Boutique-Pentest (Einzelperson) vs. große Firma vs. PTaaS: Wie du dich entscheidest

Du brauchst einen Penetrationstest, und der Markt bietet drei sehr unterschiedliche Anbietertypen: die Boutique-Einzelperson, die große Sicherheitsfirma und die PTaaS-Plattform. Sie sind unterschiedlich bepreist, liefern unterschiedlich und sind nicht austauschbar. Dieser Ratgeber vergleicht sie anhand der Faktoren, die das Ergebnis wirklich beeinflussen.

Was ist der Unterschied zwischen einem Boutique-Pentest, einer großen Firma und PTaaS?

Ein Boutique-Pentest durch eine Einzelperson wird von Anfang bis Ende von einem erfahrenen Tester durchgeführt. Du sprichst vor der Unterschrift mit dieser Person, sie testet deine Systeme, schreibt den Bericht und leitet das Debriefing. Eine große Firma bietet Skalierung und einen breiten Leistungskatalog mit formalen Prozessen und einer bekannten Marke, besetzt Projekte aber oft mit Teams gemischter Erfahrung. PTaaS (Penetration Testing as a Service) ist ein Plattformmodell: Testing wird bedarfsbasiert oder kontinuierlich über ein Dashboard geliefert und mischt häufig automatisiertes Scannen mit menschlichen Testern aus einem geteilten Pool.

Jedes Modell optimiert für etwas anderes. Die Boutique optimiert für Tiefe und Verantwortlichkeit. Die große Firma optimiert für Skalierung und Breite. PTaaS optimiert für Geschwindigkeit und Kontinuität. Zu wissen, welches du wirklich brauchst, ist der größte Teil der Entscheidung.

Wer führt den Test tatsächlich durch, und warum ist das wichtig?

Bei einem Boutique-Pentest durch eine Einzelperson ist die Person, die das Projekt scopt, auch die Person, die die Arbeit macht. Es gibt keine Account Manager, keine Delivery-Teams und keinen Ersatz durch Junioren. In einer großen Firma ist der erfahrene Berater, der dich im Verkaufsgespräch überzeugt hat, vielleicht nicht die Person, die sich in deine Umgebung einloggt: Die Durchführung geht oft an ein Team mit gemischter Erfahrung. Bei PTaaS wird die Arbeit auf einen Pool von Plattform-Testern verteilt, deren Erfahrung und Identität du meist nicht wählen kannst.

Das ist wichtig, weil die Qualität eines Pentests von der Kompetenz des Testers dominiert wird. Zwei Tester mit demselben Scope und demselben Zeitbudget können völlig unterschiedliche Ergebnisse liefern. Die nützlichste Frage an jeden Anbieter ist einfach: Wer genau führt meinen Test durch, und welchen Hintergrund hat diese Person?

Welches Modell liefert das tiefste manuelle Testing?

Für komplexe, kontextlastige Ziele liefert eine Boutique-Einzelperson meist das tiefste manuelle Testing. Tiefes Testing erfordert, das ganze System in einem Kopf zu halten: eine geringfügige Fehlkonfiguration in einen echten Angriffspfad zu verketten, zu erkennen, dass eine ungewöhnliche Antwort eine zusätzliche Stunde wert ist, zu verstehen, wie sich dein Active-Directory-Tiering unter Angriff tatsächlich verhält. Ein einzelner erfahrener Tester, dem das gesamte Projekt gehört, ist strukturell dafür geeignet.

PTaaS-Plattformen stützen sich auf Automatisierung für Geschwindigkeit und Abdeckung, was hervorragend ist, um bekannte Probleme über eine breite Fläche zu finden, aber schwächer bei neuartigen Angriffsketten. Große Firmen können tiefes Können aufbieten, aber ob du es bei deinem konkreten Projekt bekommst, hängt davon ab, wer zugeteilt wird und wie viel des Budgets in erfahrene Stunden statt in Overhead fließt.

Welches ist am kosteneffizientesten?

Für einen definierten Scope bei einem KMU ist das Boutique-Modell meist am kosteneffizientesten pro Einheit echter Risikoreduktion, weil du für erfahrene Teststunden zahlst statt für Vertriebs-Overhead, Account Management und Markenaufschlag. Eine große Firma trägt höhere Fixkosten, die sich im Angebot zeigen. PTaaS verlagert das Modell auf ein Abo- oder Credit-System, das effizient sein kann, wenn du kontinuierlich testest, aber teuer, wenn du nur ein oder zwei Assessments pro Jahr brauchst.

