Pentest-Anbieter im Vergleich: So wählen Sie 2026 den richtigen Partner

Es gibt in DACH über 200 Pentest-Anbieter — von 5-Personen-Boutiquen bis zu Big-4-Beratungen, von KI-Plattformen bis zu Bug-Bounty-Marktplätzen. Welcher passt zu Ihrem Risiko, Budget und Compliance-Bedarf? Dieser Leitfaden ordnet die Optionen, nennt Preisrahmen und zeigt, welche Anbieter für DORA Art. 26 TIBER-EU zugelassen sind. Vorab: einen kostenlosen 3-Minuten-Scan gibt es bei Matproof Sentinel.

Jetzt kostenlos scannen

Geschrieben von Malte Wagenbach

Gründer von Matproof Security. Spezialisiert auf KI-gestützte Penetrationstests und EU-Compliance (DORA, NIS2, BSI Grundschutz, ISO 27001).

Zuletzt überprüft: 17. Mai 2026

Vier Klassen von Pentest-Anbietern — wann welche passt

Pentest-Anbieter teilen sich grob in vier Kategorien auf, die sich in Methode, Preis und Compliance-Eignung deutlich unterscheiden. Die Wahl hängt von drei Faktoren ab: (1) Welche regulatorischen Vorgaben erfüllen Sie (DORA, NIS2, BAIT, MaRisk, TISAX, ISO 27001)? (2) Wie schnell brauchen Sie Ergebnisse (Production-Release in 2 Wochen vs. Jahresaudit)? (3) Was ist Ihr Budget (€149 für einmaligen Scan vs. €250.000 für TIBER-EU)? Die häufigste Fehlentscheidung ist 'Big-4-Beratung gebucht, weil sicher ist sicher' — für Standard-Webanwendungen sind Big-4-Engagements 5–10x teurer als spezialisierte Anbieter und liefern oft nicht die tiefere technische Expertise.

Klassische Beratungshäuser (z.B. PwC, KPMG, Deloitte, EY, smaller boutiques) — €15.000–€50.000 pro Engagement, 4–6 Wochen Lieferzeit, manuelle Tests durch zertifizierte Tester, Premium-Bericht inkl. Executive Summary. Sinnvoll für: jährliche Compliance-Audits, hochkritische Systeme (KRITIS, Banking), wenn ein 'Big Name'-Bericht für Vorstand/Aufsicht erforderlich ist.
Spezialisierte Pentest-Boutiquen (HackerOne professional services, Cure53, SySS, Securai, usd) — €8.000–€25.000, 2–4 Wochen Lieferzeit, oft tiefere technische Expertise als Big-4 zu niedrigerem Preis. Sinnvoll für: ISO 27001 / TISAX-Audits, mittelgroße Web-Apps, wenn Sie OSCP/OSWE-zertifizierte Tester wollen.
KI-gestützte Pentest-Plattformen (Matproof Sentinel, Pentera, RidgeBot, Astra Security) — €149–€2.000/Monat, Ergebnisse in Stunden, kontinuierliche Tests, CI/CD-Integration. Sinnvoll für: SaaS-Unternehmen mit häufigen Deployments, Startup-Budgets, NIS2/DORA-Erstausstattung, B2B-Vertrieb mit Pentest-Klausel in Verträgen.
Bug-Bounty-Plattformen (HackerOne, Bugcrowd, Intigriti, YesWeHack) — €0 als Plattform-Fee, €100–€20.000 pro gefundene Schwachstelle, kontinuierlich, unvorhersehbar. Sinnvoll für: ergänzend zu strukturierten Pentests, hochreife Security-Teams, öffentlich zugängliche Produkte mit großer Angriffsfläche.
Für TIBER-EU / TLPT (DORA Art. 26): Nur EZB-zugelassene 'Red-Team-Anbieter' sind regulatorisch akzeptiert — typische Anbieter: F-Secure (jetzt WithSecure), Mandiant, NCC Group, KPMG Threat Intelligence. Preisrahmen €80.000–€250.000 pro 12-Wochen-Engagement.
Bei BAIT (Bankenaufsichtsrechtliche Anforderungen IT, §6.3.1) und MaRisk AT 7.2 muss der Pentest-Anbieter 'angemessene Qualifikation' nachweisen — typischerweise OSCP-zertifizierte Tester, Versicherungsschutz für Pentest-Aktivitäten (Cyber-Liability ≥ €5 Mio.), Mitgliedschaft im Verband Allianz für Cybersicherheit.

