Pentest-Anbieter: Wie finden Sie einen seriösen Dienstleister für Ihr Unternehmen?

10. Juli 2025
Sie planen einen Penetrationstest? Erfahren Sie, wie Sie den passenden Anbieter für Ihr Unternehmen finden

Ob die IT-Sicherheit in Ihrem Unternehmen ihren Namen wirklich verdient? Sie haben zwei Optionen: Entweder Sie überlassen es Cyber-Kriminellen, Sicherheitslücken zu finden. Oder Sie handeln proaktiv und engagieren einen Pentest-Anbieter, der Ihre IT-Security gründlich auf die Probe stellt. 

Angesichts von 1.577 Cyber-Attacken, die dem Nationalen Zentrum für Cybersicherheit (NCSC) der Schweiz 2025 allein im April 2025 in nur einer Woche gemeldet wurden, ist das vielleicht nicht die schlechteste Idee. Doch wie können Sie entscheiden, welcher Pentest-Dienstleister bei dem grossen Angebot tatsächlich qualifiziert ist? In diesem Ratgeber stecken alle wichtigen Infos zu zentralen Auswahlkriterien und was Sie sonst noch rund um Kosten, Dauer und Ablauf von Pentests wissen sollten.

Wie wählen Sie den passenden Pentest-Anbieter aus?

Ein guter Pentest-Service bedeutet, dass mögliche Schwachstellen in Ihren Systemen absolut zuverlässig geortet werden und Sie eine umfassende Sicherheitsbewertung erhalten. Auf dieser soliden Basis kann Ihre IT-Abteilung oder Ihr externer IT-Partner dann eventuelle Risiken gezielt angehen und ausschalten. Es gibt eine paar wichtige Auswahlkriterien für Pentest-Anbieter, die Sie berücksichtigen sollten, um das zu gewährleisten:

1. Ausreichende Erfahrung & gute Erfolgsbilanz

Wie jeder Spezialist sollte ein guter Pentesting-Anbieter Erfahrung mitbringen – prüfen Sie aber auch, ob er bereits anspruchsvolle Penetrationstests erfolgreich durchgeführt hat und lassen Sie sich Beispiele zeigen. Positive Kundenbewertungen, die dem Pentest-Anbieter Kompetenz und Zuverlässigkeit bescheinigen, sprechen natürlich auch für sich.

Dass der Dienstleister sich technisch (Stichwort KI) auf dem aktuellen Stand befindet, erkennen Sie zum Beispiel daran, dass er KI-Tools selbst aktiv einsetzt und eventuell sogar Software entwickelt.

2. Umfangreiche Expertise in Cybersicherheit & IT-Infrastruktur

Es gibt Zertifizierungen, die belegen, dass ein Pentest-Anbieter sich nicht mit Mittelmass zufriedengibt. Dazu gehören die BACS-Zertifizierung in der Schweiz oder die BSI-Zertifzierung in Deutschland.

Zertifikate für Pentest-Services sind aber nicht alles: Ebenso wichtig sind tiefe Insights in die IT-Infrastruktur und die Software-Anwendungen von Unternehmen. Die helfen dem Pentest-Anbieter, Art und Umfang des Tests optimal abzustimmen.

3. Individuelle Beratung & verlässliche Organisation

IT-Sicherheit und Software-Security sind in jedem Unternehmen individuell. Dasselbe gilt auch für Penetrationstests. Ein Dienstleister sollte schon im Angebotsprozess detaillierte Fragen zu Ihrer IT-Infrastruktur stellen. Darauf sollte eine ausführliche Beratung folgen, in der ein seriöser Pentest-Anbieter Sie z. B. fragt: 

  • Welche Informationen und Ergebnisse möchten Sie erhalten? 
  • Wie aggressiv soll der Pentest durchgeführt werden? 
  • Und wie viel Transparenz bei der Analyse wünschen Sie sich?

Zudem sollte Ihnen der Anbieter einen strukturierten Prozess für den Pentest-Service vorgeben und klar den zeitlichen Ablauf, Ansprechpartner etc. mit Ihnen abstimmen.

