Mittelständische Unternehmen in Deutschland sind 2026 die bevorzugte Zielgruppe für Cyberangriffe. Der Grund ist statistisch eindeutig: Konzerne haben Security-Operations-Center, kleine Firmen haben wenig zu holen — der Mittelstand hat Geld, Daten und überschaubare Verteidigung. Hinzu kommen NIS2, die verschärfte DSGVO-Auslegung und Cyber-Versicherungen, die ohne Nachweise nicht mehr zahlen. Wer in den nächsten 24 Monaten keine professionelle Cybersecurity-Strategie aufbaut, riskiert nicht nur den nächsten Verschlüsselungs-Trojaner, sondern auch sechsstellige Bußgelder und gekündigte Policen. Dieser Leitfaden zeigt, was Sie konkret tun müssen — vom ersten Pentest bis zur kontinuierlichen Validierung.
Was ist offensive Security?
Offensive Security bedeutet, die eigenen Systeme aus der Perspektive eines Angreifers zu prüfen. Statt nur Logfiles auszuwerten oder Firewalls zu konfigurieren, simuliert ein offensive Auditor reale Angriffe — kontrolliert, dokumentiert und mit dem Ziel, Schwachstellen vor dem echten Angreifer zu finden. Der Begriff umfasst Penetration-Testing, Red-Teaming, Adversary-Emulation und Continuous-Validation.
Wichtig ist die Abgrenzung zu reinen Scannern: ein automatisierter Vulnerability-Scanner wie Nessus, Qualys oder OpenVAS findet bekannte CVE-Lücken — er testet aber keine Logik-Fehler, keine Geschäftsprozess-Schwächen und keine Privilege-Escalation-Ketten. Ebenfalls keine offensive Security im engeren Sinne sind DAST und SAST: DAST (Dynamic Application Security Testing) prüft die laufende Anwendung wie eine Black-Box, SAST (Static Application Security Testing) durchsucht den Quellcode nach Mustern. Beides sind nützliche Bausteine, ersetzen aber keinen manuellen Pentest.
Ein guter offensive Security-Auditor kombiniert alle drei: automatisierte Scanner für Breite, SAST/DAST für die Quellcode-Tiefe, und manuelle Pentest-Sessions für die kreativen Angriffsketten, die kein Tool selbständig findet. Genau diesen Drei-Stufen-Ansatz haben wir auch in unsere eigene Plattform Reepa Security eingebaut — mehr dazu weiter unten.
NIS2-Pflicht für den Mittelstand
Die EU-Richtlinie NIS2 (Network and Information Security 2) ist seit Oktober 2024 in Kraft. Sie ersetzt die alte NIS-Richtlinie und erweitert den Geltungsbereich dramatisch: statt vorher etwa 2.000 betroffener Unternehmen in Deutschland fallen jetzt schätzungsweise 29.000 Unternehmen unter die Regulierung. Die deutsche Umsetzung erfolgt durch das NIS2-Umsetzungs- und Cybersicherheits-Stärkungs-Gesetz (NIS2UmsuCG), das parallel zur EU-Richtlinie schrittweise verbindlich wird.
Wer ist betroffen? NIS2 unterscheidet zwischen „wesentlichen Einrichtungen" und „wichtigen Einrichtungen" in 18 Sektoren — darunter Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur (Rechenzentren, DNS, Cloud), öffentliche Verwaltung, Raumfahrt, Post, Lebensmittel, Maschinenbau, Elektronik, Automobil und IT-Dienstleister. Die Größen-Schwelle liegt bei 50 Mitarbeitern ODER 10 Millionen Euro Jahresumsatz — kommt also schnell zustande.
Was wird verlangt? Konkret: Risikomanagement-Maßnahmen (Artikel 21), Meldepflichten bei Sicherheitsvorfällen innerhalb von 24 Stunden für eine erste Frühwarnung, vollständige Meldung binnen 72 Stunden, Abschlussbericht spätestens nach einem Monat. Technisch verbindlich sind unter anderem: Multi-Faktor-Authentisierung an exponierten Diensten, Kryptographie-Konzept, Lieferketten-Sicherheit, Backup- und Restore-Konzept mit Testen, Schulungen, Vorfallreaktions-Pläne, Zugriffsmanagement und Asset-Inventarisierung.
