Kurz vorweg: Ein Pentest ist keine "Audit-Häkchen-Übung", sondern ein menschengeführter Versuch, in Ihre Systeme einzudringen. Das Ziel: Schwachstellen finden, bevor Kriminelle sie ausnutzen. Für Schweizer KMU ist 2026 ein jährlicher externer Pentest plus alle 2–3 Jahre Internal Pentest realistisch und sinnvoll – Versicherer und ISG-Pflicht setzen das ohnehin voraus.
Welche Pentest-Arten gibt es?
External Network Pentest
CHF 6’000–12’000
Public IPs, Firewall, VPN-Gateway, M365-Endpoints. Findet offene Ports, Misconfigurations, schwache Authentifizierung. Pflicht-Basis für jedes KMU.
Web Application Pentest
CHF 8’000–18’000
Webshop, Kundenportal, Mitarbeiter-Login, API. OWASP Top 10, Authentication Bypass, Logic Flaws. Pflicht für jeden öffentlichen Webdienst.
Internal Network Pentest
CHF 12’000–30’000
Pentester sitzt physisch oder via VPN im Netz, simuliert "der Angreifer ist drin". Ziel: Domain Admin, Datenexfiltration. Findet AD-Probleme, Lateral Movement.
Social Engineering / Phishing
CHF 4’000–10’000
Phishing-Mail-Kampagne, ggf. Vishing (Telefon), seltener Tailgating. Misst Awareness und MFA-Wirksamkeit. Bei Top-Mgmt extra Awareness-Briefing nach Ende.
Red Team Engagement
ab CHF 30’000
Realer Angriffsversuch über mehrere Wochen, kombiniert alle Vektoren. Zielgesteuert ("besorgt euch die F&E-Pläne"). Für Konzerne und High-Risk-Branchen.
Cloud Configuration Review
CHF 5’000–15’000
M365, Azure, AWS, GCP. Misconfigurations (öffentliche S3-Buckets, schwache Conditional Access, fehlende MFA-Pflicht). Stark wachsend in 2026.
Mobile App Pentest
CHF 8’000–20’000
iOS/Android-App, Reverse Engineering, API-Tests. Pflicht für jede App, die Kunden-/Mitarbeiterdaten verarbeitet.
IoT / OT Pentest
individuell
Produktionssteuerung, Building Automation, Medizingeräte. Spezialisten nötig (Compass, Dreamlab haben OT-Teams).
Ablauf eines Pentests in 6 Phasen
Scoping & Vertrag (1–2 Wochen)
Was wird getestet (IP-Bereich, URL, Zeit), wann (Geschäftszeiten oder ausserhalb), wer wird informiert. Letter of Authorization (LoA) wird unterzeichnet.
Reconnaissance (1–3 Tage)
Pentester sammelt öffentlich verfügbare Infos: WHOIS, Subdomains, DNS, LinkedIn, Github, alte Cloud-Buckets, MX-Records.
Scanning & Enumeration (1–3 Tage)
Tools (Nmap, Nessus, Burp Suite, Nuclei) plus manuelle Verifikation. Ziel: alle erreichbaren Services finden, Versionen identifizieren.
Exploitation (3–7 Tage)
Pentester versucht aktiv einzudringen, Privilegien zu eskalieren, Daten zu exfiltrieren. Im Internal Pentest typisch: Domain Admin nach 2–3 Tagen.
Reporting (1–2 Wochen)
Bericht enthält: Executive Summary (für Geschäftsführung), Technische Detailbefunde (für IT), CVSS-Scores, Reproduktionsschritte, Empfehlungen, Quick-Win-Liste.
Re-Test & Debrief (2–4 Wochen nach Behebung)
Nach Behebung der kritischen Findings prüft Pentester die Fixes. Debrief-Workshop mit IT und Geschäftsführung – wichtigster Lerneffekt.
Etablierte Schweizer Pentest-Anbieter
| Anbieter | Standort | Stärke |
|---|---|---|
| Compass Security | Jona, Bern | Etabliert seit 1999, breite Forschung, OT-/ICS-Kompetenz |
| Dreamlab Technologies | Bern | Stark in OT/SCADA, Forschung, eigene Tools |
| InfoGuard | Baar (Zug) | Grössere Mannschaft, MSSP plus Pentest, viele Banken-Kunden |
| Oneconsult | Thalwil, Zug, Bern | KMU-tauglich, Forensik & DFIR, gute Berichte |
| Redguard | Bern, Zürich | Sehr technisch, Red-Team-Engagements, Embedded |
| Scip AG | Zürich | Pioneer, eigenes Forschungs-Lab, Fokus Schweiz |
| Hacknowledge | Lausanne, Genf | Westschweiz-Fokus, MSSP plus offensiv |
| Modzero (Cisco) | Schaffhausen, DE | Tiefes Reverse Engineering, Embedded, mittlerweile Cisco-Tochter |
| ti&m security / Securix | Zürich | Bank-/Industrie-Fokus, Application Security |
Wichtig: bei Web-Apps kann auch ein internationaler Boutique-Anbieter (z.B. NCC Group, Cure53, Trail of Bits) sinnvoll sein. Für Schweizer Compliance-Themen (FINMA, ISG-Meldepflicht) sind Schweizer Anbieter aber fast immer effizienter.