4. Klar definierter Umfang & transparente Preisgestaltung

Ein qualifizierter Pentest-Anbieter passt Umfang und Aufwand des Pentests an die zu testende IT-Infrastruktur an und wählt ein klar definiertes Durchführungsformat. Der Prozess sollte sich am individuellen Schutzbedarf Ihrer Systeme orientieren und individuell konzipiert sein – Off-the-shelf-Lösungen können das meistens nicht bieten.

Auch für Penetrationstests gilt: Der billigste Anbieter bietet nicht unbedingt den besten Service. Scheinbar „günstige“ Preise können Sie teuer zu stehen kommen, wenn am Ende trotzdem Ransomware Ihre Systeme verschlüsselt und Erpresserschreiben ins Haus flattern. Was Sie aber auch von seriösen Dienstleistern jeder Preisklasse unbedingt erwarten dürfen: Eine transparente Preisgestaltung und ein verlässliches Angebot.

5. Umfassende Dokumentation

Damit Sie mithilfe eines Pentests Cyberkriminellen tatsächlich einen Riegel vorschieben können, müssen die entdeckten Schwachstellen und Sicherheitsrisiken Ihrer IT-Infrastruktur unbedingt lückenlos und umfangreich dokumentiert werden. Nur dann können Sie sinnvolle Massnahmen ergreifen. Ein seriöser Pentest-Anbieter liefert Ihnen im Nachgang eine detaillierte Präsentation oder arbeitet Handlungsempfehlungen in verschiedenen Versionen für Geschäftsführung und IT-Abteilung aus.

Als Softwareentwicklungspartner steht Cybersecurity für Riwers an oberster Stelle. Pentests führen wir in Zusammenarbeit mit einem zertifizierten Pentest-Anbieter (gemäss OWASP, OSSTMM und ISO: 27002) durch. Möchten Sie mehr über unsere Pentest Services erfahren?

Let’s talk!

Wie viel kostet ein Pentest?

Die Kosten für einen Pentest hängen von verschiedenen Faktoren wie dem Umfang und der Komplexität des Pentests ab. Auch Lizenzgebühren für Scan-Tools und ein eventueller Aufwand für Nachtests beeinflussen den Gesamtpreis. Ein solider Pentest für ein einfaches Netzwerk oder eine Webanwendung (2 bis 5 Tage Aufwand) wird ab etwa 5.000 Euro angeboten.

Wie lange dauert ein Pentest?

Die Dauer eines Pentests hängt unter anderem von der Netzwerk-Grösse, der Komplexität der Anwendung und davon ab, ob er intern oder extern durchgeführt wird. Entscheidend ist auch, ob Netzwerkinformationen und Benutzeranmeldeinformationen dem Pentest-Anbieter vorab zur Verfügung stehen. Je nach Umfang kann ein Pentest an einem Tag durchgeführt werden, aber auch ein paar Wochen dauern.

Welche Arten von Pentests gibt es?

Um mögliche Lücken oder Schwachstellen in der IT-Sicherheit aufzudecken, unternimmt ein Pentest-Anbieter einen strukturiert durchgeführten Angriff auf Software-Anwendungen oder IT-Systeme. Dabei benutzen die Spezialisten der Pentest-Services dieselben Techniken wie echte Cyberkriminelle. Wie das Durchführungskonzept im Detail aussieht, basiert auf verschiedenen Kriterien:

Wie viele Informationen stehen dem Pentest-Anbieter zur Verfügung? 

Kennt er nur die Zieladresse, handelt es sich um einen Black-Box-Test. Dagegen simuliert ein White-Box-Test eine Attacke, bei der der Angreifer weitreichende Informationen über Hard- und Software sowie interne IP-Adressen hat. Die häufigste Testart ist der Grey-Box-Test, bei dem der Pentester bereits über einige Informationen verfügt und weitere Daten selbstständig ermittelt.

