← Alle Artikel
PentestingPricing

Autonomer vs. manueller Penetrationstest 2026

Autonomer vs. manueller Penetrationstest, ehrlich verglichen: wo jeder Ansatz bei Kosten, Tempo, Frequenz, Abdeckung und Beleg gewinnt — und wie du wählst.

Jamin Mahmood-Wiebe · Veröffentlicht · 10 Min. Lesezeit

Illustration im Gravur-Stil für Autonomer vs. manueller Penetrationstest 2026

Keiner der beiden Ansätze gewinnt auf ganzer Linie. Sie gewinnen bei unterschiedlichen Dingen. Der autonome Penetrationstest gewinnt bei Kosten, Tempo und Frequenz: Ein Agent, oder ein Schwarm von Agenten, läuft das gesamte Engagement bei jedem Deploy, für einen Bruchteil eines manuellen Tagessatzes, und erledigt dabei die Arbeit, die die meisten nur Menschen zutrauen, darunter mehrstufige Attack Chains und Business-Logic-Missbrauch. Der manuelle Penetrationstest gewinnt weiterhin bei den Scopes, in denen eine autonome Plattform noch nicht operiert: Binary- und Memory-Corruption-Arbeit, Mobile, Social Engineering und physische Zugänge. Die ehrliche Antwort für die meisten Teams, die Webanwendungen und APIs shippen, ist nicht „entweder oder", sondern „autonom für kontinuierliche Tiefe, manuell für die Scopes, die es nicht erreicht". Dieser Artikel zieht die Grenze präzise und mit Quellen, damit du das richtige Werkzeug für das richtige Ziel kaufst.

Was ist der eigentliche Unterschied zwischen autonom und manuell?

Beides sind Penetrationstests im strengen Sinn: Prüfende, Mensch oder Maschine, imitieren reale Angriffe, um Wege um die Sicherheitsmaßnahmen eines Systems zu finden. Das US-amerikanische National Institute of Standards and Technology (NIST) definiert die Disziplin in SP 800-115 (Status: Final) so, dem technischen Referenzleitfaden für Security-Testing.

„Penetration testing is security testing in which assessors mimic real-world attacks to identify methods for circumventing the security features of an application, system, or network. ... Most penetration tests involve looking for combinations of vulnerabilities on one or more systems that can be used to gain more access than could be achieved through a single vulnerability."

— NIST SP 800-115 (September 2008)

Der Unterschied liegt nicht darin, was der Test ist, sondern wer ihn durchführt und wie oft. Ein manuelles Engagement ist ein menschlicher Tester, der einen definierten Scope über ein festes Zeitfenster bearbeitet. Ein autonomes Engagement ist ein Agent, oder ein Schwarm von Agenten, der dieselben Phasen ausführt: Recon, Fingerprinting, Attack-Chain-Analyse, Exploit-Verifikation. „Autonom" heißt hier agentengetrieben mit unter 10 % menschlicher Beteiligung, nicht null. Ein Mensch prüft den finalen Report, aber das Reasoning und die Exploitation gehören der Plattform. Dieser strukturelle Unterschied ist es, der Kosten und Kadenz verändert; die nächsten Abschnitte schlüsseln das auf. Was er nicht verändert, ist der Maßstab, an dem beide gemessen werden: Ein Finding ist erst verwertbar, wenn es mit einem reproduzierbaren Proof of Exploit belegt ist, nicht mit einem bloßen Alert.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zieht dieselbe Grenze zwischen echtem Test und Oberflächenprüfung in seinem Praxis-Leitfaden für IS-Penetrationstests (Stand: November 2016; der definitorische Kern trägt weiterhin). Ein Penetrationstest, heißt es dort, „geht einen Schritt weiter" als eine Prüfung: Es „wird hierbei gezielt nach Wegen gesucht, die eingesetzten Sicherheitsmaßnahmen zu umgehen". Diese Latte gilt für Mensch und Plattform gleichermaßen.

