Investment

Transparente Fixpreise nach Tenant-Grösse. Keine versteckten Kosten.

Essentials

CHF 2'500.–

Bis 25 User

Sofortiger Ransomware-Schutz für kleine Teams. Cyber-Versicherungs-taugliche Grundsicherung.

// LIEFERT

Sofortiger Schutz vor Ransomware & Phishing
MFA-Pflicht für alle Mitarbeiter (Cyber-Versicherungs-Standard)
Sperrung unsicherer Logins (Legacy Auth & Ausland)
Einrichtung sicherer Notfall-Zugänge (Break-Glass)

Corporate

CHF 5'500.–

Bis 500 User

Enterprise Conditional Access mit IaC-Deployment und begleitetem Rollout.

// LIEFERT

Alle Essentials-Leistungen
15+ Enterprise Conditional Access Policies (via IaC)
Abschaffung permanenter Admin-Rechte (Least Privilege)
7-Tage Telemetrie-Monitoring & begleitete Scharfschaltung

Enterprise

Ab CHF 8'500.–

500+ User

Komplexe Multi-Domain-Architekturen mit PIM und Risk-Based Access.

// LIEFERT

Alle Corporate-Leistungen
Multi-Domain & komplexe Entra Connect Topologien
Risk-Based Access (Automatisches Routing bei Hacks)
Privileged Identity Management (PIM) mit Approval-Workflows

Technischer Scope

Fachliche Details für die technische Validierung.

01 Policies

Policies (Enterprise Conditional Access)

Wasserdichte Architektur ohne Bypass-Lücken nach Best Practices. Wir deployen ein fertiges Set aus 15+ Policies, basierend auf dem Block-First Approach, Device Compliance Zwang und netzwerkbasierten Regeln.

// DELIVERABLES

Production CA Policy Set (via IaC deployt)
Phishing-resistant MFA Enforcement
Device-Bound Access Controls

02 Admin

Admin (Admin Tiering & PIM)

Notfall- und Admin-Konzepte nach Enterprise-Standards. Permanente "Standing Privileges" werden eliminiert und durch Just-in-Time (JIT) Zugriffe für die Administration ersetzt.

// DELIVERABLES

Privileged Identity Management (PIM) Setup
JIT Admin Access Workflows
Isolierte Break-Glass Emergency Accounts

03 Hardening

Hardening (Entra ID Hardening)

Absicherung gegen moderne Angriffsvektoren und Identitätsdiebstahl. Systematische Vorbereitung zur Deaktivierung veralteter Authentifizierungsmethoden und automatisiertes Routing bei kompromittierten Konten.

// DELIVERABLES

Legacy Authentication Hard-Block Preparation
Sign-in Risk & User Risk Policies
Password-Spray & Brute-Force Protection

04 Enforcement

Enforcement (Log-Analyse & Scharfschaltung)

Keine unfertigen Baustellen. Wir deployen die Policies initial im Report-Only Modus, überwachen die Telemetrie für 7 Tage auf Auffälligkeiten und übernehmen anschliessend in Absprache mit Ihnen die finale Scharfschaltung (Enforcement).

// DELIVERABLES

7-Tage Report-Only Telemetrie-Monitoring
Identifikation von Block-Risiken (Legacy Apps)
Finale Scharfschaltung durch Flowbotics (End-to-End)

              // OUT OF SCOPE & RISK ASSIGNMENT
            

Sollten durch das "Scharfschalten" der Policies (z.B. Block Legacy Auth) veraltete undokumentierte Legacy-Applikationen oder alte Hardware (z.B. Scanner) ausfallen, ist die Fehlersuche und Reparatur dieser dedizierten Systeme explizit Out of Scope und wird als Time & Material (T&M) Mandat behandelt. Endpoint-Härtung (Intune/Defender) ist nicht Teil dieses Sprints.

Business Case

Der ROI für die Geschäftsführung.

Cyber Insurance Readiness

Ein validiertes Identity- und Tiering-Konzept (MFA, PIM, deaktiviertes Legacy Auth) ist heute harte Grundvoraussetzung für den Abschluss oder die Verlängerung von Cyber-Versicherungen.

Schutz vor Ransomware

Stoppen Sie Angreifer an der Eingangstür. Phishing-resistente MFA und Device-Bound Policies verhindern das initiale Eindringen und laterales Bewegen (Lateral Movement) im Netzwerk.

NIS2 & revDSG Compliance

Die Architektur erfüllt die strengen Identitäts- und Zugriffskontroll-Anforderungen des neuen Schweizer Datenschutzgesetzes (revDSG) sowie der europäischen NIS2-Richtlinie.

Zero IT-Support Chaos

Dank dem "Audit-First" Prinzip und dem Deployment der CA-Policies im "Report-Only" Modus garantieren wir maximale Sicherheit ohne plötzliche Ausfälle oder Support-Eskalationen bei Ihren Endusern.

Häufige Fragen

Welche Prerequisites müssen für den Sprint-Start erfüllt sein?

Dieser Sprint erfordert zwingend eine Microsoft Entra ID P1 (für Conditional Access) oder P2 (für PIM & Risk Routing) Lizenzierung. Der Sprint startet (Tag 1), sobald diese Lizenzen sowie der Global Admin Zugriff (via PIM) vom Kunden fehlerfrei bereitgestellt wurden. Verzögerungen stoppen die Projektuhr.

Sperren wir uns mit strengen CA-Policies nicht selbst aus?

Nein. Wir sichern die Implementierung durch What-If-Analysen und definierte Rollback-Szenarien ab. Das Herzstück der Architektur sind zudem die isolierten Break-Glass Accounts, die von allen Sperr-Policies physisch ausgenommen sind.

Wie arbeiten unsere IT-Admins nach dem Sprint?

Sicher und auditiert. Permanente "Global Admins" werden vollständig abgeschafft (Least Privilege). Ihre IT nutzt Entra ID PIM, um sich administrative Rechte bei Bedarf (Just-in-Time) freizuschalten.

Führt die Härtung zu einem sofortigen Stillstand von Legacy-Anwendungen?

Nein. Jede Policy wird via Infrastructure as Code (IaC) zuerst im Report-Only-Modus ausgerollt. So identifizieren wir Applikationen, die blockiert würden, bevor der Block-Modus in Absprache mit Ihnen scharfgeschaltet wird.

Bereit für das Zero Trust Fundament?

Name *

Geschäftliche E-Mail *

Firma

Wie viele M365-User hat Ihr Tenant aktuell?

Was ist der primäre Treiber für diese Anfrage?

Mit dem Absenden stimmen Sie den Datenschutzbestimmungen zu.

Wir melden uns innerhalb von 24 Stunden mit einem Terminvorschlag.