Penetrationstest-Anbieter auswählen: der Einkäufer-Leitfaden 2026
Die meisten Pentest-Berichte, die wir prüfen sollen, sind automatisierte Scans in einem hübschen PDF. So wählen Sie ein Penetrationstest-Unternehmen aus, das wirklich testet.

Ein Interessent leitete uns vor einiger Zeit den Pentest-Bericht eines Wettbewerbers weiter und stellte nur eine Frage: Taugt das etwas? 60 Seiten, mit Branding, selbstbewusst. Und zugleich ein Nessus-Scan, bei dem lediglich der Name des Tools ausgetauscht worden war. Kein manuelles Testing. Keine Business-Logik. Kein Nachweis, dass tatsächlich jemand irgendwo eingedrungen war. Nur CVSS-Werte und die Einstufung “mittel” für einen fehlenden HTTP-Security-Header.
Diesen Bericht – oder einen nahen Verwandten davon – sehen wir ständig. Und er trifft den Kern der Frage, wie man ein Penetrationstest-Unternehmen auswählt, denn das Ergebnisdokument sieht fast identisch aus, egal ob ein erfahrener Tester zwei Wochen in Ihrer Anwendung verbracht hat oder ein Skript über Nacht durchgelaufen ist. Auch die Rechnung kann ähnlich aussehen. In diesem Leitfaden geht es darum, über die Titelseite hinauszulesen und echtes Testing von “Scan-and-Dump” zu unterscheiden.
Wir führen offensive Engagements beruflich durch. Wir wissen, was ein gutes Engagement in der Umsetzung kostet, und wir wissen genau, an welchen Ecken gespart wird, wenn es billig ist. Folgendes würden wir prüfen, wenn wir auf Ihrer Seite des Tisches säßen.
Das Wichtigste in Kürze
- Beurteilen Sie den Tester, nicht das Logo. Fragen Sie, wer an Ihrem Engagement arbeitet, wie viele Jahre er in der offensiven Security tätig ist und welche Zertifizierungen er hat (OSCP, OSWE, CREST, GPEN) – nicht das Marketing des Anbieters.
- Verlangen Sie eine Methodik, die an einen öffentlichen Standard angelehnt ist (OWASP WSTG, OWASP ASVS, PTES), und einen geschwärzten Musterbericht, den Sie vor der Unterschrift lesen können.
- Ein Retest nach Ihren Fixes sollte inbegriffen sein, kein kostenpflichtiges Add-on. Ein Pentest ohne validierenden Retest ist eine halbe Leistung.
- Das deutlichste Warnsignal: ein niedriger Festpreis, eine Bearbeitungszeit von 24 Stunden und kein Scoping-Gespräch. Das ist ein automatisierter Scan im Anzug.
- Das eigentliche Risiko steckt im manuellen Testing von Business-Logik und Zugriffskontrolle. Scanner übersehen davon fast alles.
Was verkauft ein Penetrationstest-Unternehmen eigentlich?
Ein Penetrationstest ist ein zeitlich begrenzter, zielgerichteter Angriff auf Ihre Systeme durch einen Menschen, der so einzubrechen versucht, wie es ein echter Angreifer täte. Genau darum geht es. Ein Mensch denkt über Ihre konkrete Anwendung nach, verkettet kleine Schwachstellen zu einem echten Einbruch und weist die Auswirkungen nach. Ein Schwachstellen-Scan liefert dafür Zuarbeit, ist für sich genommen aber kein Penetrationstest.
Das ist wichtig, weil beides unter demselben Begriff verkauft wird – bei drastisch unterschiedlicher Qualität. Wenn Sie also überlegen, wie man ein Penetrationstest-Unternehmen auswählt, geht es im Kern um eine einzige Frage: Kaufe ich menschliche Expertise oder Automatisierung mit Aufschlag? Diesen Unterschied haben wir in einem eigenen Beitrag zu Penetrationstest versus Schwachstellen-Scan ausführlich behandelt, aber die Kurzfassung ist einfach. Scanner finden bekannte Signaturen. Tester finden Logik.