Wo gewinnt der autonome Ansatz?

Auf drei messbaren Achsen: Kosten, Tempo und Frequenz. Diese drei verstärken sich gegenseitig.

Kosten. Manuelle Tests werden nach Personentagen abgerechnet. Der Tagessatz für zertifizierte Tester liegt im DACH-Markt bei rund 1.470–1.960 € laut Binsec, und ein vollständiger manueller Pentest kostet je nach Scope 3.000–25.000 € (Binsec); der UK-Anbieter Blaze Information Security setzt Webanwendungs-Engagements bei 6.000–18.000 £ an (≈ 7.000–21.000 €), womit ein typisches Web-Engagement mittleren Scopes bei rund 8.000–15.000 € landet. Autonome Plattformen rechnen pro Engagement ab, nicht pro Stunde: DeepMantis nennt Festpreise von 890 €, 3.800 € und 7.500 €, monatliches Testen ab 99 €. Die vollständige Preislogik schlüsseln wir im Pentest-Kosten-Artikel auf.

Tempo. Ein branchenüblicher manueller Test läuft end-to-end etwa 4–8 Wochen, mit 5–15 aktiven Testtagen, laut Fortbridge (Anbieterdaten, keine Autoritätsangabe). Ein autonomes Engagement staucht den Kalender: DeepMantis liefert einen tiefen Test in 7–10 Werktagen, und ein kontinuierlicher Durchlauf läuft bei jedem Commit statt einmal pro Quartal.

Frequenz ist der Punkt, an dem sich beides zu einer echten Lücke verstärkt. Das BSI ist explizit, dass Tests nach jeder Änderung wiederholt werden sollten, mit reproduzierbaren Verfahren:

„Hierbei sollten reproduzierbare Testverfahren eingesetzt werden, welche nach jeder Änderung eines IT-Systems oder einer Anwendung erneut prüfen, ob die erforderliche Qualität und Sicherheit erreicht ist."

— BSI, Praxis-Leitfaden für IS-Penetrationstests (Stand: November 2016)

Das BSI ordnet dieses Re-Testing der internen QA zu. Aber eine CI/CD-Pipeline, die täglich shippt, braucht diese Prüfung automatisiert und extern, nicht als manuelles Engagement, das jeden Sprint neu gebucht wird. Genau diese Nische füllt autonomes Testen: reproduzierbar, bei jedem Deploy, ohne pro Durchlauf Personentage anzuhäufen. Und der Druck steigt, weil immer mehr Code von Maschinen geshippt wird, die bei Security nicht besser werden.

45 %
Anteil der KI-generierten Code-Samples, die eine OWASP-Top-10-Schwachstelle einführten — über 100+ LLMs und 80 Coding-Aufgaben, ohne Verbesserung durch größere oder neuere Modelle.Quelle: Veracode 2025 GenAI Code Security Report (30. Juli 2025).

Der Veracode 2025 GenAI Code Security Report fand, dass KI-generierter Code in 45 % der Samples eine OWASP-Top-10-Schwachstelle einführte, in Java sogar in 72 %. Der CTO ist deutlich, warum das strukturell ist:

„Our research shows models are getting better at coding accurately but are not improving at security. We also found larger models do not perform significantly better than smaller models, suggesting this is a systemic issue rather than an LLM scaling problem."

— Jens Wessling, CTO, Veracode

Die ehrliche Lesart: KI shippt mehr Code, mehr Code heißt mehr Schwachstellen, und das Testen muss Schritt halten. Die Antwort ist nicht noch mehr ungeprüfte KI-Codegenerierung, sondern eine autonome Test-Schicht, die abfängt, was die Codegenerierung einführt. DeepMantis ist diese Test-Schicht, kein weiterer Code-Generator; der Unterschied zählt, und wir sagen ihn klar.

Findet der autonome Ansatz nur die einfachen Bugs?

