security2026-04-196 min Lesezeit

Pentest-Anbieter in Deutschland 2026: Vergleich, Auswahlkriterien, Kosten

MW
Malte Wagenbach

Founder & CEO, Matproof

Inhaltsverzeichnis

  1. 01Die vier Typen von Pentest-Anbietern
  2. 02Welche Zertifizierungen die Anbieter wirklich brauchen
  3. 03Kriterien fuer die Auswahl
  4. 04Wann klassischer Pentest, wann PTaaS?
  5. 05Typische Kosten deutscher Pentests 2026
  6. 06Vertragliche Must-haves
  7. 07Wie Matproof sich positioniert
  8. 08Fazit

Pentest-Anbieter in Deutschland 2026: Vergleich, Auswahlkriterien, Kosten

Der deutsche Markt fuer Penetrationstests ist zersplittert. Hunderte Anbieter - vom 3-Mann-Pentest-Haus bis zur Big-Four-Beratung, dazu neue Pentest-as-a-Service-Plattformen - und jeder verspricht "individuelle Pruefungen auf hoechstem Niveau". Dieser Leitfaden hilft IT-Verantwortlichen, den richtigen Partner zu finden.

Die vier Typen von Pentest-Anbietern

1. Spezialisierte Pentest-Boutiquen

Kleine bis mittelgrosse Teams (10-50 Testerinnen und Tester), oft inhabergefuehrt, tief spezialisiert. Beispiele: SySS, HiSolutions, Cirosec, usd AG, SEC Consult, Redlings.

Staerken: Tiefes technisches Know-how, eigene Research, persoenliche Betreuung.
Schwaechen: Begrenzte Kapazitaet, lange Vorlaufzeiten (6-12 Wochen), punktuelle Pruefungen statt kontinuierlicher Abdeckung.
Preisspanne: EUR 1.200-1.800 pro Personentag.

2. IT-Beratungen und MSSPs mit Pentest-Abteilung

Mittlere bis grosse Beratungen mit IT-Security-Praxen. Beispiele: Ernst & Young, KPMG, PwC, Deloitte, T-Systems, Secunet.

Staerken: Integrationsfaehigkeit (ISMS, Compliance, SOC), Skalierbarkeit, Reputation fuer Audits.
Schwaechen: Hoehere Preise, oft weniger Tiefe im Einzelfall, haeufige Junior-Besetzungen bei grossen Mandaten.
Preisspanne: EUR 1.500-2.500 pro Personentag.

3. Freelancer / Ein-Personen-Firmen

Erfahrene Einzelpersonen, oft Ex-Boutiquen-Consultants. Vermittelt ueber Netzwerke oder LinkedIn.

Staerken: Flexibel, guenstig, oft sehr hohe Qualitaet.
Schwaechen: Keine Skalierbarkeit, Abhaengigkeit von einer Person, Haftungs- und Ausfallrisiken.
Preisspanne: EUR 900-1.400 pro Personentag.

4. Pentest-as-a-Service (PTaaS) Plattformen

Neue Kategorie: Plattformbasiert, automatisierte + manuelle Komponenten, kontinuierlich statt punktuell. Beispiele: Matproof, Cobalt, HackerOne Assessments, Intigriti, Pentera.

Staerken: Kontinuierliche Abdeckung, schnelle Ergebnisse, integriertes Compliance-Mapping, klarere Kostenstruktur.
Schwaechen: Bei hochkomplexen Individualsystemen (SCADA, alte Mainframes) noch nicht immer erste Wahl.
Preismodell: EUR 2.000-8.000 pro Monat (Abo) statt Projektpreis.

