Kontinuierlicher Penetrationstest: Jeden Deploy testen, nicht einmal im Jahr

Der jährliche Penetrationstest wurde für Software gebaut, die einmal im Jahr ausgeliefert wurde. Ihre tut das nicht. Ein kontinuierlicher Penetrationstest prüft Ihre Anwendungen bei jedem relevanten Deploy — sodass der Code, den Sie heute Morgen ausgeliefert haben, heute getestet wird, nicht beim Engagement im nächsten Jahr. Matproof Sentinel integriert sich in Ihre CI/CD-Pipeline, führt KI-gestütztes Testing mit Proof-of-Exploit bei jedem Release durch und hält Ihre Audit-Evidenz dauerhaft aktuell für ISO 27001, SOC 2, NIS2 und DORA. Ab €299/Monat, oder starten Sie mit einem kostenlosen 3-Minuten-Scan.

Kostenlosen Scan starten

Geschrieben von Malte Wagenbach

Gründer von Matproof Security. Spezialisiert auf KI-gestützte Penetrationstests und EU-Compliance (DORA, NIS2, BSI Grundschutz, ISO 27001).

Zuletzt überprüft: 17. Mai 2026

Warum der jährliche Pentest nicht mehr dazu passt, wie Software ausgeliefert wird

Im Kern des klassischen Penetrationstests steckt eine strukturelle Diskrepanz: er erzeugt eine Point-in-Time-Momentaufnahme eines Systems, das sich kontinuierlich verändert. Ein Team, das wöchentlich ausliefert, macht zwischen jährlichen Tests rund fünfzig bedeutsame Releases — fünfzig Gelegenheiten, eine Schwachstelle einzuführen, die der letzte Test nicht sehen konnte und die der nächste Monate vom Abfangen entfernt ist. Der jährliche Test erfüllt ein Compliance-Häkchen, während er das tatsächliche Risikofenster weit offen lässt. Ein kontinuierlicher Penetrationstest schließt diese Lücke, indem er Testing in den Release-Prozess verlagert: jeder relevante Deploy löst einen Test aus, Befunde tauchen auf, während die Änderung dem Entwickler noch frisch im Gedächtnis ist, und Ihre Evidenz ist nie mehr als ein Release alt. Dies ist zunehmend auch das, was Auditoren wollen — ISO-27001-Überwachungsaudits suchen den Nachweis, dass das Testprogramm über den Zeitraum kontinuierlich betrieben wurde, nicht einen Aktivitätsschub im Monat vor dem Audit. Und es verändert die Ökonomie: statt für ein teures Engagement zu zahlen, das bei Ankunft veraltet ist, erhalten Sie stets aktuelle Abdeckung zu vorhersehbaren monatlichen Kosten. Kontinuierliches Testing ist genau aus diesen Gründen das am schnellsten wachsende Modell am Markt, und es ist das Modell, um das herum Matproof Sentinel gebaut wurde.

Wöchentliche Auslieferer machen ~50 Releases zwischen jährlichen Tests — jeder eine ungetestete Änderung; kontinuierliches Testing beseitigt das blinde Fenster.
Befunde tauchen auf, während die Änderung frisch ist: eine Schwachstelle, die auf dem Deploy abgefangen wird, der sie eingeführt hat, ist günstig zu beheben; eine, die ein Jahr später abgefangen wird, ist teure Archäologie.
Stets aktuelle Evidenz: Überwachungsauditoren wollen den Nachweis, dass das Programm über den Zeitraum lief — kontinuierliches Testing erzeugt genau das, automatisch.
Vorhersehbare Ökonomie: fixe monatliche Kosten ersetzen ein klumpiges jährliches Engagement, das bereits veraltet ist, wenn es landet.
Shift-Left ohne zu bremsen: CI/CD-Integration blockiert Deploys bei neuen kritischen Befunden, sodass Sicherheit mit der Release-Geschwindigkeit Schritt hält, statt sie quartalsweise zu gaten.

