wäre, legt ihr Umfang und Dauer fest, und das läuft über eure IT nach euren Regeln.

Unterschreibst du eine Vertraulichkeitsvereinbarung (NDA)?

Ja. Ich unterzeichne eure Vertraulichkeitsvereinbarung und behandle alles vertraulich, was mir im Rahmen der Zusammenarbeit begegnet. Das ist für mich Standard, kein Sonderfall.

Was gibst du in Copilot ein, und was bringst du unseren Leuten bei?

Ich gebe keine vertraulichen Daten von euch in Copilot ein. In den Schulungen ist genau das ein Kernthema: Ich vermittle euren Mitarbeitenden, welche Anwendungsfälle in Ordnung sind und was man nicht in Copilot eingibt. So ergänzt der sichere Umgang im Alltag die technischen Vorgaben eurer IT.

Bist du ISO 27001 oder SOC 2 zertifiziert?

Nein, und ich behaupte das auch nicht. Ich bin ein einzelner Berater für Adoption und Enablement, keine Plattform, die eure Daten verarbeitet. Mein Sicherheitsargument liegt nicht in Zertifikaten, sondern darin, dass ich strukturell fast keinen Zugriff brauche und damit kaum Risiko schaffe.

Bist du Rechts- oder Compliance-Berater?

Nein. Ich bin kein Rechts- oder Compliance-Berater und gebe keine Konformitäts-Garantien, weder DSGVO noch FINMA. Ich hole keine regulatorischen Vorabgenehmigungen ein. Ich kenne den regulierten Kontext aus vier Jahren bei einer Schweizer Grossbank und arbeite innerhalb eurer bestehenden Vorgaben, aber die rechtliche und regulatorische Bewertung bleibt bei euren Fach- und Rechtsstellen.

Wer verantwortet die technische Absicherung wie Berechtigungen, Purview oder DLP?

Das bleibt vollständig bei eurer IT und Security. Berechtigungen, Purview, DLP, Datenresidenz und Admin-Settings setze ich nicht um. Ich kenne die Themen, fordere sie als Voraussetzung vor einem Rollout ein, etwa gegen Oversharing, und respektiere die klare Grenze zwischen meiner Adoptions-Arbeit und eurer technischen Governance.

Lass uns über eure Sicherheitsanforderungen sprechen

Wenn dein Security- oder Einkaufsteam noch offene Fragen hat, gehe ich sie gern durch, bevor irgendetwas unterschrieben wird. Vereinbare ein Erstgespräch oder lies mehr über mich.

Jetzt Termin buchen