Billiger ist nicht dasselbe wie besser. Ein niedriges Angebot, das dir Junior-Tester mit einem Scanner bringt, ist teurer als ein höheres Angebot, das dir einen erfahrenen Tester bringt, der den Angriffspfad findet, der wirklich zählt. Vergleiche, was du pro Euro bekommst, nicht nur die Gesamtsumme.

Was ist mit Kontinuität und langfristiger Beziehung?

Eine Boutique-Einzelperson bietet die stärkste Kontinuität: Dieselbe Person testet deine Umgebung Jahr für Jahr, erinnert sich an die Schwachstellen des Vorjahres und kann dir sagen, ob du dich tatsächlich verbessert hast. Große Firmen rotieren Personal, sodass das Wissen über deine Umgebung in Dokumenten statt in einer Person lebt. PTaaS bietet Kontinuität von Plattform und Daten (deine Schwachstellen-Historie liegt im Dashboard), aber keine Kontinuität des Testers.

Für Organisationen, die jährlich dieselbe Kerninfrastruktur testen, entfernt ein Tester, der deine Umgebung bereits kennt, einen großen Teil des Einarbeitungsaufwands und findet Regressionen, die ein Neuling übersehen würde.

Wann solltest du trotzdem eine große Firma wählen?

Wähle eine große Firma, wenn du Skalierung oder Breite brauchst, die eine Einzelperson nicht bieten kann: viele Tester, die parallel gegen eine Deadline arbeiten, eine 24/7-Incident-Response-Fähigkeit gebündelt mit Testing, einen global bekannten Markennamen, den dein Einkauf oder Vorstand verlangt, oder einen Komplettanbieter, der Pentest plus Audit, GRC und Managed Services abdeckt. Wenn deine Umgebung so groß und komplex ist, dass eine Einzelperson Monate bräuchte, sind parallele Teams die richtige Antwort.

Wann solltest du PTaaS wählen?

Wähle PTaaS, wenn du häufig Code ausrollst und Testing in deinen Entwicklungszyklus einweben willst, statt es einmal im Jahr anzusetzen. Das Plattformmodell passt zu Produktunternehmen mit reifem DevOps, die bedarfsbasierte Assessments, ein Live-Dashboard für Schwachstellen und einfache Retests beim Ausrollen von Fixes wollen. Weniger passt es, wenn deine Priorität ein tiefes, manuelles Assessment interner Infrastruktur oder von Active Directory ist, wo der Wert daraus entsteht, dass ein Mensch intensiv über deine konkrete Umgebung nachdenkt, statt aus kontinuierlicher Abdeckung.

Wie entscheidest du dich? Ein schneller Vergleich

Die ehrliche Zusammenfassung: Wenn du ein Unternehmen mit 50 bis 500 Mitarbeitenden mit einem definierten Scope bist und Wert auf Tiefe und eine direkte Beziehung legst, passt das Boutique-Modell meist am besten. Wenn du Skalierung oder eine Marke brauchst, geh groß. Wenn du ständig ausrollst und kontinuierliche Abdeckung willst, nimm PTaaS.

Wo VidraSec passt

VidraSec ist das Boutique-Modell mit einer Einzelperson. Jedes Projekt wird persönlich von Martin Grottenthaler durchgeführt: Dieselbe Person scopt die Arbeit, testet deine Systeme, schreibt den Bericht und leitet das Debriefing. Das bedeutet tiefes manuelles Testing, direkte Verantwortlichkeit und Kontinuität über die Jahre. Es ist die richtige Wahl für kleine und mittlere Organisationen, die erfahrenes Testing statt eines Scanners mit Rechnung wollen. Es ist bewusst nicht die richtige Wahl, wenn du nächste Woche fünfzig Tester oder einen bekannten Markennamen für den Vorstand brauchst.

Wenn du deine Optionen abwägst: Der Penetrationstest-Käuferratgeber behandelt Scoping und Methodik im Detail, und die FAQ beantworten die häufigen Fragen zu Preis, Ablauf und Vertraulichkeit.

Willst du durchsprechen, welches Modell zu deiner Situation passt? Meld dich gerne.

Verwandte Dienstleistungen

• Externer IT-Infrastruktur-Penetrationstest
• Interner IT-Infrastruktur-Penetrationstest
• Web-Applikations-Penetrationstest

Zugehörige Dienstleistungen

• Active Directory Sicherheitsaudit
• Interner IT-Infrastruktur Penetrationstest
• Cloud Infrastruktur Audit
• Entra ID Sicherheitsaudit
• Externer IT-Infrastruktur Penetrationstest
• Penetrationstest für Webanwendungen