Worauf Sie bei der Auswahl achten sollten

Tester-Qualifikation — OSCP, OSWE, OSCE, CRT (CREST Registered Tester), GPEN, CEH. Bei DORA-Tests zusätzlich TIBER-Akkreditierung.
Methodik — wird OWASP Testing Guide v4.2, PTES (Penetration Testing Execution Standard), oder NIST SP 800-115 verwendet? Anbieter sollte das im Angebot nennen.
Proof-of-Exploit — verifiziert der Anbieter jede gefundene Schwachstelle mit einem nachvollziehbaren Exploit, oder werden nur 'theoretische Risiken' gelistet?
Tooling — welche Mischung aus manuellen Tests und automatisierten Tools? Gute Anbieter nennen Burp Suite Professional, Nuclei, custom Scripts; schlechte Anbieter geben einen Nessus-Export als 'Pentest' aus.
Berichtsstruktur — Executive Summary für Vorstand, technische Befunde mit Reproduktions-Schritten, CVSS-3.1-Bewertung, regulatorisches Mapping (DORA/NIS2/ISO 27001).
Re-Test inkludiert — nach Behebung der Befunde sollte ein Re-Test inkludiert sein (alternativ kostenpflichtig — typischerweise 20–30 % des Original-Engagements).
Versicherungsschutz — Berufshaftpflicht ≥ €5 Mio., Cyber-Liability für Pentest-Aktivitäten (wichtig falls etwas 'bricht').
Vertragliche Klauseln — Auftragsverarbeitungsvertrag (Art. 28 DSGVO), Geheimhaltungsvereinbarung, Datenspeicherung in der EU (relevant für DORA + NIS2 + DSGVO).
Skalierbarkeit — können Sie schnell weitere Tests buchen (z.B. nach Major-Release), oder sind Sie an einen jährlichen Rhythmus gebunden?
Preistransparenz — gibt es eine veröffentlichte Preisliste oder muss jedes Engagement individuell verhandelt werden? Transparente Anbieter sind in der Regel günstiger.

Beispiel-Befund

Info

Anbieter-Vergleich am Beispiel: Web-App-Pentest für ein 50-Mitarbeiter-SaaS

Szenario: B2B-SaaS mit Next.js-Frontend, FastAPI-Backend, PostgreSQL, Stripe-Integration. NIS2-relevant (essenzielle Einrichtung, Sektor 'digitale Anbieter'). Vier Angebote eingeholt — Big-4: €42.500, 6 Wochen Lieferzeit, 1 Tester (junior + senior review). Boutique: €18.000, 3 Wochen, 2 Tester (OSWE-zertifiziert), 1 Re-Test inkl. KI-Plattform (Matproof Sentinel Starter): €299/Monat, sofortiger Scan, monatlich wiederkehrend, CI/CD-Integration. Bug-Bounty (HackerOne Managed): €5.000 Setup + ~€10.000 pro Quartal an Bounties geschätzt.

Behebung: Empfehlung: Kombination aus Boutique (initialer Audit für NIS2-Compliance-Nachweis) + KI-Plattform (kontinuierliche Tests zwischen Audits) ist für die meisten 50-Mitarbeiter-SaaS optimal. Big-4 ist nur sinnvoll, wenn ein C-Level oder Aufsichtsrat einen 'Big-Name'-Bericht explizit verlangt. Bug-Bounty erst nach Erreichen einer höheren Security-Reife (sonst ertrinkt Ihr Team in Low-Severity-Reports).

Referenz: BSI Standard 100-2 IT-Grundschutz-Vorgehensweise · DORA Art. 24 · NIS2 Art. 21 · ISO 27001:2022 A.8.29

Pentest-Anbieter: Klassen im Direktvergleich

—	Kostenloser Scan	Matproof Sentinel	Klassische Beratung
Automatisierte Scan-Engine	✓ (3-min Vorschau)	✓ Vollständiger Scan	✗ Nur manuell
OWASP Top 10 Abdeckung	Partiell	✓ Vollständig	✓ Vollständig
Proof-of-Exploit-Evidenz	✗	✓ Pro Befund	✓ Pro Befund
Regulatorisches Mapping (DORA/NIS2/ISO 27001)	✗	✓ Automatisiert	✓ Manuell
Audit-tauglicher PDF-Bericht	✗	✓ Sofort	✓ 2–4 Wochen Lieferzeit
Kontinuierliche / wiederkehrende Scans	✗	✓ Pro Deploy	✗ Jährliches Engagement
Zeit bis zum ersten Ergebnis	~3 Min.	~30 Min. Vollscan	2–4 Wochen
Preis	€0	Ab €149	€8.000–€25.000
Quellcode-Review (SAST)	✗	✓ Im Growth-Plan	✓ Im Scope
API-Testing (REST/GraphQL)	✗	✓ Automatisiert	✓ Manuell

Matproof Sentinel — Preise im Vergleich

Einzel-Scan

€149 einmalig

1 vollständiger Pentest-Scan
KI-priorisierte Befunde mit CVSS 3.1
Proof-of-Exploit für jedes Finding
PDF-Bericht (audit-tauglich)
Regulatorisches Mapping (DORA, NIS2, BSI)

Einzel-Scan kaufen →

Häufige Fragen zur Anbieter-Auswahl

Welcher Pentest-Anbieter ist für meine Größe sinnvoll?