Jetzt der unangenehme Teil. Die Findings, die Unternehmen wirklich kompromittieren – fehlerhafte Zugriffskontrolle, IDOR, Authentifizierungs-Bypass, SSRF mit Pivot auf Cloud-Metadaten, Missbrauch der Business-Logik in einem Checkout- oder Überweisungsablauf – werden von einem Tool so gut wie nie zutage gefördert. OWASP führt Broken Access Control als das Web-Risiko Nummer eins, und in unseren Engagements gehören Fehler bei Zugriffskontrolle und Logik durchweg zu den schwerwiegendsten, die wir melden. Kein Scanner durchläuft Ihren mehrstufigen Workflow und bemerkt, dass ein Request wie GET /api/v2/accounts/1043/statements bereitwillig Konto 1044 zurückgibt, wenn man eine Ziffer ändert. Ein Mensch schon.
Worauf sollten Sie bei einem Penetrationstest-Unternehmen achten?
Auf vier Dinge: die Menschen, die Methodik, das Ergebnisdokument und das, was nach den Fixes passiert. Der Rest ist Verpackung.
Erfahrene Tester – namentlich benannt und zertifiziert
Fragen Sie direkt. Wer wird an meinem Engagement arbeiten? Wie viele Jahre offensive Arbeit hat diese Person hinter sich? Was hat sie veröffentlicht, präsentiert oder gemeldet? Ein starker Anbieter antwortet ohne zu zögern. Zertifizierungen sind ein vernünftiger Indikator für praktisches Können – OSCP und OSWE von Offensive Security, CREST CRT und CCT, GPEN und GXPN verlangen alle, dass man tatsächlich Systeme exploitet, statt Multiple-Choice-Kästchen anzukreuzen. Ein Vorbehalt, den wir wiederholen: Zertifikate sind eine Untergrenze, keine Obergrenze. Ein Tester mit einer Wand voller Abzeichen, aber ohne Gespür für Logikfehler wird Ihnen trotzdem einen Scanner-Dump liefern.
Achten Sie auf den Bait-and-Switch. Ein geschliffener Senior-Berater verkauft die Arbeit, dann liefert ein Junior mit einem Scanner ab. Lassen Sie sich den namentlich benannten Tester schriftlich zusichern.
Eine Methodik, die Sie an einem Standard messen können
Ein glaubwürdiger Anbieter richtet seine Arbeit an etwas Öffentlichem aus. Bei Webanwendungen bedeutet das den OWASP Web Security Testing Guide (WSTG) und OWASP ASVS für die Abdeckungstiefe sowie PTES für den Aufbau des gesamten Engagements. Wenn ein Anbieter Ihnen nicht sagen kann, welche Kategorien er abdeckt und wie er Authentifizierung, Session-Management, Zugriffskontrolle, Injection und Business-Logik testet, ist das ein Problem, das Sie schon im ersten Gespräch heraushören.
Fragen Sie, welcher Anteil des Tests manuell erfolgt. Bei einem Web-Engagement ist der automatisierte Durchlauf – ein aktiver Scan mit Burp Suite, ein paar nuclei-Templates, ffuf für Content Discovery – vielleicht der erste Tag. Der Mehrwert entsteht danach. Dann manipuliert ein Mensch JWTs, prüft jede Objektreferenz auf IDOR und missbraucht genau den Workflow, von dem die Entwickler annahmen, dass niemand jemals daran rütteln würde.
Ein Musterbericht, auf dessen Grundlage Sie tatsächlich handeln würden
Bestehen Sie vor dem Kauf auf einem geschwärzten Muster. Lesen Sie es als Techniker, nicht als Einkäufer. Ein gutes Finding hat einen klaren Titel, die geschäftlichen Auswirkungen in verständlicher Sprache, exakte Reproduktionsschritte (den Request, den Parameter, den Payload), Belege, eine Schweregrad-Einstufung, die Sie begründen können, und einen konkreten Fix. Nicht “Cross-Site-Scripting erkannt – beheben.”
