Der eine Weg sieht alles oberflächlich, der andere wenig dafür gründlich — und nur einmal im Jahr. Wir stellen beide ehrlich nebeneinander und zeigen, wo ein dauerhaft mitlaufender Mittelweg den Unterschied macht.
Genau hier trennen sich die beiden Welten: Der breite Scan würde jeden dieser vier Punkte einzeln auflisten, ohne sie zu verbinden. Ein Tester denkt in Zügen — und sieht, wie aus vier für sich kleinen Befunden eine durchgehende Kette wird. Tippen Sie auf einen Schritt, um zu sehen, wo sie reißt.
Dieselben Befunde, einmal als Liste, einmal als Weg gelesen
Breite, Tiefe und Häufigkeit lassen sich nicht gleichzeitig maximieren. Jeder Weg setzt seinen Schwerpunkt woanders — und damit auch seine ehrliche Grenze.
Fährt einmal über alles Erreichbare und gleicht es mit bekannten Mustern ab. Stärke: viel Fläche, günstig, beliebig oft. Grenze: bleibt an der Oberfläche und reiht Treffer nur aneinander — ob ein Befund wirklich ausnutzbar ist, sagt er nicht.
Ein Mensch taucht in einzelne Systeme ein und denkt sich durch ihre Logik. Stärke: bestätigt, was real angreifbar ist, findet auch Verkettungen. Grenze: aufwendig, entsprechend teuer, deckt nur wenige Systeme ab — und gilt nur für den Prüftag.
So breit und wiederholbar wie der automatische Weg, aber in Wegen denkend statt zählend. Stärke: ganzjähriges, sortiertes Lagebild. Grenze, ehrlich: ersetzt nicht den Menschen, der eine einzelne kritische Web-App in die Tiefe prüft — sagt aber, wo sich genau das lohnt.
TULPAR muss nicht zwischen Fläche und Tiefe wählen, weil es sich aus beiden bedient: Es prüft automatisch und ganzjährig wie der breite Weg, sortiert die Funde aber nach derselben Frage wie ein Tester — welche von ihnen bauen sich zu einem echten Angriffsweg zusammen?
Im eigenen Netz aufgesetzt — kein externer Termin, kein Tester muss anreisen.
🟢 Nur ansehen als Standard, 🟡 ein Schritt aktiv nur mit Ihrer Freigabe — und das beliebig oft.
Verschiebt ein Update das Bild, sehen Sie es — statt elf Monate auf den nächsten Report zu warten.
Breite, Tiefe und Häufigkeit sind drei Kriterien — das vierte ist die Lesbarkeit. Eine 300-Zeilen-Scan-Tabelle und ein 60-Seiten-Pentest-PDF haben beide dasselbe Problem: Niemand außerhalb der IT liest sie. Links steht, was stattdessen ankommt — eine Note, eine Ampel, eine Reihenfolge.
Der breite Scan listet alles gleich laut. Hier steht, was zuerst zählt — als Reihenfolge, nicht als Wand.
Ein Pentest-Bericht beschreibt einen vergangenen Prüftag. Diese Note gilt für den aktuellen Stand.
Läuft offline im eigenen Netz — keine Cloud, keine Datenabflüsse, DSGVO-freundlich.
Markiert, an welcher Stelle sich der tiefe manuelle Pentest wirklich rechnet — ohne zu übertreiben.
Es ist der Unterschied zwischen Fläche und Tiefe. Der automatische Scan fährt einmal breit über alles, was im Netz erreichbar ist, gleicht es mit bekannten Mustern ab und meldet Treffer in der Menge — schnell und günstig, aber an der Oberfläche. Der manuelle Pentest geht in wenige Systeme wirklich hinein: Ein Mensch denkt sich in die Logik einer Anwendung, probiert Wege durch und bestätigt, was tatsächlich ausnutzbar ist. Breite kostet wenig und sieht viel; Tiefe kostet viel und sieht wenige Dinge richtig genau. Die meisten Betriebe brauchen beides — die Frage ist nur, in welchem Takt.
Weil Breite und Tiefe in der Praxis gegeneinander stehen. Der breite Scan ist oft eingeschaltet, aber sein Ergebnis ist eine flache Aufzählung ohne Reihenfolge. Der tiefe Pentest ist aussagekräftig, läuft aber höchstens ein- bis zweimal im Jahr und altert ab dem nächsten Update. Dazwischen klafft die Lücke: Was passiert in den elf Monaten, in denen kein Tester im Haus ist? Genau diese Lücke füllt TULPAR — dauerhaft mitlaufend wie ein Scan, aber in Zusammenhängen denkend statt nur zählend.
