Methodik
Wie wir unsere Leistungskennzahlen berechnen
Wir setzen auf Transparenz. Diese Seite dokumentiert, wie die auf unserer Website genannten Kennzahlen — insbesondere die 70%+ Kostenreduktion und 10x schnellere Audits — berechnet werden.
70% Kostenreduktion
Diese Kennzahl ergibt sich aus dem Vergleich der jährlichen Gesamtkosten manueller CRA-Compliance mit den Gesamtkosten bei Einsatz der Kunnus-Plattform.
Manuelle CRA-Compliance (jährlich)
Personal
0,5–6 FTE à 80.000 €/Jahr Vollkosten (skaliert mit Produktanzahl: Basisteam + Reassessment-Aufwand von ~40 Stunden pro wesentlicher Produktänderung)
Tooling
25.000 € Basis + 500 €/Produkt über 4–5 separate Tools: SBOM-Generierung (~30%), Schwachstellen-Scanner (~25%), Dokumentenmanagement (~20%), GRC/Prozessmanagement (~25%)
Externe Beratung
36.000–120.000 €/Jahr je nach Unternehmensgröße und Anzahl der Produktlinien
Mit Kunnus (jährlich)
Personal
0,2–1 FTE à 80.000 €/Jahr (reduziert durch Automatisierung: Reassessment-Aufwand sinkt auf ~4 Stunden pro wesentlicher Änderung)
Plattform
Ein Abonnement ersetzt alle 4–5 separaten Tools. Preisgestaltung skaliert mit Produktanzahl.
Kein separates Tooling
SBOM-Management, Schwachstellenverfolgung, Compliance-Dokumentation, ENISA-Meldungen und Audit-Trails in einer Plattform enthalten
Ergebnis: Für einen Referenzhersteller mit 35 Produkten belaufen sich die manuellen Jahreskosten auf ca. 280.000 € (2 FTE + Tooling + Beratung). Kunnus reduziert dies auf ca. 80.000 € — eine Reduktion von über 70%. Der genaue Wert variiert je nach Produktanzahl, Komplexität und bestehendem Reifegrad.
10x schnellere Audits
Diese Kennzahl basiert auf einem direkten Zeitvergleich für Produkt-Reassessments nach wesentlichen Änderungen — der zeitintensivsten wiederkehrenden Compliance-Aktivität.
Manuell:Manuelles Reassessment: ~40 Stunden pro wesentlicher Produktänderung. Umfasst Zusammenstellung aktualisierter Komponentenlisten, erneute Schwachstellenscans, Dokumentationsaktualisierung, Konformitätsstatus-Prüfung und Zusammenstellung von Audit-Nachweisen.
Kunnus:Kunnus-gestütztes Reassessment: ~4 Stunden pro wesentlicher Änderung. Die Plattform verfolgt Komponentenänderungen automatisch, führt differentielle SBOM-Analysen durch, aktualisiert den Schwachstellenstatus und füllt Dokumentation vor. Der Compliance-Engineer prüft und genehmigt, statt von Grund auf aufzubauen.
40 Stunden ÷ 4 Stunden = 10-fache Verbesserung der Reassessment-Geschwindigkeit.
Quellen & Referenzen
- Verordnung (EU) 2024/2847 — Cyber Resilience Act (Volltext)
- CRA Art. 64 — Bußgelder bis 15 Mio. EUR oder 2,5% des weltweiten Jahresumsatzes
- CRA Anhang I — Wesentliche Cybersicherheitsanforderungen
- CRA Anhang VII — Anforderungen an technische Dokumentation (Grundlage für Reassessment-Zeitschätzung)
- IEC 62443-4-1 — Anforderungen an sicheren Produktentwicklungs-Lebenszyklus
- Destatis — Arbeitskostenindex, IKT-Sektor (NACE J), Deutschland 2024
- Cybersecurity Ventures — Globale Cyberkriminalitätskosten-Prognosen (referenziert in CRA Erwägungsgrund 2)
- ENISA — Analyse der Cyber Resilience Act Anforderungen
Modellannahmen & Einschränkungen
- Referenzunternehmen: mittelständischer Hersteller mit 35 Produkten mit digitalen Elementen, 2 Product-Security-Engineers, keine vorherige CRA-spezifische Tooling-Ausstattung
- FTE-Allokationsmodell: aktivitätsbasierte Zeiterfassung über 7 CRA-Compliance-Arbeitsbereiche (Klassifizierung, SBOM, Schwachstellenmanagement, Meldewesen, Dokumentation, Assessment, Lieferantenmanagement)
- Kostenreduktion wird als Total Cost of Ownership (TCO) gemessen, nicht nur als Lizenzkosten — umfasst Personalzeit, Tooling und externe Beratung
- Die 10-fache Audit-Beschleunigung bezieht sich spezifisch auf Reassessments nach wesentlichen Produktänderungen (CRA Art. 10(12)), nicht auf die Ersteinrichtung der Compliance
- Zahlen sind Modell-Ergebnisse, keine gemessenen Kundenergebnisse. Individuelle Resultate variieren je nach Produktkomplexität, organisatorischer Reife und Umfang der CRA-Verpflichtungen
Haftungsausschluss
Die tatsächlichen Werte variieren je nach Unternehmensgröße, Produktanzahl, Produktkomplexität und bestehendem Compliance-Reifegrad. Die obigen Zahlen stellen typische Bandbreiten aus unserem ROI-Modell dar. Für eine personalisierte Schätzung nutzen Sie unseren interaktiven ROI-Rechner oder kontaktieren Sie uns für eine individuelle Analyse.