DORA-konform. Nachvollziehbar nach NIST FIPS 203/204/205. Lieferung in 5 Werktagen.
Das PQC-Audit, das Ihr BaFin-Prüfer akzeptiert.
30- bis 80-mal günstiger als die Big Four. Geld zurück, wenn wir weniger als drei handlungsrelevante Befunde finden.
NIST FIPS 203 · FIPS 204 · FIPS 205 · DORA Art. 9-10 · NIS2 Art. 21(2)(f) · ENISA PQC 2024 · EBA/GL/2025/02 · BSI TR-02102-1 · § 8a BSIG · BaFin BAIT
Warum DORA-beaufsichtigte Institute uns wählen
Die Discovery-Lücke
Die meisten Institute verfügen über kein aktuelles kryptografisches Inventar. Die Migration zur Post-Quanten-Kryptographie erfordert volle Sichtbarkeit Ihrer kryptografischen Umgebung. Wir liefern dieses Inventar als konkretes Deliverable, nicht als Schätzung.
Die Big-Four-Mandatsfalle
Big-Four-Häuser bieten 12-monatige Mandate im sechsstelligen EUR-Bereich an. Wir liefern in fünf Werktagen, weil aufsichtsrechtliche Fristen keinen FY26-Budgetzyklus abwarten.
Das Schweigen hinter "Contact sales"
Vierzehn von vierzehn analysierten EU-PQC-Anbietern verbergen Preise hinter "Request a demo". Wir veröffentlichen €4990, weil unser Scope fest definiert ist.
Die HNDL-Uhr
69 % der Organisationen erkennen das Quantenrisiko; nur 5 % haben quantensichere Verschlüsselung implementiert (DigiCert Quantum Readiness Gap). Harvest-Now-Decrypt-Later findet bereits heute statt. Das Audit kann nicht warten.
Die DORA-PQC-Übersetzungslücke
DORA Art. 9 fordert Schutzmaßnahmen für kryptografische Schlüssel auf Basis genehmigter Datenklassifikation. Kein Standard-Deliverable verknüpft diesen Artikel mit NIST FIPS 203/204/205. Unser Bericht tut dies pro Befund.
Drei vollständige Beispielberichte — vor dem Kauf einsehen
Fiktive polnische Profile. Echte Berichtsstruktur, echte rechtssichere Sprache, echte FIPS-Nachvollziehbarkeit. Keiner unserer Wettbewerber veröffentlicht ein Beispiel.
Großbank — Bank Krajowy
500 Mitarbeitende, KNF-beaufsichtigt, Retail + Corporate. Legacy-Core, Mobile, Web. 18-Monats-Remediationsplan.
Mid-Market-FinTech — FastPay
50 Mitarbeitende, UKNF-Zahlungsinstitut. Moderner GCP-Stack, Microservices. 9-Monats-Plan.
Brokerage-MVP — InvestPro
8 Mitarbeitende, MiFID-II-Wertpapierfirma. Vercel + Supabase + Stripe. 6-Monats-Plan.
Methodik
1. Intake & Scope
Sie übermitteln Domains, optionale Hinweise zum kryptografischen Inventar und DORA-Registerverweise. Fünfstufiges Formular, serverseitig validiert, DSGVO-konform.
2. Passiver Scan
TLS-Handshake-Fingerprinting (sslyze), Certificate-Transparency-Log-Auswertung (crt.sh), Security-Header-Inspektion. Kein aktives Probing, keine Payload-Injektion.
3. KI-gestützte Analyse
Multi-Agent-Pipeline (LangGraph + Claude Opus + Critic-Modell) erstellt eine CBOM, klassifiziert jeden Befund nach FIPS 203/204/205, mappt auf DORA-Artikel. Unabhängiger Critic verifiziert vor Persistierung.
4. Human Review & Lieferung
Ein Operator-Kryptograf prüft den automatisch erzeugten Bericht gegen die Original-Scandaten vor der Freigabe. Executive-PDF + Technical-PDF werden über signierten Link bereitgestellt.
Vergleich nach den Kriterien, die für einen CISO zählen
| PQC Auditor FINTECH | Big Four Quantum | NCC / Kudelski Boutique | SaaS-Plattform | |
|---|---|---|---|---|
| Preis | €4990 Festpreis | "Contact us" (€100k+) | "Contact us" (€40k+) | Jahresabonnement |
| Lieferzeit | 5 Werktage | 8-24 Wochen | 8-16 Wochen | Laufend |
| FIPS-203/204/205-Mapping pro Befund | Ja | Implizit | Implizit | Produktseitig gemappt |
| DORA-Art.-9/10-Nachvollziehbarkeit | Ja | Ja | Teilweise | Nein |
| Geld zurück bei < 3 handlungsrelevanten Befunden | Ja | Nein | Nein | Nein |
| Öffentlicher Beispielbericht | Ja | Nein | Nein | Nein |
Geld-zurück-Garantie
Enthält der Endbericht weniger als drei handlungsrelevante Befunde der Stufe CRITICAL, HIGH oder MEDIUM (ohne INSUFFICIENT_DATA-Ersatzbefunde), erstatten wir die vollen €4990. Die Begründung ist einfach: hat eine regulierte FinTech 2026 weniger als drei handlungsrelevante PQC-Befunde, ist Ihre Umgebung tatsächlich bereit und Sie hätten uns nicht bezahlen sollen.
FINTECH-Audit starten — €4990Häufig gestellte Fragen
Wird Ihr Audit von BaFin als Nachweis zu DORA Art. 9 anerkannt? +
Unser Deliverable mappt jeden Befund auf DORA-Artikel 9 und 10 sowie auf NIST FIPS 203, 204 und 205. Es ist kompatibel mit den EBA-Leitlinien zum IKT- und Sicherheitsrisikomanagement (EBA/GL/2025/02) sowie mit BaFin BAIT. Die finale aufsichtsrechtliche Anerkennung obliegt wie immer der Aufsicht; unsere Rolle ist die Bereitstellung des Audit-Trails.
In welcher Beziehung stehen Sie zu NIST und ENISA? +
Wir zertifizieren weder im Namen des NIST noch der ENISA. Wir wenden die veröffentlichten Standards FIPS 203, FIPS 204 und FIPS 205 (wirksam ab 14. August 2024) sowie die ENISA-Leitlinien zur aktuellen Post-Quanten-Kryptographie auf Ihre Umgebung an, mit Quellenangabe pro Befund.
Worin unterscheidet sich das von einem SandboxAQ-AQtive-Guard-Abonnement? +
SandboxAQ ist ein Produkt zur kontinuierlichen Überwachung. Wir liefern ein einmaliges Festpreis-Audit mit einem prüferfertigen PDF. Viele Kunden setzen beides ein: AQtive für die Posture, uns für das aufsichtsrechtliche Deliverable.
Warum bieten Sie eine Geld-zurück-Garantie? +
Weil eine FinTech, die 2026 weniger als drei handlungsrelevante PQC-Befunde hat, tatsächlich bereit ist und uns gar nicht hätte bezahlen sollen.
Kann das Deliverable auf Polnisch oder Deutsch erstellt werden? +
Ja. Executive Summary und technischer Teil sind in Englisch, Polnisch, Deutsch und Russisch verfügbar. Beide Versionen werden signiert und datiert. Standardsprache ist Englisch; andere Sprachen geben Sie im Intake-Formular an.