Cyber-Versicherungen sind im Mittelstand verbreiteter denn je. Sie greifen jedoch erst, wenn der Schaden eingetreten ist. Sie erstatten finanzielle Folgen, aber sie machen nicht die Ausfalltage rückgängig, nicht den Vertrauensverlust beim Kunden und nicht die Pflichtmeldung an die Aufsicht. Wer nur auf die Versicherung setzt, hat das Risiko bereits eingegangen.
Ein Penetrationstest ist die proaktive Variante. Statt darauf zu warten, dass jemand eine Schwachstelle ausnutzt, suchen erfahrene Sicherheitsexperten sie selbst und decken sie auf, bevor jemand anderes sie findet. Wichtig zu wissen: Ein Pentest zeigt die Lücken und liefert die Handlungsempfehlung, die Behebung selbst ist nicht Teil der Test-Leistung. Wer die Lücken anschließend schließt, klären wir vorab und gehen darauf weiter unten genauer ein. Allerdings hat das klassische Modell ein Problem: Ein einmaliger Test am 14. Juni sagt nichts über den Sicherheitszustand am 14. September. IT-Umgebungen verändern sich, neue Schwachstellen werden bekannt, Mitarbeitende kommen und gehen.
Genau hier setzt Pentest as a Service an. Der Beitrag erklärt, was Pentest as a Service ist, wie sich dieses Modell vom klassischen einmaligen Test unterscheidet, für welche Unternehmen es sich lohnt und warum gerade kleine und mittlere Betriebe davon stärker profitieren, als sie zunächst vermuten.
Was ein Penetrationstest überhaupt ist
Ein Penetrationstest ist ein kontrollierter Angriff auf die eigenen Systeme. Spezialisierte Sicherheitsexperten versuchen mit denselben Methoden, die echte Angreifer einsetzen, in Ihre IT-Umgebung einzudringen. Sie nutzen technische Schwachstellen, prüfen Konfigurationsfehler, testen die Wirksamkeit von Sicherheitsmaßnahmen und versuchen, schrittweise weitere Rechte zu erlangen.
Das Ergebnis ist kein theoretisches Sicherheitsgutachten, sondern ein konkreter Befund: Diese Schwachstellen existieren, so ließen sie sich ausnutzen, das sind die wirtschaftlichen und regulatorischen Folgen, mit folgenden Maßnahmen lassen sie sich schließen. Die eigentliche Umsetzung dieser Maßnahmen ist bewusst getrennt von der Test-Leistung, dazu im nächsten Abschnitt mehr.
Der Unterschied zu einem automatisierten Schwachstellenscan liegt in der Qualität der Ergebnisse. Scans liefern Listen mit potenziellen Lücken. Ein echter Penetrationstest zeigt, welche dieser Lücken im konkreten Zusammenspiel der Systeme tatsächlich gefährlich sind und wie ein realer Angriffspfad aussieht.
Reports nach CREST-Standard
Unsere Pentest-Berichte folgen dem CREST-Standard, dem etablierten Format für Penetrationstest-Reports auf europäischer Ebene. Damit erhalten Sie eine Dokumentation, die Versicherer, Auditoren und Aufsichtsbehörden als anerkannten Nachweis akzeptieren und die sich strukturell in bestehende Compliance-Prozesse einfügt. Die Auswahl unseres Test-Toolings haben wir bewusst nach diesem Standard ausgerichtet, damit Befunde, Risikobewertung und Handlungsempfehlung in einer Form vorliegen, die international vergleichbar ist.
Wer die gefundenen Lücken anschließend schließt
Ein Punkt, der erfahrungsgemäß für Klarheit sorgt, bevor ein Test startet: Der Pentest selbst deckt die Schwachstellen auf, liefert die Priorisierung und gibt konkrete Handlungsempfehlungen. Die eigentliche Behebung dieser Lücken ist nicht Teil der Test-Leistung. Wer sie umsetzt, hängt davon ab, wie Ihr Unternehmen aufgestellt ist.
- Unternehmen mit eigener IT-Abteilung. Sie setzen die Maßnahmen mit Ihrem internen Team um. Wir stehen während dieser Phase beratend zur Seite und ordnen einzelne Befunde technisch ein. Diese Begleitung ist in der Pentest-Leistung enthalten und braucht keinen separaten Auftrag.
- Unternehmen ohne eigene IT. Kleinere Betriebe haben in der Regel keine interne IT, die einen Befundbericht direkt umsetzen kann. In diesem Fall erstellen wir auf Basis des Pentest-Reports einen transparenten Kostenvoranschlag für die Behebung der gefundenen Lücken. Sie entscheiden anschließend, was Sie umsetzen lassen möchten und in welcher Reihenfolge.
