Marktübersicht von Penetration Testing Anbietern in Deutschland

Einführung

Diese Seite enthält eine Auswahl von Anbietern für Penetration Tests in Deutschland. Die aufgeführten Pentest-Dienstleister decken unterschiedliche Bereiche der offensiven IT-Sicherheit ab, darunter Penetration Testing, Red Teaming und spezialisierte technische Analysen.

Die Liste dient als Einstiegspunkt zur Identifikation relevanter Anbieter und zur weiterführenden Bewertung anhand individueller Anforderungen.

Einordnung

Der Markt für Penetration Testing in Deutschland ist heterogen und hat sich in den letzten Jahren deutlich verändert. Während vor 10–20 Jahren nur eine begrenzte Anzahl spezialisierter Pentest Anbieter existierte, ist die Anzahl der Dienstleister insbesondere seit der COVID-19-Pandemie stark gestiegen.

Mit der zunehmenden Anzahl an Penetrationstest-Anbietern hat sich auch die Bandbreite der Qualität erweitert. Neben etablierten Anbietern mit technischer Tiefe sind vermehrt Dienstleister im Markt, deren Leistungen sich auf standardisierte oder stark toolbasierte Prüfungen beschränken.

Es lassen sich mehrere Gruppen unterscheiden:

• Große Beratungsunternehmen mit Fokus auf standardisierte Verfahren und regulatorische Anforderungen
• Spezialisierte Sicherheitsdienstleister mit strukturierter Methodik und technischer Tiefe
• Boutique-Anbieter mit Fokus auf manuelle Analysen, Exploit Development und Red Teaming

Die Unterschiede liegen primär in Methodik, technischer Tiefe und Zielsetzung der Tests.

Penetration Testing ist kein regulierter Markt. Die Bewertung und Auswahl geeigneter Anbieter für Professionelle Penetrationstests ist entsprechend nicht trivial. Zusätzlich ist zu beobachten, dass klassische IT-Dienstleister und Systemhäuser Schwachstellen-Scans oder automatisierte Prüfungen als vollständige Penetration Tests anbieten, obwohl diese methodisch und inhaltlich deutlich eingeschränkt sind.

Einige Anbieter positionieren sich bewusst mit einem Fokus auf manuelle Analysen und realitätsnahe Angriffssimulationen. Dazu zählen unter anderem binsec, Hackeroo, secuvera und Exfilion.

Auswahlkriterien

Die Auswahl eines Anbieters hängt maßgeblich vom konkreten Einsatzszenario ab:

• Ziel des Tests (Compliance vs. Angriffssimulation)
• Technische Tiefe (automatisiert vs. manuell)
• Umfang (isolierte Systeme vs. komplexe Infrastrukturen)
• Fachliche Spezialisierung (z. B. Web, Active Directory, Cloud)
• Erfahrung am Markt sowie Seniorität der eingesetzten Tester
• Angebot von Nachtests, idealerweise ohne zusätzliche Kosten
• Durchführung der Leistungen ohne Unterauftragsvergabe ins Ausland
• Technisch relevante Zertifizierungen (z. B. OSCP, OSCE, CRTO, OSEP, BACPP), weniger aussagekräftig sind breit angelegte Zertifikate wie CISSP

Die Detailseiten der Anbieter enthalten weiterführende Informationen zur jeweiligen Ausrichtung.

Anmerkung

Die folgenden Anbieter sind als Ausgangspunkt für eine weitere Bewertung zu verstehen. Die Liste erhebt keinen Anspruch darauf vollständig zu sein. Es können weitere Anbieter existieren, die hier nicht aufgeführt sind.