Welche Zertifizierungen die Anbieter wirklich brauchen

Entscheidend ist, welche Personen im Team zertifiziert sind, nicht nur das Firmenprofil:

Zertifizierung Was sie zeigt
OSCP (Offensive Security) Hands-on-Exploit-Kompetenz, praktisch relevant
OSCE / OSEP / OSWE Fortgeschrittene Offensive-Security-Faehigkeiten
CREST CRT / CCT International anerkannt, wichtig fuer TLPT
OPST / OPSA (ISECOM) Methodische Pruefung nach OSSTMM
BSI-zertifizierte IS-Revisoren Bei Projekten mit BSI-Bezug Pflicht
CISSP Managementebene, weniger technisch

Wichtig: Ein Anbieter mit 50 CISSPs, aber nur drei OSCPs im Testing-Team, ist nicht die richtige Wahl fuer einen technischen Pentest.

Kriterien fuer die Auswahl

1. Scope-Expertise

Welche Systeme testet der Anbieter? Web-Apps, APIs, Cloud (AWS/Azure/GCP), Active Directory, ICS/OT, iOS/Android, Kubernetes? Fragen Sie nach Referenzprojekten in Ihrer Stack-Konstellation.

2. Methodik und Reporting

  • OWASP Testing Guide, PTES, OSSTMM, BSI IT-Grundschutz? Welcher Standard wird angewendet?
  • Musterbericht anfordern - ist er lesbar fuer Fach und Management?
  • Gibt es konkrete Remediation-Empfehlungen, nicht nur Findings?

3. Compliance-Mapping

Fuer NIS2/DORA/ISO-27001-pflichtige Unternehmen: Werden Findings direkt auf regulatorische Anforderungen gemappt? Liefert der Bericht Artefakte, die Sie 1:1 im Audit verwenden koennen?

4. Re-Test inklusive?

Nach Behebung der Findings muss ein Re-Test erfolgen. Ist dieser im Preis enthalten oder kostet er extra? Im besten Fall unbegrenzt innerhalb von drei Monaten nach Hauptbericht.

5. Kommunikation waehrend des Tests

Tagesberichte oder nur Abschlussbericht? Dedicated Channel (Slack, Teams) oder E-Mail? Kritische Findings sofort gemeldet oder erst im Bericht? Sofortmeldung ist Standard bei serioesen Anbietern.

6. Haftung und Versicherung

Pentest bedeutet kontrollierte Angriffe auf Produktivsysteme. Mindestanforderung: Betriebshaftpflicht mit mindestens EUR 5 Mio. Deckung, explizit fuer IT-Sicherheitsdienstleistungen.

7. Preismodell

Personentage-Basis, Projektpreis, oder Abo? Fuer einmalige Audits ist Personentage-Basis transparent. Fuer kontinuierliche Sicherheit ist ein Abo deutlich guenstiger im Jahresvergleich.

Wann klassischer Pentest, wann PTaaS?

Klassischer Pentest (Personentage-Modell)

  • Sie brauchen einen Bericht fuer ein konkretes Audit (ISO 27001, TISAX)
  • Das zu pruefende System ist stark individualisiert oder legacy
  • Sie brauchen Red-Team-Assessments mit Social Engineering
  • DORA TLPT - hier ist ein regulierter, akkreditierter Dienstleister Pflicht

Pentest-as-a-Service (Abo-Modell)

  • Sie haben eine grosse, sich schnell aendernde Angriffsoberflaeche (Cloud, viele Webservices)
  • Sie wollen NIS2 Art. 21 mit "regelmaessiger Bewertung" kontinuierlich nachweisen
  • Ihnen ist Audit-Trail wichtiger als ein einzelner 100-seitiger PDF-Bericht
  • Sie wollen Kosten planbar halten und Dev-Teams direkt einbinden

Beide Modelle schliessen sich nicht aus. Die meisten reifen Unternehmen kombinieren beide: PTaaS fuer die kontinuierliche Flaeche, klassische Pentests fuer Jahres-Audits und besondere Anlaesse.

