security19. Apr. 20267 min Lesezeit

Pentest-Anbieter in Deutschland 2026: Vergleich, Auswahlkriterien, Kosten

MW
Malte Wagenbach

Founder & CEO, Matproof

Inhaltsverzeichnis

  1. 01Die vier Typen von Pentest-Anbietern
  2. 02Welche Zertifizierungen die Anbieter wirklich brauchen
  3. 03Kriterien fuer die Auswahl
  4. 04Wann klassischer Pentest, wann PTaaS?
  5. 05Typische Kosten deutscher Pentests 2026
  6. 06Vertragliche Must-haves
  7. 07Wie sich Matproof Sentinel positioniert
  8. 08Fazit

Der deutsche Markt fuer Penetrationstests ist zersplittert. Hunderte Anbieter - vom 3-Mann-Pentest-Haus bis zur Big-Four-Beratung, dazu neue Pentest-as-a-Service-Plattformen - und jeder verspricht "individuelle Pruefungen auf hoechstem Niveau". Dieser Leitfaden hilft IT-Verantwortlichen, den richtigen Partner zu finden.

Die vier Typen von Pentest-Anbietern

1. Spezialisierte Pentest-Boutiquen

Kleine bis mittelgrosse Teams (10-50 Testerinnen und Tester), oft inhabergefuehrt, tief spezialisiert. Beispiele: SySS, HiSolutions, Cirosec, usd AG, SEC Consult, Redlings.

Staerken: Tiefes technisches Know-how, eigene Research, persoenliche Betreuung.
Schwaechen: Begrenzte Kapazitaet, lange Vorlaufzeiten (6-12 Wochen), punktuelle Pruefungen statt kontinuierlicher Abdeckung.
Preisspanne: EUR 1.200-1.800 pro Personentag.

2. IT-Beratungen und MSSPs mit Pentest-Abteilung

Mittlere bis grosse Beratungen mit IT-Security-Praxen. Beispiele: Ernst & Young, KPMG, PwC, Deloitte, T-Systems, Secunet.

Staerken: Integrationsfaehigkeit (ISMS, Compliance, SOC), Skalierbarkeit, Reputation fuer Audits.
Schwaechen: Hoehere Preise, oft weniger Tiefe im Einzelfall, haeufige Junior-Besetzungen bei grossen Mandaten.
Preisspanne: EUR 1.500-2.500 pro Personentag.

3. Freelancer / Ein-Personen-Firmen

Erfahrene Einzelpersonen, oft Ex-Boutiquen-Consultants. Vermittelt ueber Netzwerke oder LinkedIn.

Staerken: Flexibel, guenstig, oft sehr hohe Qualitaet.
Schwaechen: Keine Skalierbarkeit, Abhaengigkeit von einer Person, Haftungs- und Ausfallrisiken.
Preisspanne: EUR 900-1.400 pro Personentag.

4. Pentest-as-a-Service (PTaaS) Plattformen

Neue Kategorie: Plattformbasiert, KI-gestuetzte Pentest-Engines, kontinuierlich statt punktuell. Beispiele: Matproof Sentinel, Cobalt, HackerOne Assessments, Intigriti, Pentera.

Staerken: Kontinuierliche Abdeckung, schnelle Ergebnisse, integriertes Compliance-Mapping, klarere Kostenstruktur.
Schwaechen: Bei hochkomplexen Individualsystemen (SCADA, alte Mainframes) noch nicht immer erste Wahl.
Preismodell: EUR 2.000-8.000 pro Monat (Abo) statt Projektpreis.

Welche Zertifizierungen die Anbieter wirklich brauchen

Möchten Sie einen kostenlosen externen Pentest Ihrer Domain?

Kostenlosen Pentest-Check starten

Entscheidend ist, welche Personen im Team zertifiziert sind, nicht nur das Firmenprofil:

Zertifizierung Was sie zeigt
OSCP (Offensive Security) Hands-on-Exploit-Kompetenz, praktisch relevant
OSCE / OSEP / OSWE Fortgeschrittene Offensive-Security-Faehigkeiten
CREST CRT / CCT International anerkannt, wichtig fuer TLPT
OPST / OPSA (ISECOM) Methodische Pruefung nach OSSTMM
BSI-zertifizierte IS-Revisoren Bei Projekten mit BSI-Bezug Pflicht
CISSP Managementebene, weniger technisch

Wichtig: Ein Anbieter mit 50 CISSPs, aber nur drei OSCPs im Testing-Team, ist nicht die richtige Wahl fuer einen technischen Pentest.

Kriterien fuer die Auswahl

1. Scope-Expertise

Welche Systeme testet der Anbieter? Web-Apps, APIs, Cloud (AWS/Azure/GCP), Active Directory, ICS/OT, iOS/Android, Kubernetes? Fragen Sie nach Referenzprojekten in Ihrer Stack-Konstellation.

2. Methodik und Reporting

  • OWASP Testing Guide, PTES, OSSTMM, BSI IT-Grundschutz? Welcher Standard wird angewendet?
  • Musterbericht anfordern - ist er lesbar fuer Fach und Management?
  • Gibt es konkrete Remediation-Empfehlungen, nicht nur Findings?

