TL;DR Penetration Tests sind für viele Mittelständler bis 500 Mitarbeitende immer noch eine Blackbox: unklar wann sie sinnvoll sind, was sie kosten und worauf bei der Anbieter-Auswahl zu achten ist. Methodik nüchtern erklärt, realistische Preiskorridore und ein Auswahl-Raster für Geschäftsleitung und CIO.

Wann ein Pentest sinnvoll ist

Drei Anlässe rechtfertigen einen Pentest fast immer:

  1. 1. Regulatorischer Auslöser. NIS 2 (Artikel 21 d), ISO 27001 Anhang A.5.34, DORA (Threat-Led Penetration Testing), B3S für Kliniken, TISAX für Automotive. Wer in einem dieser Regime ist, kommt um regelmäßige Tests nicht herum.
  2. 2. Konkretes Sicherheits-Ereignis. Nach einem Vorfall oder Beinahe-Vorfall: gezielter Pentest auf die betroffenen Systeme, plus Umfeldscan auf vergleichbare Angriffspfade.
  3. 3. Bedeutende Architektur-Änderung. Neue Web-Anwendung, Cloud-Migration, Fusion, neues ERP-System. Vor dem Produktiv-Start prüfen, was die Architektur tatsächlich aushält.

Pentest „aus Versicherungsgründen ohne klaren Scope" ist meistens Geldverschwendung. Pentest mit klarem Anlass und gut definiertem Scope liefert konkrete, umsetzbare Befunde.

Die drei Methodik-Kategorien

Black Box. Der Tester hat keine Vorabinformationen, nur die öffentliche Angriffsfläche. Simuliert einen externen Angreifer.

  • - Stärke: realistisch, deckt das ab, was ein echter Angreifer sehen würde
  • - Schwäche: oft zeitintensive Aufklärungsphase, weniger Tiefe in begrenzter Zeit
  • - Typische Anwendung: externer Perimeter, Web-Anwendungen

Grey Box. Der Tester bekommt Teil-Informationen (Architekturdiagramm, Test-User-Account, eingeschränkte Doku). Balance zwischen Realismus und Effizienz.

  • - Stärke: bestes Kosten-Nutzen-Verhältnis für die meisten Mittelständler
  • - Schwäche: weniger realistisch als Black Box
  • - Typische Anwendung: Web-Anwendungen mit Authentifizierung, interne Netze

White Box. Volle Transparenz: Quellcode, vollständige Architektur, Admin-Zugang. Fokus auf Tiefe.

  • - Stärke: höchste Befund-Quote, deckt auch versteckte Schwachstellen auf
  • - Schwäche: nicht realistisch, höchste Kosten
  • - Typische Anwendung: kritische Eigenentwicklungen, regulatorische Pflichtprüfungen

Für die meisten Mittelständler ist Grey Box auf die wichtigsten 2-3 Anwendungen der pragmatische Einstieg.

Methodik: was ein guter Pentest enthält

Ein vollständiger Pentest folgt fünf Phasen:

  1. 1. Aufklärung. Footprinting, Asset-Inventar, öffentliche Informationen sammeln
  2. 2. Analyse. Schwachstellen-Scan, Architektur-Review, Identifikation potenzieller Angriffspfade
  3. 3. Kontrollierte Ausnutzung. Exploit-Versuche unter dokumentierten Bedingungen, ohne Schaden anzurichten
  4. 4. Pfad-Bewertung. Welche Schwachstelle ist wie kritisch? Welche Privilege-Eskalation ist möglich? Welche Geschäftsprozesse wären betroffen?
  5. 5. Dokumentierter Befund. Audit-tauglicher Bericht mit Risiko-Klassifizierung (CVSS oder hauseigenes Schema), Reproduktions-Anweisung pro Befund, konkreter Empfehlung zur Behebung

Achtung bei Anbietern, die mit „1 Tag Pentest, fertig" werben. Ein seriöser Pentest auf eine mittelgroße Web-Anwendung dauert 5-15 Tage netto Tester-Zeit, abhängig von Scope.

