Wie wähle ich als KMU einen Penetrationstest-Anbieter aus?

Bewerte Anbieter anhand von fünf Punkten: Wer den Test tatsächlich durchführt und welche Zertifizierungen die Person hat, ob ein NDA unterzeichnet und deine Daten unter einem ISMS gehandhabt werden, ob du vor der Unterschrift einen Musterbericht sehen kannst, ob die Preise transparent und fix sind, und ob der Scope von deinem Risiko statt von einer Verkaufsvorlage getrieben ist. Ein guter Anbieter beantwortet alle fünf klar und widerspricht, wenn deine Anfrage nicht zu deinem tatsächlichen Bedarf passt.

Welche Fragen sollte ich einem Pentest-Anbieter vor der Unterschrift stellen?

Frage, wer genau den Test durchführt und welchen Hintergrund die Person hat, ob am Scoping-Gespräch ein Tester teilnimmt oder nur der Vertrieb, ob du einen Musterbericht sehen kannst, was der Bericht enthält, wie Schwachstellen und Daten gespeichert und gelöscht werden, ob ein Retest verfügbar ist und wie die Preisgestaltung funktioniert. Die Qualität der Antworten und die Bereitschaft, einen schlechten Scope zu hinterfragen, sagen mehr als jede Broschüre.

Sollte ein KMU in der DACH-Region einen lokalen Pentest-Anbieter wählen?

Ein Anbieter in der DACH-Region bietet praktische Vorteile: deutschsprachige Berichte und Debriefings, Arbeitszeiten, die zu deinen passen, Vertrautheit mit EU- und DACH-Regulierung (NIS2, DSGVO, ISO 27001, TISAX) und Datenhandhabung nach EU-Recht. Das wiegt für KMU schwerer als für Großunternehmen, weil du weniger interne Kapazität hast, Lücken selbst zu überbrücken.

Was sind Warnsignale bei der Wahl eines Pentest-Anbieters?

Warnsignale sind: nicht sagen zu wollen, wer den Test durchführt, ein Scoping-Gespräch nur mit Vertrieb und ohne Tester, kein Musterbericht, Deliverables, die sich als rohe Scanner-Ausgabe herausstellen, vage oder ausweichende Antworten zur Datenhandhabung, Druck zu Blackbox-Tests ohne klaren Grund und ein Angebot weit unter Marktniveau ohne Erklärung. Jeder einzelne Punkt ist ein Grund, vor der Unterschrift härter nachzufragen.

Checkliste zur Wahl eines Pentest-Anbieters für KMU in der DACH-Region

13.06.2026 (Aktualisiert: 15.06.2026)

#Pentest #Buyer's Guide

Checkliste zur Wahl eines Penetrationstest-Anbieters für kleine und mittlere Unternehmen in der DACH-Region

This page is also available in English.

Einen Penetrationstest-Anbieter zu wählen ist schwer, wenn du selbst kein Sicherheitsspezialist bist, und in dieser Lage sind die meisten KMU. Der Markt ist voll selbstbewusster Verkaufsversprechen, und der Unterschied zwischen einem wirklich nützlichen Test und einem teuren Compliance-Häkchen ist aus einer Broschüre nicht erkennbar. Diese Checkliste gibt dir die konkreten Fragen und sagt dir, wie gute Antworten klingen.

Wie wählst du als KMU einen Pentest-Anbieter aus?

Bewerte jeden Anbieter anhand von fünf konkreten Dimensionen: den Menschen, der Datenhandhabung, dem Deliverable, der Preisgestaltung und dem Scope. Das meiste Marketing dreht sich um Logos und Zertifizierungen, aber die Fragen, die das Ergebnis tatsächlich vorhersagen, betreffen, wer deinen Test durchführt, wie deine Daten geschützt werden, was du bekommst, was es kostet und ob der Scope zu deinem echten Risiko passt. Die folgenden Abschnitte machen aus jeder Dimension Fragen, die du direkt stellen kannst.

