PTaaS: Penetration Testing as a Service, erklärt

PTaaS — Penetration Testing as a Service — liefert Penetrationstests als fortlaufendes Abonnement über eine Plattform, statt als einmaliges Beratungsprojekt, das mit einem PDF endet. Es koppelt On-Demand- und kontinuierliches Testing mit einem Live-Dashboard, schnellerer Durchlaufzeit und stets aktueller Evidenz. Matproof Sentinel ist eine PTaaS-Plattform, gebaut für compliance-getriebene Teams: KI-gestütztes Testing mit Proof-of-Exploit, CI/CD-integrierte kontinuierliche Abdeckung und audit-taugliche Berichte mit Mapping auf ISO 27001, SOC 2, NIS2 und DORA — ab €299/Monat. Starten Sie mit einem kostenlosen 3-Minuten-Scan.

Kostenlosen Scan starten
MW
Geschrieben von Malte Wagenbach
Gründer von Matproof Security. Spezialisiert auf KI-gestützte Penetrationstests und EU-Compliance (DORA, NIS2, BSI Grundschutz, ISO 27001).
Zuletzt überprüft: 17. Mai 2026

Warum PTaaS das einmalige Penetrationstest-Projekt ablöst

Das klassische Penetrationstest-Engagement ist ein Projekt: Sie scopen es, warten Wochen auf einen Slot, erhalten ein Point-in-Time-PDF und starten den Zyklus nächstes Jahr neu. Dieses Modell war in Ordnung, als Software jährlich ausgeliefert wurde; es passt schlecht zu Continuous Deployment und lässt Sie für den Großteil des Jahres mit veralteter Evidenz zurück. PTaaS denkt Testing um — als Service, den Sie abonnieren, statt als Projekt, das Sie beauftragen. Die praktischen Unterschiede sind erheblich: Testing ist On-Demand und kontinuierlich statt Monate im Voraus terminiert; Ergebnisse erscheinen in einem Live-Dashboard statt in einem statischen Dokument, das Wochen später geliefert wird; Re-Tests behobener Befunde sind Teil des Service statt einer separaten Rechnung; und die Evidenz bleibt aktuell, weil Testing bei jeder relevanten Änderung läuft. Für Compliance ist das ein besserer Fit — Überwachungsauditoren wollen den Nachweis, dass das Testprogramm über den Zeitraum lief, den ein Abonnement natürlich erzeugt. Der Markt bewegt sich aus denselben Gründen in diese Richtung, aus denen SaaS verpackte Software ablöste: weniger Friktion, vorhersehbare Kosten und kontinuierlicher Wert statt eines abschreibenden einmaligen Lieferguts. PTaaS ist das am schnellsten wachsende Penetrationstest-Modell, und Matproof Sentinel ist nativ als PTaaS-Plattform gebaut — keine Beratung, die ein Portal auf ein Projekt aufschraubt.

  • Abonnement, kein Projekt: On-Demand- und kontinuierliches Testing statt eines terminierten Engagements, das bei Lieferung bereits veraltet ist.
  • Live-Dashboard, kein statisches PDF: Befunde, Schwere-Trends und Behebungsstatus in Echtzeit sichtbar — wobei Sentinel weiterhin den audit-tauglichen Bericht exportiert, den Auditoren brauchen.
  • Re-Tests inklusive: Verifikation behobener Befunde ist Teil des Service, keine separate Rechnung.
  • Stets aktuelle Evidenz: Testing bei jedem relevanten Deploy liefert Überwachungsauditoren den 'Programm lief über den Zeitraum'-Nachweis, den sie verlangen.
  • Vorhersehbare Ökonomie: fixe monatliche Kosten ersetzen klumpige jährliche Engagements — und kosten meist weniger pro Jahr bei weit größerer Änderungs-Abdeckung.
  • Achten Sie auf eine dafür gebaute Plattform: eine PTaaS-Plattform (wie Sentinel) ist um kontinuierliches Testing herum entworfen; ein Beratungsportal ist weiterhin ein Projektmodell mit Login.

