Risikomanagement,
das Sie beweisen können.
Die meisten GRC-Plattformen sind konfigurierbare Datenbanken mit einem Dashboard obendrauf. Sceau Risk quantifiziert Ihre Risiken in Euro, prognostiziert Schwellenverletzungen, bevor sie eintreten, schlägt Maßnahmen nach Rendite geordnet vor — und versiegelt jeden Datensatz auf einer manipulationssicheren Kette, die Ihr Prüfer mit einem einzigen Aufruf verifizieren kann.
/audit/verify antwortet wahr oder falsch.Die Branche verkauft seit Jahren Risikotheater.
Heatmaps ohne Einheiten. Compliance-Scores, die man sich selbst bescheinigt. „KI-gestützte" Vorhersagen, die niemand einer Aufsicht erklären kann. Prüfprotokolle, die umschreiben kann, wer die Datenbank besitzt.
Selbsterklärte Abdeckung
Häkchen setzen, Rahmenwerk wird grün. Kommt der Prüfer, ist das Grün nichts wert. Sceau Risk leitet Abdeckung aus der getesteten Wirksamkeit verknüpfter Kontrollen ab — man kann sie nicht erklären, nur verdienen.
Blackbox-Scores
Ein „Risikoscore von 73", den niemand zerlegen kann, ist Marketing, kein Risikomanagement. Jede Zahl in Sceau Risk — Druckindex, Prognose, ROSI — weist exakt aus, welche Faktoren sie erzeugt haben.
Umschreibbare Historie
Ein Audit-Trail in einer gewöhnlichen Tabelle ist ein Vorschlag. Unserer ist eine Hashkette: genehmigte Bewertungen und veröffentlichte Richtlinienversionen sind auf Datenbank-Trigger-Ebene unveränderlich, und Manipulation bricht die Kette sichtbar.
Alles, was die großen Suiten können. Und dann der Teil, den sie nur bewerben.
Sceau Risk deckt die komplette Checkliste der etablierten Anbieter ab — Register, Bewertungen, Kontrollen, Kampagnen, Richtlinien, Dritte, Rahmenwerke, Feststellungen, Reporting — und geht dort weiter, wo sie aufhören.
Mehrdimensional, dann monetär
Bewerten Sie Eintrittswahrscheinlichkeit gegen finanzielle, Service-, Regulierungs- und Reputationsauswirkungen — ergänzen Sie drei Fragen (wie oft, typische Kosten, Kosten eines schlechten Jahres) und erhalten Sie eine vollständige Monte-Carlo-Verlustverteilung, gespeichert im unveränderlichen Bewertungsdatensatz.
Business Cases statt Wunschlisten
Jede vorgeschlagene Kontrolle erhält einen gespeicherten Business Case: ΔErwarteter Verlust, ΔVaR 99, ROSI und Amortisation in Monaten. Gremien genehmigen Investitionen, keine Adjektive.
Testen, hinterfragen, bestätigen
Kontrolltests mit Wirksamkeits-Lebenszyklus, RCSA-Kampagnen mit Challenge zwischen erster und zweiter Verteidigungslinie, und Lese-und-Bestätigen-Kampagnen, deren Unterschriften auf der Kette landen.
Der veröffentlichte Text ist der genehmigte Text
Entwurf → Prüfung → Genehmigung → Veröffentlichung, mit Funktionstrennung in beide Richtungen. Die Veröffentlichung friert eine unveränderliche Version ein; das Bearbeiten einer veröffentlichten Richtlinie stuft sie zur erneuten Genehmigung zurück. Ausnahmen sind konstruktionsbedingt befristet — zwölf Monate, harte Grenze.
Abdeckung, die man sich verdient
ISO 27001, NIS2, DORA, DSGVO, CIS 8, ISO 22301, ISO 45001, CSRD, EU-KI-Verordnung und mehr, vorgeladen. Der Status jeder Anforderung folgt aus der Wirksamkeit verknüpfter Kontrollen. Die Lückenerkennung entwirft die fehlenden Risiken für Sie. Ein Klick exportiert eine prüfungsfertige Erklärung zur Anwendbarkeit.
Einmal sammeln, viele Rahmenwerke bedienen
Verknüpfen Sie einen Nachweis mit Kontrollen und Anforderungen über Rahmenwerke hinweg, mit Gültigkeitsdaten. Veraltete Nachweise werden automatisch markiert — und können einen Workflow auslösen, bevor der Prüfer sie findet.
TPRM mit DORA-Rückgrat
Lieferantenklassifizierung, Bewertungsportale, kontinuierliche Signalaufnahme, Konzentrationsanalysen — und das DORA-Informationsregister im Format, das Ihre Aufsicht erwartet.
