TrustScope

Über TrustScope

TrustScope verwandelt das Scoping von Penetrationstests von Bauchgefühl in eine transparente, deterministische Berechnung — eine, auf die sich Käufer, Anbieter und Prüfer gleichermaßen verlassen können. So wie CVSS allen eine gemeinsame Skala für Severity gibt, gibt TrustScope der Branche einen gemeinsamen Weg, Aufwand zu scopen: offen, überprüfbar und keiner Seite des Deals zugeneigt.

Das Problem, das wir lösen

Das Scoping von Pentests wird nach wie vor aus dem Bauch heraus festgelegt. Lassen Sie denselben Auftrag von zwei seriösen Anbietern kalkulieren, weichen die MD-Schätzungen oft um 40–100 % voneinander ab. Käufer haben keine objektive Möglichkeit zu beurteilen, wer Recht hat, und entscheiden sich daher meist für das günstigste Angebot — das häufig unterdimensioniert ist und reales Risiko ungetestet lässt. Anbieter wiederum verbringen Stunden mit gefühlsbasiertem Scoping und müssen dann eine Zahl verteidigen, in die der Kunde nicht hineinsehen kann. TrustScope öffnet diese Grauzone: es zeigt, woraus eine Schätzung besteht und warum.

Ein neutraler Standard, kein Vertriebstool

TrustScope ergreift keine Partei. Die Engine liefert dieselbe Zahl, egal wer sie ausführt — ein Käufer, der prüft, ob ein Angebot fair ist, ein Anbieter, der ein Angebot scopt, oder ein Prüfer, der erforderliche Tests plant. Genau darum geht es bei der Neutralität: Käufer können darauf vertrauen, dass die Schätzung nicht zugunsten des Anbieters aufgebläht ist, und Anbieter können sie als schnelle, verteidigbare Grundlage nutzen, die sie dem Kunden gerne zeigen. Eine gemeinsame Referenz funktioniert nur, wenn sich alle gleichermaßen darauf verlassen können.

Wie es funktioniert

  1. Sie beschreiben den Auftrag. Ein geführter Fragebogen führt Sie durch Zielsysteme, Testtiefe, Umgebung, Zugriffsebene und Compliance-Kontext (NIS2, DORA, ISO 27001).
  2. Die Engine berechnet den Umfang. Die Schätzung läuft auf festen, dokumentierten Regeln — kein KI-Raten. Dieselben Eingaben ergeben immer dasselbe Ergebnis, und jede Regel ist im Methodik-Bereich nachlesbar, sodass Sie die Logik Zeile für Zeile prüfen können.
  3. Sie sehen, woraus die Zahl besteht. Das Ergebnis ist keine bloße Summe. Es wird über die drei realen Aufwandsdimensionen aufgeschlüsselt — technisch, Compliance und Reporting — sodass alle genau verstehen, woher die Personentage kommen.
  4. Sie erzeugen ein strukturiertes Briefing. Aus dem Umfang erstellt TrustScope die Voraussetzungen, die Sie bereitstellen müssen — Zugänge, Testkonten, Dokumentation — und ein klares Briefing, das Sie an einen oder mehrere Anbieter für vergleichbare Angebote senden können.

Weil die Berechnung deterministisch und dokumentiert ist, kommen zwei Personen für denselben Auftrag auf dieselbe Antwort — und genau das macht eine Schätzung verteidigbar.

Methodisch fundiert, an realer Arbeit kalibriert

TrustScope kombiniert zwei Ebenen, und der Unterschied ist wichtig:

  • Methodik — was getestet wird.Anwendungs-Scopes (Web, API, Mobile) folgen den OWASP Testing Guides; Infrastruktur-Scopes (extern, intern) folgen OSSTMM. Sie definieren die Abdeckung, die jeder Engagement-Typ erreichen soll.
  • Kalibrierung — wie lange es dauert.Die MD-Baselines und Modifikatoren stammen aus dem erfassten Aufwand von 800+ realen Pentest-Projekten über Branchen und Regionen hinweg. Die Zahlen spiegeln die Zeit wider, die Tester tatsächlich aufgewendet haben — keine Theorie und keine Gewohnheiten eines einzelnen Teams.

