Der größte Unterschied zwischen einem echten Penetrationstest und einem 2.000-€-Scan ist eine einzige Frage: Wird jedes Finding mit einem reproduzierbaren Proof of Concept belegt — oder bekommst du nur eine Liste von Alerts aus einem Scanner? Der deutsche Markt zählt über 70 Pentest-Anbieter, von Boutiquen über TÜV-Stellen bis zu internationalen Beratungen, und ihre Angebote sehen auf dem Papier oft identisch aus. Dieser Artikel ist die Kriterien-Checkliste, mit der du die Spreu vom Weizen trennst — neutral, ohne Verkaufsgespräch.
Was unterscheidet einen echten Pentest von einem Schwachstellen-Scan?
Ein automatisierter Scanner findet bekannte Muster und meldet sie als Alerts. Ein Pentest geht einen Schritt weiter: Er versucht, die Schwachstelle tatsächlich auszunutzen, und belegt das Ergebnis mit einem reproduzierbaren Proof of Concept. Genau dieser Unterschied entscheidet, ob ein Finding verwertbar ist — oder nur Rauschen.
Die schärfste Faustregel des Marktes: Angebote unter 3.000 € sind in der Regel automatisierte Scans, keine manuellen Pentests. Marktübersichten und Preisleitfäden deutscher Anbietender ziehen diese Linie konsistent. Der Tagessatz für zertifizierte Testende liegt im DACH-Raum bei 900–1.800 € netto — schon ein einziger seriöser Personentag plus Reporting sprengt die 2.000-€-Marke. Wer für „einen Pentest" 1.500 € verlangt, verkauft fast sicher einen Scan-Report unter falschem Namen. Die vollständige Preislogik haben wir im Beitrag zu Pentest-Kosten aufgeschlüsselt.
Frag bei jedem Angebot konkret nach: Liefert der Report für jedes Finding einen Proof of Concept — Request, Payload, Response, Reproduktionsschritte? Wenn die Antwort vage bleibt, kaufst du einen Scan. Das gilt für jeden Anbietertyp gleichermaßen.
Welche Anbietertypen gibt es — und für wen passt welcher?
Der Markt teilt sich grob in vier Kategorien. Keine ist pauschal besser; sie unterscheiden sich in Scope, Preismodell und Geschwindigkeit. Die Aufgabe ist, den Typ zur eigenen Anforderung zu wählen — nicht den lautesten.
| Anbietertyp | Stärke | Preismodell | Passt für |
|---|---|---|---|
| Boutique / Spezialisten | Tiefe in einer Nische, persönlicher Kontakt | Personentage, oft verhandelbar | Komplexe Einzelziele, spezielle Tech-Stacks |
| TÜV / Prüfstellen | Formale Audit-Akzeptanz, Reputation | Personentage, höhere Sätze | Regulierte Branchen, formale Nachweise |
| Internationale Beratungen | Breite, Red-Team-Kapazität, Skalierung | Personentage, Premium | Großkonzerne, organisationsweite Engagements |
| Autonome Plattform | Geschwindigkeit, kontinuierliches Testen, fixer Preis | Pro Engagement / Abo | Web/API, häufige Deployments, Budget-Klarheit |
Ein Mittelständler, der eine Webanwendung vor einem Vendor-Review testen lassen muss, hat andere Anforderungen als ein Konzern, der ein vierwöchiges Red Team über die Gesamtorganisation laufen lässt. Beide finden ihren passenden Typ — aber selten denselben.
Welche Kriterien zählen wirklich bei der Auswahl?
Hier liegt der Kern der Entscheidung. Die folgenden acht Kriterien trennen ein verwertbares Engagement von einem teuren Snapshot ohne Nachweis. Geh sie als Checkliste durch und lass dir jedes Kriterium konkret belegen — nicht behaupten.
