Scoping ist keine Bauchschätzung. Es ist eine Kette deterministischer Entscheidungen — jede verschiebt die MD-Zahl in eine vorhersagbare Richtung.
1. Asset-Klasse bestimmt die Sizing-Unit
- Web-App → Seiten, Module oder API-Endpoints.
- API → Endpoints nach Resource gruppiert.
- Mobile → Screens + native Module + Backing-API.
- Externe Infra → Live-IPs/Hostnames nach Discovery.
- Interne Infra → /24-Äquivalente, AD-Users, AD-Computers.
- Cloud → Accounts, Subscriptions, Resource Groups.
- Wireless → BSSIDs + SSIDs + Sites.
2. Knowledge-Modus ist ein Gate
- Black-Box ohne Credentials — nur Perimeter.
- Grey-Box mit Credentials — authentifizierte Fläche entsperrt.
- White-Box mit Source — plus gezielter Review.
3. Rollen multiplizieren
Gestaffelte Multiplikatoren (z. B. 1.00 / 1.30 / 1.55 / 1.75 für 1/2/3/4+ Rollen).
4. Gating-Flags
- Auth-Break in Black-Box.
- WAF / Rate-Limiting im Scope.
- Out-of-Band-Kanäle.
- Compliance-Flag (PCI, DORA, NIS2).
5. Überlappung zwischen Scopes
Geteilten Overhead nur einmal abrechnen — auf Engagement-Ebene.
6. Overhead ist per Engagement
PM, Kick-Off und Read-Out sind Konstanten — nicht pro Scope.
Beispiel
- Baseline aus Seiten → 5.0 MDs
- Rollen-Multiplikator (3, ~1.55×) → 7.75 MDs
- Compliance-Adder → +1.0 MD
- Engagement-Overhead → +1.5 MD
- Gesamt → ~10.25 MDs, P50–P90 ca. 9–12.
Volle Methodik auf der Methodik-Seite.