3. Compliance-Mapping

Fuer NIS2/DORA/ISO-27001-pflichtige Unternehmen: Werden Findings direkt auf regulatorische Anforderungen gemappt? Liefert der Bericht Artefakte, die Sie 1:1 im Audit verwenden koennen?

4. Re-Test inklusive?

Nach Behebung der Findings muss ein Re-Test erfolgen. Ist dieser im Preis enthalten oder kostet er extra? Im besten Fall unbegrenzt innerhalb von drei Monaten nach Hauptbericht.

5. Kommunikation waehrend des Tests

Tagesberichte oder nur Abschlussbericht? Dedicated Channel (Slack, Teams) oder E-Mail? Kritische Findings sofort gemeldet oder erst im Bericht? Sofortmeldung ist Standard bei serioesen Anbietern.

6. Haftung und Versicherung

Pentest bedeutet kontrollierte Angriffe auf Produktivsysteme. Mindestanforderung: Betriebshaftpflicht mit mindestens EUR 5 Mio. Deckung, explizit fuer IT-Sicherheitsdienstleistungen.

7. Preismodell

Personentage-Basis, Projektpreis, oder Abo? Fuer einmalige Audits ist Personentage-Basis transparent. Fuer kontinuierliche Sicherheit ist ein Abo deutlich guenstiger im Jahresvergleich.

Wann klassischer Pentest, wann PTaaS?

Klassischer Pentest (Personentage-Modell)

  • Sie brauchen einen Bericht fuer ein konkretes Audit (ISO 27001, TISAX)
  • Das zu pruefende System ist stark individualisiert oder legacy
  • Sie brauchen Red-Team-Assessments mit Social Engineering
  • DORA TLPT - hier ist ein regulierter, akkreditierter Dienstleister Pflicht

Pentest-as-a-Service (Abo-Modell)

  • Sie haben eine grosse, sich schnell aendernde Angriffsoberflaeche (Cloud, viele Webservices)
  • Sie wollen NIS2 Art. 21 mit "regelmaessiger Bewertung" kontinuierlich nachweisen
  • Ihnen ist Audit-Trail wichtiger als ein einzelner 100-seitiger PDF-Bericht
  • Sie wollen Kosten planbar halten und Dev-Teams direkt einbinden

Beide Modelle schliessen sich nicht aus. Die meisten reifen Unternehmen kombinieren beide: PTaaS fuer die kontinuierliche Flaeche, klassische Pentests fuer Jahres-Audits und besondere Anlaesse.

Typische Kosten deutscher Pentests 2026

Scope Dauer Kostenspanne
Externe Perimeter-Pruefung (kleine Firma) 5 PT EUR 6.000-10.000
Webapplikation mittlerer Komplexitaet 10-15 PT EUR 12.000-25.000
Active-Directory-Pentest (intern) 10 PT EUR 12.000-18.000
Vollstaendiger Netzwerk-Pentest 20-30 PT EUR 25.000-50.000
Cloud-Pentest (AWS/Azure) 15-25 PT EUR 20.000-40.000
Red-Team-Engagement 40-80 PT EUR 60.000-150.000
TLPT unter DORA 60-120 PT EUR 80.000-250.000
PTaaS Abo (kontinuierlich) - EUR 24.000-96.000/Jahr

Preise variieren stark nach Anbieter-Typ und Region. Boutiquen in Muenchen und Frankfurt sind typischerweise 10-20 % teurer als Anbieter in Berlin oder Dresden.

Vertragliche Must-haves

Bevor Sie unterschreiben, pruefen Sie:

  1. NDA beidseitig - auch der Anbieter muss Ihre Daten schuetzen
  2. Rules of Engagement - Scope, Zeitfenster, erlaubte/verbotene Techniken, Notfall-Eskalationsweg
  3. Auftragsverarbeitungsvertrag (AVV) nach DSGVO, falls personenbezogene Daten betroffen sind
  4. Datenschutz der Findings - wo werden Pentest-Berichte gespeichert, wie lange, wer hat Zugriff?
  5. Meldepflichten - bei Entdeckung eines aktiven Angreifers oder Datenabflusses muss sofort gemeldet werden
  6. Haftungsklausel bei Systemausfall - wer haftet, wenn der Pentest Produktivsysteme laehmt?
  7. Re-Test-Regelung - wie oft, wie lange, zu welchen Konditionen

Wie sich Matproof Sentinel positioniert

Matproof Sentinel ist die KI-Pentest-Plattform von Matproof — gebaut fuer europaeische Mittelstaendler und regulierte Branchen, die kontinuierliche Audit-Evidenz statt einmal-pro-Jahr-PDFs brauchen. Was Sentinel von klassischen Pentest-Anbietern unterscheidet:

  • GitHub-App als primaerer Integrationspfad. Ein-Klick-Installation, Lesezugriff auf ausgewaehlte Repos, keine PATs in env-Dateien, keine Drittanbieter-OAuth-Genehmigungen. GitLab, Bitbucket und einfache Target-URLs werden ebenfalls unterstuetzt. Ein Scan kann ein Primaer-Target plus bis zu 50 zusaetzliche URLs umfassen — Domain-Eigenschaft wird per DNS-TXT- oder HTTP-File-Challenge bestaetigt, bevor irgendein Traffic gesendet wird.
  • Zehn spezialisierte KI-Agenten in koordinierten Stages. Recon (nmap, amass, httpx) mappt die Angriffsflaeche, dann Web/API/Infra/Cloud/Mobile parallel (nuclei, sqlmap, OWASP ZAP, testssl.sh, Prowler, MobSF), dann SourceCode/SupplyChain (Semgrep, Gitleaks, Trivy), dann ein ValidatorAgent, der jeden Fund erneut reproduziert. Median-Scan-Dauer: 25 Minuten.
  • Findings landen als GitHub-Issues. Automatisch zugewiesen, mit Severity-Labels, Reproduktionsschritten und Fix-Patch-Vorschlag. Stabile Fingerprints deduplizieren ueber Re-Tests hinweg und liefern eine Remediation-Diff-Metric: "N Findings seit letztem Scan behoben" — die Quittung, die Ihr Vorstand wirklich will. SARIF-Export fuer GitHub Advanced Security inklusive.
  • Offene Methodik, ehrlicher Scope. Die vollstaendige Sentinel-Methodik, jeder Agent und jedes Tool sind unter docs.matproof.com/features/sentinel-methodology oeffentlich dokumentiert — inklusive dem, was Sentinel NICHT tut: kein Social Engineering, keine Zero-Day-Forschung, keine menschliche Verifikation. Keine Black-Box.
  • Direktes Compliance-Mapping. Findings sind automatisch gemappt auf SOC 2 (CC7.1), ISO 27001 (A.8.8 / A.8.29), DORA (Art. 24-27), NIS2 (Art. 21), PCI DSS (Req. 11.4), HIPAA (§164.308(a)(8)), BaFin MaRisk/BAIT (AT 7.2 Tz. 13) und NEN 7510 (A.18.2.3). PDF-, JSON- und SARIF-Berichte direkt einlieferbar im Audit-Evidenzraum.
  • Wir pentesten uns selbst. Sentinel laeuft jedes Quartal gegen matproof.com. Wir vertreiben kein Sicherheits-Tooling, das wir nicht auf unsere eigene Produktion richten wuerden.

Preisanker: Sentinel kostet EUR 299/Monat inkl. 3 Scan-Durchlaeufen, zusaetzliche Scans je EUR 149. Ein klassischer Beratungs-Pentest in DE kostet typischerweise EUR 8.000–25.000 pro Engagement bei 2–4 Wochen Lieferzeit. Fuer Teams, die sich heute zwischen zwei jaehrlichen Pentests "blind" fuehlen, ist Sentinel typischerweise 70–90 % kostenguenstiger bei deutlich hoeherer Abdeckung.

Wann Sentinel passt: SaaS-Mittelstaendler mit aktivem Entwicklungs-Stack, die SOC 2 / ISO 27001 / NIS2 / DORA fortlaufend nachweisen muessen.
Wann ein klassischer Anbieter besser ist: Red-Team-Engagements mit Social Engineering, TIBER-EU / TLPT unter DORA Art. 26, hochindividualisierte Legacy-Systeme (SCADA, alte Mainframes).

Sentinel-Scan kostenlos starten | Pentest-Alternativen im Vergleich

Fazit

Den "einen besten" Pentest-Anbieter gibt es nicht. Es gibt den passenden Anbieter fuer Ihre konkrete Situation:

  • Fuer ein einmaliges ISO-27001-Audit: Boutique mit Branchenerfahrung
  • Fuer TLPT unter DORA: akkreditierter TLPT-Provider nach TIBER-EU
  • Fuer kontinuierliche Absicherung im Mittelstand: PTaaS-Plattform
  • Fuer hochregulierte Branchen mit Individualsystemen: Hybrid aus Boutique + PTaaS

Entscheidend ist nicht der Name des Anbieters, sondern die Kombination aus Methodik, Zertifizierungen im Team, Compliance-Mapping und Kontinuitaet.

Lesen Sie weiter: Was ein Penetrationstest in Deutschland kostet | Pentest-as-a-Service vs. klassischer Pentest | Penetrationstest: der vollstaendige Leitfaden

pentest anbieterpentest dienstleisterpentest unternehmenpentest firmapentest vergleichpenetrationstest anbieter deutschlandptaas anbieter

Kostenloser externer Pentest-Check

Wir scannen Ihre Domain auf die am häufigsten ausgenutzten Schwachstellen und senden Ihnen innerhalb von 24 Stunden einen priorisierten Bericht per E-Mail.

Kostenlosen Check starten

Schluss mit Raten. Anfangen zu testen.

Starten Sie jetzt einen kostenlosen 3-Minuten-Scan oder einen vollen Matproof-Sentinel-Pentest ab €299/Monat. Audit-fertiger Bericht mit Exploit-Nachweis, keine Procurement-Schleife.

Kostenlosen 3-Min-Scan startenVollen Sentinel-Pentest starten