Die Sanktionen. Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes — je nachdem, was höher ist. Die Geschäftsleitung haftet persönlich. Ein 30-Millionen-Mittelständler aus Baden-Württemberg riskiert also bis zu 600.000 Euro Bußgeld plus persönliche Haftung der Geschäftsführer für Verstöße. Wer NIS2 bisher als „regulatorisches Rauschen" abgetan hat, sollte spätestens jetzt die Position revidieren.
Sind Sie NIS2-pflichtig?
Wir prüfen Ihre Unternehmensstruktur, Sektor-Zuordnung und IT-Landschaft in einem kostenlosen 30-Minuten-Gespräch. Mit konkreter Antwort, nicht „kommt drauf an".
NIS2-Erstgespräch vereinbarenPenetration-Testing-Methodik
Ein professioneller Pentest folgt einer dokumentierten Methodik — wer „mal eben gucken" anbietet, ist kein Pentester, sondern Glücksritter. International etabliert sind drei Methodiken: OWASP (Open Worldwide Application Security Project) für Webanwendungen, PTES (Penetration Testing Execution Standard) als generischer Phasen-Ablauf, und OSSTMM (Open Source Security Testing Methodology Manual) für Infrastruktur-Audits.
Die sieben Phasen. Im Kern folgen alle drei demselben Schema: Pre-Engagement (Scope-Definition, Rules of Conduct, Notfallkontakte), Intelligence Gathering (OSINT, Subdomain-Enumeration, Mitarbeiter-Profile, Technologie-Stack-Erkennung), Threat Modeling (welche Angreifer mit welcher Motivation und welchen Fähigkeiten), Vulnerability Analysis (automatisierte und manuelle Identifikation), Exploitation (kontrollierte Ausnutzung mit Nachweis-Screenshots), Post-Exploitation (was ist erreichbar, welche Daten exfiltrierbar) und Reporting (Executive-Summary, technische Details, Reproduktions-Schritte, Risiko-Bewertung, Maßnahmen-Empfehlungen).
OWASP Top 10 als Pflicht-Baseline. Für Webanwendungen sind die OWASP Top 10 (Edition 2025) der Mindeststandard. Aktuell führen Broken Access Control, Cryptographic Failures, Injection-Schwachstellen, Insecure Design, Security Misconfiguration und Vulnerable Components die Liste an. Jede dieser Kategorien wird in einem ordentlichen Webapp-Pentest systematisch durchgegangen — wer Ihnen einen „Webapp-Pentest" anbietet, der nicht alle 10 Kategorien adressiert, hat keinen Pentest geliefert.
Bei Reepa führen wir alle Pentests nach PTES-Phasen durch und nutzen OWASP-Checklisten für Web-Targets. Für Cloud-spezifische Tests ergänzen wir den AWS-, Azure- oder GCP-Wellbeing-Framework-Audit. Der Report enthält immer eine Executive-Summary (eine Seite, für Geschäftsführung) und einen technischen Anhang mit Reproduktions-Befehlen — Sie müssen nicht raten, wie der Fund gemeint war.
Reepa Security: kontinuierliche Validierung statt Jahres-Audit
Reepa Security — die Audit-Plattform für den Mittelstand
Seit 2023 entwickeln wir Reepa Security: eine Desktop-Anwendung mit Auto-Update, die kontinuierliche Penetration-Tests, Compliance-Checks und Schwachstellen-Validierung gegen Ihre Infrastruktur durchführt. Aktuell in Version 1.8 mit über 100 aktiven Detektoren, programmatischer Verifikation jeder Fund-Meldung (Triple-Verify-Pipeline gegen False-Positives) und Remote-Remediation für authentisierte Operatoren.
Das Modell „einmal im Jahr externes Audit, danach 11 Monate blind" funktioniert 2026 nicht mehr. Angreifer brauchen im Mittel 9 Tage, um eine neu veröffentlichte Schwachstelle in Massentools zu integrieren. Wer einmal jährlich prüft, läuft 351 Tage im Blindflug.
Reepa Security adressiert genau diese Lücke. Statt einmal jährlich von außen, läuft kontinuierlich von innen — als Workstation-installierte Anwendung mit signiertem Code, Auto-Update über GitHub-Releases und vollständigem Audit-Log lokal. Die Plattform vereint dabei drei Audit-Schichten: ein passiver Static-Scanner für Konfigurations- und Code-Schwachstellen, ein aktiver Live-Validator für Authentifizierung, Netzwerk-Exposure und Cloud-Misconfiguration, und ein optionaler offensive Modus für authentisierte Schwachstellen-Verifikation (Operator-Authorization erforderlich).