Ein nützliches Indiz: Ein starker Anbieter wird dir manchmal das ausreden, wonach du gefragt hast, und dich zu dem hinführen, was du brauchst. Ein Anbieter, der zu allem Ja sagt, verkauft, statt zu beraten.

Wer führt den Test tatsächlich durch?

Frage, wer genau deinen Test durchführt und welchen Hintergrund und welche Zertifizierungen diese Person hat. Die Antwort sollte eine namentlich genannte Person mit relevanter, nachprüfbarer Erfahrung sein, nicht “einer unserer Berater”. Die Qualität eines Pentests wird von der Kompetenz des Testers dominiert, daher ist das die aussagekräftigste Frage, die du stellen kannst. Anerkannte Zertifizierungen wie OSCP, CISSP, GWAPT oder die GIAC-Familie zeigen ein echtes Kompetenzniveau an.

Frage nach: Nimmt am Scoping-Gespräch der Tester teil oder nur ein Vertriebskontakt? Wenn die Person, die die technische Arbeit versteht, beim Scoping fehlt, wird der Scope von jemandem festgelegt, der die Arbeit nicht macht, und genau so werden Projekte falsch gescopt.

Unterzeichnen sie ein NDA, und wie werden deine Daten gehandhabt?

Ein seriöser Anbieter unterzeichnet routinemäßig eine Vertraulichkeitsvereinbarung und kann konkret beschreiben, wie deine Daten gespeichert, zugriffskontrolliert und gelöscht werden. Frage, ob sie ein Information Security Management System betreiben (idealerweise an ISO-27001-Prinzipien ausgerichtet), wo Schwachstellen und Berichte gespeichert werden, wer darauf zugreifen kann und wann sie nach dem Projekt gelöscht werden. Du lädst jemanden ein, deine Schwachstellen zu finden und zu dokumentieren: Wie diese Informationen geschützt werden, ist Teil der Leistung, kein Randthema.

Vage oder ausweichende Antworten sind hier ein ernstes Warnsignal. Die Details deiner Schwachstellen gehören zu den sensibelsten Daten, die dein Unternehmen besitzt.

Kannst du vor der Unterschrift einen Musterbericht sehen?

Ja, und du solltest immer danach fragen. Der Bericht ist das eigentliche Produkt, das du kaufst, daher sagt dir ein Muster vor der Unterschrift genau, was du bekommst. Ein guter Bericht hat eine Executive Summary für das Management, einen technischen Abschnitt pro Schwachstelle mit Beschreibung, Nachweis, Risikobewertung und Reproduktionsschritten sowie konkrete Empfehlungen zur Behebung. Jede Schwachstelle sollte manuell verifiziert sein.

Wenn ein Anbieter kein Muster zeigen kann oder will, sei vorsichtig. Und wenn sich das Muster als leicht umformatierte Scanner-Ausgabe herausstellt (seitenweise automatisierte Einträge mit generischen Beschreibungen und ohne manuelle Verifikation), kaufst du einen Schwachstellenscan, der als Pentest verkleidet ist.

Sind die Preise transparent und fix?

Gute Anbieter kalkulieren transparent auf Personentag-Basis mit einer fixen Gesamtsumme: einer genannten Zahl an Testtagen, einem Tagessatz und einem Endpreis, der sich nicht ändert, wenn die Arbeit ein paar Stunden länger dauert. Frage genau, was enthalten ist (Testing, Berichterstellung, Debriefing, Retest) und was extra kostet. Das schützt dich sowohl vor überraschenden Überschreitungen als auch vor Angeboten, die so vage sind, dass du Anbieter nicht vergleichen kannst.

Behandle ein Angebot weit unter Marktniveau als Frage, nicht als Schnäppchen. Meist bedeutet es Junior-Tester, einen scanner-getriebenen Prozess oder einen still verengten Scope, der zum Preis passt. Billiges Testing, das den entscheidenden Angriffspfad übersieht, ist das teuerste Testing überhaupt.

Ist der Scope von deinem Risiko getrieben oder von einer Vorlage?

