Pentest oder Vulnerability Scan? Der entscheidende Unterschied
Warum automatisierte Scans einen professionellen Penetration Test nicht ersetzen – und woran Sie einen echten Pentest im Angebot erkennen.
Die kurze Antwort
Ein Vulnerability Scan listet bekannte Schwachstellen auf. Ein Penetration Test beweist durch Exploitation, welche davon in Ihrer spezifischen Umgebung tatsächlich ausnutzbar sind, welche Pfade sie zur Kronjuwelen-Daten öffnen und welche Controls greifen. Beides ist nützlich – aber nicht austauschbar. Wer «Pentest» kauft und einen Scan bekommt, hat das falsche Produkt erhalten.
Die gängigen Pentest-Arten
Externer Perimeter Pentest
Der Test aller öffentlich erreichbaren Dienste Ihres Unternehmens: Firewalls, VPN-Gateways, Web-Server, Mail-Server, RDP-Gateways. Inklusive OSINT-Phase (was kann ein Angreifer über Sie öffentlich herausfinden) und aktiver Exploitation bei identifizierten Schwachstellen.
Web-Application Pentest
Tiefe Prüfung einer konkreten Web-Anwendung – typischerweise eines Kundenportals, E-Commerce-Shops oder einer internen Applikation, die extern erreichbar ist. Gegen OWASP Top 10, Authentisierungs-Flaws, Session Management, Business Logic.
Interner Pentest / Assumed Breach
Simuliert den Angreifer, der bereits im internen Netz sitzt – z.B. durch einen erfolgreichen Phishing-Angriff oder einen kompromittierten Lieferanten. Ziel: Active Directory kompromittieren, Daten exfiltrieren, laterale Bewegung zeigen. Die meisten KMU lernen hier am meisten, weil interne Härtung meist schwächer ist als extern sichtbar.
Red Teaming
Realitätsnahe, mehrwöchige Operation mit dem Ziel, definierte Schutzgüter zu erreichen – ohne Einschränkungen bei Angriffsvektor (Phishing, Social Engineering, Physical Access). Inklusive Blue-Team-Interaktion und Detection-Response-Übung.
Nur sinnvoll ab einem gewissen Reifegrad – wenn Sie noch keine SIEM-Lösung haben, holen Sie erst das auf. Sonst finden Sie Ihre Lücken im Inventory, nicht Ihre Fähigkeit, Angriffe zu erkennen.
Was in einem seriösen Pentest-Angebot enthalten sein muss
Folgendes gehört zu jedem ernsthaften Pentest-Angebot:
- Scoping-Workshop vor dem Test, schriftliches Testkonzept
- Manuelle Analyse durch einen Menschen mit OSCP-, OSEP-, OSWE- oder vergleichbarer Zertifizierung
- Exploitation – ein echter Pentester weist Schwachstellen nach, zeigt nicht nur theoretische CVEs
- Dokumentation mit Executive Summary (1–2 Seiten für den Vorstand), technischem Detail-Report (für die IT) und Handlungsempfehlungen mit CVSS-Priorisierung
- Abschlussgespräch inklusive Fragen der IT
- Nachtestung der als «Critical» und «High» klassifizierten Findings (im Umfang oder als Option für später)
Rote Flaggen im Angebot
Wenn ein Angebot eines der folgenden Merkmale hat, ist es kein professioneller Pentest:
- Angebot ohne Personentage-Angabe: Der Anbieter hat kein klares Scoping gemacht.
- «Automatisiertes Testing» als Hauptmethode: Das ist ein Vulnerability Scan, nicht ein Pentest.
- Sofort lieferbar binnen einer Woche: Qualifizierte Pentester sind 6–10 Wochen ausgebucht. Sofortverfügbarkeit ist ein Indiz für unerfahrenes Personal oder automatisiertes Scanning.
- Bericht als PowerPoint statt PDF mit strukturiertem Layout: kann auf fehlende Standardisierung und schwache Dokumentation hindeuten.
- Keine Referenz-Pentests in Ihrer Branche oder Grössenordnung.
Wie Sie Offerten fair vergleichen
Drei Kennzahlen sollten bei jedem Angebot transparent sein:
- Personentage pro Phase (Scoping, Execution, Reporting, Nachtestung)
- Seniorität und Zertifizierungen des zugeteilten Testers
- Fixer Abgabe-Zeitraum des Reports nach Testende
Ein Angebot mit 10 Tagen eines Seniors ist selten vergleichbar mit einem Angebot mit 12 Tagen eines Junior-Testers – Sie zahlen möglicherweise weniger, bekommen aber auch weniger Tiefe. Der erfahrene Tester bringt oft vertraute Referenzen aus Ihrer Branche mit und findet Business-Logic-Flaws, die automatisierte Tools nie sehen.
Was hat das mit Compliance zu tun?
ISO 27001:2022 fordert in Kontrolle 8.29 explizit «regelmässige Tests der Sicherheit». FINMA-Rundschreiben 2023/1 fordert von Finanzdienstleistern Penetrations- und Stresstests. Cyberversicherungen verlangen zunehmend einen aktuellen Pentest-Bericht bei Abschluss oder Erneuerung. NIS2 und DORA (EU) machen Penetrationstests zum expliziten Bestandteil des Risikomanagements.
Für Schweizer KMU ohne diese regulatorischen Treiber ist ein Pentest trotzdem eine der messbarsten Cybersecurity-Massnahmen: Sie bekommen ein dokumentiertes Before/After – mit konkreten, priorisierten Handlungsanweisungen für die nächsten Monate.
Unsere Empfehlung
- KMU mit geringer regulatorischer Exposition: ein externer Perimeter-Pentest alle 12–18 Monate deckt den grössten Hebel ab.
- KMU mit kundenrelevanter Web-Applikation: zusätzlich ein Web-App-Pentest und ein interner Assumed-Breach-Test im 24-Monats-Zyklus.
- Unternehmen mit Kundendaten oder sensiblen Branchendaten: jährlich ein externer Pentest plus ein Web-App-Test, plus in 24-Monats-Takt ein interner.
- Grosskunden / Finanzdienstleister unter FINMA / Unternehmen mit IP-Schutzbedarf: zusätzlich alle 24 Monate ein Red Teaming – aber erst, wenn SOC und Awareness bereits etabliert sind.
Ein Pentest ist kein Jahresabschluss – er ist ein Werkzeug, um konkrete, priorisierte Handlungsanweisungen für die nächsten Monate zu bekommen. Ein guter Bericht verändert Ihre Security-Roadmap. Ein schlechter verschwindet in einem Ordner.
Nach einem kurzen Scoping-Gespräch erhalten Sie eine verbindliche Offerte – mit klar ausgewiesenen Personentagen und Senioritäts-Profil des zugeteilten Testers.
Hat dich das Thema angesprochen?
Wir sprechen gerne in einem 30-minütigen, unverbindlichen Gespräch über eure konkrete Situation.