Konkrete Funktionen aus aktuellen Releases: OSINT-Recon mit crt.sh, GitHub-Leak-Detection und Typo-Squat-Erkennung. Active-Directory-Goldmine-Validatoren (Zerologon-, PrintNightmare-, PetitPotam-Detektion). Cloud-Discovery für AWS-, Azure- und GCP-Konten. Perimeter-VPN-Audit mit Pre-Auth-RCE-CVE-Coverage für acht Vendor-Familien. RDP-Tiefen-Audit (BlueKeep, DejaBlue, CredSSP-Status). DNS-Sicherheits-Probes mit DANE, BIMI und SPF-Strict. Burp- und ZAP-Import für nahtlose Integration in bestehende Audit-Workflows. Das Resultat ist nicht „ein weiterer Scanner", sondern ein vollständiges Continuous-Validation-System mit Compliance-Reports für DSGVO, NIS2 und ISO 27001.
Für Sie als Kunde bedeutet das: nach dem initialen Pentest-Engagement bleibt Reepa Security im Einsatz. Jeden Monat erhalten Sie einen aktuellen Soll/Ist-Vergleich gegen die Baseline — neue Schwachstellen werden detektiert, behobene Lücken validiert, Compliance-Status fortgeschrieben. Bei kritischen Funden alarmiert die Plattform sofort, nicht erst im nächsten Quartals-Report.
Web-, API-, Mobile- und Infrastruktur-Pentests
Penetration-Tests sind kein monolithisches Produkt — je nach Angriffsfläche unterscheiden sich Methodik, Tooling und Tiefe erheblich. Die vier Haupt-Kategorien decken nahezu alle Mittelstands-Szenarien ab.
Web-Application-Pentest ist der häufigste Einstieg. Im Fokus stehen Authentifizierung, Session-Management, Eingabe-Validierung, Zugriffskontrollen, SSRF, Deserialisierung und die OWASP Top 10. Typische Dauer: 5 bis 15 Personentage je nach Anwendungs-Komplexität. Wichtig ist die Unterscheidung zwischen Black-Box (Tester kennt nur die URL) und Grey-Box (Tester hat einen Standardnutzer-Account) — letzteres findet deutlich mehr, gerade bei Multi-Tenant-Anwendungen mit Rollen-Modell.
API-Pentest wird immer wichtiger, weil B2B-Integrationen zunehmen. Hier liegt der Fokus auf REST- und GraphQL-Endpoints: BOLA (Broken Object Level Authorization), Mass Assignment, Rate-Limiting-Bypass, JWT-Konfusion und SSRF über Webhooks. Wer nur die UI testet und die API ignoriert, übersieht die wertvollsten Angriffsketten.
Mobile-App-Pentest umfasst Reverse Engineering der iOS-IPA oder Android-APK, Inspektion von Local-Storage und KeyChain, Zertifikatspinning-Prüfung und Backend-API-Tests. Bei Hybrid-Apps (React Native, Flutter, Capacitor) zusätzlich die JavaScript-Bridge-Sicherheit. Häufige Funde: Hardcoded-Secrets im Bytecode, schwache Verschlüsselung im SharedPreferences, fehlendes Pinning erlaubt Man-in-the-Middle.
Infrastruktur-Pentest adressiert die Netzwerk-Ebene: externe Perimeter (was sieht das Internet?), interne Segmentierung (kann ein kompromittierter Drucker zum Datenbank-Server kommunizieren?), VPN-Endpunkte mit Pre-Auth-RCE-Risiko, RDP- und SSH-Härtung, sowie WLAN-Sicherheit mit Evil-Twin- und WPA-Enterprise-Tests. Typische Dauer: 8 bis 25 Personentage je nach Standort-Anzahl.
Active-Directory-Audits
In über 95 Prozent der mittelständischen Windows-Umgebungen ist Active Directory das Identitäts-Rückgrat — und damit das primäre Ziel jedes Ransomware-Angriffs. Ein professioneller AD-Audit dauert zwei bis fünf Tage und liefert in fast jedem Fall mindestens einen kritischen Pfad zur Domain-Admin-Übernahme.
