Die Schlagzeilen sind voll von Cyberangriffen, Datenlecks und millionenschweren Ransomware-Forderungen. Unternehmen werden von KI-generierten Phishing-Kampagnen, Supply-Chain-Angriffen und Zero-Day-Exploits getroffen – professionell organisiert und global vernetzt.
Der Security-Markt wächst explosionsartig – getrieben von NIS2, DORA, Cyber Resilience Act und KRITIS-Gesetzen. Doch wo viel Geld im Spiel ist, sind auch Anbieter unterwegs, die mehr „Cyber-Marketing“ als Security liefern. Sie versprechen All-in-One-Schutz, glänzen mit bunten Broschüren und Buzzwords, liefern aber fachlich wenig.
Die Frage ist also:
„Wie entlarvt man die falschen Schafe – und wie erkennt man echte Experten?“
1. Veröffentlichte Schwachstellen und Security-Tools
Falsche Anbieter behaupten gern, sie könnten „alles prüfen“ – doch von ihnen findest du keinerlei technische Beiträge oder Ergebnisse.
Echte Experten dagegen veröffentlichen:
- CVE-Einträge (Common Vulnerabilities and Exposures):
Wer in gängiger Software Schwachstellen entdeckt, diese verantwortungsvoll meldet und CVE-IDs erhält, hat nachweislich technisches Können. - Open-Source-Tools:
Auf GitHub/GitLab findest du Projekte, die von der Community genutzt, verbessert und bewertet werden. Das ist ein Indiz für gelebte Fachlichkeit, nicht für leere Versprechen.
Prüfen:
- Hat der Anbieter CVEs im eigenen Namen?
- Hat er Open-Source-Beiträge, die mehr sind als „Marketing-Tools“?
2. Fachbeiträge & technischer Tiefgang
Falsche Schafe füllen Blogs mit Schlagworten: KI, Cloud, Zero Trust – alles klingt modern, bleibt aber oberflächlich.
Echte Experten veröffentlichen Inhalte, die Substanz haben:
- Exploit-Analysen, Proof-of-Concepts, technische Walkthroughs
- Praxisberichte aus Penetrationstests
- Deep Dives zu Malware, Kryptographie oder Cloud-Security
Heute zählt nicht nur der klassische Blog: auch Podcasts, Newsletter (z. B. Risky Business), YouTube-Analysen oder Konferenzberichte zeigen, wie tief jemand tatsächlich im Thema steckt.
Prüfen:
- Beschreibt der Anbieter echte Angriffs- und Verteidigungstechniken – oder bleibt er auf PowerPoint-Niveau?
3. Community & Social Media
Security lebt von Austausch. Wer sich abschottet, liefert oft nur das, was Marketing erlaubt.
- X (früher Twitter): noch immer die Quelle für Exploits und Zero-Days.
- Mastodon/Bluesky: zunehmend Anlaufstelle für Security-Researcher.
- LinkedIn: nützlich, aber Vorsicht: viele Selbstdarsteller mit „Cyber“-Floskeln.
- Discord/Slack-Communities: oft der Ort, an dem Tools entstehen und getestet werden.
Prüfen:
- Hat der Anbieter eine echte Community-Präsenz?
- Werden seine Beiträge geteilt, diskutiert, kritisiert – oder sind es nur Hochglanz-Posts ohne Resonanz?
4. Konferenz- und Messebeiträge
Falsche Anbieter besuchen Konferenzen, machen Selfies und posten #Cyber – aber nie als Speaker.
Echte Experten sprechen auf Bühnen wie:
- OffensiveCon (Berlin)
- Troopers (Heidelberg)
- CCC Congress (Leipzig)
- BlackHat / DEF CON (weltweit)
- ruhrsec (Bochum)
- SANS Summits
Dort präsentiert niemand Marketingfolien – hier zählen nur echte Forschung, Exploits, technische Innovationen.
Kurz: Ein Auftritt kann auch bei offiziellen Konferenzen und Messen erkauft sein. Entscheidend ist:
Wurde der Slot gekauft oder unabhängig per CFP/Komitee vergeben — und gibt es technischen Nachweis?
Wenn ein Slot bezahlt ist und keine technischen Belege vorhanden sind → Alarmsignal.
Prüfen:
- Hat der Anbieter Vorträge oder Workshops gehalten?
- Wenn ja, wo?
- Musste der Anbieter sich bewerben und beweisen oder hat er seinen Slot erkauft?
- Gibt es einen öffentlichen Programm-/CFP-Eintrag (mit Komitee)?
- Ist die Session als „sponsored“ / Vendor-Track oder als Sponsor-Slot ausgewiesen?
- Liefern Slides/Video/Paper/Demo/GitHub/CVEs technischen Nachweis?
5. Weitere Indizien für Seriosität
- Zertifizierungen & Skills: OSCP, OSCE, GIAC, CISSP, CISM sind harte Prüfungen – keine gekauften Logos.
- Regulatorik & Compliance: Kann der Anbieter nicht nur Technik, sondern auch NIS2, ISO 27001 oder TISAX?
- Transparenz: Liefert er Case Studies, Whitepaper, öffentlich nachvollziehbare Methoden?
- KI & Automatisierung: Nutzt er moderne Ansätze (SOAR, Threat Hunting mit ML) – oder verkauft er nur „AI-Cyber-Protection“ als Schlagwort?
Fazit
In einem Markt voller Versprechen ist es entscheidend, fachliche Substanz von Marketing-Show zu trennen.
- Wer keine CVEs, keine Tools, keine echten Beiträge in Community oder auf Konferenzen vorweisen kann, sollte sich nicht „Security-Experte“ nennen.
- Wer hingegen publiziert, forscht, teilt und auf Top-Konferenzen spricht, zeigt: hier steckt echtes Know-how.
Frag nach. Prüfe nach.
Nur so entlarvst du falsche Schafe – und schützt dein Unternehmen vor dem größten Risiko:
falscher Sicherheit.