Was Sie von einer PTaaS-Plattform erwarten können (und was Matproof Sentinel bietet)

  • On-Demand-Testing: starten Sie einen Scan, wann immer Sie einen brauchen — keine Terminierung Wochen im Voraus
  • Kontinuierliches Testing: automatische Tests bei relevanten Deploys via CI/CD-Integration (GitHub, GitLab)
  • Volle OWASP Top 10 (2021) und OWASP API Top 10 (2023) Abdeckung mit Proof-of-Exploit pro Befund
  • Live-Dashboard: Befunde, Schweregrade, Behebungsstatus und Trends über die Zeit
  • Audit-tauglicher Berichts-Export gemappt auf ISO 27001-, SOC 2-, NIS2- und DORA-Controls
  • Inkludierte Re-Tests: Fixes verifizieren ohne neues Engagement oder neue Rechnung
  • Drift- und CVE-Monitoring: neue Endpunkte, Abhängigkeiten und CVEs, die Ihren Stack betreffen, werden markiert, sobald sie auftreten
  • Transparente Abonnement-Preise: €299/Monat (bis 3 Domains) oder €799/Monat (unbegrenzt + authentifiziert/API/Cloud), mit kostenlosem Vorschau-Scan
  • Eskalation zu gescoptem menschengeführtem Testing für maßgeschneiderte Umgebungen im Growth-Plan

Beispiel-Befund

Info

PTaaS vs das jährliche Engagement: der SaaS-Wandel, angewandt auf Pentesting

Verpackte Software wich SaaS, weil Abonnements kontinuierlichen Wert, weniger Friktion und vorhersehbare Kosten liefern statt eines abschreibenden einmaligen Kaufs. Penetrationstesting durchläuft denselben Wandel. Das jährliche Engagement ist die 'verpackte Software' des Security-Testings — ein einmaliges Liefergut, das in dem Moment zu abschreiben (veralten) beginnt, in dem es ausgeliefert wird. PTaaS ist das SaaS-Äquivalent: Testing als kontinuierlicher Service, stets aktuell, mit Dashboard und vorhersehbaren Preisen. Für Teams, die kontinuierlich ausliefern und aktuelle Compliance-Evidenz brauchen, ist das Abonnement-Modell schlicht der bessere Fit — weshalb PTaaS das am schnellsten wachsende Marktsegment ist.

Behebung: Wenn Sie mehr als ein paar Mal im Jahr ausliefern, evaluieren Sie PTaaS gegen Ihr aktuelles jährliches Engagement entlang dreier Achsen: Aktualität der Evidenz, jährliche Gesamtkosten und Re-Test-Handhabung. Die meisten kontinuierlichen Auslieferer stellen fest, dass PTaaS auf allen dreien gewinnt. Starten Sie mit einem kostenlosen Matproof-Sentinel-Scan, abonnieren Sie dann ab €299/Monat für kontinuierliche Abdeckung; behalten Sie ein gescoptes menschengeführtes Engagement nur für maßgeschneiderte interne/OT-Bedürfnisse.

Referenz: ISO 27001:2022 A.8.29 / A.8.8 · SOC 2 CC7.1 · DORA Art. 24 · NIS2 Art. 21 · Matproof Sentinel Preise: matproof.com/pricing

PTaaS vs klassisch: kostenloser Scan vs Matproof Sentinel vs projektbasierte Beratung

Kostenloser ScanMatproof SentinelKlassische Beratung
Automatisierte Scan-Engine✓ (3-min Vorschau)✓ Vollständiger Scan✗ Nur manuell
OWASP Top 10 AbdeckungPartiell✓ Vollständig✓ Vollständig
Proof-of-Exploit-Evidenz✓ Pro Befund✓ Pro Befund
Regulatorisches Mapping (DORA/NIS2/ISO 27001)✓ Automatisiert✓ Manuell
Audit-tauglicher PDF-Bericht✓ Sofort✓ 2–4 Wochen Lieferzeit
Kontinuierliche / wiederkehrende Scans✓ Pro Deploy✗ Jährliches Engagement
Zeit bis zum ersten Ergebnis~3 Min.~30 Min. Vollscan2–4 Wochen
Preis€0Ab €149€8.000–€25.000
Quellcode-Review (SAST)✓ Im Growth-Plan✓ Im Scope
API-Testing (REST/GraphQL)✓ Automatisiert✓ Manuell

PTaaS-Preise (Abonnement, öffentlich)