So bleibt der Pentest klar in seiner Rolle als unabhängige Bewertung, und die Maßnahmenphase ist sauber davon getrennt.
Der Unterschied zum klassischen einmaligen Stresstest
Klassische Penetrationstests werden meist als einmaliges Projekt durchgeführt. Ein Stichtag wird festgelegt, der Test läuft eine bis zwei Wochen, am Ende gibt es einen Bericht. In der Praxis wird dieser Test in vielen Unternehmen vor allem deshalb beauftragt, weil ein Versicherer oder eine Behörde einen Nachweis verlangt. Sobald der Bericht vorliegt, liegt der Bericht im besten Fall in der Schublade, im weniger guten Fall in einer veralteten Version auf einem Server, der inzwischen abgelöst wurde.
Die Schwächen dieses Modells sind in der Praxis erheblich.
- Die Umgebung verändert sich ständig. Neue Software wird eingeführt, Mitarbeitende werden eingestellt, Server werden migriert, Cloud-Dienste werden ergänzt. Was im Juni getestet wurde, sieht im November anders aus.
- Schwachstellen entstehen ständig neu. Allein in den letzten Wochen wurden mehrere kritische Lücken in Windows Server, Check Point und Palo Alto aktiv ausgenutzt. Ein Test vom Vorjahr deckt diese aktuellen Bedrohungen nicht ab.
- Die Maßnahmen werden nie konsequent nachgehalten. Ein einmaliger Test endet mit einem Bericht. Was zwischen Bericht und Umsetzung passiert, bleibt oft offen. In vielen Mittelständlern landen Empfehlungen auf einer Liste, die im operativen Geschäft langsam in Vergessenheit gerät.
- Lernkurve und Verbesserung sind nicht eingebaut. Wer einmal pro Jahr testet, hat keine Vergleichswerte. Ein Sicherheitsniveau lässt sich aber nur dann verbessern, wenn es messbar ist und Veränderungen erkennbar werden.
Pentest as a Service löst genau diese vier Probleme.
So funktioniert unser Pentest as a Service
Wir verteilen die Sicherheitsprüfung auf mehrere Tests pro Jahr. Zwischen den Tests liegt jeweils eine Maßnahmenphase, in der die im vorherigen Test gefundenen Schwachstellen geschlossen werden. So entsteht ein durchgehender Verbesserungszyklus statt einer Momentaufnahme.
Die genaue Anzahl der Tests pro Jahr legen wir gemeinsam mit Ihnen fest. Welche Frequenz für Ihren Betrieb sinnvoll ist, hängt von Branche, Größe und regulatorischen Anforderungen ab und wird im Vorgespräch geklärt.
Wie ein typischer Jahreslauf aussehen kann, zeigt das folgende Beispielszenario.
Erster Test: Bestandsaufnahme. Der erste Test ist der ehrlichste Spiegel. Er zeigt den realen Ausgangszustand. Auf dieser Grundlage entstehen die Sofortmaßnahmen.
Folgetest mit Fokus auf die behobenen Bereiche. Der nächste Test prüft, ob die Sofortmaßnahmen wirklich greifen. Gleichzeitig wird der Untersuchungsbereich erweitert oder auf andere Systeme gerichtet.
Folgetest mit aktualisierten Bedrohungsszenarien. Cyber-Bedrohungen entwickeln sich ständig weiter. Spätere Tests im Jahr beziehen neue Schwachstellen und Angriffstechniken ein, die in der Zwischenzeit relevant geworden sind.
Abschluss-Test und Auswertung. Der letzte Test im vereinbarten Zeitraum bildet den Abschluss. Er prüft das gesamte Sicherheitsniveau, vergleicht es mit dem Ausgangszustand und liefert eine Jahresbilanz. Auf dieser Basis startet das nächste Jahr mit klar definierten Schwerpunkten.
Zwischen den Tests stehen wir mit Ihrer IT-Verantwortung in regelmäßigem Austausch. Befunde werden besprochen, Maßnahmen werden priorisiert, Umsetzungen werden begleitet. Pentest as a Service ist damit keine punktuelle Prüfung, sondern eine kontinuierliche Sicherheitspartnerschaft.
Für welche Unternehmen Pentest as a Service sinnvoll ist
In erster Linie für mittelständische Betriebe mit einer IT-Umgebung, die mehrere Server oder Cloud-Dienste umfasst. Konkret betrifft das:
Unternehmen mit sensiblen Daten. Pflegeeinrichtungen, Arztpraxen, Kanzleien, Steuerberatungen, Lohnbüros. Überall, wo personenbezogene Daten in besonderen Kategorien verarbeitet werden, ist ein einmaliger Test pro Jahr aus regulatorischer Sicht nicht mehr zeitgemäß.
