Pentest: Professioneller Penetrationstest für DORA, NIS2 und ISO 27001

Ein Pentest deckt auf, was ein Angreifer in Ihrer Anwendung finden würde — bevor er es tut. Matproof Sentinel führt KI-gestützte Penetrationstests in Stunden statt Wochen durch, liefert Proof-of-Exploit für jeden Befund und mappt die Ergebnisse direkt auf DORA Art. 24, NIS2 Art. 21, BSI IT-Grundschutz und ISO 27001 A.12.6. Starten Sie mit einem kostenlosen 3-Minuten-Scan oder einem Einzel-Pentest ab €149.

Kostenlosen Scan starten

Geschrieben von Malte Wagenbach

Gründer von Matproof Security. Spezialisiert auf KI-gestützte Penetrationstests und EU-Compliance (DORA, NIS2, BSI Grundschutz, ISO 27001).

Zuletzt überprüft: 17. Mai 2026

Warum ein Pentest 2026 keine Option mehr ist

Seit dem 17. Januar 2025 verlangt der Digital Operational Resilience Act (DORA) von Finanzunternehmen eine regelmäßige technische Prüfung ihrer IKT-Systeme — Art. 24 spricht explizit von 'Penetrationstests, einschließlich auf Bedrohungen ausgerichteter Tests'. NIS2 fordert seit Oktober 2024 in Art. 21 'regelmäßige und außerplanmäßige Sicherheitsbewertungen'. Ein Compliance-Verstoß ist nicht mehr nur ein Bußgeld-Risiko — bei NIS2 haftet die Geschäftsleitung persönlich. Gleichzeitig hat sich die Bedrohungslage 2024–2025 deutlich verschärft: das BSI registrierte 2024 einen Rekord-Hoch bei Cyberangriffen auf den deutschen Mittelstand, und allein in Q1 2025 wurden über 8.000 neue CVEs veröffentlicht. Wer keinen aktuellen Pentest-Bericht vorlegen kann, riskiert nicht nur Audit-Findings, sondern auch verlorene Enterprise-Kunden — fast jede B2B-RfP enthält heute eine Klausel zu 'aktuellem Pentest-Bericht (max. 12 Monate alt)'.

DORA Art. 24 (Pflicht ab 17.01.2025) verlangt einen dokumentierten, regelmäßigen Penetrationstest für alle IKT-Systeme — bei Finanzunternehmen sogar als TIBER-EU / TLPT-Test.
NIS2 Art. 21 fordert 'angemessene technische, operative und organisatorische Maßnahmen' — die Aufsichtsbehörde (in DE: BSI) akzeptiert ein einfaches Schwachstellenscan-Tool nicht mehr als Nachweis.
BaFin BAIT verlangt für Banken seit 2017 jährliche Pentests; MaRisk AT 7.2 erweitert dies auf alle 'kritischen Systeme'.
ISO 27001:2022 Annex A 8.29 (Security Testing in Development and Acceptance) und A 8.8 (Vulnerability Management) verlangen dokumentierte Tests vor jedem Major-Release.
Ein veralteter Pentest-Bericht (>12 Monate) ist in 78 % der enterprise B2B-RfPs ein direkter Disqualifikationsgrund (Quelle: Gartner Procurement 2024).
Cyber-Versicherer (HDI, Allianz, Munich Re) verlangen seit 2024 einen Pentest-Nachweis als Voraussetzung für Cyber-Policen ab €5 Mio. Deckungssumme.
Die durchschnittlichen Kosten eines Datenlecks für ein deutsches mittelständisches Unternehmen lagen 2024 bei €4,7 Mio. (IBM Cost of a Data Breach Report) — ein Pentest amortisiert sich, wenn er auch nur einen kritischen Befund verhindert.

Was wir in einem Pentest testen

OWASP Top 10 (2021) — vollständige Abdeckung inkl. A01 Broken Access Control, A02 Cryptographic Failures, A03 Injection, A07 Identification & Authentication Failures
OWASP API Security Top 10 (2023) — API1 Broken Object Level Authorization, API2 Broken Authentication, API4 Resource Consumption / Rate Limiting
Authentifizierungs- und Session-Management — JWT-Schwächen, Cookie-Flags (Secure/HttpOnly/SameSite), Session-Fixation, fehlerhafte Passwort-Resets
Autorisierungs-Logik — IDOR (Insecure Direct Object Reference), horizontale + vertikale Privilegieneskalation, Multi-Tenancy-Isolierung
Eingabe-Validierung — SQL-Injection (klassisch + NoSQL), Cross-Site-Scripting (Reflected/Stored/DOM), SSRF, XXE, Command Injection
Konfiguration — TLS/SSL (RFC 8446), Security-Header (HSTS, CSP, Referrer-Policy), CORS, exponierte Admin-Pfade, Debug-Endpoints
Geschäftslogik — Race Conditions bei Zahlungsabläufen, Coupon-/Rabatt-Missbrauch, Quota-Bypass, fehlerhafte Workflow-Validierung
Abhängigkeiten (Software Composition Analysis) — bekannte CVEs in npm/PyPI/Maven-Paketen, veraltete Frameworks (z.B. CVE-2024-43481 Next.js, CVE-2024-43990 Django)
DNS-Konfiguration — SPF, DKIM, DMARC, CAA-Records (NIS2-relevant für E-Mail-Spoofing-Prävention)
Cloud-Infrastruktur (im Growth-Plan) — IAM-Misskonfigurationen, S3-Bucket-Berechtigungen, exponierte Cloud-Speicher