EU-KI-Verordnung: beantwortet
Ein Klassifizierungsassistent, der die Artikel hinter jeder Einstufung zitiert, Lebenszyklus-Gates für Modelle dimensionsbasiert bewertete KI-Risikoprofile (Bias, Robustheit, Aufsicht, Drift), deren Score auch das Live-Datenrisiko verknüpfter Trainingsdaten erbt, ISO/IEC 42001 in der Rahmenwerk-Bibliothek — und ein Register, das Ihr DSB gerne öffnet.
Uhren, die Sie vor einer Aufsicht verteidigen können
Melden Sie einen Vorfall mit DSGVO/NIS2/DORA-Flags und die Meldeuhren leiten sich selbst ab — Art. 33, Art. 23, Art. 19 — jede mit Live-Countdown, ehrlich bei verspäteter Meldung. Playbooks erzeugen Aufgabenlisten mit SLA-Fristen, die Chronologie ist auf Datenbankebene nur anfügbar, ein Sweep-Alarm feuert vor Ablauf einer Uhr, der Abschluss erfordert eine Post-Incident-Review, und MTTC/MTTR werden berechnet, nie behauptet.
Die dritte Linie, eingebaut
Planen Sie Prüfungen gegen Risiken und Kontrollen, führen Sie unabhängige Tests mit Nachweisnotizen durch und erheben Sie Feststellungen, die nachverfolgte Issues erzeugen — mit Eigentümer, Frist und Überfälligkeits-Automatisierung. Urteile sind auf die Berichtsphase beschränkt, der Abschluss erfordert eines, und die 12-Monats-Prüfungsabdeckung hoher/kritischer Risiken wird abgeleitet — die ungedeckten werden benannt.
Die Daten hinter den Risiken steuern
Ein Register der Datenbestände mit Eigentümern und Stewards, vierstufiger Klassifizierung und PII-Kennzeichnung, DAMA-Datenqualitätsregeln, deren fehlgeschlagene Messungen die Automatisierungs-Engine auslösen, Lineage zwischen Beständen, Verknüpfungen ins Risikoregister — ein abgeleiteter Datenrisiko-Score je Bestand, der jeden Punkt aufschlüsselt, die Übernahme dieser Exponierung ins Risikoregister per Klick — und ein prüfungsfertiger Katalogexport.
Die Spezialmodule, nativ
CSRD-doppelte Wesentlichkeit mit ESRS-Datenpunkt-Reifegrad. Kontrahenten-PD/LGD/EAD mit Limitüberwachung, die bei Verletzung eine Feststellung eröffnet. Workshop-Szenarien mit geseedeter, reproduzierbarer Monte-Carlo-Simulation.
Vorhersagen. Verordnen. Die Außenwelt erfassen.
Das ist die Schicht, die etablierte Suiten in Broschüren packen. Wir packen sie ins Produkt — und jeder Mechanismus ist erklärbar, denn „das Modell hat es gesagt" übersteht keinen Aufsichtsbesuch.
Verletzungs-ETAs auf jedem KRI
Holt-Trendprognose auf Ihrer Indikatorhistorie, vorwärts projiziert mit einer geschätzten Zeit bis Bernstein und Rot. „Phishing-Meldungen → Rot in 1 Periode" ist ein Satz, auf den Ihr CISO handeln kann. Niveau und Trend werden mit jeder Prognose geliefert — die Mathematik ist prüfbar.
Der Druckindex
Ein Wert von 0–100 je Domäne aus Frühindikatoren — KRI-Gesundheit, Ereignisspitzen, überfällige Maßnahmen, schwache Kontrollen, Appetitverletzungen — mit jedem Punkt zurückführbar auf einen anklickbaren Faktor. Nie mysteriöse Sammelzahlen.
ROSI-geordnete Maßnahmen
Fragen Sie die Plattform, wie sich ein quantifiziertes Risiko senken lässt: Sie bepreist die Kontrollbibliothek gegen Ihr Verlustmodell — Annahmen offen, nach Rendite geordnet. Ein Klick setzt den Gewinner um: Kontrolle verknüpft, Maßnahme eröffnet, Business Case gespeichert. Atomar.
Regulierungshorizont
Offizielle EU- und internationale Quellen — EUR-Lex, EBA, ESMA, ENISA, EDPB, CISA — abgerufen, dedupliziert und in Ihren Domänenatlas klassifiziert, mit extrahierten Geltungsdaten auf einem Countdown. AMLR-Standards in 95 Tagen ist Planung; eine Überraschung ist es nicht.
Von der Meldung ins Register
Triagieren Sie den Feed je Mandant. Ein Klick macht aus einem relevanten Eintrag ein Risikoentwurf in der richtigen Domäne, mit Quellenangabe und idempotent. Die Außenwelt fließt in Ihr Register statt daran vorbei.