Die Methodik definiert Vollständigkeit; die Daten definieren Aufwand. Zusammen machen sie eine Schätzung sowohl verteidigbar (an anerkannten Standards verankert) als auch realistisch (an dem orientiert, was Testing tatsächlich kostet).

Was die MD-Zahl wirklich bedeutet

Es gibt keine einzelne „richtige“ Dauer für einen Penetrationstest, und TrustScope behauptet das auch nicht. Die Schätzung steht für den angemessenen Aufwand, ein System auf professionellem Niveau zu testen — nach den oben genannten Methodiken — sodass realistisch ausnutzbare Schwachstellen gefunden und ein wahrscheinlicher Angreifer in einem sinnvollen Zeitrahmen abgewehrt werden.

Sie ist bewusst keine Obergrenze. Ein Tester mit unbegrenzter Zeit könnte immer noch weiter gehen — in tiefgehende Forschung, Entwicklung neuartiger Exploits und Edge Cases, die nicht mehr zeiteffizient und nicht mehr Standardpraxis sind. Ein realer Angreifer mit starker Motivation, ein bestimmtes System zu brechen, kann weit mehr Zeit aufwenden, als jede ethische Zusammenarbeit es je tut. TrustScope schätzt den standardmäßigen, methodisch geführten Aufwand, der in sinnvoller Zeit zu effektiver Abdeckung konvergiert — nicht das theoretische Maximum und nicht das Minimum, mit dem ein Anbieter über den Preis gewinnen will.

Darum geht es: eine verteidigbare Referenz dafür, was gutes Standard-Testing an Zeit kostet — etwas, worauf sich Käufer, Anbieter und Prüfer als angemessen einigen können. Es ist der Unterschied zwischen einem Pentest und einem ordentlich gemachten Pentest — zwischen einem Ergebnis, hinter dem man stehen kann, und einem Häkchen auf dem Papier.

Für wen es ist

  • Käufer (CISOs, Security- und Compliance-Teams)um zu wissen, wie eine faire Anzahl an Personentagen aussieht und sie intern zu verteidigen, statt zu raten, ob ein Angebot angemessen ist.
  • Anbieter (Pentest-Teams, MSSPs)um Angebote schnell und transparent zu scopen und durch Klarheit zu gewinnen, statt über den Preis zu unterbieten.
  • Prüfer und Regulierer (NIS2, DORA, ISO 27001)für eine belastbare, wiederholbare Grundlage, Tests zu planen und zu rechtfertigen.

Ihre Daten

Ihre Eingaben dienen ausschließlich der Erstellung Ihrer Schätzung. Sie werden ohne Ihre Aktion nicht an Anbieter weitergegeben und nie zum Training irgendeines Modells verwendet. Wir kalibrieren die Engine an realen Projekten, um Schätzungen genau zu halten — fundiert auf tatsächlichen Aufträgen, nicht auf Marketing-Versprechen.

Wohin wir gehen

Ein Penetrationstest sollte keine Black Box sein, in der der Preis geraten wird. Jede Schätzung sollte eine klare Methodik haben, erklärbar und zwischen Anbietern vergleichbar sein. Unser langfristiges Ziel ist, TrustScope zum gemeinsamen Standard für Pentest-Scoping zu machen — kalibriert an realen Projekten und von allen Seiten gleichermaßen vertraut — sodass „scoped with TrustScope“ für Käufer, Anbieter und Prüfer dasselbe bedeutet. Keine einzelne diktierte Zahl, sondern eine transparente Basis, von der alle ausgehen und die mit dokumentierter Begründung angepasst werden kann.

Kontakt

Fragen, Feedback, Kalibrierungsdaten oder eine Beratungsanfrage? Schreiben Sie an david@trustscope.io.