Wenn das Muster ein Scanner-Export mit neuem Logo ist, haben Sie Ihre Antwort. Der Prüfstein: Ihre Entwickler sollten ein Finding allein anhand des Berichts reproduzieren und beheben können, ohne einen Rückruf, der es erst übersetzt.
Retesting inbegriffen, nicht nachträglich verkauft
Dieser Punkt trennt schnell die seriösen Firmen von den anderen. Nachdem Sie behoben haben, muss jemand überprüfen, ob die Fixes wirklich greifen und keine neuen Lücken aufgerissen haben. Dieser Retest gehört in das Engagement, nicht auf eine spätere Rechnung. Wir behandeln ihn als Teil der Arbeit, denn ein Pentest, der bei “hier sind die Fehler” aufhört, lässt Sie im Ungewissen, ob Sie sicher sind. Ein sauberer Retest ist zufällig auch genau das, was Ihre Auditoren und Enterprise-Kunden sehen wollen.
Was sind die Warnsignale bei der Wahl eines Pentest-Anbieters?
Das lauteste: ein fester, verdächtig niedriger Preis, eine Bearbeitungszeit von 24 bis 48 Stunden und kein Scoping-Gespräch. Echtes Testing lässt sich ohne Verständnis Ihres Scopes nicht seriös bepreisen – wie viele Anwendungen, wie viele Rollen, wie viele API-Endpunkte, ob authentifiziert getestet wird, was Ihre Ziele sind. Eine Firma, die anbietet, bevor sie fragt, kalkuliert einen Scan.
Ein paar weitere, die uns ständig begegnen:
- “Wir setzen auf AI-gestütztes Testing” als gesamtes Verkaufsargument. Automatisierung hilft auch uns. Aber wenn das Unterscheidungsmerkmal ein Tool ist statt der Menschen, die es steuern, kaufen Sie das Tool.
- Kein Nachweis der Ausnutzung. “Potenziell verwundbar” plus ein CVSS-Wert ohne Reproduktion ist geraten vom Scanner. Echte Findings zeigen den Request und das Ergebnis.
- Bericht abgeben und verschwinden. Ein gutes Engagement endet mit einem Gespräch, in dem die Tester Ihre Entwickler durch die kritischen Findings führen und die unbequemen Fragen beantworten.
- Alles ist kritisch, oder alles ist nur “Info”. Falsch kalibrierte Schweregrade bedeuten, dass niemand über Ihr tatsächliches Risiko nachgedacht hat. Achten Sie auch auf Berichte, die mit belanglosen Info-Findings aufgebläht werden, damit sie dick wirken.
- Sie weichen der Frage “wer testet” aus. Wenn ein Anbieter den Tester oder die Zertifikate nicht nennen will, gehen Sie davon aus, dass Ihnen die Antwort nicht gefallen würde.
Welche Fragen sollten Sie einem Penetrationstest-Unternehmen stellen?
Nehmen Sie diese mit ins Verkaufsgespräch. Die Antworten sagen mehr aus als jede Broschüre.
- Wer genau wird meine Systeme testen, und welchen Hintergrund in offensiver Security sowie welche Zertifizierungen hat diese Person?
- Wie hoch ist der manuelle im Vergleich zum automatisierten Anteil dieses Engagements, und welchem Standard (OWASP WSTG, PTES, ASVS) folgen Sie?
- Kann ich vor der Unterschrift einen geschwärzten Musterbericht sehen?
- Ist ein validierender Retest nach der Behebung in diesem Preis enthalten?
- Wie gehen Sie konkret beim Testing von Business-Logik und Zugriffskontrolle vor?
- Was benötigen Sie von mir, um das genau zu scopen, und wie sieht der Zeitplan aus?
- Wird es ein Live-Debriefing mit meinem Engineering-Team geben?
Konkrete, selbstsichere, konsistente Antworten sind ein gutes Zeichen. Vage Antworten – oder wenn jede Frage wieder auf eine Preisliste hinausläuft – sind Ihr Signal, weiterzusuchen.
