Vergleich · Breite gegen Tiefe · von Buzzard AI

Scan vs. Pentest — Breite, Tiefe und wie oft.

Der eine Weg sieht alles oberflächlich, der andere wenig dafür gründlich — und nur einmal im Jahr. Wir stellen beide ehrlich nebeneinander und zeigen, wo ein dauerhaft mitlaufender Mittelweg den Unterschied macht.

Läuft im Haus · keine Cloud · Daten bleiben Ihre Nur ansehen — aktiver Test nur mit Ihrer Freigabe Klartext-Report: Schulnote & Ampel
Worum der Streit geht

Ein Scan zählt Einzelteile — ein Tester sieht den Weg.

Genau hier trennen sich die beiden Welten: Der breite Scan würde jeden dieser vier Punkte einzeln auflisten, ohne sie zu verbinden. Ein Tester denkt in Zügen — und sieht, wie aus vier für sich kleinen Befunden eine durchgehende Kette wird. Tippen Sie auf einen Schritt, um zu sehen, wo sie reißt.

Dieselben Befunde, einmal als Liste, einmal als Weg gelesen

🖨️
Druck-Server
PRINT-01 · 10.10.10.50
PrintNightmare · CVE-2021-34527
✅ Auf der Scan-Liste nur eine von vielen roten Zeilen. Als Wegbeginn aber der lohnendste Fix: Spooler absichern oder Update einspielen — und die Kette startet gar nicht erst.
💻
Mitarbeiter-PC
WS-042 · 10.10.10.42
NTLM-Relay
✅ Für sich harmlos, im Weg der Übergang: SMB-Signing erzwingen, NTLM einschränken — dann lässt sich die Anmeldung nicht weiterreichen, und der Zug bricht ab.
🔑
Service-Konto
svc_sql
Kerberoasting → DCSync
✅ Ein Scan meldet hier höchstens „schwaches Passwort“. Der Weg zeigt die Folge: langes, zufälliges Kennwort und knappe Rechte verhindern den Sprung zum Domänen-Controller.
👑
Volle Kontrolle
Domain-Admin · DC01
Game Over
✅ Das Ziel des Wegs — und der Punkt, den eine flache Liste nie zeigt. Schon ein gekappter Schritt davor, und dieses Feld bleibt unerreichbar.
Vier rote Zeilen auf einer Scan-Liste wirken gleich dringlich. Als Weg gelesen, zählt nur der eine Schritt, der ihn kappt. Diese Reihenfolge ist der Unterschied.
Drei Wege nebeneinander

Dieselbe Frage, drei sehr verschiedene Antworten.

Breite, Tiefe und Häufigkeit lassen sich nicht gleichzeitig maximieren. Jeder Weg setzt seinen Schwerpunkt woanders — und damit auch seine ehrliche Grenze.

📡

Breit & automatisch

Fährt einmal über alles Erreichbare und gleicht es mit bekannten Mustern ab. Stärke: viel Fläche, günstig, beliebig oft. Grenze: bleibt an der Oberfläche und reiht Treffer nur aneinander — ob ein Befund wirklich ausnutzbar ist, sagt er nicht.

🔬

Tief & manuell

Ein Mensch taucht in einzelne Systeme ein und denkt sich durch ihre Logik. Stärke: bestätigt, was real angreifbar ist, findet auch Verkettungen. Grenze: aufwendig, entsprechend teuer, deckt nur wenige Systeme ab — und gilt nur für den Prüftag.

🔁

Dauerhaft dazwischen

So breit und wiederholbar wie der automatische Weg, aber in Wegen denkend statt zählend. Stärke: ganzjähriges, sortiertes Lagebild. Grenze, ehrlich: ersetzt nicht den Menschen, der eine einzelne kritische Web-App in die Tiefe prüft — sagt aber, wo sich genau das lohnt.

Wo TULPAR ansetzt

Die Breite des Scans, die Denkweise des Testers.

TULPAR muss nicht zwischen Fläche und Tiefe wählen, weil es sich aus beiden bedient: Es prüft automatisch und ganzjährig wie der breite Weg, sortiert die Funde aber nach derselben Frage wie ein Tester — welche von ihnen bauen sich zu einem echten Angriffsweg zusammen?

  • Vom breiten Weg: die Häufigkeit. Läuft immer wieder, statt einen Stichtag im Jahr festzuhalten.
  • Vom tiefen Weg: das Denken in Wegen. Verkettet Einzelfunde, statt sie nur untereinander zu listen.
  • Was es bewusst nicht ist. Kein Mensch, der eine einzelne Web-App in die Tiefe zerlegt — dafür zeigt es, an welcher Stelle sich der teure Tiefgang lohnt.
So läuft der Mittelweg

Nicht einmal im Jahr — laufend.

