Pentest as a Service (PTaaS): Warum kontinuierliche Pentests klassische Projekte ersetzen
Der klassische Penetrationstest ist ein Foto: einmal im Jahr zwei Wochen Angriff, dreihundertfuenfzig Tage blind. In Cloud- und DevOps-Umgebungen, in denen sich Systeme im Wochentakt aendern, reicht das nicht mehr. Pentest as a Service (PTaaS) ersetzt das Foto durch einen Film - kontinuierlich, plattformbasiert, integriert.
Dieser Artikel erklaert, wie PTaaS funktioniert, wann es sich lohnt und worauf Sie bei der Anbieterauswahl achten sollten.
Was ist Pentest as a Service?
PTaaS ist ein abonnementbasiertes Sicherheitsmodell, bei dem eine Plattform kontinuierlich Penetrationstests gegen Ihre Angriffsoberflaeche durchfuehrt. Typische Bestandteile:
- Asset Discovery - die Plattform findet selbststaendig Ihre externen und internen Assets
- Kontinuierliche automatisierte Angriffssimulationen - taeglich oder woechentlich, nicht jaehrlich
- Manuelle menschliche Pentester fuer tiefgehende Pruefungen bestimmter Systeme
- Integriertes Reporting mit Ticketing-Integration (Jira, ServiceNow)
- Compliance-Mapping - Findings werden direkt auf NIS2-, DORA-, ISO-, DSGVO-Controls gemappt
- Re-Tests on demand - nach Behebung sofortige Verifikation, ohne neue Bestellung
Der Unterschied zum klassischen Pentest: Sie kaufen nicht ein Projekt, sondern einen fortlaufenden Service.
Klassischer Pentest vs. PTaaS
| Merkmal | Klassischer Pentest | PTaaS |
|---|---|---|
| Frequenz | Jaehrlich oder halbjaehrlich | Kontinuierlich, taeglich/woechentlich |
| Abdeckung | Definierter Scope zum Testzeitpunkt | Dynamisch, folgt Veraenderungen |
| Vorlauf | 6-12 Wochen bis Testbeginn | Sofort nach Onboarding (1-2 Wochen) |
| Berichte | 80-200 Seiten PDF nach Projekt | Live-Dashboard, Tickets in Jira |
| Re-Test | Oft kostenpflichtig oder verzoegert | In der Regel on demand inklusive |
| Compliance-Dokumentation | Einmal pro Projekt | Laufend, automatisiert |
| Preismodell | Projektbasis, Tagessatz | Abo, planbar |
| Flexibilitaet bei neuem System | Neues Projekt noetig | Automatisch im Scope |
Wie funktioniert eine PTaaS-Plattform?
Schritt 1: Onboarding (1-2 Wochen)
- Scope-Definition: Welche Assets (Domains, IPs, Cloud-Accounts, interne Netze) gehoeren dazu?
- Authentifizierung: Wie darf die Plattform in authentifizierte Bereiche? (API-Tokens, SSO-Integration)
- Rules of Engagement: Welche Zeitfenster, welche Angriffstypen sind erlaubt?
Schritt 2: Kontinuierliche automatisierte Pruefung
- Externe Perimeter: taegliche Scans, Asset Discovery, Aenderungserkennung
- Webapplikationen: dynamische Tests auf OWASP-Top-10-Schwachstellen, authentifizierte Crawls
- Cloud-Konten: Konfigurationsanalyse (CSPM), IAM-Review, Container-Scans
- Interne Netze (via Agent oder VPN): AD-Analyse, laterale Bewegungssimulation
Schritt 3: Manuelle Deep-Dives
Ein bis vier Mal pro Jahr - je nach Plan - fuehren menschliche Pentester gezielte manuelle Pruefungen auf kritische Bereiche durch. Die automatisierte Komponente findet bekannte Schwachstellen, der Mensch findet Logikfehler, Verkettungen und Zero-Days.
