Ein Penetrationstest deckt Schwachstellen in IT-Systemen auf, bevor Angreifer sie ausnutzen. Wir erklären, wie ein Pentest abläuft, welche Arten von Tests es gibt, was ein Pentest für KMU kostet und wie Sie einen seriösen Pentest-Anbieter erkennen.
Inhalt
In diesem Leitfaden klären wir, was ein Penetrationstest genau ist, wann KMU einen Pentest brauchen, welche Pentest-Typen es gibt (Black Box, White Box, Grey Box), wie ein Penetration Testing in fünf Phasen abläuft, was Pentest Kosten für deutsche KMU 2026 sind und wie Sie unter NIS2-Compliance den passenden Pentest-Anbieter auswählen. Wir betreuen seit über 30 Jahren KMU im Raum Köln, Bonn und Sankt Augustin — als IT-Systemhaus mit IT-Sicherheits-Schwerpunkt sehen wir die Pentest-Realität in deutschen Unternehmen aus erster Hand.
Was ist ein Penetrationstest?
Ein Penetrationstest ist ein simulierter Cyberangriff auf IT-Systeme, bei dem Sicherheitsexperten gezielt nach Schwachstellen suchen — bevor echte Angreifer sie ausnutzen. Der Pentest prüft Netzwerk, Anwendungen, Cloud-Systeme oder die gesamte IT-Infrastruktur eines Unternehmens unter kontrollierten Bedingungen.
Ziel des Pentests: einen ehrlichen Status-Bericht über Schwachstellen, Angriffsvektoren und konkrete Behebungs-Empfehlungen liefern. Anders als ein automatisierter Schwachstellenscan versucht der Penetration Tester aktiv, gefundene Schwachstellen auszunutzen — um zu prüfen, ob aus einer theoretischen Lücke ein praktischer Angriffspfad wird.
Pentest vs. Schwachstellenscan — der Unterschied
Beide Begriffe werden oft verwechselt. Der Unterschied ist aber wesentlich für die Wahl der richtigen Methode:
| Aspekt | Schwachstellenscan | Penetrationstest |
|---|---|---|
| Methode | automatisierte Tools | manuelle Tester + Tools |
| Ergebnis | Liste theoretischer Schwachstellen | bewertete echte Angriffspfade |
| Aufwand | Stunden | Tage bis Wochen |
| Kosten | 500–3.000 € | 2.000–25.000 € |
| Ergebnistiefe | gering | hoch |
Ein Pentest ist die Königsdisziplin der Sicherheitstests. Schwachstellenscans sind günstig, aber Pentests zeigen, ob ein Angreifer tatsächlich in das Netzwerk eindringen kann.
Brauche ich als KMU einen Penetrationstest?
Diese Frage hängt von Branche, Unternehmensgröße, Compliance-Pflichten und vorhandenen IT-Systemen ab. Pauschal gilt: Je mehr personenbezogene Daten ein Unternehmen verarbeitet und je stärker es von Online-Geschäftsprozessen abhängt, desto wichtiger sind regelmäßige Pentest-Tests.
Wann ein Pentest sinnvoll ist
- Sie verarbeiten sensible Daten (Steuerkanzlei, Anwalt, Gesundheitswesen, Finanzdienstleistung)
- Sie betreiben einen Online-Shop oder ein Kunden-Portal
- Sie sind NIS2-pflichtig (siehe NIS2-Sektion unten)
- Sie haben eine ISMS-Zertifizierung (ISO 27001) und brauchen Audit-Nachweis
- Nach einer größeren IT-Umstellung (Migration, neue Anwendungen, neue Infrastruktur)
- Nach einem realen Sicherheitsvorfall (Forensik + Pentest)
Wann ein Schwachstellenscan reicht
- Sehr kleines Unternehmen (< 10 Mitarbeiter, keine sensiblen Daten)
- Pure Office-IT ohne externe Schnittstellen
- Erstes Audit zur Bestandsaufnahme — Pentest folgt später, wenn Basis-Lücken geschlossen sind
Für die meisten KMU mit 20+ Mitarbeitern und einer Online-Präsenz ist ein regelmäßiger Pentest sinnvoll. Frequenz: alle 12 bis 24 Monate je nach Risikolage.
