Checkliste bezugnehmend auf Blogbeitrag Zu viel Cyber, zu wenig Security!
- Keine CVEs
→ Hat der Anbieter jemals eigene Schwachstellen (CVE-Einträge) veröffentlicht? - Keine Open-Source-Tools
→ Gibt es Projekte oder Scripte auf GitHub/GitLab? Oder nur Marketingfolien? - Oberflächliche Inhalte
→ Sind Blog/Podcasts nur Buzzword-Bingo (KI, Zero Trust, Cloud) – ohne technische Tiefe? - Keine Konferenz-Vorträge
→ War der Anbieter jemals als Speaker bei OffensiveCon, BlackHat, Troopers, DEF CON, ruhrsec etc. (gekaufte Slots ungültig)? - Nur LinkedIn-Marketing
→ Gibt es echte Diskussionen in der Community (X, Mastodon, Slack, Discord) oder nur Selbstdarstellung? - Unklare Zertifizierungen
→ Hat das Team OSCP, OSCE, GIAC, CISSP, CISM? Oder nur „Partner-Logos“ von Herstellern? - Keine Referenzen mit Substanz
→ Liefert der Anbieter nachvollziehbare Case Studies, Whitepaper oder anonymisierte Projektberichte? - Übertreibung bei KI
→ Verkauft er „AI-Cyber-Protection“ ohne konkret zu erklären, wie ML/Automatisierung in der Praxis eingesetzt wird? - Keine Community-Beiträge
→ Mitarbeit an OWASP, MITRE ATT&CK, ENISA, Open-Source-Projekten? Fehlanzeige? - Alles können, nichts beweisen
→ Behauptet der Anbieter, „alles“ im Bereich Security zu können – aber liefert keinen einzigen öffentlich überprüfbaren Nachweis?
👉 Merksatz:
Wer keine Spuren in der Security-Community hinterlässt, hat oft auch keine Substanz im Projekt.
Quick-Checks & Vorgehen bei Verdacht
- Fordere konkret: CVE-IDs, GitHub-Links, 2 technische Whitepaper, 1 anonymisierte Case Study, PenTest-Summary, Audit-Summaries.
- Vereinbare eine Live-Demo mit technischen Fragen (nicht nur Sales).
- Bitte um ein kurzes PoC-Engagement mit klarem Scope vor Vertragsunterschrift.
- VerifiziereZertifikate/Audits direkt beim Issuer.
- Setze SLA-Penalties, Audit-Rights und Exit-Klauseln vertraglich fest.
