Braucht mein Unternehmen einen Penetrationstest? 5 klare Kriterien

Q: Was ist ein Penetrationstest?

Ab CHF 5'000 kostet ein Pentest. Ob Sie einen brauchen, hängt von 5 Faktoren ab: FINMA, ISO 27001, Kundendaten, Remote-Zugriff und Branche. Hier ist die ehrliche Antwort. Im Abschnitt "Was ist ein Penetrationstest?" erläutern wir die wichtigsten Aspekte für IT- und Tech-Dienstleistungen in der Schweiz. Der vollständige Leitfaden bietet detaillierte Informationen zu Kosten, Qualitätskriterien und Auswahlprozessen.

Q: Wann ein Pentest zwingend ist

Ab CHF 5'000 kostet ein Pentest. Ob Sie einen brauchen, hängt von 5 Faktoren ab: FINMA, ISO 27001, Kundendaten, Remote-Zugriff und Branche. Hier ist die ehrliche Antwort. Im Abschnitt "Wann ein Pentest zwingend ist" erläutern wir die wichtigsten Aspekte für IT- und Tech-Dienstleistungen in der Schweiz. Der vollständige Leitfaden bietet detaillierte Informationen zu Kosten, Qualitätskriterien und Auswahlprozessen.

Q: Wann ein Pentest sinnvoll ist (aber nicht zwingend)

Ab CHF 5'000 kostet ein Pentest. Ob Sie einen brauchen, hängt von 5 Faktoren ab: FINMA, ISO 27001, Kundendaten, Remote-Zugriff und Branche. Hier ist die ehrliche Antwort. Im Abschnitt "Wann ein Pentest sinnvoll ist (aber nicht zwingend)" erläutern wir die wichtigsten Aspekte für IT- und Tech-Dienstleistungen in der Schweiz. Der vollständige Leitfaden bietet detaillierte Informationen zu Kosten, Qualitätskriterien und Auswahlprozessen.

Q: Wann ein Pentest (noch) nicht nötig ist

Ab CHF 5'000 kostet ein Pentest. Ob Sie einen brauchen, hängt von 5 Faktoren ab: FINMA, ISO 27001, Kundendaten, Remote-Zugriff und Branche. Hier ist die ehrliche Antwort. Im Abschnitt "Wann ein Pentest (noch) nicht nötig ist" erläutern wir die wichtigsten Aspekte für IT- und Tech-Dienstleistungen in der Schweiz. Der vollständige Leitfaden bietet detaillierte Informationen zu Kosten, Qualitätskriterien und Auswahlprozessen.

Q: Wie oft Pentests machen?

Ab CHF 5'000 kostet ein Pentest. Ob Sie einen brauchen, hängt von 5 Faktoren ab: FINMA, ISO 27001, Kundendaten, Remote-Zugriff und Branche. Hier ist die ehrliche Antwort. Im Abschnitt "Wie oft Pentests machen?" erläutern wir die wichtigsten Aspekte für IT- und Tech-Dienstleistungen in der Schweiz. Der vollständige Leitfaden bietet detaillierte Informationen zu Kosten, Qualitätskriterien und Auswahlprozessen.

Ihr Unternehmen verarbeitet sensible Daten, doch lohnt sich ein Penetrationstest wirklich? Ein Penetrationstest ist zwingend nötig, wenn regulatorische Pflichten bestehen (FINMA, PCI DSS, ISO 27001), sensible Daten verarbeitet werden oder ein grosser Launch bevorsteht. In allen anderen Fällen bieten Vulnerability Scans eine kostengünstige Alternative. Ein Pentest kostet CHF 15’000-50’000, und die Notwendigkeit ist nicht immer klar — dieser Artikel hilft bei der Entscheidung.

Was ist ein Penetrationstest?

Ein Penetrationstest ist ein kontrollierter, simulierter Cyberangriff auf Ihre IT-Systeme, durchgeführt von zertifizierten Sicherheitsexperten. Im Gegensatz zu Vulnerability Scans (automatisiert), Security Audits (Prozesse/Policies) oder Red Team Assessments (umfassend inkl. Social Engineering).

Ablauf: Planung (1-2 Wochen), Reconnaissance: Exploitation; Reporting (mit Priorisierung) und optionaler Re-Test. Dauer: 1-4 Wochen.

Praxisbeispiel: RedTeam Partners in Zürich zeigt, wie CREST-zertifizierte Offensive-Security-Spezialisten strukturierte Penetrationstests und Red Team Assessments für Schweizer Unternehmen durchführen. Als einer der wenigen CREST-akkreditierten Anbieter in der Schweiz setzen sie den Massstab für methodisch fundierte Sicherheitstests. Alpine Excellence Tech Siegel.