Typische Funde: veraltete Domain-Controller mit Zerologon-Anfälligkeit (CVE-2020-1472, immer noch in vielen Umgebungen ungepatcht), Kerberoasting-fähige Service-Accounts mit schwachen Passwörtern, Unconstrained Delegation auf Servern, ACL-Misconfiguration (Write-DACL auf Domain-Objekten), PrintNightmare-Lücken (CVE-2021-34527 und Nachfolger), PetitPotam-NTLM-Relay-Pfade, ADCS-Schwachstellen (ESC1 bis ESC11) und ungeschützte LAPS-Backups. Die Tools des Trade sind frei verfügbar: BloodHound für die Pfad-Analyse, Impacket für Protocol-Attacks, Certify und ADCSPwn für Zertifikats-Angriffe — wer sie kennt, schließt die Lücken; wer sie nicht kennt, wird Opfer.
Reepa Security enthält dedizierte AD-Goldmine-Validatoren, die exakt diese Angriffsmuster pre-auth und post-auth erkennen — mit explizitem Operator-Authorization-Flag, weil die meisten Detektionen die SMB-Pipe berühren und nur in autorisierten Engagements eingesetzt werden dürfen.
Cloud-Audits (AWS, Azure, GCP)
Cloud-Migration löst alte Probleme und schafft neue. Die häufigsten Misconfiguration-Funde in unseren Audits: öffentlich lesbare S3-Buckets mit personenbezogenen Daten (DSGVO-Verstoß sofort), IAM-Rollen mit AdministratorAccess und ohne MFA-Pflicht, Lambda-Funktionen mit hardcoded Secrets in Umgebungsvariablen, Security Groups mit 0.0.0.0/0 auf Management-Ports, RDS- und EBS-Snapshots öffentlich freigegeben, und CloudTrail-Logs deaktiviert oder ohne Multi-Region-Coverage.
Auf Azure-Seite typisch: zu weite Reader-Berechtigungen über Management Groups, Storage Accounts ohne Network-ACLs, Service Principals mit zu langen Geheimnis-Lebensdauern, Conditional-Access-Policies mit Lücken (z. B. Legacy-Authentication-Erlaubnis). Auf GCP: Service-Account-Keys statt Workload-Identity, BigQuery-Datasets allUsers-lesbar, Cloud Storage Buckets ohne Uniform-Bucket-Level-Access.
Ein vollständiger Cloud-Audit umfasst CSPM-Scans (Cloud Security Posture Management) für die Konfiguration, IAM-Privilege-Analyse für die Rechte-Architektur, und manuelle Tiefen-Tests für Custom-Workloads. Wir liefern den Audit-Report mit konkreten Remediation-Snippets (Terraform-Patches, Azure-Policy-Definitionen, AWS-Config-Rules) — Sie müssen die Lösung nicht selber herleiten.
ICS/OT-Sicherheit für Industrie
Industrielle Steuerungssysteme (Industrial Control Systems, ICS) und Operational Technology (OT) sind die unterschätzteste Angriffsfläche im DACH-Mittelstand. Maschinenbauer, Anlagenbauer, Produktions-Mittelständler und Versorger setzen Speicherprogrammierbare Steuerungen (SPS) ein, deren Protokoll-Stack aus den 1970er- und 1980er-Jahren stammt. Authentifizierung ist meist nicht vorgesehen, Verschlüsselung ebenfalls nicht, und Patches gibt es selten — die Maschinen laufen 20 Jahre.
Reepa Security enthält sieben dedizierte ICS-Protokoll-Detektoren: Siemens S7Comm und S7Comm-Plus, DNP3 für Energie-Netze, BACnet für Gebäudeautomation, OPC UA für moderne Industrie-4.0-Installationen, IEC 60870-5-104 für Übertragungstechnik, EtherNet/IP mit Forward-Open-Verify für Rockwell-Umgebungen, und HART-IP für Prozess-Instrumentierung. Detektion läuft passiv-erst, aktive Validierung nur mit Operator-Authorization — kein industrielles Audit darf die Verfügbarkeit der Produktion gefährden.
Die häufigsten Funde in mittelständischen Produktionen: SPS direkt am Internet erreichbar (typisch über Fernwartungs-Modem oder Vendor-Cloud-Anbindung ohne VPN), HMI-Panels mit Default-Passwort „admin/admin", flache Netzwerke ohne Segmentierung zwischen Office-IT und Produktions-OT, fehlende Asset-Inventarisierung (niemand weiß, wie viele SPS überhaupt im Werk laufen). Ein einziger befallener Engineering-Laptop kann die gesamte Produktion stilllegen — die einzige Verteidigung ist Network-Segmentation und ein dokumentierter ICS-Incident-Response-Plan.