Realistische Preiskorridore

Auf dem deutschen Markt sehen wir folgende Bandbreiten (Stand 2026, exkl. Mehrwertsteuer):

ScopeTagessatzAufwandGesamtbudget
Externer Perimeter-Scan, kleine Org1.200-1.800 €3-5 Tage4.000-9.000 €
Web-Anwendung, Grey Box, mittlerer Scope1.400-2.000 €5-10 Tage7.000-20.000 €
Internes Netz, Grey Box1.400-2.000 €8-15 Tage12.000-30.000 €
Cloud-Umgebung (AWS/Azure), Grey Box1.600-2.400 €8-15 Tage13.000-36.000 €
White-Box-Pentest mit Source-Code-Review1.800-2.800 €10-20 Tage18.000-56.000 €
Red Team Engagement (mehrwöchig, ziel-orientiert)1.800-3.000 €15-40 Tage27.000-120.000 €

Pauschal-Angebote unter 4.000 € für etwas, das „Pentest" heißt, sind meist nur automatische Schwachstellen-Scans. Die haben ihren Platz, sind aber kein Ersatz für einen manuellen Pentest.

Auswahl-Kriterien für den Anbieter

  1. 1. Zertifizierungen der Tester. OSCP, OSWE, CRTO, GPEN, GXPN. Mindestens OSCP ist Branchen-Standard. Sample-Berichte verlangen.
  2. 2. Methodik-Frameworks. OWASP Testing Guide, NIST SP 800-115, PTES (Penetration Testing Execution Standard), MITRE ATT&CK. Anbieter ohne Bezug auf etablierte Frameworks sind ein Warnsignal.
  3. 3. Berichts-Beispiel. Vor Vertragsabschluss einen anonymisierten Sample-Bericht verlangen. Wie tief ist die Analyse? Sind Befunde nachvollziehbar dokumentiert? Gibt es konkrete Reproduktions-Anweisungen?
  4. 4. Re-Test inklusive. Seriöse Anbieter bieten einen Re-Test nach Behebung der Befunde an, um zu prüfen, ob die Fixes wirklich greifen. Oft Teil des Pauschalpreises oder zu vergünstigtem Tagessatz.
  5. 5. Datenschutz und Vertraulichkeit. Auftragsverarbeitungs-Vertrag, NDA, sicherer Berichts-Übermittlungs-Weg. Bei sensiblen Daten: Wo werden Test-Artefakte gespeichert?
  6. 6. Lokal greifbar. Anbieter mit Sitz in Deutschland sind bei sensiblen Tests ein Vorteil. Treffen vor Ort, klare Rechtslage, kein CLOUD-Act-Risiko bei Berichts-Speicherung.

Was nach dem Pentest passieren sollte

Ein Pentest ohne Behebung ist nutzlos. Wir empfehlen:

  1. 1. Befunde priorisieren (Risiko × Aufwand)
  2. 2. Maßnahmen-Plan mit klaren Eigentümern und Terminen
  3. 3. Re-Test nach Behebung der kritischen Befunde
  4. 4. Lessons-Learned in die Sicherheits-Architektur einarbeiten, nicht nur die konkreten Befunde
  5. 5. Wiederholung alle 12-24 Monate, oder anlassbezogen bei großen Architektur-Änderungen

Wie GermanAI Defense unterstützt

Wir bieten Pentests für Web-Anwendungen, Cloud-Umgebungen, interne Netze und kritische Eigenentwicklungen an. Methodik nach OWASP und PTES, Tester mit OSCP+, Audit-tauglicher Berichts-Standard. Plus RedMind, unsere KI-orchestrierte Sicherheitsvalidierung, die die Lücke zwischen jährlichen Pentests und kontinuierlicher Bedrohung schließt.

→ Mehr zu RedMind und Penetration Testing: germanaidefense.de/redmind