TULPAR übernimmt vom Scan die Breite und das beliebige Wiederholen, vom Pentest die Denkweise in Wegen statt in Einzeltreffern. Es nimmt die vielen kleinen Schwächen, die ein Scan findet, und prüft, welche sich zu einem durchgehenden Weg verketten lassen — von einem unscheinbaren Einstiegspunkt bis zur weitreichenden Kontrolle. Das Ergebnis ist nicht die volle Tiefe eines Menschen an einer einzelnen Anwendung, aber deutlich mehr Aussage als eine reine Trefferliste, und das jederzeit erneut statt nur am Prüftag.
Der breite Scan passt, wenn Sie kostengünstig den Grundpegel halten und offensichtliche Versäumnisse früh sehen wollen. Der tiefe manuelle Pentest passt, wenn eine konkrete, kritische Anwendung — etwa ein Kundenportal oder eine selbst gebaute Web-App — wirklich auf Herz und Nieren soll. Der Mittelweg passt, wenn Sie ganzjährig wissen wollen, welche Wege aktuell offen stehen und was zuerst zu tun ist, ohne jeden Monat einen Tester zu buchen. TULPAR ist dieser Mittelweg — und sagt Ihnen selbst, wann sich der teure tiefe Pentest lohnt.
Ein Pentest ist eine Momentaufnahme: Er beschreibt den Stand am Prüftag. Schon das nächste Update, ein neues Gerät oder ein geänderter Zugang kann das Bild verschieben. Genau deshalb ist die Häufigkeit ein eigener Vergleichspunkt, nicht nur Breite und Tiefe. Ein dauerhaft mitlaufender Mittelweg hält das Lagebild aktuell, statt es einmal im Jahr einzufrieren — Sie sehen Veränderungen, wenn sie entstehen, nicht erst beim nächsten Termin in zwölf Monaten.
Nein, und das soll er auch nicht. Wo ein erfahrener Mensch gezielt in eine einzelne, besonders kritische Web-Anwendung eintaucht, findet er Logikfehler und Verkettungen, die kein dauerhaft laufendes Werkzeug zuverlässig nachstellt. TULPAR macht die häufigen, netzweiten Angriffswege ganzjährig sichtbar und zeigt, an welcher Stelle sich diese tiefe, manuelle Prüfung wirklich rechnet. Beide Wege ergänzen sich — der eine in der Fläche und über die Zeit, der andere punktuell in der Tiefe.
Nein. Anders als beim Begriff „Angriff“, der zum Pentest gehört, ist TULPAR eine autorisierte Selbstprüfung im eigenen Netz. Standardmäßig wird nur angesehen (read-only): Die Software betrachtet, wie Ihr Netz aufgebaut ist und welche Wege theoretisch offen stünden, ohne etwas auszulösen. Erst wenn Sie einen einzelnen Schritt ausdrücklich freigeben, wird er aktiv nachgestellt — und nur in Ihrem eigenen Netz. Wir greifen nichts an, was Sie nicht freigeben.
Beide Wege erzeugen Belege, aber unterschiedliche: Ein Pentest-Bericht ist tief und punktgenau zum Prüftag, ein dauerhafter Mittelweg dokumentiert die Wirksamkeit fortlaufend — und genau die regelmäßige Überprüfung verlangt etwa DSGVO Art. 32. TULPAR identifiziert Schwachstellen technisch und hält sie nachvollziehbar fest, sodass die Belege in NIS2-Risikomanagement, BSI-Einstiegschecks oder einen Versicherungsantrag einfließen können. Das ist aber keine Rechtsberatung und keine Zertifizierung und macht Sie nicht automatisch konform; ob Sie überhaupt von NIS2 betroffen sind, hängt von Sektor und Größe ab und klären Sie individuell.
Drei Wege, eine Frage: Wo brauchen Sie Fläche, wo Tiefe, wie oft? In einem kurzen Gespräch ordnen wir Ihren Fall ein und sagen ehrlich, welche Mischung sich für Ihr Netz rechnet — und wo der Mittelweg genügt.