Schritt 4: Triage und Reporting
- Automatische False-Positive-Filterung
- Priorisierung nach CVSS + Business-Impact
- Direkte Ticket-Erstellung in Jira/ServiceNow
- Dashboard fuer Management mit Trendanalysen
Schritt 5: Re-Test und Verifikation
Nach Behebung markieren Sie das Ticket, die Plattform pruft automatisch erneut. Erst wenn die Schwachstelle nachweislich behoben ist, wird das Ticket geschlossen. Dieser Closed-Loop ist der wichtigste Vorteil gegenueber klassischen Pentests.
Wann sich PTaaS lohnt
Starke Indikatoren fuer PTaaS
- Sie haben dynamische Infrastruktur (Cloud, DevOps, haeufige Deployments)
- Sie unterliegen NIS2, DORA oder ISO 27001 und muessen "regelmaessige Bewertung" nachweisen
- Sie geben heute EUR 40.000 oder mehr pro Jahr fuer klassische Pentests aus
- Sie wollen Auditierbarkeit zwischen Pentests - kontinuierliche Evidenz statt Jahres-Snapshots
- Sie haben eine grosse Angriffsoberflaeche (mehr als 50 externe Assets)
- Sie muessen DevSecOps-Prozesse integrieren (Shift-Left)
Schwache Indikatoren (PTaaS weniger sinnvoll)
- Sehr kleine, statische IT-Umgebung (unter 10 externe Assets)
- Ausschliesslich hochspezialisierte Individualsysteme (SCADA, alte Mainframes)
- Einmaliger Bedarf fuer ein konkretes Audit ohne kontinuierliche Sicherheitsstrategie
Welche Anforderungen PTaaS an Regulierungen erfuellt
NIS2 Art. 21
NIS2 fordert "regelmaessige Bewertung der Wirksamkeit" der Sicherheitsmassnahmen. Kontinuierliche PTaaS-Pruefung erfuellt diese Anforderung nachweisbar besser als ein Jahresaudit. Artefakt: automatisierter Audit-Trail aller durchgefuehrten Scans.
DORA Art. 24-27
DORA fordert fuer Finanzinstitute eine Stufenstruktur:
- Laufende Bewertungen (Art. 24) - hier deckt PTaaS die gesamte Anforderung ab
- Fortgeschrittene Tests (Art. 25) - klassische Pentests ergaenzend noetig
- TLPT (Art. 26-27) - bedarf zusaetzlich akkreditierter TLPT-Provider
Fuer DORA-pflichtige Institute ist PTaaS die laufende Grundlage, klassische Pentests und TLPT kommen periodisch oben drauf.
ISO 27001:2022 Control 8.8
"Management of technical vulnerabilities" - PTaaS liefert direkt die geforderte Erkennung, Bewertung und Behandlung. Auditoren akzeptieren die Plattform-Logs und -Berichte als Evidenz, sofern die Prozesse in der eigenen ISMS-Dokumentation abgebildet sind.
DSGVO Art. 32
"Regelmaessige Ueberpruefung, Bewertung und Evaluierung der Wirksamkeit" technischer Massnahmen - deckt PTaaS vollstaendig ab und dokumentiert es automatisch.
Anbietervergleich (Deutschland 2026)
Der Markt ist jung, aber wachsend. Die wichtigsten PTaaS-Anbieter mit Relevanz fuer deutsche Unternehmen:
| Anbieter | Fokus | Staerken |
|---|---|---|
| Matproof | DACH, Compliance-first | Direktes Mapping auf NIS2/DORA/ISO, EU-Hosting, KI-gestuetzte Pruefung |
| Cobalt.io | International, SaaS | Grosses Pentester-Netzwerk, eher US-fokussiert |
| HackerOne Assessments | International | Crowdsourced, stark bei grossen Enterprise-Accounts |
| Intigriti | EU, Belgien | Community-basiert, Bug-Bounty-orientiert |
| Pentera | Automatisiert | Stark bei automatisierten Angriffssimulationen |
Der Unterschied zwischen Matproof und vielen anderen: Compliance ist in Matproof kein Add-on, sondern Kern des Produkts. Findings werden nicht nur gemeldet, sondern direkt regulatorischen Kontrollen zugeordnet - das verkuerzt die Audit-Vorbereitung massiv.