Incident-Response-Playbook
Wenn der Angriff erfolgreich ist, entscheiden die ersten 4 Stunden über das Schadensausmaß. Ein dokumentiertes Incident-Response-Playbook ist 2026 verbindlich nach NIS2 und ISO 27001 — und versicherungstechnisch ohnehin nicht mehr verhandelbar.
Die sechs Phasen. Vorbereitung (Tools, Kontakte, Verträge mit externen Forensikern, Backup-Restore-Tests), Erkennung und Analyse (SIEM-Alert, Triage, Eskalation), Eindämmung (Netzwerk-Segmentierung, Account-Sperrung, IOC-Verteilung), Beseitigung (Malware-Entfernung, Patch der Eintritts-Vektor-Lücke, Rebuild kompromittierter Systeme), Wiederherstellung (validierte Backup-Restores, Monitoring auf Re-Infektion), und Lessons-Learned (Post-Mortem mit Root-Cause-Analyse, Update der Detection-Regeln).
Pflicht-Bestandteile eines praxistauglichen Playbooks: eine 24/7-erreichbare Eskalationsliste mit Backup-Nummern, vorbereitete Kommunikations-Templates für Mitarbeiter, Kunden und Behörden, ein Asset-Inventar mit Kritikalitäts-Klassifizierung, Backup-Restore-Verfahren mit dokumentierter Recovery-Time, und Verträge mit externen Forensikern (Vorlauf-Zeit für die Vertragsverhandlung im Akutfall = Sie verlieren weitere 24 Stunden). Wir empfehlen außerdem jährliche Table-Top-Übungen, in denen ein simulierter Vorfall durchgespielt wird — fast jedes Team entdeckt dabei Lücken, die in der Krise teuer werden.
DSGVO, ISO 27001, NIS2-Reporting
Compliance ist keine Geschmacksfrage, sondern Pflicht. Die drei zentralen Rahmenwerke für DACH-Mittelständler unterscheiden sich in Geltungsbereich, Verbindlichkeit und Nachweis-Logik.
DSGVO (seit 2018) verpflichtet jeden, der personenbezogene Daten verarbeitet — also praktisch jedes Unternehmen. Technisch-organisatorische Maßnahmen (TOM) nach Artikel 32 sind Pflicht, dazu Verfahrensverzeichnis nach Artikel 30, Datenschutz-Folgenabschätzung bei hohem Risiko nach Artikel 35, und Meldepflicht bei Datenschutz-Vorfällen innerhalb 72 Stunden nach Artikel 33. Bußgeld-Rahmen: bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes.
ISO 27001 ist freiwillig, aber zunehmend Voraussetzung für B2B-Aufträge. Das Information-Security-Management-System (ISMS) deckt 93 Controls in 4 Themen-Bereichen ab (Organisatorisch, Personell, Physisch, Technologisch). Zertifizierung erfolgt durch eine akkreditierte Stelle, alle drei Jahre mit jährlichen Überwachungs-Audits. Aufwand für die Erst-Zertifizierung: 6 bis 12 Monate, je nach Reifegrad.
NIS2 ist gesetzliche Pflicht für die 18 Sektoren (siehe oben). Die technischen Mindestmaßnahmen aus Artikel 21 sind in der Praxis weitgehend deckungsgleich mit ISO 27001 — wer ISO 27001 zertifiziert ist, hat NIS2 zu 80 Prozent erfüllt. Die spezifischen Zusätze: Meldepflichten an die zuständige Behörde (in Deutschland BSI), Geschäftsleiter-Schulungspflicht, und dedizierte Lieferketten-Sicherheit.
Unsere Compliance-Pakete liefern alle drei Rahmenwerke in einem koordinierten Aufbau-Programm: gemeinsames Asset-Inventar, gemeinsames Risikoregister, gemeinsame Kontroll-Matrix mit Mehrfach-Mapping. Statt drei Beratern parallel haben Sie einen Partner mit konsolidiertem Reporting.
Was kostet ein Pentest 2026?
Die Frage ist legitim und die ehrliche Antwort lautet: es hängt vom Scope ab. Wir geben aber gerne Orientierung in echten Zahlen, statt schwammig auf „bedarfsabhängig" zu verweisen.
Web-Application-Pentest: für eine einzelne Anwendung mit Standard-Login, Rollen-System und 20 bis 50 Funktionen kalkulieren Sie 6.000 bis 12.000 Euro. Größere Anwendungen mit komplexem Geschäftslogik-Layer, mehreren Mandanten und API-Backend bewegen sich zwischen 12.000 und 25.000 Euro.