Zulieferer für größere Industrien. Wer für Konzernkunden arbeitet, wird zunehmend nach Nachweisen zum eigenen Sicherheitsniveau gefragt. Eine NIS-2-Compliance-Anforderung in der Lieferkette ist heute keine Ausnahme mehr.
Betriebe mit kritischen Abläufen. Hafenlogistik, Produktion, Lebensmittelverarbeitung. Überall, wo ein IT-Ausfall sofort zu Stillstand und finanziellem Schaden führt.
Unternehmen mit Pflicht zur Risikobewertung. Wer durch NIS-2, DSGVO-Audits oder Vertragsanforderungen verpflichtet ist, sein Sicherheitsniveau regelmäßig zu prüfen und zu dokumentieren.
Warum auch kleine Unternehmen davon profitieren
Hier liegt ein häufiges Missverständnis. Penetrationstests gelten als Konzern-Thema. In Wirklichkeit sind kleinere Betriebe ein besonders lohnendes Ziel für Angreifer, weil sie schwächer geschützt sind und schneller zahlen, wenn etwas passiert.
Pentest as a Service ist genau deshalb auch für kleinere Unternehmen sinnvoll. Drei Gründe.
- Die Kosten sind planbar. Mehrere kleinere Tests pro Jahr lassen sich budgetieren wie ein laufender Service. Ein großer einmaliger Test ist meist teurer und liefert weniger Wirkung pro Euro.
- Der Aufwand verteilt sich. Sie haben nicht eine einzige Belastungsphase im Jahr, sondern mehrere überschaubare. Das passt besser zu kleinen IT-Verantwortlichkeiten, die nicht den Großteil ihrer Zeit für Sicherheit aufwenden können.
- Die Wirkung ist proportional größer. Ein Konzern hat interne Sicherheitsteams, die im Alltag prüfen, was kein Pentest mehr zusätzlich findet. Ein kleiner Betrieb hat dieses Reservepolster nicht. Jede Lücke, die ein Pentest aufdeckt, ist hier ein wirklicher Sicherheitsgewinn.
Für kleinere Unternehmen ohne eigene IT-Abteilung übernehmen wir nach dem Test zusätzlich die Erstellung eines transparenten Kostenvoranschlags für die Behebung der gefundenen Lücken. So entsteht für Sie ein klares Bild davon, was als nächstes ansteht und in welchem finanziellen Rahmen.
Der Ablauf eines einzelnen Tests im Detail
Pro Test laufen vier Phasen ab.
Phase 1: Scoping. Wir definieren gemeinsam mit Ihnen, ob in diesem Test ein interner oder ein externer Angriffsweg geprüft wird. Externe Tests simulieren einen Angreifer von außerhalb des Unternehmensnetzes. Interne Tests gehen von einem bereits kompromittierten oder berechtigten Zugang im internen Netz aus. Welche Variante wann sinnvoll ist und welche Systeme abgedeckt werden, klären wir vor jedem Test.
Phase 2: Test. Der eigentliche Test läuft in einem definierten Zeitfenster. Wir nutzen eine Kombination aus technischen Werkzeugen und manueller Analyse. Tests sind so konzipiert, dass sie keine Betriebsstörungen verursachen.
Phase 3: Auswertung. Nach dem Test erhalten Sie einen nach CREST-Standard aufgebauten Bericht, der nicht aus 200 Seiten Standardtext besteht, sondern aus konkreten Befunden mit Priorisierung, Erläuterung und Handlungsempfehlung. Den Bericht erläutern wir in einem persönlichen Gespräch.
Phase 4: Maßnahmen. In den Wochen nach dem Test begleiten wir die Umsetzung der Empfehlungen. Bei Unternehmen mit eigener IT begleiten wir das interne Team beratend, bei Unternehmen ohne eigene IT erstellen wir den Kostenvoranschlag für die Behebung. Welche Maßnahmen sofort, welche im laufenden Quartal, welche strategisch. Im nächsten Test prüfen wir, ob die Maßnahmen wirken.
Was wir testen
In den vereinbarten Tests werden typischerweise folgende Bereiche abgedeckt, jeweils in der Tiefe, die zum Reifegrad Ihrer IT passt.
- Externes Netzwerk und exponierte Dienste
- Internes Netzwerk und Berechtigungsstrukturen
- Microsoft-365-Umgebung und Cloud-Setup
- Web-Anwendungen, sofern vorhanden
- Endgeräte und mobile Geräte
- Berechtigungs- und Rechtekonzepte
Welche Bereiche im jeweiligen Test-Schwerpunkt sind, klären wir im Scoping. So entsteht über das Jahr eine breit angelegte Prüfung, die einzelne Bereiche jeweils in der nötigen Tiefe untersucht.
