Security Guide

Wie wähle ich einen Pentest-Anbieter?

Ein guter Pentest liefert belastbare technische Erkenntnisse, klare Prioritäten und konkrete Handlungsempfehlungen. Dieser Guide zeigt, woran Sie Qualität erkennen – und wie Sie Anbieter vergleichen, ohne Marketingversprechen zu glauben.

Kurzfassung

Woran Sie Qualität erkennen (Experience)

In der Praxis unterscheiden sich Anbieter weniger im Versprechen als in der tatsächlichen Tiefe der Analyse:

• Findings sind reproduzierbar, priorisiert und technisch belegt
• Scope, Annahmen und Ausschlüsse sind sauber dokumentiert
• Es gibt einen klar benannten Lead-Tester mit Verantwortung
• Kommunikation ist proaktiv, nicht nur reaktiv

Aus der Praxis: Angebotsvergleiche

In realen Angebotsvergleichen zeigen sich immer wieder dieselben Muster:

• identischer Scope, aber massive Unterschiede in Tiefe und Zeitansatz
• gleiches Tooling – aber stark unterschiedliche manuelle Analyse
• Reports, die technisch korrekt sind, aber operativ nicht nutzbar
• Zertifikate vorhanden, aber keine klare fachliche Verantwortung

Ein niedriger Preis oder bekannte Logos sagen wenig über die tatsächliche Qualität aus.

Methodik & Vorgehen (Expertise)

Ein seriöser Pentest folgt einer nachvollziehbaren Methodik:

• gemeinsames Scoping inkl. Zielsysteme, Ausschlüsse und Risiken
• Rules of Engagement und definierte Kommunikationswege
• manuelle Tests ergänzen automatisierte Checks
• Nachweisführung (PoC) pro Finding

Viele professionelle Anbieter orientieren sich dabei u. a. an etablierten Leitfäden wie dem OWASP Testing Guide, PTES oder NIST SP 800-115.

Kompetenz & Erfahrung

Zertifizierungen sind hilfreich – aber nicht allein entscheidend. Achten Sie auf:

• relevante technische Zertifizierungen (z. B. OSCP, OSCE/OSWE, GXPN, GPEN)

• Incident-Response- und Forensik-Erfahrung (z. B. GCIH, GCFA, GREM)
• Management- & GRC-Kompetenz (z. B. CISSP, CISM, CRISC)

• Qualitätssicherung auf ISMS-Ebene (z. B. ISO 27001 Lead Implementer/Auditor)

Wichtiger als das Kürzel ist jedoch die nachweisbare Projekterfahrung.

Report-Qualität & Nutzen

Ein guter Pentest-Report ist verwertbar:

• klare Priorisierung (technisch und business-relevant)
• reproduzierbare Schritte und konkrete Fix-Empfehlungen
• saubere Trennung von Findings, Hypothesen und Beobachtungen

Recht & Compliance

Ein professioneller Anbieter definiert klare Rahmenbedingungen:

• NDA, Auftragsverarbeitung und Datenschutz
• klarer Umgang mit sensiblen Daten und Logs
• definierte Regeln für Tests in Produktivumgebungen

Prozess & Kommunikation

Pentests sind kollaborativ:

• Kickoff und Zwischencalls bei kritischen Findings
• klarer Ansprechpartner und definierte Eskalationswege
• optional: Retest zur Verifikation von Fixes

Preis vs. Wert

Der günstigste Anbieter ist selten der beste:

• Preis hängt stark vom Scope und der Tiefe ab
• wenig Zeit bedeutet meist weniger Analyse
• ”All-inclusive” ohne klare Abgrenzung ist ein Risiko

Red Flags (Trust)

• kein klares Scoping, keine Rules of Engagement
• keine PoCs, nur Scanner-Output
• keine klare fachliche Verantwortlichkeit
• Ausweichen bei Fragen zu Methodik oder Report-Beispielen

Pentest-Anbieter vergleichen (Kurzüberblick)

Checkliste für die Auswahl

• Gibt es einen klaren Scope und RoE?
• Wer führt den Test fachlich an?
• Wie sieht ein Beispielreport aus?
• Wie wird mit kritischen Findings umgegangen?
• Ist ein Retest möglich?

Fazit

Ein guter Pentest-Anbieter liefert nicht nur Findings, sondern belastbare Entscheidungsgrundlagen.
Wenn Methodik, Erfahrung und Kommunikation stimmen, sollte der Vergleich nicht über den Preis erfolgen – sondern über Qualität und Nutzen.

Dieser Guide wurde von Security Engineers mit Erfahrung auf Kunden- und Anbieterseite sowie in Pentests und Incident-Response-Projekten erstellt. Er ist bewusst anbieterneutral verfasst und ersetzt keine individuelle rechtliche Beratung.