API-Pentest: 4.000 bis 10.000 Euro für eine fokussierte REST- oder GraphQL-API mit 20 bis 50 Endpoints. Bei Microservice-Architekturen mit vielen Services skaliert der Preis linear mit der Anzahl der eigenständig prüfbaren Komponenten.
Externe Infrastruktur: ab 3.000 Euro für ein einzelnes Office mit fester Public-IP-Range, ab 8.000 Euro bei mehreren Standorten und VPN-Endpunkten. Vollständiges externes Audit mit OSINT, Subdomain-Coverage, Cloud-Discovery und Perimeter-Tests: 12.000 bis 30.000 Euro.
Active-Directory-Audit: 8.000 bis 20.000 Euro je nach Forest-Komplexität, Anzahl Domain-Controller, Anzahl Sites und Hybrid-Cloud-Anbindung. Bei mehreren Forests oder Mergers-and-Acquisitions-Topologien entsprechend mehr.
Cloud-Audit (AWS, Azure, GCP): 6.000 bis 18.000 Euro je nach Account-Anzahl, Service-Vielfalt und Multi-Region-Topologie. Continuous Monitoring danach ab 800 Euro pro Monat über CSPM-Tools.
Red-Team-Engagement: 25.000 bis 80.000 Euro für eine 4- bis 8-wöchige realistische Adversary-Simulation mit Social Engineering, physischem Zugang und Persistenz-Test. Nur sinnvoll, wenn Ihre Detection-and-Response-Kapazitäten bereits ausgereift sind — sonst zahlen Sie viel Geld, um zu lernen, was Sie auch im Pentest erfahren hätten.
Continuous Validation mit Reepa Security: 1.500 bis 5.000 Euro pro Monat (Setup einmalig, danach All-inclusive-Lizenz inkl. Updates, Validation-Runs und Compliance-Reports). Das amortisiert sich gegenüber einmaligen Audits ab dem zweiten Jahr.
Ihr individuelles Pentest-Angebot in 24 Stunden
Sagen Sie uns den Scope (Web, API, Infra, AD, Cloud) und die Anzahl Assets — wir liefern ein transparentes Festpreis-Angebot. Keine versteckten Folgekosten.
Pentest anfragenAnbieter-Auswahl-Checkliste
Der DACH-Markt für Pentest-Dienstleister ist intransparent — von der spezialisierten Boutique bis zum Reseller, der nur einen Nessus-Scan als „Pentest" verkauft, ist alles dabei. Diese sechs Kriterien trennen seriöse Anbieter von Gelegenheits-Verkäufern.
- Zertifizierte Tester. Lassen Sie sich die Zertifikate der konkreten Auditoren zeigen — nicht der Firma. Anerkannte Nachweise: OSCP (Offensive Security Certified Professional), OSCE, OSEP, GPEN, GWAPT, CRTO, CRTE. Wer ausweicht, hat keine.
- Versicherte Berufshaftpflicht. Mindestens 5 Millionen Euro, besser 10 Millionen, mit expliziter Deckung für „IT-Sicherheits-Beratungs- und Pentest-Dienstleistungen". Lassen Sie sich die Police zeigen.
- Dokumentierte Methodik. Im Angebot müssen PTES-, OWASP-, OSSTMM- oder NIST-SP-800-115-Referenzen stehen. „Wir machen das schon richtig" ist kein Methodik-Nachweis.
- Anonymisierter Beispiel-Report. Vor der Beauftragung muss der Anbieter Ihnen einen Beispiel-Report aushändigen — anonymisiert, aber vollständig im Aufbau. Wer das nicht hat, hat noch keinen geschrieben.
- Klare Engagement Rules. Schriftlicher Scope, schriftliche Notfallkontakte für Eskalationen, schriftliche Zeitfenster (Pentest mitten in Black Week ist eine schlechte Idee). Sind die Punkte im Vertrag explizit geregelt, oder „nach Absprache"?
- DACH-Standort und Datenresidenz. Für DSGVO-relevante Workloads sollte der Anbieter in DACH ansässig sein und die Reports auf DACH-Infrastruktur erstellen. Nicht ausgeschlossen, aber rechtlich aufwändiger bei US- oder Asien-Anbietern.
Bei Reepa erfüllen wir alle sechs Kriterien transparent — und auf Wunsch dokumentieren wir das in einem Anbieter-Auswahl-Dossier, das Sie Ihrem Datenschutz-Beauftragten oder Compliance-Office vorlegen können.
