daqoon

Penetrationstest-Anbieter finden: Die ehrliche Checkliste

Die meisten Firmen wählen den falschen Pentest-Anbieter - und merken es nie. Die Red Flags, die richtigen Fragen und eine Checkliste, mit der du die Spreu vom Weizen trennst.

Veröffentlicht am2 Min. Lesezeit
penetrationstestpentest-anbieterauswahlkmu
Auswahl eines Penetrationstest-Anbieters anhand einer Checkliste

Die meisten Firmen wählen den falschen Pentest-Anbieter. Und das Schlimmste daran: Sie merken es nie.

Warum? Weil beide Reports gleich aussehen. Der vom Anbieter, der drei Tage lang manuell in deine Anwendung eingebrochen ist. Und der vom Anbieter, der einen Scanner laufen ließ und das Logo tauschte. Beides ist ein PDF mit roten Balken.

Der Unterschied zeigt sich erst, wenn ein echter Angreifer kommt. Dann ist es zu spät.

Jede technische Schwachstelle hat einen organisatorischen Ursprung. Den Report sollte der IT-Admin aber auch das Management verstehen.

Hier ist die Checkliste, mit der du vorher erkennst, mit wem du es zu tun hast.

Die 6 Red Flags

Wenn du eins davon siehst, werde skeptisch. Bei mehreren: weitersuchen.

  • Festpreis ohne Scoping. Kein seriöser Anbieter nennt einen Preis, bevor er weiß, was du hast. Wer sofort eine Zahl raushaut, verkauft ein Standardpaket - egal ob es passt.
  • Keine nennenswerten Zertifikate. Frag nach OSCP+, CPTS oder Vergleichbarem. "Wir machen das seit Jahren" ist kein Nachweis.
  • Kein Retest im Angebot. Ein Test, der nicht prüft, ob die Fixes wirklich sitzen, ist ein halber Test.
  • Kein Management Summary. Wenn dein Geschäftsführer den Bericht nicht versteht, kann er keine Entscheidung treffen. Dann war das Geld für die Katz.
  • Vage bei der Methodik. Ein guter Anbieter nennt dir Standards wie OWASP, PTES oder OSSTMM, ohne zu zögern.
  • Schwammig bei der Rechtslage. Ohne saubere schriftliche Einwilligung (§ 202a–c StGB) ist ein Pentest in Deutschland eine Straftat. Wer das nicht von sich aus regelt, arbeitet fahrlässig.

Die 5 Green Flags

Und so sieht der Richtige aus:

  • Er will erst reden, dann anbieten. Ein Scoping-Gespräch vor jedem Preis. Immer.
  • Zertifizierte Menschen testen manuell. Scanner sind ein Werkzeug, kein Ersatz für einen Kopf.
  • Der Bericht hat zwei Ebenen. Eine für die Technik, eine fürs Management. Beide klar.
  • Funde sind nach echtem Risiko priorisiert. Nicht 200 "Findings" nach CVSS sortiert, sondern die drei, die dich wirklich treffen können - zuerst.
  • Retest ist selbstverständlich. Behoben heißt behoben, nicht "haben wir mal ins Ticket geschrieben".

Die Fragen, die du im Erstgespräch stellst

Kopier dir das raus. Damit trennst du in zehn Minuten den Profi vom Verkäufer:

  1. "Wer testet konkret - und welche Zertifikate hat die Person?" Nicht die Firma. Die Person.
  2. "Wie viel läuft manuell, wie viel automatisiert?" Ein guter Anbieter kann das genau beziffern.
  3. "Ist ein Retest dabei?" Und wenn ja, wie lange nach dem Test.
  4. "Wie regelt ihr die rechtliche Beauftragung?" Die Antwort sollte schnell und konkret kommen.
  5. "Nach welchem Standard testet ihr?" OWASP, PTES, OSSTMM, BSI - irgendwas Anerkanntes muss fallen.

Wer bei diesen sechs Fragen ins Schwimmen kommt, hat sein Handwerk nicht drauf.

Regional oder egal - was bringt "in der Nähe"?

Viele suchen nach einem Anbieter "in der Nähe". Für reine Web- und Netzwerktests ist der Standort fast egal - das läuft ohnehin remote.

Regional wird relevant, wenn physische Tests dazukommen: Social Engineering vor Ort, Zutrittskontrollen, ein Angreifer, der sich ins Gebäude schmuggelt. Dann willst du jemanden, der ohne Flugticket vorbeikommt.

Für den DACH-Raum kommt noch die Sprache dazu. Ein deutscher Bericht, deutsche Ansprechpartner, deutsches Recht - das spart bei Compliance-Themen und Audits echt Nerven.

Warum das gerade jetzt zählt

Cyberversicherer, NIS2, DORA, ISO 27001 - überall wird ein Nachweis über getestete Systeme verlangt. Ein schlechter Pentest gibt dir das PDF, aber nicht die Substanz dahinter.

Wenn es dann knallt und der Versicherer genauer hinschaut, ist ein Scanner-Report kein guter Ort, um sich zu verstecken.

Wie wir das bei daqoon machen

Kurz und ehrlich: Wir reden zuerst. Wir testen manuell. Der Bericht ist für Menschen gemacht, nicht für Tool-Logs. Und der Retest ist, wenn gewollt, immer dabei.

Getestet wird von Leuten mit OSCP+ und CPTS und nicht von einem Praktikanten mit Scanner-Lizenz.

Willst du das Ganze mal gegen deine Situation halten? Dann lass uns 20 Minuten reden. Kostet nichts und du merkst schnell, ob wir zueinander passen.

Kostenloses Erstgespräch anfragen →

daqoon - Wir brechen ein, bevor andere es tun.