Welche Arten von Pentests gibt es?
Pentests unterscheiden sich nach Vorwissen-Level der Tester und nach Angriffsperspektive. Die Wahl hängt vom Ziel ab.
Black Box Pentest. Black Box bedeutet: Der Tester hat kein Vorwissen über die IT-Infrastruktur eines Unternehmens. Wie ein echter Angreifer von außen versucht er, Zugriff zu erlangen.
Black Box Pentests sind realistisch, aber aufwendig — viel Zeit fließt in die Reconnaissance der Infrastruktur. Die Kosten eines Black Box Pentests liegen daher höher als bei einem White Box Modell.
White Box Pentest. White Box ist das Gegenteil: Der Tester bekommt vollen Zugriff auf Dokumentation, Quellcode, Netzwerkpläne und teilweise Login-Daten der Systeme.
Das macht den Penetrationstest effizient und ermöglicht tiefe Schwachstellen-Funde, weil der Tester gezielt suchen kann statt blind zu raten. Ein White Box Modell ist sinnvoll, wenn die IT Sicherheit eines bestimmten Systems detailliert geprüft werden soll.
Grey Box Pentest. Grey Box ist die Mitte: Der Tester bekommt Teil-Informationen, etwa einen Standard-User-Zugang oder eine Architektur-Übersicht.
Das simuliert einen Insider oder einen Angreifer mit ersten Erkenntnissen. Für KMU ist Grey Box meist das beste Kosten-Nutzen-Verhältnis eines Penetrationstests — mehr Effizienz als Black Box, mehr Realismus als White Box.
Externer vs. interner Penetration Testing
Eine zweite Achse: Wo greift der Tester an?
| Typ | Perspektive | Use Case |
|---|---|---|
| Externer Pentest | von außen über Internet | öffentliche IT-Schnittstellen, Webseiten, Mail-Server |
| Interner Pentest | aus dem Firmennetzwerk | Insider-Angriff, kompromittierte Geräte, Lateral Movement |
| Web-App-Pentest | App-fokussiert | Online-Shop, Kunden-Portal, SaaS-Anwendung |
| Red Team | mehrwöchig, kombiniert | breite Angriffs-Simulation mit Social Engineering |
Für KMU starten die meisten Pentest-Projekte mit einem externen Pentest. Interne Tests folgen, wenn die externe Angriffsfläche geschlossen ist.
Pentest-Ablauf in fünf Phasen
Ein professioneller Penetrationstest folgt einer klaren Methodik nach BSI Grundschutz, OWASP oder OSSTMM. Diese fünf Phasen finden sich in jedem seriösen Pentest:
Phase 1 — Scoping. Im Scoping legen Auftraggeber und Tester den Umfang eines Pentests fest. Welche Systeme, Anwendungen und IP-Adressen werden getestet? Welche Tests sind ausgeschlossen (z. B. Denial-of-Service)? Was sind die Erfolgskriterien?
Das Scoping-Dokument ist der Vertrag eines Penetrationstests — und schützt beide Seiten. Ein klares Scoping-Dokument ist die Voraussetzung für einen sauberen Pentest.
Phase 2 — Reconnaissance. In der Reconnaissance sammelt der Tester alles, was über das Ziel öffentlich verfügbar ist. Domain-Informationen, IP-Bereiche, Mail-Adressen, Mitarbeiter-Profile aus sozialen Netzwerken, Subdomains, offene Ports.
Diese Phase ist die Grundlage für gezielte Angriffe. Bei einem Black Box Pentest macht die Reconnaissance bis zu 30 Prozent des Gesamt-Aufwands aus.