Häufige Fragen
Was kostet ein Penetrationstest in Deutschland?
Ein Web-Pentest startet typischerweise bei 6.000 bis 12.000 Euro für eine fokussierte Anwendung. Größere Audits mit mehreren Anwendungen, Cloud-Infrastruktur und Active-Directory bewegen sich zwischen 20.000 und 60.000 Euro. Continuous Validation über eine Plattform wie Reepa Security ersetzt jährliche Punkt-Audits durch monatliche Wiederholungen ab etwa 1.500 Euro pro Monat.
Ist NIS2 für mein Unternehmen Pflicht?
NIS2 gilt verbindlich für mittelgroße und große Unternehmen in 18 Sektoren — darunter Energie, Gesundheit, digitale Infrastruktur, Verkehr, Wasser, Lebensmittel, Post, Maschinenbau, Elektronik und IT-Dienstleister. Wichtigster Schwellenwert: mehr als 50 Beschäftigte ODER mehr als 10 Millionen Euro Jahresumsatz. Im Zweifel: prüfen lassen, der Bußgeld-Rahmen liegt bei bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Wie oft sollte ein Penetrationstest durchgeführt werden?
Mindestens einmal jährlich, plus nach jeder wesentlichen Architekturänderung (neue Cloud-Migration, neue Anwendung im Produktiv-Betrieb, neue API-Integration). Für regulierte Branchen oder DSGVO-kritische Workloads empfehlen wir kontinuierliche Validierung statt Jahres-Snapshot.
Was ist der Unterschied zwischen Pentest, Vulnerability-Scan und Red-Team?
Vulnerability-Scanner finden bekannte Schwachstellen automatisiert. Pentests sind menschen-geführte Audits, die auch Logic-Flaws, Privilege-Escalation-Ketten und Business-Impact bewerten. Red-Team-Engagements simulieren einen echten Angreifer mit Social Engineering, physischem Zugang und Wochen-Persistenz — sie messen die Reaktion Ihres Teams, nicht nur die Lücken.
Was ist Reepa Security?
Reepa Security ist unsere eigene Audit-Plattform, die wir seit über zwei Jahren entwickeln. Sie führt kontinuierliche Penetration-Tests, Compliance-Checks und Schwachstellen-Validierung gegen Ihre Infrastruktur durch — als Desktop-Anwendung mit Auto-Update und Remote-Remediation. Sie ersetzt das Modell „einmal im Jahr externes Audit, danach 11 Monate blind“ durch monatliche Re-Validierung.
Brauchen wir ISO 27001 vor NIS2?
Nein — die beiden überschneiden sich, sind aber nicht voneinander abhängig. ISO 27001 ist ein freiwilliges Management-System mit Zertifikat, NIS2 ist eine gesetzliche Pflicht mit Behörden-Aufsicht. Eine ISO-27001-Zertifizierung erleichtert die NIS2-Umsetzung erheblich, ist aber kein direkter Ersatz für die NIS2-spezifischen Meldepflichten und technischen Mindestmaßnahmen.
Sind unsere Daten während eines Pentests gefährdet?
Bei einem professionell durchgeführten Audit: nein. Vor dem Test definieren wir einen schriftlichen Scope (welche Systeme, welche Zeitfenster, welche Methoden) und eine Engagement Rules of Conduct. Destruktive Tests laufen in Staging-Umgebungen, in Produktion nur lesende Verifikation. Alle Befunde werden verschlüsselt übertragen, Reports werden bei uns nach Abschluss kryptographisch vernichtet.
Was passiert, wenn ein Audit eine kritische Lücke findet?
Kritische Befunde melden wir sofort, nicht erst im Abschluss-Report. Wir stellen einen Soforthilfe-Patch-Vorschlag bereit und unterstützen bei der Umsetzung. Falls die Lücke bereits ausgenutzt wurde, eskalieren wir in den Incident-Response-Modus — Forensik, Containment, Behörden-Meldung (NIS2/DSGVO innerhalb 24 bzw. 72 Stunden).
Wie wählen wir einen seriösen Pentest-Anbieter aus?
Auf vier Kriterien achten: nachweisbare Zertifizierungen der Tester (OSCP, OSCE, GPEN, CRTO), versicherte Berufshaftpflicht über mindestens 5 Millionen Euro, transparente Methodik (PTES/OSSTMM-Referenzen im Angebot), und ein Beispiel-Report. Wer Ihnen keinen anonymisierten Beispiel-Report zeigt, hat keinen.