Wie kontinuierlicher Penetrationstest mit Matproof Sentinel funktioniert

CI/CD-Integration (GitHub, GitLab): ein Test wird automatisch bei relevanten Deploys nach Staging oder Production ausgelöst
Vollständige OWASP Top 10 (2021) und OWASP API Top 10 (2023) Abdeckung bei jedem Lauf — Web und API
Proof-of-Exploit-Bestätigung pro Befund, sodass jeder Alert umsetzbar ist und False Positives herausgefiltert werden
Deploy-Gating-Policy: optional ein Release blockieren, wenn ein neuer Critical-/High-Befund erkannt wird
Drift-Erkennung: neue Endpunkte, neue Abhängigkeiten und neu veröffentlichte CVEs, die Ihren Stack betreffen, werden markiert, sobald sie auftreten
Stets aktuelle Audit-Evidenz gemappt auf ISO 27001, SOC 2, NIS2 und DORA — kein Hektik-Sprint vor einem Audit
Trend-Ansicht: Schwere über die Zeit, Mean Time to Remediate und Nachweis, dass das Programm über den Audit-Zeitraum kontinuierlich lief
Unbegrenzte Scans über bis zu drei Domains im Starter (€299/Monat); unbegrenzte Domains plus authentifiziertes/API-/Cloud-Testing im Growth (€799/Monat)

Beispiel-Befund

Info

Der 51-Wochen-Blindspot: warum ein sauberer jährlicher Test kein sicheres Jahr ist

Ein jährlicher Penetrationstest zertifiziert den Zustand Ihrer Anwendung an einem Tag. Wenn Sie wöchentlich deployen, sind die anderen 51 Wochen an Änderungen bis zum nächsten Engagement ungetestet — und die Schwachstelle, die einen Breach verursacht, liegt statistisch weit eher in Code, der nach dem Test ausgeliefert wurde, als in Code, der getestet wurde. Kontinuierliches Testing kehrt das um: die Frage verschiebt sich von 'war die App letzten März sicher?' zu 'ist die Änderung, die ich gerade jetzt ausliefere, sicher?'. Das ist sowohl eine stärkere Sicherheits-Posture als auch eine stärkere Audit-Evidenz, weil es die Control demonstriert, die kontinuierlich statt jährlich arbeitet.

Behebung: Passen Sie die Testkadenz an die Deploy-Kadenz an. Verdrahten Sie Matproof Sentinel in Ihre CI/CD, sodass jedes relevante Release automatisch getestet wird, setzen Sie eine Policy, die Deploys bei neuen Critical-Befunden blockiert, und behalten Sie ein jährliches tieferes Engagement für die Breite. Starten Sie mit einem kostenlosen Scan zum Baselinen, aktivieren Sie dann kontinuierliches Testing ab €299/Monat, sodass die Evidenz ohne manuellen Aufwand aktuell bleibt.

Referenz: ISO 27001:2022 A.8.29 Security Testing in Development and Acceptance · A.8.8 Management of Technical Vulnerabilities · DORA Art. 24 regelmäßiges Testing · SOC 2 CC7.1

Kontinuierlich vs jährlich: kostenloser Scan vs Matproof Sentinel vs klassische Beratung

—	Kostenloser Scan	Matproof Sentinel	Klassische Beratung
Automatisierte Scan-Engine	✓ (3-min Vorschau)	✓ Vollständiger Scan	✗ Nur manuell
OWASP Top 10 Abdeckung	Partiell	✓ Vollständig	✓ Vollständig
Proof-of-Exploit-Evidenz	✗	✓ Pro Befund	✓ Pro Befund
Regulatorisches Mapping (DORA/NIS2/ISO 27001)	✗	✓ Automatisiert	✓ Manuell
Audit-tauglicher PDF-Bericht	✗	✓ Sofort	✓ 2–4 Wochen Lieferzeit
Kontinuierliche / wiederkehrende Scans	✗	✓ Pro Deploy	✗ Jährliches Engagement
Zeit bis zum ersten Ergebnis	~3 Min.	~30 Min. Vollscan	2–4 Wochen
Preis	€0	Ab €149	€8.000–€25.000
Quellcode-Review (SAST)	✗	✓ Im Growth-Plan	✓ Im Scope
API-Testing (REST/GraphQL)	✗	✓ Automatisiert	✓ Manuell