Nein. Diese Annahme räumen wir direkt aus. Das gängige Framing lautet: Automatisierte Werkzeuge erledigen „gängige, wiederholbare Probleme", das harte Reasoning bleibt beim Menschen. Das beschreibt einen Scanner, nicht einen autonomen Agenten. Beides ist nicht dasselbe, und diese Gleichsetzung ist der Punkt, an dem die meisten Vergleiche danebengreifen.

Autonomes Testen leistet die Arbeit, die die meisten für rein menschlich halten, auf Web- und API-Scope:

  • Mehrstufige Attack Chains. Das Verketten von Low-Severity-Findings zu einem High-Severity-Pfad ist kein menschliches Monopol. Es ist genau das, worüber eine Exploit-Chain-Engine reasoned. NIST stellt genau das ins Zentrum: Pentests suchen nach „combinations of vulnerabilities ... that can be used to gain more access than could be achieved through a single vulnerability". DeepMantis verkettet Findings über die In-Scope-Oberfläche (etwa einen Information Leak in eine SSRF in einen Zugriff auf Cloud-Metadaten) und belegt den resultierenden Blast Radius, statt die Glieder isoliert zu melden.
  • Business-Logic-Missbrauch. Ein Workflow, exakt wie vorgesehen genutzt, aber auf ein Ergebnis hin, das er nie erlauben sollte. Das verlangt, dass der Test über Absicht reasoned, nicht eine Signatur matcht. Das Reasoning über den Ziel-Kontext ist genau das, was ein agentengetriebenes Engagement tut, bevor es entscheidet, was es angreift.
  • Proof of Exploit pro Finding. Jedes Finding wird mit einem reproduzierbaren Proof of Concept belegt, verifiziert in einer isolierten Chromium-Instanz: derselbe Maßstab, an dem ein guter manueller Report gemessen wird.

Die Grenze zwischen autonom und manuell ist also nicht „flach gegen tief". Innerhalb von Web- und API-Scope erreicht autonomes Testen die Tiefe, die das Feld mit erfahrenen menschlichen Testern verbindet. Die eigentliche Grenze liegt woanders.

Wo gewinnt der manuelle Ansatz weiterhin?

Bei den Scopes, in denen eine autonome Plattform (noch) nicht operiert. Dieser Teil des Vergleichs verdient dem Rest seine Glaubwürdigkeit, deshalb steht er hier ohne Weichmacher.

Manuelle Tester sind heute die richtige, oft die einzige Wahl für:

  • Binary- und Memory-Corruption-Exploitation. Das tiefe Reverse-Engineering-Ende des Felds, außerhalb von Web- und API-Scope.
  • Mobile-Pentests. Geräte und plattformspezifische Oberflächen, nicht nur ein HTTP-Endpunkt.
  • Social Engineering und Phishing. Human-Factor-Angriffe. Sie stehen auf der Roadmap autonomer Agenten, sind also kein dauerhaftes menschliches Reservat; heute gehören sie ins manuelle Vorgehen.
  • Physische Zugänge. Standorte und Hardware-Zugang.
  • Destruktive Szenarien, von denen das BSI in Standard-Pentests grundsätzlich abrät und die, wenn überhaupt, in sorgfältig abgestecktes manuelles Vorgehen gehören.

Für den Gesamtorganisations-Fall, mit Menschen, Prozessen und Standorten zusammen, bleibt ein manuelles Red Team heute die richtige Antwort; der Anbieter-Auswahl-Guide erklärt, wie du eines gut einkaufst. Das ist die Grenze dessen, was autonomes Testen jetzt erreicht, klar benannt, damit du für diese Ziele nicht das falsche Werkzeug kaufst, und nicht die Behauptung, dass diese Grenze fix ist.

Wie stehen beide im direkten Vergleich?

Die folgende Tabelle ist das ganze Argument in einer Ansicht. Lies sie als „was passt wozu", nicht als „was ist besser".

