Wir testen die Security-Tools, die euch schützen sollen.
Ihr habt Firewall, EDR, AI-Runtime-Schutz und Email-Gateway im Einsatz. NIS2 Art. 21(2)(d) fragt nicht, ob ihr sie habt, sondern ob sie halten, was der Vendor verspricht. Wir validieren das. Hands-on. Mit Nachweis.
Was wir immer wieder sehen.
Ein KMU-Geschäftsführer zeigt uns stolz die Security-Roadmap: AI-Firewall installiert, Zero-Trust-Gateway live, Email-Scanner aktiv. Haken dran, NIS2-Checkliste abgearbeitet. Dann fragen wir: „Wer hat getestet, ob das Tool seinen Marketing-Claim hält?" Stille.
Das ist genau die Lücke, die Art. 21(2)(d) schließen will. Ihr haftet nicht dafür, ob ihr ein Tool gekauft habt. Ihr haftet dafür, ob ihr das Risiko dieses Tools bewertet habt.
Was wir konkret machen.
01 Tool-Inventory und Triage
Wir sammeln euren Security-Stack, priorisieren nach Kritikalität (welches Tool schützt welches Asset) und bewerten pro Tool: public CVEs, Hersteller-Track-Record, realistische Angriffsfläche. Ergebnis: eine Liste, mit der ihr wisst, wo ihr wirklich hinschauen müsst.
02 Hands-on Pentest pro Tool
Kein Paper-Audit. Wir setzen das Tool in einer Testumgebung auf und versuchen, es mit realen Payloads zu umgehen. Genau so, wie wir es zuletzt bei einem namhaften AI-Firewall gemacht haben. Dokumentierter PoC, reproduzierbar, mit Schweregrad nach CVSS 3.1.
03 NIS2-konforme Dokumentation
Jedes Assessment endet mit einem Bericht, der wortwörtlich auf Art. 21(2)(d) und Art. 21(3) gemappt ist. Wenn das BSI nachfragt, zeigt ihr dieses Dokument und nicht die Vendor-Broschüre.
04 Ongoing Monitoring
Security-Tools ändern sich: neue Versionen, neue CVEs, neue Bypass-Techniken. Im Retainer-Modell checken wir quartalsweise nach, tracken CVEs eurer Vendors und triggern Re-Tests, wenn sich etwas Relevantes ändert.
Der NIS2-Anker.
Art. 21(2)(d) NIS2-Richtlinie (wörtlich)
„Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern."
Art. 21(3): der Teil, der wehtut
„Bei der Bewertung, welche Maßnahmen nach Absatz 2 angemessen sind, berücksichtigen die Einrichtungen [...] die Schwachstellen spezifisch für jeden direkten Anbieter und Diensteanbieter und die allgemeine Qualität der Produkte und der Cybersicherheitspraktiken ihrer Anbieter und Diensteanbieter, einschließlich ihrer Verfahren für sichere Entwicklung."
Übersetzt auf Deutsch:
- >_„Gekauft und installiert" ist keine angemessene Maßnahme.
- >_Ihr müsst die spezifischen Schwachstellen jedes Anbieters bewerten.
- >_Wenn ein Tool demonstrierbar umgangen werden kann und ihr habt das nicht geprüft, ist das im Incident-Fall ein Compliance-Verstoß, nicht nur Pech.
- >_Die Beweislast liegt bei euch, nicht beim Vendor.
Transparente Preisstruktur.
Keine starren Festpreis-Packages, Security-Tools sind dafür zu unterschiedlich. Aber klare Ranges, und nach dem Scoping einen verbindlichen Festpreis.
| Leistung | Festpreis | Dauer |
|---|---|---|
| Einzel-Tool-Assessment | ab 3.190 EUR | 3 bis 5 Werktage |
| Stack-Assessment (3 bis 5 Tools) | 11.900 bis 18.900 EUR | 2 bis 3 Wochen |
| Ongoing Monitoring (Retainer) | 990 EUR / Monat | fortlaufend |
| Erstgespräch und Scoping | kostenfrei | 30 Minuten |
Was Mandanten typischerweise vorher wissen wollen.
Was kostet ein Supplier-Pentest im typischen Fall?
Einzel-Tool-Assessment ab 3.190 EUR (3 bis 5 Werktage), Stack-Assessment für 3 bis 5 Tools 11.900 bis 18.900 EUR (2 bis 3 Wochen), laufendes Monitoring ab 990 EUR pro Monat. Erstgespräch und Scoping kostenfrei, 30 Minuten. Festpreise nach Scoping, ohne Tagessätze.
Wie lange dauert ein Assessment?
Einzel-Tool: 3 bis 5 Werktage ab Zugang zur Testumgebung. Komplett-Stack: 2 bis 3 Wochen inklusive Bericht. Wir arbeiten nicht mit Projekt-Blähung. Wenn wir in 4 Tagen fertig sind, berechnen wir 4 Tage.
Was passiert, wenn nichts gefunden wird?
Dann habt ihr schriftlichen Nachweis, dass das Tool unter realistischen Angriffsszenarien gehalten hat. Genau diesen Nachweis braucht ihr für die Art.-21-Dokumentation. Ein negativer Befund ist kein schlechtes Ergebnis, sondern ein Compliance-Asset. In unseren bisherigen Tests haben wir bei mehreren Enterprise-Security-Tools relevante Bypass-Techniken dokumentiert. Jüngste publizierbare Discovery: Aikido-Zen-Runtime-Bypass via Source-Map-Replay (2026, Coordinated Disclosure).
Wie sieht es mit Haftung aus?
Wir arbeiten unter Werkvertrag mit klar definiertem Scope. Pentests werden nur gegen schriftliche Freigabe durchgeführt (Permission-to-Test) und wir haben eine Berufshaftpflicht. Kein Pentest gegen Produktionssysteme ohne dokumentiertes Einverständnis.
Müssen wir den Vendor informieren?
Bei einem Public-Pentest- oder Bug-Bounty-Programm des Vendors: nein. Bei einer dedizierten Testinstanz: manchmal, je nach Lizenz-TOS. Wir klären das im Scoping mit euch und dokumentieren den rechtlichen Pfad, damit ihr am Ende sauber dasteht.
Was liefert ihr am Ende ab?
Einen Report mit Executive-Summary (2 Seiten, für Geschäftsführung), technischem Detail-Teil (für euer IT-Team), NIS2-Mapping-Tabelle (für Audit und BSI), Remediation-Roadmap und PoC-Code zur Reproduktion (sofern Findings vorhanden). Auf Wunsch zusätzlich als Keynote-Präsentation für die Vorstandssitzung.
30 Minuten Erstberatung, kostenfrei.
Wir besprechen Ihr konkretes Anliegen, schätzen Aufwand und Preisrahmen ein und klären, ob wir der richtige Partner sind. Unverbindlich.