Was unterscheidet seriöse Anbieter?
- Zertifizierte Pentester (OSCP minimum, OSEE, OSCE, CRTP/CRTE/CRTO, GPEN, GXPN). Kein OSCP = kein Pentest, sondern Vuln-Scan.
- Klares Scope und LoA (Letter of Authorization) – damit der Pentester nicht versehentlich strafrechtlich verfolgt wird.
- Berufshaftpflicht-Versicherung mit angemessener Deckung (CHF 5–10 Mio.).
- Methodisch nach OWASP, OSSTMM, NIST SP 800-115 oder PTES – nicht nach Bauchgefühl.
- Bericht mit Executive Summary, technischen Befunden, CVSS-Score, Reproduktionsschritten, klaren Empfehlungen.
- Persönlicher Debrief: Pentester präsentiert Findings vor IT und Geschäftsleitung – nicht nur PDF zuwerfen.
- Re-Test im Preis enthalten oder transparent ausgewiesen.
- Unabhängigkeit: Pentest-Anbieter sollte nicht selbst die IT betreuen, die er testet (Conflict of Interest).
- Referenzen aus Ihrer Branche (Finanz, Gesundheit, Industrie) – nicht nur Logos auf der Website.
Vor dem Pentest: 80% sind Hausaufgaben
Ein Pentest macht keinen Sinn, wenn die Basis-Hygiene fehlt. Erst wenn folgendes steht, lohnt der Aufwand:
- MFA für alle User aktiviert, ohne Ausnahmen.
- Patch-Stand: kein Server, kein Notebook älter als 30 Tage hinter Microsoft Patch Tuesday.
- EDR (Defender for Business, Bitdefender, SentinelOne) auf allen Geräten.
- Backup mit Off-Site- und Immutable-Kopie, monatlich getestet.
- Inventarisierte Assets: keine "vergessenen" Server, keine Schatten-IT.
- Awareness-Training in den letzten 12 Monaten durchgeführt.
- Konten-Hygiene: keine Karteileichen, dokumentiertes Off-Boarding.
Typische Stolpersteine
- Pentest beim eigenen IT-Dienstleister bestellt: Conflict of Interest. Wer das Netz baut, soll es nicht selbst testen.
- Pentest = Vuln Scan: ein Anbieter, der nur Tools-Output exportiert, ist kein Pentester. CVSS-9-Befunde sind oft False Positives.
- Bericht ohne Reproduktionsschritte: IT kann Findings nicht verifizieren oder lernen. Gute Berichte zeigen jeden Schritt.
- Kein Re-Test eingeplant: Findings werden gefixt, aber niemand verifiziert. Bei 30% bleibt versehentlich eine Lücke offen.
- Findings werden ignoriert: Bericht im Schubladen-Modus. Kritisch ist Plan-of-Action mit Verantwortlichen und Deadlines.
- Pentest während kritischer Geschäftszeit: Live-Tests können (selten) Systeme stören. Window mit IT abstimmen, vorher Backup.
- Falsche Erwartung "Pentest = wir sind sicher": Pentest ist Stichprobe, kein Persilschein. 14 Tage später ist alles wieder anders.
Fazit: Pentest gehört in jedes KMU-Sicherheitsbudget
Für Schweizer KMU 2026 ist ein jährlicher externer Pentest plus alle 24–36 Monate Internal Pentest realistisch und meist im Bereich CHF 8’000–25’000 jährlich machbar – im Verhältnis zur Schadenshöhe einer Kompromittierung (oft 6-stellige Beträge, plus revDSG-Bussen, plus Reputationsschaden) ein günstiger Schutz.
Wer auf Pentests verzichtet, weil "wir sind ja zu klein", ignoriert die Realität: Schweizer KMU sind 2026 das Hauptziel, weil sie weniger gut geschützt sind als Konzerne. Ein dokumentierter Pentest ist auch Voraussetzung für Cyberversicherungen mit relevanter Deckung – und wird bei NIS2- und ISG-Meldepflichten wichtig.
Pentest ausschreiben & vorbereiten
Wir helfen beim Scoping, holen Offerten von 2–3 Schweizer Anbietern ein, prüfen die Methodik und begleiten die Umsetzung der Findings nach dem Bericht.
Beratung anfragen