Security Guides
In diesem Guide

Hinweis

Geprueft von Security Engineers, regelmaessig aktualisiert, keine Rechtsberatung.

Security Guide

Häufige Fehler bei der Anbieterwahl

Die meisten Fehlentscheidungen passieren nicht aus bösem Willen, sondern aus Zeitdruck, fehlender Vergleichbarkeit oder falschen Annahmen. Dieser Guide zeigt die häufigsten Fehler – und wie Sie sie pragmatisch vermeiden.

Kurzfassung

Vermeiden

Nur nach Preis entscheiden, Scope unklar lassen, Reports nicht prüfen.

Risiko

Scanner als Pentest verkaufen lassen, fehlende Verantwortung im Team.

Kritisch

Keine Methodik, keine PoCs, kein Follow-up bei Findings.

Warum diese Fehler so häufig sind (Experience)

In der Praxis sehen wir immer wieder dieselben Muster:

  • Zeitdruck führt zu Schnellentscheidungen ohne sauberes Scoping
  • Marketing-Claims ersetzen technische Nachweise

  • Vergleichbarkeit fehlt, weil Angebote unterschiedlich zugeschnitten sind

  • Verantwortlichkeiten sind nicht klar benannt

Häufige Fehler – und wie Sie sie vermeiden

1) Nur den Preis vergleichen

Ein günstiger Preis bedeutet oft weniger Tiefe.
Besser: Angebote vergleichbar machen (Scope, Zeitansatz, Methodik).

2) Unklare Scope-Definition

Ohne Scope kein seriöser Vergleich.
Besser: Zielsysteme, Ausschlüsse, Risiken und RoE schriftlich fixieren.

3) Scanner als “Pentest” akzeptieren

Automatisierte Tests sind sinnvoll, ersetzen aber keinen manuellen Pentest.
Besser: Nach manueller Analyse und PoCs fragen.

4) Keine klare fachliche Verantwortung

Anonyme Teams führen zu unklaren Entscheidungen.
Besser: Lead-Tester benennen lassen.

5) Reports nicht prüfen

Unverwertbare Reports kosten Zeit und Budget.
Besser: Beispielreport(s) anfordern, Priorisierung prüfen.

6) Fehlende Compliance-Rahmen

Fehlende NDA/AVV oder Datenschutzprozesse sind ein Risiko.
Besser: Rechtliche Rahmen vorab klären.

Aus der Praxis: Angebotsvergleich

In Angebotsvergleichen zeigt sich häufig:

  • gleiches Tooling, aber stark unterschiedliche manuelle Tiefe
  • technisch korrekte Findings ohne klare Priorisierung
  • gute Zertifikate, aber keine belastbare Projekterfahrung

Was stattdessen zählt (Expertise)

  • nachvollziehbare Methodik (z. B. OWASP, PTES, NIST 800-115)
  • reproduzierbare Findings und klare Fix-Empfehlungen
  • verantwortliche Lead-Rolle und definierte Kommunikation
  • rechtliche und organisatorische Rahmen klar geregelt

Kurz-Check: Anbieter schnell bewerten

KriteriumGutSchwach
Methodikdokumentiertunklar
Testsmanuell + Toolingnur Scanner
Reportreproduzierbar & priorisiertunstrukturiert
Verantwortungklarer Leadanonym

Fazit

Die meisten Auswahlfehler sind vermeidbar, wenn Scope, Methodik und Verantwortung sauber geklärt sind.
Lieber einen Anbieter mit sauberer Methodik und klaren Ergebnissen als ein günstiges Angebot ohne Substanz.

Dieser Guide wurde von Security Engineers mit Erfahrung auf Kunden- und Anbieterseite erstellt. Er ersetzt keine individuelle rechtliche Beratung.

Nächster Schritt

Wenn Sie bei der Auswahl Unterstützung brauchen, helfen wir neutral und strukturiert.

Anbieter bewerten lassen