Einzel-Scan
€149 einmalig
  • 1 vollständiger Pentest-Scan
  • KI-priorisierte Befunde mit CVSS 3.1
  • Proof-of-Exploit für jedes Finding
  • PDF-Bericht (audit-tauglich)
  • Regulatorisches Mapping (DORA, NIS2, BSI)
Einzel-Scan kaufen
Empfohlen
Starter
€299 / Monat
  • Unbegrenzte Scans (bis 3 Domains)
  • Kontinuierliches Monitoring
  • CI/CD-Integration (GitHub, GitLab)
  • Alle Regulierungs-Mappings
  • Prioritäts-Support
Starter starten
Growth
€799 / Monat
  • Unbegrenzte Scans + Domains
  • White-Box / Authenticated Testing
  • API- & Cloud-Infrastruktur-Tests
  • Dedizierter Security-Account-Manager
  • SLA 24h Reaktionszeit
Growth anfragen

Häufige Fragen zu PTaaS

Was ist PTaaS (Penetration Testing as a Service)?

PTaaS liefert Penetrationstests als fortlaufendes Abonnement über eine Plattform, statt als einmaliges Beratungsprojekt. Es kombiniert On-Demand- und kontinuierliches Testing mit einem Live-Dashboard, inkludierten Re-Tests und stets aktueller Evidenz — und ersetzt den Scope-Warten-PDF-Zyklus des klassischen Engagements.

Wie unterscheidet sich PTaaS von einem klassischen Penetrationstest?

Ein klassischer Pentest ist ein Projekt: gescopt, Wochen im Voraus terminiert, als Point-in-Time-PDF geliefert, Re-Tests separat berechnet, jährlich wiederholt. PTaaS ist ein Service: On-Demand- und kontinuierliches Testing, Ergebnisse in einem Live-Dashboard, Re-Tests inklusive und Evidenz, die aktuell bleibt, weil Testing bei jeder relevanten Änderung läuft. PTaaS passt zu Continuous Deployment und liefert bessere Audit-Evidenz.

Ist PTaaS dasselbe wie kontinuierlicher Penetrationstest?

Sie sind eng verwandt. PTaaS ist das Liefermodell (Testing als Abonnement über eine Plattform); kontinuierlicher Penetrationstest ist die Praxis, bei jedem Deploy zu testen, die eine PTaaS-Plattform ermöglicht. Matproof Sentinel ist eine PTaaS-Plattform, gebaut für kontinuierliches Testing — siehe unsere Seite zum kontinuierlichen Penetrationstest für die Praxis im Detail.

Erfüllt PTaaS ISO 27001, SOC 2, NIS2 und DORA?

Ja — und oft besser als jährliches Testing, weil ein Abonnement kontinuierliche Evidenz erzeugt, dass das Testprogramm über den gesamten Audit-Zeitraum lief, was genau das ist, wonach Überwachungs- und Rezertifizierungs-Auditoren suchen. Matproof Sentinel mappt jeden Befund auf ISO 27001:2022 A.8.29/A.8.8, SOC-2-Kriterien, NIS2 Art. 21 und DORA Art. 24, mit Proof-of-Exploit und Re-Test-Verifikation.

Was kostet PTaaS?

Das PTaaS-Abonnement von Matproof Sentinel kostet €299/Monat (unbegrenzte Scans über bis zu drei Domains) oder €799/Monat (unbegrenzte Domains plus authentifiziertes, API- und Cloud-Infrastruktur-Testing), mit kostenlosem Vorschau-Scan und Einzel-Berichten ab €149. Verglichen mit wiederholten jährlichen Engagements (je £4.000–£12.000) kostet das Abonnement meist weniger pro Jahr bei weit größerer Änderungs-Abdeckung.

Verwandte Themen

Vertiefen — verwandte Artikel aus unserem Blog

Testen Sie eine für Compliance gebaute PTaaS-Plattform

Führen Sie einen kostenlosen 3-Minuten-Scan durch, um die Plattform und einen Muster-Bericht zu sehen, und abonnieren Sie dann ab €299/Monat für kontinuierlichen Penetrationstest mit stets aktueller Evidenz für ISO 27001, SOC 2, NIS2 und DORA.

Kostenlosen Scan starten