Was ist mit unserer Cyber-Versicherung — deckt die das ab?
Die meisten Cyber-Policen seit 2024 verlangen aktiv den Nachweis grundlegender Schutzmaßnahmen: MFA überall, EDR auf Endgeräten, dokumentierter Patch-Prozess, regelmäßige Backups mit Restore-Tests, jährliche Pentests. Ohne diese Nachweise verweigern Versicherer im Schadensfall die Leistung. Wir helfen, die geforderten Nachweise konsolidiert zu liefern.
Vertiefende Artikel & Cases
Diese Pillar deckt den Überblick ab — für die operative Tiefe verweisen wir auf die spezialisierten Artikel pro Themenbereich. Jeder Artikel ist eigenständig nutzbar und greift wieder auf diesen Cybersecurity-Guide zurück.
Penetrationstest Ablauf — Schritt für Schritt
Pre-Engagement bis Reporting: die sieben PTES-Phasen im Detail, mit echten Zeit-Schätzungen.
Pentest Kosten — Was zahlt man 2026?
Konkrete Preis-Ranges pro Pentest-Typ, Faktoren und worauf Sie im Angebot achten müssen.
NIS2-Richtlinie für den Mittelstand
Wer ist betroffen, welche Maßnahmen sind Pflicht, welche Fristen gelten?
DSGVO IT-Sicherheits-Checkliste
Artikel 32 TOM in praktische Maßnahmen übersetzt — als Selbst-Check.
ISO 27001 — Kosten, Aufwand, Mehrwert
Realistische Zeit- und Budget-Planung für die Erst-Zertifizierung im Mittelstand.
OWASP Top 10 (2025) erklärt
Die 10 häufigsten Webapp-Schwachstellen mit Code-Beispielen und Abwehr-Patterns.
Red-Team vs Pentest — Was passt zu wem?
Entscheidungs-Matrix für die Auswahl der richtigen Audit-Tiefe.
Active Directory härten
Die 12 wichtigsten Maßnahmen gegen Kerberoasting, ADCS-Misuse, NTLM-Relay.
Cloud-Security AWS-Checkliste
Die 20 Misconfiguration-Klassiker, die wir bei Audits am häufigsten finden.
Phishing-Simulation für Mitarbeiter
Wie Sie eine wirksame, DSGVO-konforme Phishing-Übung im Unternehmen aufsetzen.
Incident-Response-Plan — Vorlage
Sechs-Phasen-Playbook mit konkreten Checklisten und Eskalations-Templates.
Vulnerability-Management-Tools
Tenable, Qualys, Rapid7, OpenVAS, Reepa Security — der ehrliche Vergleich.
Bug-Bounty vs Pentest
Wann lohnt sich ein Bounty-Programm, wann der klassische Pentest?
Social-Engineering-Pentest
Vishing, Phishing, Pretexting — wie wir die menschliche Firewall testen.
SIEM-Lösungen für den Mittelstand
Splunk, Sentinel, Elastic, Wazuh, MISP — Stärken und Schwächen im Vergleich.
Aus unseren Projekten
Kundenportal — Härtung & Audit
Ein Self-Service-Portal für 500 Geschäftskunden, vor Go-Live einem vollständigen Web- und API-Pentest unterzogen.
Infracorp Global — DSGVO-Compliance
Internationale Infrastruktur-Firma mit Multi-Region-Setup, vollständige DSGVO- und Daten-Residenz-Prüfung.
Cloud-Migration mit Hardening
SaaS-Anbieter von dediziertem Server in AWS migriert, inkl. Security-Hardening und CSPM-Baseline.
Bereit für den ersten Schritt?
Vereinbaren Sie ein kostenloses 30-Minuten-Gespräch zur Standortbestimmung Ihrer Cybersecurity-Lage. Anschließend wissen Sie, ob Sie ein Audit, eine NIS2-Vorbereitung oder kontinuierliches Monitoring benötigen — oder ob Ihre Baseline bereits stabil ist.
Beratungs-Termin sichern
IT-Sicherheits- und Cloud-Architekt mit über zehn Jahren Erfahrung. Entwickelt mit seinem Team Reepa Security, eine offensive Audit-Plattform für den Mittelstand. Schreibt regelmäßig über DSGVO, NIS2, Cloud-Security und Pentest-Methodik.
Geprüft am: 22. Mai 2026 · Mehr über Hakan