Wie CyberXplore vorgeht
Wir haben unseren Service für Penetrationstests von Webanwendungen genau um die Dinge herum aufgebaut, die Käufer einfordern sollten: namentlich benannte erfahrene Tester, eine an OWASP WSTG und ASVS angelehnte Methodik, Berichte, mit denen Ihre Entwickler ohne Übersetzer arbeiten können, und einen kostenlosen Retest, nachdem Sie behoben haben. Jedes kritische Finding wird mit dem exakten Request, dem Payload und Reproduktionsschritten geliefert, dazu ein Live-Debriefing mit Ihrem Team. Wir erklären einen Bug lieber zu ausführlich, als Ihnen eine CVSS-Zahl hinzuwerfen und zu verschwinden. Wenn Sie ein auf Ihre Umgebung zugeschnittenes, ehrliches Angebot möchten, fordern Sie ein Angebot an – wir beginnen mit einem Scoping-Gespräch, nicht mit einem Preisschild.
FAQ
Wie viel sollte ein Penetrationstest kosten?
Das hängt von Umfang und Tiefe ab, betrachten Sie daher jeden Festpreis, der ohne Scoping-Gespräch genannt wird, mit Misstrauen. Eine einzelne kleine Webanwendung ist eine völlig andere Aufgabe als eine große authentifizierte Plattform mit Dutzenden API-Endpunkten und mehreren Rollen. Die richtige Frage lautet nicht “was ist am billigsten”, sondern “was bekomme ich dafür” – manuelles Testing, einen echten Bericht und einen Retest, oder einen Scan im PDF.
Welche Zertifizierungen sollte ein Penetrationstester haben?
OSCP und OSWE von Offensive Security, CREST CRT oder CCT sowie GPEN oder GXPN sind allesamt solide Signale, weil sie von den Kandidaten verlangen, Systeme tatsächlich zu exploiten, statt Theorie auswendig zu lernen. Behandeln Sie Zertifikate als Mindestanforderung, nicht als Nachweis von Exzellenz. Jahre echter Engagement-Erfahrung und ein Gespür für Fehler in der Business-Logik zählen genauso viel.
Ist ein Penetrationstest dasselbe wie ein Schwachstellen-Scan?
Nein. Ein Schwachstellen-Scan ist eine automatisierte Prüfung auf bekannte Probleme und Fehlkonfigurationen. Ein Penetrationstest ist ein Mensch, der aktiv einzubrechen versucht, Findings verkettet und die reale Auswirkung nachweist. Ein guter Pentest nutzt das Scanning als einen frühen Input und verbringt dann den Großteil der Zeit mit der manuellen Arbeit, die Tools nicht leisten können – etwa dem Testing von Zugriffskontrolle und Logik.
Wie lange dauert ein Penetrationstest?
Die meisten fokussierten Webanwendungs-Engagements umfassen je nach Umfang ein bis drei Wochen aktives Testing plus Reporting. Eine Bearbeitung am selben Tag bedeutet fast immer einen automatisierten Scan statt manuellem Testing. Planen Sie Raum für einen Retest ein, nachdem Ihr Team die Findings behoben hat.
Sollte Retesting im Preis enthalten sein?
Ja. Nachdem Sie behoben haben, sollte ein Tester überprüfen, ob die Fixes die Probleme tatsächlich geschlossen und keine neuen aufgerissen haben. Wenn ein Anbieter diesen validierenden Retest separat berechnet, rechnen Sie ihn in die Gesamtkosten ein und fragen Sie sich, ob das erste Engagement ohne ihn jemals wirklich vollständig war.
Was ist das größte einzelne Warnsignal?
Ein niedriger Festpreis mit schneller Bearbeitung und ohne Scoping-Gespräch. Präzises Testing lässt sich nicht bepreisen, ohne Ihre Anwendungen, Rollen und Ziele zu verstehen. Ein Angebot, das eintrifft, bevor überhaupt jemand eine echte Frage gestellt hat, gilt fast sicher einem automatisierten Scan, nicht einem Penetrationstest.