1

Einmal eingerichtet

Im eigenen Netz aufgesetzt — kein externer Termin, kein Tester muss anreisen.

2

Immer wieder geprüft

🟢 Nur ansehen als Standard, 🟡 ein Schritt aktiv nur mit Ihrer Freigabe — und das beliebig oft.

3

Aktuell gehalten

Verschiebt ein Update das Bild, sehen Sie es — statt elf Monate auf den nächsten Report zu warten.

4Ausreichend
Sicherheits-Zeugnis
Dieselben Befunde — sortiert statt aufgelistet
Druck-Server mit bekannter Lückekritisch
Service-Konto mit schwachem Passwortkritisch
Windows-Updates teils veraltetmittel
SMB-Signing nicht erzwungenmittel
Firewall & Virenschutz aktivok
Was ein Scan nicht sagt: Welche dieser fünf Zeilen zuerst dran ist. Hier steht es — Druckspooler absichern kappt den gefährlichsten Weg. Illustratives Beispiel.
Das vierte Vergleichskriterium

Nicht nur was, sondern wie es ankommt.

Breite, Tiefe und Häufigkeit sind drei Kriterien — das vierte ist die Lesbarkeit. Eine 300-Zeilen-Scan-Tabelle und ein 60-Seiten-Pentest-PDF haben beide dasselbe Problem: Niemand außerhalb der IT liest sie. Links steht, was stattdessen ankommt — eine Note, eine Ampel, eine Reihenfolge.

📊

Sortiert, nicht aufgezählt

Der breite Scan listet alles gleich laut. Hier steht, was zuerst zählt — als Reihenfolge, nicht als Wand.

🗓️

Heute, nicht zum Stichtag

Ein Pentest-Bericht beschreibt einen vergangenen Prüftag. Diese Note gilt für den aktuellen Stand.

🔒

Bleibt im Haus

Läuft offline im eigenen Netz — keine Cloud, keine Datenabflüsse, DSGVO-freundlich.

🤝

Zeigt die eigene Grenze

Markiert, an welcher Stelle sich der tiefe manuelle Pentest wirklich rechnet — ohne zu übertreiben.

Weiterlesen

Den Vergleich vertiefen.

Was der Mittelweg kostet

Kein Stichtag-Honorar, sondern laufende Sicht.

TULPAR Sicherheitscheck
Individuell
Statt Einmal-Honorar für einen Prüftag · Angebot auf Anfrage
  • Die Breite des automatischen Scans — beliebig oft, nicht nur einmal
  • Die Denkweise des Testers: verkettete Wege statt loser Treffer
  • Ein lesbares Zeugnis — Note, Ampel, Reihenfolge statt 300-Zeilen-Tabelle
  • On-Premise, keine Cloud — Ihre Daten bleiben im Haus
  • Ein Hinweis, wo sich der tiefe manuelle Pentest zusätzlich lohnt
Sicherheitscheck anfragen →
Häufige Fragen

Häufige Fragen zum Vergleich.

Es ist der Unterschied zwischen Fläche und Tiefe. Der automatische Scan fährt einmal breit über alles, was im Netz erreichbar ist, gleicht es mit bekannten Mustern ab und meldet Treffer in der Menge — schnell und günstig, aber an der Oberfläche. Der manuelle Pentest geht in wenige Systeme wirklich hinein: Ein Mensch denkt sich in die Logik einer Anwendung, probiert Wege durch und bestätigt, was tatsächlich ausnutzbar ist. Breite kostet wenig und sieht viel; Tiefe kostet viel und sieht wenige Dinge richtig genau. Die meisten Betriebe brauchen beides — die Frage ist nur, in welchem Takt.

Weil Breite und Tiefe in der Praxis gegeneinander stehen. Der breite Scan ist oft eingeschaltet, aber sein Ergebnis ist eine flache Aufzählung ohne Reihenfolge. Der tiefe Pentest ist aussagekräftig, läuft aber höchstens ein- bis zweimal im Jahr und altert ab dem nächsten Update. Dazwischen klafft die Lücke: Was passiert in den elf Monaten, in denen kein Tester im Haus ist? Genau diese Lücke füllt TULPAR — dauerhaft mitlaufend wie ein Scan, aber in Zusammenhängen denkend statt nur zählend.

TULPAR übernimmt vom Scan die Breite und das beliebige Wiederholen, vom Pentest die Denkweise in Wegen statt in Einzeltreffern. Es nimmt die vielen kleinen Schwächen, die ein Scan findet, und prüft, welche sich zu einem durchgehenden Weg verketten lassen — von einem unscheinbaren Einstiegspunkt bis zur weitreichenden Kontrolle. Das Ergebnis ist nicht die volle Tiefe eines Menschen an einer einzelnen Anwendung, aber deutlich mehr Aussage als eine reine Trefferliste, und das jederzeit erneut statt nur am Prüftag.