Preise für kontinuierliche Penetrationstests

Einzel-Scan

€149 einmalig

1 vollständiger Pentest-Scan
KI-priorisierte Befunde mit CVSS 3.1
Proof-of-Exploit für jedes Finding
PDF-Bericht (audit-tauglich)
Regulatorisches Mapping (DORA, NIS2, BSI)

Einzel-Scan kaufen →

Häufige Fragen zum kontinuierlichen Penetrationstest

Was ist ein kontinuierlicher Penetrationstest?

Ein kontinuierlicher Penetrationstest führt Sicherheitstests fortlaufend durch — typischerweise ausgelöst durch jeden relevanten Deploy via CI/CD — statt als einzelnes jährliches Engagement. Er hält Testing damit im Einklang mit der Art, wie moderne Software tatsächlich ausgeliefert wird, sodass neu eingeführte Schwachstellen gefunden werden, während die Änderung frisch ist, und Ihre Audit-Evidenz stets aktuell ist.

Ersetzt kontinuierliches Testing den jährlichen Pentest?

Für die meisten Web- und API-Infrastrukturen ist kontinuierliches Testing eine stärkere Posture als der jährliche Test und erfüllt dieselben Compliance-Anforderungen mit besserer Evidenz. Viele Organisationen behalten ein zusätzliches tieferes Engagement (z.B. jährliches internes/Assumed-Breach-Testing) für die Breite, nutzen aber kontinuierliches Testing als das Tagesgeschäft-Rückgrat. Das Nur-Jährlich-Modell wird von Auditoren zunehmend als Minimum, nicht als Best Practice gesehen.

Wie integriert es sich in unseren Entwicklungs-Workflow?

Matproof Sentinel integriert sich in GitHub und GitLab, sodass ein Test automatisch bei relevanten Deploys läuft. Sie können eine Policy setzen, die ein Release blockiert, wenn ein neuer Critical-/High-Befund erkannt wird, sodass Sicherheit mit der Release-Geschwindigkeit Schritt hält, statt sie quartalsweise zu gaten. Befunde werden mit Proof-of-Exploit berichtet, sodass Entwickler sofort handeln können.

Ist kontinuierlicher Penetrationstest dasselbe wie PTaaS?

Sie überschneiden sich. PTaaS (Penetration Testing as a Service) ist das Liefermodell — Testing geliefert als fortlaufendes Abonnement über eine Plattform statt als einmaliges Projekt. Kontinuierlicher Penetrationstest ist die Praxis, bei jedem Deploy zu testen, die PTaaS-Plattformen ermöglichen. Matproof Sentinel ist eine PTaaS-Plattform, gebaut für kontinuierliches Testing — siehe unsere PTaaS-Seite für den Modellüberblick.

Was kostet ein kontinuierlicher Penetrationstest?

Matproof Sentinel bietet kontinuierliches Testing ab €299/Monat (unbegrenzte Scans über bis zu drei Domains) im Starter-Plan und €799/Monat im Growth (unbegrenzte Domains plus authentifiziertes, API- und Cloud-Infrastruktur-Testing). Verglichen mit wiederholten jährlichen Beratungs-Engagements (je £4.000–£12.000, zwischen den Tests veraltet) kostet kontinuierliches Testing meist weniger pro Jahr und hält die Evidenz aktuell.

Vertiefen — verwandte Artikel aus unserem Blog

Machen Sie jeden Deploy zu einem getesteten Deploy

Führen Sie einen kostenlosen 3-Minuten-Scan durch, um Ihre Angriffsfläche zu baselinen, und aktivieren Sie dann kontinuierlichen Penetrationstest ab €299/Monat — CI/CD-integriert, Proof-of-Exploit-Befunde, stets aktuelle Audit-Evidenz für ISO 27001, SOC 2, NIS2 und DORA.