Automatisierungsregeln
Wenn ein kritisches Restrisiko genehmigt wird, benachrichtige die Risikofunktion und löse einen Webhook aus. Wenn eine Ausnahme abläuft, eröffne eine Feststellung. Neun Auslöser, inspizierbare Bedingungen, vier geprüfte Aktionen, Platzhalter-Interpolation, Deduplizierung — mit vollständigem Ausführungsprotokoll.
Ein KI-Copilot, der seine Arbeit zeigt — und eine offene Tür für Ihren.
Jede Antwort zitiert die verwendeten Objekte und listet die exakt aufgerufenen Werkzeuge. Schreibaktionen erzeugen stets nur Entwürfe zur menschlichen Prüfung. Und der Zug, den sonst niemand liefert:
📌 Jede Antwort als Live-Widget anheften
Fragen Sie „welche Risiken steigen?" — erhalten Sie die Antwort — heften Sie sie an. Sie wird ein Board-Widget, das sich selbst aktualisiert. Ihr CRO-Cockpit baut sich aus den Fragen zusammen, die Sie wirklich stellen, mit Berechtigungen je Widget beim Rendern.
MCP: Bringen Sie Ihre eigene KI mit
Die gesamte Werkzeugoberfläche — 24 Tools und wachsend — ist über das offene Model Context Protocol verfügbar. Richten Sie Claude, Ihren internen Assistenten oder Ihre Datenplattform auf Sceau Risk: Er antwortet mit Ihrer Live-Risikolage, unter den Rechten Ihrer Nutzer. Begrenzte, widerrufbare API-Schlüssel machen die erste Integration zum Copy-Paste. Kein Lock-in, keine Blackbox zwischen Ihnen und Ihren eigenen Daten.
Drei Behauptungen. Drei Wege, uns zu prüfen.
1 · Die Kette antwortet
Rufen Sie jederzeit GET /audit/verify auf Ihrem Mandanten auf. Er durchläuft die Hashkette über jeden geprüften Datensatz und antwortet {"intact": true} — oder zeigt exakt, wo die Historie berührt wurde. Legen Sie den Kettenkopf in Ihre Vorstandsunterlage.
2 · Die Simulation wiederholt sich
Jeder Monte-Carlo-Lauf speichert Seed und Parameter. Führen Sie ihn in fünf Jahren erneut aus und erhalten Sie dieselbe Verteilung bis auf die Dezimale. Modellrisikomanagement, angewandt auf die Risikoplattform selbst.
3 · Der Score zerlegt sich
Klicken Sie auf jeden Druckwert, jede Abdeckungsquote, jede ROSI-Zahl — und sehen Sie die exakten Faktoren, Verknüpfungen oder Formeln dahinter. Eine Zahl, die wir nicht erklären können, zeigen wir nicht.
„Abgeleitet, nie erklärt. Erklärbar, nie orakelhaft. Versiegelt, nie editierbar." — die drei Designregeln, die jede Funktion von Sceau Risk bestehen muss.
Ihr Risikoregister ist eine Karte Ihrer Schwächen.
Sie sollte Europa nie verlassen.
EU by construction
- Betrieben von Galactic Automation BV, Belgien — eine EU-Rechtsperson, Punkt.
- Alle Produktionsdaten liegen in Belgien — Google Clouds EU-Region (europe-west1, Saint-Ghislain) mit EU-Datenresidenz. End-to-End EU-eigene Infrastruktur nötig? Ein souveräner Single-Tenant-Betrieb auf Hetzner ist auf Enterprise verfügbar.
- Keine Tracker, keine Analyse-Beacons, keine externen Schriften — auch diese Website stellt null externe Anfragen.
- DSGVO-Auftragsverarbeitungsbedingungen und unterzeichneter AV-Vertrag als Standard, kein Enterprise-Upsell.
Verteidigung in der Tiefe
- Mandantenisolation in der Datenbank erzwungen: PostgreSQL Row-Level Security, fail-closed auf jeder Tabelle.
- Rollenbasierte Zugriffe mit Funktionstrennung in den Workflows — Eigentümer können ihre eigene Arbeit nicht genehmigen.
- Unveränderlichkeit, wo es zählt: genehmigte Bewertungen und veröffentlichte Richtlinienversionen verweigern Änderungen auf Trigger-Ebene.
- Souveräner Single-Tenant-Betrieb auf Enterprise verfügbar — Ihre Instanz, Ihre Schlüssel, unsere Wartung.
Sehen Sie Ihre eigenen Risiken quantifiziert — an einem Nachmittag.
Bringen Sie drei Risiken und dreißig Minuten mit. Wir laden sie live, quantifizieren eines in Euro, prognostizieren einen KRI — und lassen Ihren Prüfer selbst /audit/verify aufrufen. Klingt Ihr nächstes Risikokomitee danach nicht anders, gehen wir als Freunde auseinander.