Der breite Scan passt, wenn Sie kostengünstig den Grundpegel halten und offensichtliche Versäumnisse früh sehen wollen. Der tiefe manuelle Pentest passt, wenn eine konkrete, kritische Anwendung — etwa ein Kundenportal oder eine selbst gebaute Web-App — wirklich auf Herz und Nieren soll. Der Mittelweg passt, wenn Sie ganzjährig wissen wollen, welche Wege aktuell offen stehen und was zuerst zu tun ist, ohne jeden Monat einen Tester zu buchen. TULPAR ist dieser Mittelweg — und sagt Ihnen selbst, wann sich der teure tiefe Pentest lohnt.

Ein Pentest ist eine Momentaufnahme: Er beschreibt den Stand am Prüftag. Schon das nächste Update, ein neues Gerät oder ein geänderter Zugang kann das Bild verschieben. Genau deshalb ist die Häufigkeit ein eigener Vergleichspunkt, nicht nur Breite und Tiefe. Ein dauerhaft mitlaufender Mittelweg hält das Lagebild aktuell, statt es einmal im Jahr einzufrieren — Sie sehen Veränderungen, wenn sie entstehen, nicht erst beim nächsten Termin in zwölf Monaten.

Nein, und das soll er auch nicht. Wo ein erfahrener Mensch gezielt in eine einzelne, besonders kritische Web-Anwendung eintaucht, findet er Logikfehler und Verkettungen, die kein dauerhaft laufendes Werkzeug zuverlässig nachstellt. TULPAR macht die häufigen, netzweiten Angriffswege ganzjährig sichtbar und zeigt, an welcher Stelle sich diese tiefe, manuelle Prüfung wirklich rechnet. Beide Wege ergänzen sich — der eine in der Fläche und über die Zeit, der andere punktuell in der Tiefe.

Nein. Anders als beim Begriff „Angriff“, der zum Pentest gehört, ist TULPAR eine autorisierte Selbstprüfung im eigenen Netz. Standardmäßig wird nur angesehen (read-only): Die Software betrachtet, wie Ihr Netz aufgebaut ist und welche Wege theoretisch offen stünden, ohne etwas auszulösen. Erst wenn Sie einen einzelnen Schritt ausdrücklich freigeben, wird er aktiv nachgestellt — und nur in Ihrem eigenen Netz. Wir greifen nichts an, was Sie nicht freigeben.

Beide Wege erzeugen Belege, aber unterschiedliche: Ein Pentest-Bericht ist tief und punktgenau zum Prüftag, ein dauerhafter Mittelweg dokumentiert die Wirksamkeit fortlaufend — und genau die regelmäßige Überprüfung verlangt etwa DSGVO Art. 32. TULPAR identifiziert Schwachstellen technisch und hält sie nachvollziehbar fest, sodass die Belege in NIS2-Risikomanagement, BSI-Einstiegschecks oder einen Versicherungsantrag einfließen können. Das ist aber keine Rechtsberatung und keine Zertifizierung und macht Sie nicht automatisch konform; ob Sie überhaupt von NIS2 betroffen sind, hängt von Sektor und Größe ab und klären Sie individuell.

TULPAR ist ein autorisiertes Selbstprüfungs-Werkzeug für das eigene Netzwerk und wird von Buzzard AI angeboten. Aktive Tests erfolgen nur im eigenen Netz und ausschließlich mit ausdrücklicher Freigabe. TULPAR liefert technische Belege zur Schwachstellen-Dokumentation, ist aber keine Zertifizierung und keine Rechtsberatung und garantiert keine NIS2-, BSI- oder DSGVO-Konformität. Ein tiefer, manueller Web-Applikations-Pentest wird dadurch nicht ersetzt. Genannte Marken und CVE-Kennungen gehören ihren Inhabern und dienen der sachlichen Einordnung.
Kostenloses Erstgespräch

Breit, tief oder dauerhaft — was passt zu Ihnen?

Drei Wege, eine Frage: Wo brauchen Sie Fläche, wo Tiefe, wie oft? In einem kurzen Gespräch ordnen wir Ihren Fall ein und sagen ehrlich, welche Mischung sich für Ihr Netz rechnet — und wo der Mittelweg genügt.

Schritt 1 von 3
Was ist gerade Ihr größtes Thema?
Mustafa Sahinli
Mustafa Sahinli · Buzzard AI
Prozessarchitekt · 06183 / 909 99 92 · WhatsApp