DimensionAutonomManuell
KostenPro Engagement, fix: 890–7.500 €; monatlich ab 99 €Pro Personentag: ~1.000–1.960 €/Tag; 8.000–15.000 € typisch
TempoTiefer Test in 7–10 Werktagen; kontinuierlicher Durchlauf bei jedem Commit~4–8 Wochen end-to-end; 5–15 aktive Testtage
FrequenzLäuft bei jedem Deploy, ohne Personentage anzuhäufenPoint-in-Time; Re-Tests buchen die Personentage neu
Tiefe (in Web-/API-Scope)Mehrstufige Attack Chains, Business-Logic-Missbrauch, belegter Blast RadiusMehrstufige Chains, Business-Logic-Missbrauch, handgebaute Exploits
Scope-ReichweiteWebanwendungen und APIsJeder Scope, inkl. Binary, Mobile, Social Engineering, physisch
BelegReproduzierbarer Proof of Exploit pro Finding; Browser-verifiziert in isoliertem ChromiumReproduzierbarer Proof of Exploit pro Finding; von Hand validiert
Wo er gewinntKontinuierliche Web-/API-Abdeckung in der Tiefe, Budget-Klarheit, CI/CD-KadenzBinary-, Mobile- und Human-Factor-Scopes, die autonom noch nicht erreicht

Zwei Zeilen tragen die Entscheidung. Scope-Reichweite: DeepMantis führt autonome Engagements über Webanwendungen und APIs im Scope durch, in der Tiefe, die die Tiefe-Zeile beschreibt, mit einem reproduzierbaren Proof of Exploit pro Finding, jeweils in einer isolierten Chromium-Instanz verifiziert. Es führt explizit keine Binary Exploitation, Mobile-Pentests, Social Engineering, physischen Engagements oder destruktiven Tests durch. Diese Scope-Grenze steht auf der Security-Seite, nicht im Kleingedruckten. Frequenz: Das Personentage-Modell macht manuelles Re-Testing teuer in der Wiederholung. Genau deshalb schlägt eine kontinuierliche autonome Schicht plus periodische manuelle Tiefe für Out-of-Scope-Ziele jeden der beiden Ansätze allein, wenn ein Produkt ständig deployt.

Wie entscheidest du zwischen beiden?

Entscheide nach zwei Achsen, Scope und Deploy-Frequenz, nicht nach einer Vorliebe für Mensch oder Maschine.

  1. Kartiere deinen Scope. Webanwendungen und APIs? Autonom deckt sie ab, in der Tiefe, inklusive Chaining und Business-Logic-Missbrauch. Binary, Mobile, Social Engineering, physisch oder Gesamtorganisation? Das ist heute manuell.
  2. Kartiere deine Deploy-Kadenz. Wöchentlich oder täglich shippen? Ein manueller Snapshot einmal im Jahr deckt die anderen 51 Wochen nicht ab, also plane kontinuierliches autonomes Testen ein. Ein statisches Produkt vor einem Audit? Ein gründlicher Snapshot reicht.
  3. Miss beide am selben Maßstab. Unabhängig und extern (das BSI nennt die Unabhängigkeit der Prüfenden als Qualitätskriterium), mit reproduzierbarem Proof of Exploit pro Finding und einem audit-tauglichen Report. Ein billiger Test ohne Exploit-Beleg ist ein Scan mit Logo, in beiden Lagern.
  4. Kombiniere bewusst. Für die meisten Teams, die Web-/API-Software shippen, ist die stärkste Aufstellung: autonom für kontinuierliche Abdeckung plus periodische manuelle Tiefe für die Ränder, die Autonomie nicht erreicht. Das ist kein Kompromiss, sondern jedes Werkzeug für das gekauft, was es am besten kann.