| Kriterium | Worauf du achtest | Warum es zählt |
|---|---|---|
| Firmen-Zertifizierung | ISO 27001, ISO 9001, BSI-Qualifizierung für Pentest-Anbietende | Belegt Prozesse und Vertraulichkeit auf Organisationsebene |
| Tester-Zertifizierung | OSCP, OSCE, CEH, GPEN | Belegt praktisches Exploit-Können der durchführenden Person |
| Methodik-Treue | OWASP, PTES, BSI-Leitfaden | Strukturierte, nachvollziehbare Abdeckung statt Bauchgefühl |
| Proof of Concept pro Finding | Reproduzierbarer Exploit, nicht nur Alert | Das härteste Qualitätssignal überhaupt |
| Re-Tests inklusive | Nachprüfung nach der Remediation im Preis | Bestätigt, dass der Fix tatsächlich wirkt |
| Audit-Tauglichkeit des Reports | Hält für SOC 2, ISO 27001, BSI C5 stand | Der Report ist oft der eigentliche Lieferwert |
| Unabhängigkeit der Prüfenden | Nicht an Aufbau/Betrieb des Ziels beteiligt | BSI-Qualitätskriterium — siehe unten |
| Speicherort der Daten | DSGVO-konform, EU/Deutschland dokumentiert | Findings und PoCs sind hochsensible Daten |
Zweistufige Zertifizierung. Trenne Firmen- von Tester-Zertifikaten. ISO 27001 oder eine BSI-Qualifizierung sagen etwas über die Organisation — Prozesse, Vertraulichkeit, Wiederholbarkeit. OSCP, OSCE, CEH oder GPEN sagen etwas über die Person, die tatsächlich tippt. Ein Anbieter mit makellosem Firmenzertifikat, aber ungenannten Tester-Qualifikationen verschweigt die wichtigere Hälfte.
Methodik-Treue. Verwertbare Tests folgen einem anerkannten Rahmen — OWASP für Webanwendungen, PTES als Gesamtprozess, der BSI-Praxis-Leitfaden für IS-Penetrationstests als deutscher Standard. Lass dir sagen, welcher Methodik der Test folgt und wie die Abdeckung dokumentiert wird. „Wir testen halt alles" ist keine Methodik.
Unabhängigkeit. Das BSI nennt die Unabhängigkeit der Prüfenden ausdrücklich als Qualitätskriterium: Wer das System gebaut oder betrieben hat, soll es nicht prüfen. Das gilt für interne Teams wie für externe Anbietende — und für Plattformen.
„IS-Penetrationstests müssen immer von fachlich qualifizierten Personen durchgeführt werden, die unabhängig von den untersuchten Bereichen sind und die nicht bei Konzeption, Aufbau oder Betrieb des untersuchten Informationsverbundes mitgewirkt haben."
— BSI, Praxis-Leitfaden für IS-Penetrationstests (Stand: November 2016)
Datenspeicherung. Findings, Payloads und PoCs sind eine Landkarte deiner Schwachstellen. Frag nach, wo diese Daten gespeichert werden, wie lange, und ob die Verarbeitung DSGVO-konform in der EU läuft. Ein vager Antwort ist hier ein rotes Tuch.
Welche Warnsignale schließen einen Anbieter aus?
Manche Signale sind so eindeutig, dass sie ein Angebot disqualifizieren — unabhängig von Reputation oder Hochglanz-Deck. Wenn eines dieser fünf auftaucht, hak nach oder geh weiter.
- Unbegrenzte Stundenabrechnung ohne Deckel. Ein offenes Stundenbudget verschiebt das Kostenrisiko vollständig auf dich. Bestehe auf einem festen Scope und einer Obergrenze.
- „Pentest" unter 3.000 €. Fast immer ein automatisierter Scan unter falschem Namen. Frag nach dem Proof of Concept pro Finding.
- Keine Re-Tests. Wenn die Nachprüfung nach der Remediation extra kostet oder gar nicht angeboten wird, weißt du nie, ob dein Fix wirkt.
- Kein Proof of Concept. Ein Report ohne reproduzierbaren Exploit ist eine Scanner-Ausgabe mit Logo. Das ist das wichtigste Ausschlusskriterium.
- Kein fixer Scope. Ohne klar definierten Scope sind Aufwand, Preis und Abdeckung beliebig — und Streit programmiert.