Typische Kosten deutscher Pentests 2026

Scope Dauer Kostenspanne
Externe Perimeter-Pruefung (kleine Firma) 5 PT EUR 6.000-10.000
Webapplikation mittlerer Komplexitaet 10-15 PT EUR 12.000-25.000
Active-Directory-Pentest (intern) 10 PT EUR 12.000-18.000
Vollstaendiger Netzwerk-Pentest 20-30 PT EUR 25.000-50.000
Cloud-Pentest (AWS/Azure) 15-25 PT EUR 20.000-40.000
Red-Team-Engagement 40-80 PT EUR 60.000-150.000
TLPT unter DORA 60-120 PT EUR 80.000-250.000
PTaaS Abo (kontinuierlich) - EUR 24.000-96.000/Jahr

Preise variieren stark nach Anbieter-Typ und Region. Boutiquen in Muenchen und Frankfurt sind typischerweise 10-20 % teurer als Anbieter in Berlin oder Dresden.

Vertragliche Must-haves

Bevor Sie unterschreiben, pruefen Sie:

  1. NDA beidseitig - auch der Anbieter muss Ihre Daten schuetzen
  2. Rules of Engagement - Scope, Zeitfenster, erlaubte/verbotene Techniken, Notfall-Eskalationsweg
  3. Auftragsverarbeitungsvertrag (AVV) nach DSGVO, falls personenbezogene Daten betroffen sind
  4. Datenschutz der Findings - wo werden Pentest-Berichte gespeichert, wie lange, wer hat Zugriff?
  5. Meldepflichten - bei Entdeckung eines aktiven Angreifers oder Datenabflusses muss sofort gemeldet werden
  6. Haftungsklausel bei Systemausfall - wer haftet, wenn der Pentest Produktivsysteme laehmt?
  7. Re-Test-Regelung - wie oft, wie lange, zu welchen Konditionen

Wie Matproof sich positioniert

Matproof ist ein Pentest-as-a-Service-Anbieter aus Europa, gebaut fuer deutsche Mittelstaendler und regulierte Branchen. Die Plattform kombiniert:

  • Kontinuierliche automatisierte Pruefungen der externen und internen Angriffsoberflaeche
  • KI-gestuetzte Exploitation - Findings werden nicht nur gemeldet, sondern tatsaechlich verifiziert
  • Direktes Compliance-Mapping auf NIS2, DORA, ISO 27001, TISAX, PCI DSS, DSGVO
  • Audit-fertige Berichte ohne manuelle Nacharbeit
  • Dedizierte menschliche Pentest-Experten fuer tiefgehende manuelle Pruefungen on top

Fuer Unternehmen, die heute noch zwei externe Pentests pro Jahr kaufen und dazwischen "blind" sind, ist ein Wechsel zu PTaaS typischerweise 30-50 % kostenguenstiger bei deutlich hoeherer Abdeckung.

Matproof-Demo anfragen | Pentest-Alternativen im Vergleich

Fazit

Den "einen besten" Pentest-Anbieter gibt es nicht. Es gibt den passenden Anbieter fuer Ihre konkrete Situation:

  • Fuer ein einmaliges ISO-27001-Audit: Boutique mit Branchenerfahrung
  • Fuer TLPT unter DORA: akkreditierter TLPT-Provider nach TIBER-EU
  • Fuer kontinuierliche Absicherung im Mittelstand: PTaaS-Plattform
  • Fuer hochregulierte Branchen mit Individualsystemen: Hybrid aus Boutique + PTaaS

Entscheidend ist nicht der Name des Anbieters, sondern die Kombination aus Methodik, Zertifizierungen im Team, Compliance-Mapping und Kontinuitaet.

Lesen Sie weiter: Was ein Penetrationstest in Deutschland kostet | Pentest-as-a-Service vs. klassischer Pentest | Penetrationstest: der vollstaendige Leitfaden

pentest anbieterpentest dienstleisterpentest unternehmenpentest firmapentest vergleichpenetrationstest anbieter deutschlandptaas anbieter

Bereit, Compliance zu vereinfachen?

Werden Sie in Wochen audit-ready, nicht Monaten. Sehen Sie Matproof in Aktion.

Demo anfordern