Die Technik ist ein Mittel. Ziel und Kadenz entscheiden über das Werkzeug. Für die meisten Teams, die Web- und API-Software shippen, heißt das: ein weitgehend autonomer Pentest mit einem Menschen im Loop für das, worin KI noch nicht perfekt ist. Autonom als Standard für kontinuierliche Tiefe, Mensch für Binary- und Mobile-Exploitation, Social Engineering und Urteilsfragen im Grenzbereich. Kein Kompromiss zwischen zwei Werkzeugen, sondern jedes für das gekauft, was es heute am besten kann.

Häufige Fragen

Ist ein autonomer Penetrationstest ein „echter" Pentest?

Ja, wenn er die Definition erfüllt: reale Angriffe imitieren, um Wege um die Sicherheitsmaßnahmen zu finden, und jedes Finding mit einem reproduzierbaren Proof of Exploit belegen statt mit einem Alert. NIST SP 800-115 definiert die Disziplin über das, was der Test tut, nicht darüber, wer ihn durchführt. Ein autonomer Durchlauf, der Exploits verifiziert, wie DeepMantis es in isolierten Chromium-Instanzen tut, erfüllt diese Latte; ein Scanner, der nur Alerts auflistet, nicht, egal wie er vermarktet wird.

Kann autonomes Testen einen manuellen Pentest vollständig ersetzen?

Nicht über jeden Scope, aber die Grenze ist enger, als das Marketing suggeriert. Für Webanwendungen und APIs, die kontinuierlich deployen, deckt autonomes Testen das ab, was ein manueller Test leisten würde, inklusive mehrstufigem Chaining und Business-Logic-Missbrauch, schneller und reproduzierbar. Was heute weiterhin manuelle Tester braucht, ist Scope, in dem eine autonome Plattform nicht operiert: Binary- und Mobile-Exploitation sowie Human-Factor-Engagements wie Social Engineering und physische Zugänge. Das realistische Modell ist: autonom für kontinuierliche Tiefe auf Web/API, manuell für die Scopes, die es noch nicht erreicht.

Macht KI-generierter Code das Ganze dringlicher?

Er erhöht den Einsatz auf der Testseite. Veracodes Forschung 2025 fand, dass 45 % der KI-generierten Code-Samples eine OWASP-Top-10-Schwachstelle trugen, ohne Verbesserung durch größere Modelle. Das heißt: Mehr Code wird mit mehr Schwachstellen geshippt, und zwar schneller. Das ist ein Argument für eine schnellere, kontinuierliche Test-Schicht, nicht dafür, mehr ungeprüftem KI-Code zu vertrauen. Autonomes Testen ist das Auffangnetz, nicht die Ursache.

Was ist günstiger, und heißt günstiger schlechter?

Autonom ist strukturell günstiger, weil keine Personentage abgerechnet werden: DeepMantis liegt bei 890–7.500 € gegenüber typischen manuellen 8.000–15.000 €. Günstiger ist nicht schlechter, solange die Leistung trägt: ein reproduzierbarer Proof of Exploit pro Finding und ein audit-tauglicher Report. Günstiger ist schlechter, wenn ein niedriger Preis einen nackten Scanner ohne Exploit-Beleg verdeckt. Bewerte am Beleg pro Finding, nicht am Preisschild.


Stand Juli 2026. Standard-Referenzen aus NIST SP 800-115 und dem BSI-Praxis-Leitfaden für IS-Penetrationstests (Stand: November 2016); Markt-Kosten und -Tempo sind Anbieterdaten laut den verlinkten Quellen; die 45-%-Angabe stammt aus dem Veracode 2025 GenAI Code Security Report. DeepMantis-Preise laut öffentlicher Preisliste; Methodik und Scope-Grenzen sind auf der Security-Seite dokumentiert.

Weiterführend

Willst du solche Findings für deinen eigenen Stack?

Pentest starten

Weitere Artikel

Pentest anfragen

Füll das Formular aus — wir melden uns innerhalb von 24 Stunden.

Tell us about your project

Protected by Cloudflare Turnstile.

HQ
Hamburg, Germany
Lieber kurz sprechen?
15-Min Call buchen