Das BSI ist auch hier hilfreich: Es betont, dass ein Penetrationstest gezielt „einen Schritt weiter" geht als ein Scan und nach Wegen sucht, die vorhandenen Sicherheitsmaßnahmen zu umgehen. Wer das nicht liefert, verkauft kein Pentest. Mehr Kontext zur Marktregulierung findet sich beim BSI zu NIS-2-regulierten Unternehmen — und in unserem Beitrag, wann ein Pentest Pflicht ist.
Punkt-zu-Zeit oder kontinuierlich — was brauchst du?
Hier liegt das Kriterium, das die meisten Checklisten übersehen. Ein klassischer Pentest ist ein Snapshot: Er bewertet den Zustand an einem Tag. Jedes Deployment danach kann neue Schwachstellen einführen — und der teure Report altert ab der ersten Code-Änderung. Für Teams, die monatlich oder wöchentlich shippen, ist die entscheidende Frage nicht „welcher Anbieter", sondern „wie oft".
Das BSI weist darauf hin, dass nach jeder Änderung eines IT-Systems erneut geprüft werden sollte, ob die erforderliche Sicherheit erreicht ist. In einer CI/CD-Welt heißt das: ein jährlicher Pentest deckt die übrigen 51 Wochen nicht ab. Die Antwort ist nicht zwingend mehr manuelle Tests — die skalieren linear im Preis und in der Wartezeit. Hier setzen autonome Plattformen an.
Eine autonome Plattform wie DeepMantis führt Recon, Fingerprinting, Attack-Chain-Analyse und Exploit-Verifikation autonom durch und belegt jedes Finding mit einem reproduzierbaren Proof of Concept — schnell genug, um nach jedem Release erneut zu laufen statt einmal im Jahr. Das ist kein Ersatz für jeden Scope: Binary Exploitation, Mobile-Pentests, Social Engineering und physische Tests bleiben Sache manueller Teams, und DeepMantis führt diese Testarten bewusst nicht durch. Aber für Webanwendungen und APIs, die ständig deployen, verschiebt die kontinuierliche Frequenz das Sicherheitsniveau von „Snapshot" zu „laufende Abdeckung".
Entscheide also entlang deiner Deploy-Frequenz: Statisches Produkt vor einem Audit? Ein gründlicher Snapshot reicht. Ständig deployende Web/API-Plattform? Plane kontinuierliches Testen ein.
Häufige Fragen zur Anbieterauswahl
Reichen die Zertifikate eines Anbieters als Qualitätsnachweis?
Sie sind notwendig, aber nicht hinreichend. Firmenzertifikate wie ISO 27001 belegen Prozesse, Tester-Zertifikate wie OSCP das Können der Person. Beides solltest du sehen. Das letzte Wort hat aber der Report: Liefert er pro Finding einen reproduzierbaren Proof of Concept, stimmt die Qualität — fehlt er, hilft kein Zertifikat.
Wie viele Angebote sollte ich vergleichen?
Drei bis fünf reichen, wenn du sie entlang derselben Kriterien-Checkliste bewertest. Wichtiger als die Menge ist die Vergleichbarkeit: identischer Scope, identische Methodik-Anforderung, identische Frage nach PoC und Re-Tests. Sonst vergleichst du Äpfel mit Birnen — und der billigste Apfel ist oft ein Scan.
Ist ein lokaler Anbieter besser als ein internationaler?
Nicht per se. Lokale Boutiquen punkten mit Nähe und DSGVO-Klarheit, internationale Beratungen mit Red-Team-Kapazität und Skalierung. Entscheidend sind die Kriterien oben — Zertifizierung, Methodik, PoC, Unabhängigkeit, Datenspeicherort — nicht die Postleitzahl.
Wann ist eine autonome Plattform die richtige Wahl?
Wenn dein Ziel eine Webanwendung oder API ist, du häufig deployst und Budget-Klarheit brauchst. Für organisationsweite Red Teams, Binary- oder Mobile-Pentests bleibt ein manuelles Team die richtige Antwort. Wähle entlang von Scope und Frequenz, nicht entlang der Technologie an sich.
Stand: Juni 2026. Marktangaben laut den verlinkten Quellen; BSI-Zitate aus dem Praxis-Leitfaden für IS-Penetrationstests. Methodik und Scope-Grenzen von DeepMantis sind auf der Security-Seite dokumentiert.