Faustregeln nach Unternehmensgröße: Bis 50 Mitarbeiter → KI-Plattform (z.B. Matproof Sentinel, €149–€799/Monat) oder Pentest-Boutique (€8–18k einmalig). 50–500 Mitarbeiter → Kombination aus Boutique (jährlich, €15–25k) + KI-Plattform (kontinuierlich). 500+ Mitarbeiter oder Bank/Versicherer → spezialisierte Boutique oder Big-4 + interne Security-Team + Bug-Bounty. Über 5.000 Mitarbeiter mit DORA-Relevanz → TIBER-EU-Engagement zusätzlich erforderlich.

Wie unterscheidet sich ein KI-Pentest von einem klassischen?

Klassische Pentests: 1–2 menschliche Tester, 2–4 Wochen Lieferzeit, tief, aber punktuell (zum Zeitpunkt des Tests). KI-Pentests: Agenten, die rund um die Uhr testen können, CI/CD-Integration, kontinuierliche Abdeckung, deutlich günstiger pro Test, aber weniger Tiefe bei komplexen Geschäftslogik-Schwachstellen. Optimal ist die Kombination: KI-Pentest für 90 % der Standard-Schwachstellen + jährlicher menschlicher Pentest für Tiefenprüfung.

Welche Zertifizierungen müssen Pentest-Anbieter in DACH haben?

Pflicht: keine offizielle 'Zulassung' als Pentest-Anbieter in DE. Üblich: OSCP/OSWE-zertifizierte Tester, Mitgliedschaft in der 'Allianz für Cybersicherheit' (BSI), CREST-Mitgliedschaft, ISO 27001-zertifizierter Anbieter. Für Banken (BAIT): zusätzlich Versicherungsschutz, Background-Checks der Tester, Datenspeicherung in DE/EU. Für TIBER-EU (DORA Art. 26 TLPT): EZB-Akkreditierung des Anbieters als 'Red Team Provider'.

Was kostet ein Pentest typischerweise in DE?

Preisrahmen nach Anbieter-Klasse: KI-Plattform (Matproof Sentinel): €149 einmalig oder €299–€799/Monat. Pentest-Boutique: €8.000–€25.000 pro Engagement (typisch: Web-App mit Login, 2 Wochen). Big-4-Beratung: €30.000–€80.000 pro Engagement. TIBER-EU für Banken: €80.000–€250.000. Bug-Bounty: €100–€20.000 pro Schwachstelle (keine fixen Plattform-Kosten, aber Managed-Service ab €5.000/Monat).

Wie lange dauert ein Pentest typischerweise?

KI-Plattform: 3 Minuten Vorschau, 30–60 Minuten Vollscan. Boutique-Pentest: 1–3 Wochen pro Engagement (1 Woche Setup, 1–2 Wochen Testing, 1 Woche Berichterstellung). Big-4-Engagement: 4–6 Wochen. TIBER-EU: 10–12 Wochen (inkl. Threat-Intelligence-Phase und mehrwöchiger Red-Team-Phase).

Brauche ich einen Pentest, wenn ich SOC 2 oder ISO 27001 zertifiziert bin?

Ja. SOC 2 Type 2 fordert 'periodic penetration testing' (mindestens jährlich), ISO 27001:2022 A.8.29 verlangt explizit 'security testing in development and acceptance'. Die Zertifikate sind keine Substitution, sondern erfordern den Pentest als Nachweis. Auch DORA Art. 24 und NIS2 Art. 21 verlangen technische Tests zusätzlich zur generellen Compliance-Zertifizierung.

Was passiert, wenn der Pentest-Anbieter unsere Systeme 'kaputtmacht'?

Bei einem seriösen Anbieter sollte das nicht passieren — der Pentest-Vertrag enthält klare Regeln zu intrusiven Tests, Test-Zeiten, eskalations-Kontakten. Falls doch (z.B. DoS-Angriff hat unbeabsichtigt Production beeinträchtigt), greift die Cyber-Liability-Versicherung des Anbieters. Achten Sie auf: Mindestversicherungssumme €5 Mio., explizite Klausel für 'Berufshaftpflicht im Rahmen von Pentest-Aktivitäten'. Bei KI-Plattformen (wie Matproof Sentinel) ist das Risiko deutlich geringer, da intrusive Tests algorithmisch gedeckelt sind.

Wie wechsele ich den Pentest-Anbieter?

Einfach: nehmen Sie den letzten Pentest-Bericht als 'Baseline' für den neuen Anbieter mit. Bitten Sie den neuen Anbieter, die alten Findings als 'Re-Test' mit zu prüfen — so sehen Sie, ob er die gleichen Befunde reproduziert (Qualitätskontrolle des neuen Anbieters). Bei wiederkehrenden Audits (jährlich): wechseln Sie nicht im Audit-Zyklus, sondern zwischen zwei Audits, sonst entstehen Doppelarbeit und Verwirrung beim Auditor.

Vertiefen — verwandte Artikel aus unserem Blog

Lassen Sie uns Sie ohne Vertrag prüfen

Bevor Sie einen Pentest-Vertrag unterschreiben — starten Sie einen kostenlosen 3-Minuten-Scan. Sehen Sie selbst, was eine KI-Pentest-Plattform findet, ohne Risiko, ohne Verpflichtung.