Der Scope sollte aus einem Gespräch über deine tatsächliche Umgebung und dein Risiko kommen, nicht aus einem Einheitspaket. Ein guter Anbieter fragt, was du schützen willst, was am meisten wehtun würde, wenn es kompromittiert wird, welche Compliance-Treiber du hast und was sich kürzlich geändert hat, und schlägt daraus einen Scope vor. Greybox-Tests (mit gültigen Benutzer-Zugangsdaten) werden meist empfohlen, weil sie den realistischen Angreifer abbilden, der einen Mitarbeitenden gephisht hat oder ein Insider ist, und weil sie weit mehr finden als ein nicht authentifizierter Blackbox-Test.

Sei vorsichtig bei einem Anbieter, der ohne klaren Grund Blackbox-Tests vorschlägt oder dir dasselbe Paket verkauft wie allen anderen. Der Penetrationstest-Käuferratgeber behandelt Scoping und Methodik im Detail.

Sollte ein DACH-KMU einen lokalen Anbieter wählen?

Für die meisten DACH-KMU hat ein regionaler Anbieter echte praktische Vorteile. Du bekommst die Option auf deutschsprachige Berichte und Debriefings, Arbeitszeiten, die zu deinen passen, direkte Vertrautheit mit der Regulierung, die dich betrifft (NIS2, DSGVO, ISO 27001, TISAX, DORA), und Datenhandhabung nach EU-Recht. Das wiegt für kleinere Unternehmen schwerer als für Großunternehmen, weil du weniger interne Kapazität hast, selbst zu übersetzen, Zeitzonen zu überbrücken oder unbekannte Compliance-Zuordnungen zu interpretieren.

Das ist keine absolute Regel, aber für ein Unternehmen mit 50 bis 500 Mitarbeitenden, das Wert auf eine direkte Beziehung und einen Tester legt, der den lokalen regulatorischen Kontext versteht, reduziert ein DACH-Anbieter meist die Reibung.

Die Checkliste auf einen Blick

Bereich	Frage	Gute Antwort
Menschen	Wer führt den Test durch, und mit welchen Zertifizierungen?	Eine namentlich genannte, erfahrene Person (OSCP, CISSP, GIAC)
Scoping	Ist ein Tester beim Scoping-Gespräch?	Ja, nicht nur Vertrieb
Daten	NDA und ISMS-basierte Handhabung?	Routinemäßiges NDA, definierte Speicherung und Löschung
Deliverable	Kann ich einen Musterbericht sehen?	Ja, manuell verifizierte Schwachstellen
Preis	Transparent und fix?	Personentage, Tagessatz, fixe Gesamtsumme
Scope	Risikogetrieben oder Vorlage?	Getrieben von deiner Umgebung und deinem Risiko
Methodik	Warum diese Methode?	Greybox als Standard, mit Begründung
Nachsorge	Ist ein Retest verfügbar?	Ja, als definiertes Add-on

Wenn ein Anbieter diese Punkte klar beantwortet und dir dort widerspricht, wo deine Anfrage nicht zu deinem Bedarf passt, ist das der Anbieter, mit dem es sich zu arbeiten lohnt.

Wo VidraSec passt

VidraSec ist darauf ausgelegt, diese Checkliste zu bestehen. Jeder Test wird persönlich von Martin Grottenthaler durchgeführt (OSCP, CISSP, GCFA, GWAPT), das Scoping-Gespräch ist mit dem Tester statt mit einem Verkäufer, ein NDA und ISMS-basierte Datenhandhabung sind Standard, Musterberichte sind veröffentlicht, damit du das Deliverable vor der Unterschrift siehst, und die Preise sind transparent und fix pro Personentag. Der Scope ist von deinem Risiko getrieben, und Greybox ist die Standardempfehlung. Die FAQ beantworten die häufigen Fragen zu Preis, Ablauf und Compliance.

Willst du einen Anbieter, der diese Checkliste besteht? Meld dich gerne.

martin@vidrasec.com

+43 670 3081275

Termin auswählen