Phase 3 — Schwachstellenanalyse. Hier identifiziert der Tester konkrete Schwachstellen in den Systemen — fehlende Patches, Fehlkonfigurationen, schwache Passwörter, anfällige Anwendungen.
Mischung aus automatisierten Tools (Nessus, OpenVAS, Burp Suite) und manueller Analyse. Tools allein reichen nie — der erfahrene Tester sieht, was Werkzeuge übersehen.
Phase 4 — Exploitation. Jetzt wird ernst: Der Tester versucht aktiv, gefundene Schwachstellen auszunutzen. Eindringen ins Netzwerk, Privilegien-Eskalation, Lateral Movement, Datenzugriff.
Genau das unterscheidet einen Pentest von einem Schwachstellenscan: Es geht nicht um Theorie, sondern um echte Angriffspfade. Ein erfolgreicher Penetrationstest zeigt konkret, wie weit ein Angreifer kommen würde.
Phase 5 — Bericht und Empfehlungen. Am Ende dokumentiert der Tester alle Findings mit Schweregrad (CVSS-Score), Reproduktions-Schritten und konkreten Behebungs-Empfehlungen.
Der Bericht eines Pentests hat zwei Teile: Management-Summary für die Geschäftsführung, technischer Detail-Bericht für die IT. Ohne sauberen Bericht ist ein Penetrationstest wertlos. Der Bericht ist das eigentliche Ergebnis — alles andere ist Vorarbeit.
Was kostet ein Pentest? — Pentest Kosten für KMU
Pentest Kosten variieren stark — abhängig von Pentest-Typ, Scope, Unternehmensgröße und Tester-Erfahrung. Eine grobe Orientierung für deutsche KMU 2026:
Kosten nach Pentest-Typ
| Pentest-Typ | Aufwand | Kosten |
|---|---|---|
| Web-App-Pentest (klein) | 3–5 Tage | 2.000–5.000 € |
| Externer Pentest (Standard) | 5–8 Tage | 4.000–10.000 € |
| Externer + Interner Pentest | 10–15 Tage | 8.000–20.000 € |
| Vollständiger Pentest mit Social Engineering | 20+ Tage | 15.000–40.000 € |
| Red Team (mehrwöchig) | 4–8 Wochen | 30.000–100.000+ € |
| Kosten nach Unternehmensgröße. |
| Unternehmen | Empfohlener Pentest | Frequenz | Jährliches Budget |
|---|---|---|---|
| < 20 Mitarbeiter | Web-/Mail-Pentest klein | alle 24 Monate | 1.500–2.500 € (gemittelt) |
| 20–50 Mitarbeiter | Externer Pentest + Web-App | alle 18 Monate | 3.000–7.000 € (gemittelt) |
| 50–250 Mitarbeiter | Externer + Interner Pentest | jährlich | 8.000–20.000 € |
| 250+ Mitarbeiter | Vollständig + Social Engineering | jährlich | 15.000–40.000 € |
Was die Kosten eines Pentests beeinflusst
- Scope: Anzahl Systeme, Anwendungen, Standorte
- Pentest-Typ: Black Box braucht mehr Reconnaissance als White Box
- Tester-Tagessatz: 1.000–2.000 € je Erfahrung und Zertifizierung
- Bericht-Tiefe: Standard-Bericht vs. ausführliche Compliance-Dokumentation
- Folge-Tests: Re-Test nach Behebung kostet typisch 30–50 % des ursprünglichen Pentests
Welche Preise-Modelle Pentest-Anbieter nutzen.
Pentest-Anbieter kalkulieren ihre Preise nach unterschiedlichen Modellen. Die drei häufigsten Preise-Modelle sind:
- Festpreis pro Pentest: klar definierter Scope, Festpreis im Angebot. Vorteil: Planbarkeit. Nachteil: Scope-Änderungen kosten extra.
- Time-and-Material: Tagessatz × geschätzte Tester-Tage. Vorteil: Flexibilität. Nachteil: Kosten-Risiko bei Überschreitung.