Beispiel-Befund

Hoch

Schwacher JWT-Algorithmus akzeptiert (HS256 mit erratbarem Secret)

Der Authentifizierungs-Endpunkt /api/auth/login akzeptiert JWT-Token, die mit HMAC-SHA256 (HS256) signiert sind. Das geteilte Secret war in einem öffentlich erreichbaren JavaScript-Bundle vorhanden (matproof.com/_next/static/chunks/auth-3f2a1.js). Ein Angreifer kann gültige Authentifizierungs-Token für beliebige Benutzer signieren — inkl. Admin-Konten — ohne ein gültiges Passwort zu kennen.

Behebung: Umstellung auf RS256 (asymmetrische Signatur mit Public/Private-Key-Paar). Privater Schlüssel ausschließlich auf dem Auth-Server; Public Key kann öffentlich verteilt werden. Bei der Token-Validierung explizit den Algorithmus prüfen (kein 'alg: none' oder algorithm-confusion). Falls HS256 zwingend nötig, mindestens 256 Bit Entropie, Rotation alle 90 Tage, niemals im Frontend exponiert.

Referenz: OWASP API2:2023 Broken Authentication · CWE-327 Use of a Broken or Risky Cryptographic Algorithm · RFC 7518 §3.6

Pentest-Optionen im Vergleich

—	Kostenloser Scan	Matproof Sentinel	Klassische Beratung
Automatisierte Scan-Engine	✓ (3-min Vorschau)	✓ Vollständiger Scan	✗ Nur manuell
OWASP Top 10 Abdeckung	Partiell	✓ Vollständig	✓ Vollständig
Proof-of-Exploit-Evidenz	✗	✓ Pro Befund	✓ Pro Befund
Regulatorisches Mapping (DORA/NIS2/ISO 27001)	✗	✓ Automatisiert	✓ Manuell
Audit-tauglicher PDF-Bericht	✗	✓ Sofort	✓ 2–4 Wochen Lieferzeit
Kontinuierliche / wiederkehrende Scans	✗	✓ Pro Deploy	✗ Jährliches Engagement
Zeit bis zum ersten Ergebnis	~3 Min.	~30 Min. Vollscan	2–4 Wochen
Preis	€0	Ab €149	€8.000–€25.000
Quellcode-Review (SAST)	✗	✓ Im Growth-Plan	✓ Im Scope
API-Testing (REST/GraphQL)	✗	✓ Automatisiert	✓ Manuell

Pentest-Pakete

Einzel-Scan

€149 einmalig

1 vollständiger Pentest-Scan
KI-priorisierte Befunde mit CVSS 3.1
Proof-of-Exploit für jedes Finding
PDF-Bericht (audit-tauglich)
Regulatorisches Mapping (DORA, NIS2, BSI)

Einzel-Scan kaufen →

Häufige Fragen zum Pentest

Was ist der Unterschied zwischen einem Pentest und einem Schwachstellenscan?

Ein Schwachstellenscan (Vulnerability Scan) ist eine automatisierte, oft signaturbasierte Prüfung gegen bekannte CVEs — er findet Listen-Schwachstellen, aber keine Logik- oder Konfigurations-Fehler. Ein Pentest ist deutlich tiefer: Er kombiniert automatisierte Tests mit kontextueller Analyse (bei uns durch KI-Agenten), verifiziert jeden Befund mit Proof-of-Exploit und deckt auch komplexe Angriffsketten wie IDOR, Privilegieneskalation oder Geschäftslogik-Lücken auf. Für DORA Art. 24, NIS2 Art. 21 und ISO 27001 A.8.29 reicht ein Vulnerability Scan in der Regel nicht als Nachweis aus.

Wie lange dauert ein Pentest mit Matproof Sentinel?

Der kostenlose öffentliche Scan auf matproof.com/tools/pentest-scan liefert in ~3 Minuten erste Befunde zu TLS, Security-Headern, DNS und exponierten Pfaden. Der vollständige Sentinel-Pentest (€149 einmalig oder im Abo) dauert ~30–60 Minuten für eine typische Web-Anwendung und liefert einen audit-bereiten PDF-Bericht. Im Vergleich: Klassische Beratungs-Pentests benötigen 2–4 Wochen Lieferzeit.