Typische PTaaS-Preise
| Plan | Typisches Inkl. | Monatspreis |
|---|---|---|
| Starter | 5-10 Assets, monatliche Scans | EUR 800-2.000 |
| Professional | 20-50 Assets, kontinuierlich, quartalsweise manueller Test | EUR 2.000-5.500 |
| Enterprise | Unbegrenzte Assets, dedizierter Tester, Compliance-Mapping | EUR 5.500-12.000 |
Preise inkl. USt abhaengig vom Anbieter. Konkrete Kosten ermitteln.
Wie der Umstieg typischerweise laeuft
Phase 1: Parallelbetrieb (3-6 Monate)
PTaaS-Plattform startet, der bestehende klassische Pentest-Vertrag laeuft parallel weiter. Ziel: Vertrauen in die Plattform aufbauen, Vergleich der Ergebnisqualitaet.
Phase 2: Ergaenzung (6-12 Monate)
Klassische Pentests werden auf jaehrlich reduziert, PTaaS uebernimmt die kontinuierliche Abdeckung. Typische Einsparung: 30-50 % im ersten Jahr.
Phase 3: Full PTaaS-Mode
Klassische Pentests nur noch bei speziellen Anlaessen (Grossveraenderungen, Audits, M&A Due Diligence). PTaaS uebernimmt die Hauptlast.
Haeufige Einwaende
"Automatisierung findet Logikfehler nicht"
Richtig - deshalb kombinieren gute PTaaS-Anbieter Automatisierung mit periodischen menschlichen Deep-Dives. Die Automatisierung deckt Volumen, der Mensch deckt Tiefe.
"Unsere Auditoren akzeptieren das nicht"
Doch, wenn es sauber dokumentiert ist. BSI, TUEV, DEKRA und die grossen Zertifizierer akzeptieren PTaaS-Ergebnisse als Evidenz, sofern Methodik und Scope nachvollziehbar sind. Einige Matproof-Kunden haben damit bereits ISO-27001- und TISAX-Audits erfolgreich absolviert.
"Wir haben keinen Platz fuer einen Agent"
Nicht alle PTaaS-Loesungen brauchen Agenten. Reine externe Perimeter-Pruefung funktioniert Agent-frei. Interne Pruefung geht agent-basiert oder ueber VPN-Gateway.
Wann Sie NICHT auf PTaaS umsteigen sollten
- Sie haben ein einmaliges Audit und danach keinen kontinuierlichen Bedarf
- Ihr Scope ist extrem individuell (Mainframe, Industriesteuerung) und benoetigt tiefe Spezialisten
- DORA TLPT - hier ist ein akkreditierter Provider nach TIBER-EU Pflicht, das ersetzt PTaaS nicht
Fazit
Pentest as a Service ist kein Hype, sondern die logische Entwicklung der Branche. Cloud-native, regulierte Unternehmen brauchen kontinuierliche Sichtbarkeit statt jaehrlicher Momentaufnahmen. Der klassische Pentest behaelt seinen Platz bei Audits, TLPT und speziellen Anlaessen - aber die laufende Absicherung gehoert auf eine Plattform.
Naechster Schritt: Kostenloser Pentest-Check - prueft Ihre externe Angriffsoberflaeche in unter 30 Minuten und liefert eine konkrete Empfehlung fuer den richtigen PTaaS-Plan.
Weiter lesen: Pentest-Anbieter im Vergleich | Was ein Penetrationstest kostet | Schwachstellenanalyse vs. Pentest