- Pentest-Abo: Jahresvertrag mit definiertem Pentest-Volumen. Vorteil: Kontinuität, Compliance-Nachweis automatisch. Nachteil: nur sinnvoll bei regelmäßigem Bedarf.
Für KMU mit erstem Pentest empfiehlt sich der Festpreis-Modell-Ansatz. Erst wenn klar ist, was der eigene Sicherheits-Aufwand realistisch ist, lohnen Time-and-Material-Modelle oder Abos.
Für KMU gilt insgesamt: lieber kleinerer, fokussierter Pentest mit klaren Findings als großer, oberflächlicher. Die Tiefe der Schwachstellenanalyse ist wichtiger als der Scope. Eine Sicherheits-Investition zahlt sich nur aus, wenn die Findings auch tatsächlich behoben werden.
Pentest und NIS2-Compliance
Seit dem NIS2-Umsetzungsgesetz sind rund 29.500 deutsche Unternehmen verpflichtet, regelmäßige Sicherheitstests durchzuführen. Art. 21 NIS2 verlangt explizit „Maßnahmen zur Bewertung der Wirksamkeit der Risikomanagement-Maßnahmen“ — Pentest ist die anerkannte Methode dafür.
NIS2-Anforderungen an Sicherheitstests
NIS2 schreibt nicht direkt einen Pentest vor, aber:
- Art. 21 Abs. 2 lit. f verlangt Sicherheitstests als Teil des Risikomanagements
- BSI-Empfehlung für betroffene Unternehmen: jährlicher externer Pentest plus Schwachstellenscans dazwischen
- Pentest-Bericht ist anerkannter Nachweis im Audit
- Bei Sicherheitsvorfall reduziert ein vorhandener Pentest die Bußgeld-Risiko-Bewertung
Bußgelder bei fehlenden Tests
Bei NIS2-Verstößen drohen Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes — je nachdem, was höher ist. Wer keine Sicherheitstests dokumentieren kann, hat im Audit ein Problem. Ein dokumentierter Pentest plus Behebung ist der pragmatischste Weg, NIS2-Compliance nachzuweisen.
Pentest und ISO 27001 Compliance.
Auch außerhalb von NIS2 ist Compliance ein Treiber für Pentests. Die ISO-27001-Norm verlangt regelmäßige Wirksamkeitsprüfungen der Sicherheitsmaßnahmen — Pentest ist dafür Standard.
Wer nach ISO 27001 zertifiziert ist oder zertifizieren möchte, braucht jährliche Pentests als Audit-Nachweis. Das gilt auch für DSGVO-Audits, TISAX (Automotive) und Branchen-Standards wie BAIT (Banken) oder KAIT (Krankenkassen).
Compliance-Pflichten im Überblick
| Standard | Pentest-Anforderung | Frequenz |
|---|---|---|
| NIS2 | Sicherheitstests laut Art. 21 | jährlich (BSI-Empfehlung) |
| ISO 27001 | Wirksamkeitsprüfung | jährlich |
| TISAX (Automotive) | Pentest empfohlen | jährlich |
| BAIT (Banken) | Pentest verpflichtend | jährlich |
| DSGVO Art. 32 | Wirksamkeit der TOMs prüfen | regelmäßig |
Compliance ist heute der häufigste Auslöser für einen ersten Pentest in deutschen KMU. Der Compliance-Druck ist 2026 messbar gestiegen — und damit auch die Nachfrage nach Pentest-Anbietern.
Wie wählen Sie einen Pentest-Anbieter aus?
Der Markt für Pentest-Anbieter in Deutschland ist groß — von Einzelpersonen bis großen Sicherheits-Beratungen. Die Qualität schwankt stark. Diese Kriterien trennen seriöse Anbieter von unseriösen:
Zertifizierungen (OSCP, CISSP, BSI)
- OSCP (Offensive Security Certified Professional) — der Praxis-Standard für Pentester
- CISSP (Certified Information Systems Security Professional) — strategischer Sicherheits-Generalist
- CEH (Certified Ethical Hacker) — solide Basis-Zertifizierung
- BSI-zertifizierter IS-Penetrationstester — die deutsche Behörden-Auszeichnung
- TISAX-Auditor für Automotive-Branchen
Mindestens eine dieser Zertifizierungen sollte das Tester-Team vorweisen. Bei sensiblen Branchen (Bank, Gesundheit) gerne auch mehrere.