Was kostet ein Pentest?

Bei Matproof: kostenlose Vorschau, €149 für einen Einzel-Scan inkl. PDF-Bericht, €299/Monat für kontinuierliche Tests (bis 3 Domains, CI/CD-Integration), €799/Monat für authentifizierte Tests, unbegrenzte Domains und Cloud-Infrastruktur. Klassische Beratungs-Pentests in DE kosten typischerweise €8.000–€25.000 pro Engagement, mit 2–4 Wochen Lieferzeit. Für TIBER-EU/TLPT-Tests von Finanzunternehmen (DORA Art. 26) liegen die Kosten regelmäßig bei €80.000–€250.000.

Welche Pentest-Anbieter sind in Deutschland zugelassen?

Es gibt in DE keine staatliche 'Zulassung' als Pentest-Anbieter. Relevante Qualitätsnachweise sind: OSCP/OSWE-zertifizierte Tester (Offensive Security), CREST-Mitgliedschaft (international), BSI-zertifizierte IT-Sicherheits-Dienstleister, Mitglied im Verband Allianz für Cybersicherheit. Für TIBER-EU/TLPT-Tests von Banken muss der Anbieter zusätzlich auf der EZB-Liste der zugelassenen Testanbieter stehen. Matproof Sentinel ist eine KI-gestützte Pentest-Plattform — wir empfehlen für TIBER-EU regulierte Tests weiterhin spezialisierte Beratungshäuser.

Brauche ich einen Pentest, wenn ich bereits einen Bug-Bounty habe?

Bug-Bounty und Pentest decken unterschiedliche Risiken ab. Ein Bug-Bounty ist eine offene Crowdsourcing-Initiative mit unvorhersehbarer Abdeckung — Sie zahlen pro gefundener Schwachstelle. Ein Pentest ist ein definiertes, terminiertes Engagement mit garantierter Abdeckung aller in scope befindlichen Systeme. Für Audit-Nachweise (DORA, NIS2, ISO 27001) verlangen Prüfer einen strukturierten Pentest-Bericht, kein Bug-Bounty-Programm. Optimal ist die Kombination: Pentest für Compliance + Bug-Bounty für kontinuierliche, opportunistische Sicherheit.

Was bedeutet 'Proof-of-Exploit' und warum ist es wichtig?

Proof-of-Exploit (PoE) bedeutet: Wir zeigen Ihnen nicht nur, dass eine Schwachstelle theoretisch existiert, sondern liefern den exakten Request, der sie ausnutzt — inkl. Response-Snippet, Screenshot oder kurzem Video. Das eliminiert 'False Positives' und macht die Priorisierung trivial. Für Audit-Berichte ist PoE Gold wert: Es zeigt dem Auditor, dass der Befund verifiziert ist, und Ihrem Dev-Team genau, wo es ansetzen muss. Bei klassischen Pentests ist PoE oft optional und kostet extra — bei Matproof Sentinel ist es Standard.

Werden meine Daten beim Pentest gespeichert?

Für den kostenlosen Vorschau-Scan: E-Mail (für Bericht-Zustellung) und Scan-Ergebnisse werden in der EU (Hetzner, Falkenstein) gespeichert; keine personenbezogenen Daten Ihrer Endkunden werden erfasst. Für den vollständigen Sentinel-Scan: alle Test-Aktivitäten werden in der EU verarbeitet, Befunde werden nach 90 Tagen automatisch anonymisiert. Wir sind auftragsverarbeitungs-konform (Art. 28 DSGVO), AVV-Vertrag wird auf Anfrage gestellt. Für sensible Tests (z.B. authentifizierte Pentests mit Test-Accounts) empfehlen wir den €299- oder €799-Plan mit dedicated Tenant.

Was passiert, wenn der Pentest kritische Schwachstellen findet?

Bei jedem Critical- oder High-Befund erhalten Sie sofort eine E-Mail mit den Details und einer empfohlenen Sofort-Maßnahme. Der PDF-Bericht enthält eine priorisierte Roadmap (CVSS-3.1-Score, geschätzter Behebungsaufwand, regulatorische Relevanz). Auf Wunsch unterstützen wir Sie bei der Behebung — entweder durch unsere interne Security-Beratung (im Growth-Plan inkludiert) oder durch Vermittlung an spezialisierte Partner. Nach Behebung können Sie einen Re-Test starten (im Starter-/Growth-Plan kostenlos), um zu verifizieren, dass die Fixes greifen.

Vertiefen — verwandte Artikel aus unserem Blog

Starten Sie mit einem kostenlosen Pentest-Scan

Geben Sie Ihre Domain ein und erhalten Sie in 3 Minuten erste Befunde zu TLS, Security-Headern, DNS und exponierten Pfaden. Kein Login, keine Kreditkarte. Wenn die Vorschau interessante Ergebnisse zeigt, starten Sie einen vollständigen Pentest ab €149.