Welche Techniken und Tools verwendet der Pentest-Anbieter?

Das hängt davon ab, welche Infrastruktur überprüft werden soll:

  • Beim IT-Infrastruktur-Penetrationstest werden Server, Firewalls, WLAN-Netze und VPN-Zugänge auf Sicherheitslücken gecheckt.
  • Mit einem Webanwendungs-Penetrationstest fühlt man der Sicherheit von Webseiten, Webshops und Portalen für die Kundenverwaltung auf den Zahn.
  • Für Software-Anwendungen und Programmierschnittstellen kommen Applikations- oder API-Tests zum Einsatz.
  • Bei der Erweiterung von Pentests durch Red-Teaming-Szenarien werden auch Sicherheitsrisiken durch Social Engineering (also die geschickte Manipulation von Menschen) überprüft.

Unterscheidung nach Ausgangspunkt

Bei einem externen Pentest simulieren die Tester einen Angriff auf Bereiche, die vom Internet aus erreichbar sind. Um dann weiter in die IT-Infrastruktur Ihres Unternehmens einzudringen, müssen sie sich unvorbereitet in den internen Strukturen zurechtfinden.

Für einen internen Penetrationstest gehen die Tester von einem Szenario aus, bei dem die Angreifer nach erfolgreichem Phishing oder der Einschleusung von Malware bereits Zugang zur internen IT-Infrastruktur haben. Es geht also um eine Risikoprüfung für den Fall, dass der Worst Case doch eingetreten ist.

So läuft es ab: die 5 Phasen eines Pentests 

Grundsätzlich ist es sinnvoll, Penetrationstests im Jahresrhythmus einzuplanen bzw. die Dienste immer dann in Anspruch zu nehmen, wenn es eine signifikante Änderung in der IT-Infrastruktur gab. Der Ablauf lässt sich in 5 Phasen abbilden:

  1. Vorbereitung: Vor Testbeginn erhält der Pentest-Anbieter Zugang zu den relevanten Testbereichen (inkl. Dokumente, Anmeldeinformationen, URLs etc.), überprüft und bestätigt die Funktionalitäten.
  2. Informationsbeschaffung: Der Pentest-Anbieter beschafft sich genaue Informationen zu den zu testenden Systemen und bereitet die entsprechenden Test-Tools vor.
  3. Eigentlicher Penetrationstest: Der Anbieter führt den Test umfassend bzw. gemäss dem Auftrag durch.
  4. Abschlussbericht: Dieser wird zuerst im Team des Pentest-Anbieters validiert.
  5. Präsentation der Testergebnisse: Vorstellung des Abschlussberichts mit Empfehlungen und der Möglichkeit für den Kunden, Fragen zu stellen.

Auch eine gute Idee: Wenn Sie nach dem Pentest Massnahmen umsetzen oder Änderungen durchführen, empfehlen wir Ihnen, diese in einem nachfolgenden Test zu validieren.

Der richtige Pentest-Anbieter erkennt Sicherheitslücken, bevor Hacker es tun!

Pentest-Anbieter beauftragen – ja oder nein? Die dramatische Zunahme von Cyberattacken kennt eigentlich nur eine Antwort: Beauftragen Sie unbedingt einen guten Pentest-Anbieter. Hier nochmal die wichtigsten Kriterien im Überblick: 

  • Achten Sie auf Expertise (Zertifizierungen, qualifizierte Veröffentlichungen oder positive Kundenerfahrungen)
  • Individuell an die zu testende IT-Infrastruktur angepasste Pentest-Services mit einem klar strukturierten Prozedere
  • Fundierte Dokumentation der Testergebnisse mit konkreten Handlungsempfehlungen

Sie möchten mehr darüber erfahren, wie Sie mit einem seriösen Pentest-Anbieter an Ihrer Seite Cyberkriminellen proaktiv die Stirn bieten können?

Let’s talk

  • By
  • Markus Guggisberg

Share this post

Don’t hesitate to contact us. Together we will find the perfect solution for your company.

riwerssvgexport-26