Methodik (BSI, OWASP, OSSTMM)
Seriöse Anbieter testen nach anerkannten Methodiken:
- BSI Grundschutz — deutscher Standard, behördentauglich
- OWASP Testing Guide — weltweiter Web-App-Standard
- OSSTMM (Open Source Security Testing Methodology Manual) — strukturierte Test-Methodik
- PTES (Penetration Testing Execution Standard) — methodisches Framework
Wer keine dieser Methodiken nennt oder nur „interne Best Practices“ anführt — Vorsicht.
Häufige Schwachstellen, die Pentests aufdecken
Aus unserer Praxis: Die Top-Findings, die Pentests bei deutschen KMU regelmäßig aufdecken:
- Fehlende Patches — bekannte Schwachstellen in Software, die nie geschlossen wurden
- Schwache Passwörter und fehlende MFA — Standardpasswörter, kein zweiter Faktor bei privilegierten Konten
- Offene Ports und Dienste — Remote-Desktop, SSH, Datenbank-Ports unnötig öffentlich
- Default-Credentials — Werks-Passwörter auf Routern, Druckern, Web-Anwendungen
- Fehlerhafte Web-Anwendungen — SQL-Injection, Cross-Site-Scripting, fehlende Eingabevalidierung
- Schwache Verschlüsselung — veraltete TLS-Versionen, schwache Cipher-Suiten
- Fehlende Netzwerk-Segmentierung — Lateral Movement durch das ganze Netzwerk möglich
- Veraltete Server und Anwendungen — End-of-Life-Software in produktivem Einsatz
Die meisten dieser Findings lassen sich mit überschaubarem Aufwand schließen — wenn sie überhaupt erst einmal sichtbar sind. Genau das ist der Wert eines Pentests.
Pentest-Ergebnisse für die IT Sicherheit im Unternehmen stärken nutzen.
Ein Pentest-Bericht ist kein Selbstzweck. Er ist der Input für die Verbesserung der IT Sicherheit. Konkret: Jedes Finding bekommt einen Schweregrad (CVSS) und eine konkrete Behebungs-Empfehlung. Die Geschäftsführung priorisiert nach Risiko, die IT setzt um.
Schwerwiegende Findings (CVSS ≥ 7) sollten innerhalb von 30 Tagen geschlossen sein. Mittlere Findings binnen 90 Tagen. Niedrige Findings im nächsten regulären Patch-Zyklus. Diese Behebung ist Teil des Pentest-Werts — ohne sie ist der Pentest nur Papier.
Pentest-Reporting für die Geschäftsführung.
Der Pentest-Bericht hat zwei Zielgruppen — und braucht zwei Reporting-Ebenen:
- Management-Summary für die Geschäftsführung — Risiko-Bewertung, Schwachstellen-Übersicht, Budget-Empfehlung für die Behebung. Maximal 2 Seiten.
- Technischer Detail-Bericht für die IT — Reproduktions-Schritte, betroffene Systeme, konkrete technische Maßnahmen, Re-Test-Anforderungen. 30–80 Seiten je nach Scope.
Wer einen Pentest-Bericht ohne Management-Summary bekommt, hat den falschen Anbieter. Genauso wer nur eine Excel-Liste mit Findings bekommt — ohne Reproduktions-Anleitung kann die IT die Lücken nicht zuverlässig schließen.
Pentest in der Praxis — was Unternehmen beachten sollten
Die Theorie eines Penetrationstests ist klar — die Praxis ist nuancierter. Aus der Erfahrung mit deutschen Unternehmen sehen wir drei wiederkehrende Muster, die einen erfolgreichen Pentest von einem teuren Papier-Pentest unterscheiden.
