Jedes Offensive-Security-Team bekommt dieselbe Frage: „Wie viele Man-Days kostet das?" Die Antwort kommt zu oft aus dem Bauch, ist am letzten Angebot verankert oder — schlimmer — rückwärts aus dem Zielbudget gerechnet. Keine dieser Methoden liefert eine Zahl, die einer Beschaffungsprüfung standhält.
Was ein Man-Day wirklich bedeutet
Ein Man-Day (MD) sind 8 Stunden fokussierte Testkapazität eines qualifizierten Pentesters. Es ist kein Projektmanagement, kein Reporting-Overhead, kein Retest. Das sind separate Budgetposten. Sie zu vermischen ist die erste Stelle, an der Schätzungen abdriften.
Die vier Inputs, die die Zahl bestimmen
- Surface Units — Seiten, Module, Endpoints, Hosts, BSSIDs. Die Einheit muss zum Asset-Typ passen.
- Rollen & Datentrennung — jede authentifizierte Rolle ist ein Multiplikator, weil die Autorisierungsmatrix erneut durchgegangen werden muss.
- Knowledge-Modus — Black-, Grey- oder White-Box. Ein Gate, kein Schieberegler.
- Compliance- & Reporting-Overhead — PCI, DORA, NIS2, Executive Read-Out. Feste Per-Engagement-Aufschläge.
Warum Bandbreiten statt Einzelwerte
Eine seriöse Schätzung liefert immer eine Spanne (P50 / P90). Eine einzige Zahl verbirgt die Varianz aus Funddichte, Umgebungsstabilität und Retest-Schleifen.
Wo die meisten Angebote scheitern
- Overhead wird in Scope-MDs versteckt.
- Rollen werden ignoriert.
- Black-Box wird wie „günstiges Grey-Box" behandelt.
- Überlappung zwischen Scopes wird nicht abgezogen.
So sieht eine belastbare Berechnung aus
Deterministisch. Reproduzierbar. Zeilenweise erklärbar. Die PentestPlanner-Engine basiert genau auf diesem Prinzip — jeder MD ist auf eine Baseline, einen Multiplikator oder eine dokumentierte Overhead-Regel zurückführbar.
Wenn Ihr Lieferant die Mathematik nicht zeigen kann, kaufen Sie keinen Pentest — Sie kaufen Sicherheitstheater.