Häufige Fragen
Worin unterscheidet sich Pentest as a Service vom klassischen Penetrationstest?
Beim klassischen Test wird einmal im Jahr oder seltener eine Bestandsaufnahme gemacht, die als Bericht endet. Pentest as a Service verteilt die Prüfung auf mehrere Tests pro Jahr mit Maßnahmenphasen dazwischen. So entsteht ein kontinuierlicher Verbesserungszyklus mit messbarer Veränderung statt einer Momentaufnahme.
Wie oft wird in einem Jahr getestet?
Das hängt vom Bedarf, der Branche und der regulatorischen Lage des Unternehmens ab. Möglich ist alles zwischen zwei Tests pro Jahr und einem monatlichen Rhythmus mit bis zu zwölf Tests. Welche Frequenz für Ihren Betrieb passt, klären wir im Vorgespräch.
Sind die Maßnahmen zur Behebung der gefundenen Lücken im Pentest enthalten?
Nein. Der Pentest deckt die Lücken auf, priorisiert sie und gibt Handlungsempfehlungen. Die eigentliche Umsetzung erfolgt entweder durch Ihre interne IT, die wir beratend begleiten, oder über einen separat angebotenen Kostenvoranschlag, wenn Sie keine eigene IT-Abteilung haben. Diese Trennung schafft die nötige Klarheit zwischen unabhängiger Bewertung und Umsetzungsverantwortung.
Nach welchem Standard sind die Reports aufgebaut?
Nach dem CREST-Standard, dem etablierten Format für Penetrationstest-Reports auf europäischer Ebene. Damit sind die Berichte für Versicherer, Auditoren und Aufsichtsbehörden in einer anerkannten Form dokumentiert.
Wie hoch ist das Risiko, dass etwas kaputt geht?
Penetrationstests bei uns sind so konzipiert, dass sie keine Betriebsstörungen verursachen. Wir arbeiten in definierten Zeitfenstern, stimmen kritische Phasen ab und verzichten auf aggressive Techniken, die produktive Systeme gefährden könnten. Im Scoping wird festgelegt, was getestet wird und was bewusst ausgeklammert bleibt.
Wie lange dauert ein einzelner Test?
Je nach Scope zwischen drei und zehn Arbeitstagen reines Testen, plus Vor- und Nachbereitung. Für Sie als Kunden bedeutet das in der Regel ein Vorgespräch, eine Phase ohne nennenswerten Aufwand für Ihr Team und ein Auswertungsgespräch.
Was kostet Pentest as a Service?
Die Kosten hängen von der Größe der IT-Umgebung und der Test-Frequenz ab. Pentest as a Service ist in der Regel günstiger als ein einmaliger großer Test pro Jahr, weil die Aufwände auf mehrere kleinere Phasen verteilt sind. Ein konkretes Angebot erhalten Sie nach einem kurzen Vorgespräch zur IT-Landschaft.
Brauchen wir das, wenn wir bereits Firewall und EDR haben?
Ja. Firewall und EDR sind Schutzmaßnahmen, ein Pentest prüft, ob sie wirken. In unserer Erfahrung gibt es in jeder Umgebung Konfigurationsfehler, vergessene Berechtigungen oder unbedachte Schnittstellen, die kein Schutzsystem allein erkennt. Ein Test deckt genau diese Lücken auf.
Können kleine Unternehmen sich das überhaupt leisten?
Ja. Pentest as a Service ist von der Logik her für mittelständische Budgets konzipiert. Mehrere kleinere Tests sind in Summe deutlich wirksamer als ein einmaliger Konzern-Test. Für sehr kleine Betriebe gibt es schlankere Varianten, deren Scope auf das Wesentliche begrenzt ist.
Ist Pentest as a Service eine Voraussetzung für eine Cyber-Versicherung?
Versicherer fordern zunehmend regelmäßige Sicherheitsnachweise. Ein dokumentierter, regelmäßiger Pentest nach CREST-Standard erfüllt diese Anforderung in der Regel und kann sich konkret auf Prämien und Deckungsumfang auswirken. Die genauen Vorgaben unterscheiden sich je nach Versicherer.
Sicherheit, die ganzjährig wirkt, statt einmal pro Jahr ein Bericht
Wer einmalig prüft, kennt einen Zustand. Wer regelmäßig prüft und konsequent nachzieht, hat ein Sicherheitsniveau, das wirklich trägt. Genau dafür haben wir Pentest as a Service entwickelt: regelmäßige Tests in der für Ihren Betrieb passenden Frequenz, klar definierte Maßnahmenphasen, messbare Verbesserung von Quartal zu Quartal.
Wenn Sie wissen wollen, was ein erster Pentest in Ihrem Betrieb aufdecken würde, ist ein kurzes Vorgespräch der ehrlichste Einstieg.