Tests müssen wirklich durchgeführt werden, nicht nur ausgeschrieben. Manche Pentest-Anbieter machen 80 Prozent automatisierte Scans und 20 Prozent manuelle Tests — das Ergebnis ist mehr Schwachstellenscan als echter Penetrationstest. Eines der häufigsten Probleme bei deutschen KMU-Pentests: zu wenig manuelle Test-Tiefe.
Die IT Sicherheit eines Unternehmens steht und fällt mit der Behebung der Findings. Ein Pentest ohne anschließende Behebung ist verschwendetes Geld. Die Aufgabe der Geschäftsführung: einen klaren Plan für die Behebung jeder kritischen Schwachstelle. Die Aufgabe der IT: technische Umsetzung mit dokumentiertem Re-Test, oft mit Unterstützung einer spezialisierten IT-Beratung für kleine und mittlere Unternehmen.
Pentest-Frequenz ist wichtiger als Pentest-Größe. Ein jährlicher mittlerer Pentest schlägt einen einmaligen großen Pentest. Sicherheit ist ein Prozess, nicht ein Projekt. Die Tests müssen Teil eines kontinuierlichen Sicherheits-Programms sein — nur dann zeigen sie ihre Wirkung.
Wer diese drei Punkte beherzigt, bekommt aus einem Penetrationstest den maximalen Nutzen. Wer sie ignoriert, hat einen Bericht im Schrank — aber nicht mehr Sicherheit.
FAQ
Wie viel kostet ein Pentest?
Für deutsche KMU 2026 zwischen 2.000 € (kleiner Web-Pentest) und 40.000 € (vollumfänglicher Pentest mit Social Engineering). Standard-Pentests für Mittelständler liegen bei 4.000–10.000 € pro Test.
Welche Arten von Pentests gibt es?
Black Box (kein Vorwissen), White Box (volles Vorwissen), Grey Box (Teil-Vorwissen). Plus: externe Pentests über das Internet, interne Pentests aus dem Firmennetzwerk, Web-App-Pentests und mehrwöchige Red-Team-Übungen.
Wie oft sollte ein Pentest durchgeführt werden?
Mindestens alle 12 bis 24 Monate, plus nach jeder größeren IT-Veränderung (Migration, neue Anwendungen, neue Infrastruktur). NIS2-pflichtige Unternehmen sollten jährlich testen.
Welcher Pentest-Typ ist für mein KMU richtig?
Für die meisten KMU ist ein Grey Box externer Pentest der beste Einstieg. Web-Anwendungen separat als Web-App-Pentest. Erst mit zunehmender Reife folgen interne Pentests und Red-Team-Übungen.
Ist ein Pentest unter NIS2 Pflicht?
NIS2 schreibt regelmäßige Sicherheitstests vor, nennt aber nicht explizit „Pentest“. In der BSI-Auslegung ist Pentest die anerkannte Methode für betroffene Unternehmen. Bußgelder bei fehlenden Tests bis 10 Mio. €.
Was kommt nach dem Pentest?
Ein Re-Test, sobald die Schwachstellen behoben sind. Der Re-Test prüft die Wirksamkeit der Maßnahmen und kostet typisch 30–50 % des ursprünglichen Pentests.
Beratungsgespräch zur IT-Sicherheit
Sie überlegen, einen Penetrationstest für Ihr Unternehmen zu beauftragen, und wollen den passenden Pentest-Typ und Scope sauber planen? Wir machen das gemeinsam mit Ihnen — als IT-Systemhaus mit über 30 Jahren KMU-Erfahrung im Raum Köln, Bonn und Sankt Augustin betreuen wir IT-Sicherheits-Audits und Pentest-Projekte bei Mittelständlern. Jetzt unverbindliches Beratungsgespräch zur IT-Sicherheit vereinbaren — Termin nach Ihrem Kalender.