Wann ein Pentest zwingend ist

In regulierten Branchen und bei kritischer Infrastruktur sind Penetrationstests keine Option, sondern Pflicht. Gemäss dem Bundesamt für Cybersicherheit (BACS) sollten zudem alle Unternehmen mit öffentlich erreichbaren Webanwendungen regelmässig testen lassen.

1. Regulatorische Anforderungen

FINMA (Finanzsektor): Jährliche Pentests für kritische Systeme gemäss FINMA-Rundschreiben 2023/1. Kosten: CHF 30’000-80’000/Jahr.

Gesundheitswesen: EPD-Anforderungen, ISO 27001 oft erforderlich. Pentest bei Go-Live und nach grösseren Updates.

Kritische Infrastruktur: Bundesgesetz über Informationssicherheit (ISG), regelmässige Tests verpflichtend.

PCI DSS: Jährlicher Pentest + nach signifikanten Änderungen. Von PCI-zertifizierten Testern. Kosten: CHF 15’000-40’000.

ISO 27001: Regelmässige Vulnerability Assessments, Pentests für kritische Systeme empfohlen.

2. Vor grossen Launches

Neue Web-Plattform mit sensiblen Daten (Banking, Gesundheitsportale, B2B)
Mobile Apps mit Payment-Funktion
API-Launch für Partner
Cloud-Migration

3. Nach Sicherheitsvorfällen

Weitere Schwachstellen finden, Ausmass verstehen, Vertrauen wiederherstellen.

Wann ein Pentest sinnvoll ist (aber nicht zwingend)

Hohe Reputationsrisiken: Pentest CHF 20’000-40’000 vs. Reputationsschaden bei Breach
Vor Investitionsrunden: Due Diligence, 2-3 Monate vor Fundraise
B2B-Kunden verlangen es: Teil des Vendor-Assessments, ohne Pentest kein Auftrag
Nach grösseren Änderungen: Neue Features, Architektur-Änderungen. Mini-Pentest: CHF 8’000-15’000

Wann ein Pentest (noch) nicht nötig ist

Sehr frühe Startups: MVP-Phase, wenige Nutzer. Stattdessen: Vulnerability Scans
Rein interne Tools ohne externe Anbindung und sensitive Daten
Statische Websites ohne Datenverarbeitung, Login oder Zahlungen
100% Managed Cloud ohne eigenen Code (aber Anwendungsebene prüfen!)

Arten von Pentests

Typ	Beschreibung	Kosten
Black Box	Keine Infos, simuliert externen Angreifer	CHF 20’000-50’000
White Box	Voller Zugriff auf Code/Docs	CHF 15’000-35’000
Grey Box	Teilweise Infos (z.B. User-Account)	CHF 18’000-40’000
Focused	Nur spezifische Teile	CHF 8’000-20’000

Wie oft Pentests machen?

Finanz/Gesundheit/Kritische Infra: Jährlich + nach grossen Änderungen SaaS/E-Commerce/B2B: Jährlich oder alle 18 Monate Startups/KMU ohne Regulierung: Alle 2-3 Jahre oder bei Bedarf (Fundraise, Launch, Wachstumssprung)

Zusätzlich: Laufende Vulnerability Scans (CHF 500-2’000/Monat) finden neue CVEs sofort.

Alternativen für kleinere Budgets

Automated Vulnerability Scanning: OWASP ZAP (gratis), Burp Suite (CHF 400/Jahr), Nessus (CHF 2’500/Jahr). Findet bekannte Schwachstellen, aber keine Business-Logic-Flaws.

Bug Bounty Plattformen: HackerOne, Bugcrowd, Intigriti. Pay-per-vulnerability, laufend, aber Koordinationsaufwand.

Security Code Review: CHF 5’000-15’000, findet Design-Flaws, günstiger als Full Pentest.

Hybrid-Ansatz (Empfehlung):

Jahr 1: Full Pentest (CHF 20’000) + Vulnerability Scanning Setup
Jahr 2-3: Laufende Scans + Focused Re-Test bei Änderungen
Jahr 4: Full Pentest wieder
Pro Jahr: ca. CHF 20’000-30’000

Checkliste: Brauche ich einen Pentest?

Zwingend JA

Sehr empfohlen

Noch nicht nötig

MVP-Phase
Statische Website
Rein internes Tool
Weniger als 100 Nutzer, keine sensiblen Daten

Wann sich die Investition lohnt

Wenn Sie regulatorische Verpflichtungen haben, sensible Daten verarbeiten, einen grossen Launch planen oder B2B-Kunden einen Pentest verlangen, also lohnt sich die Investition immer. Für limitiertes Budget: Hybrid-Ansatz mit Full Pentest alle 3-4 Jahre und laufenden Vulnerability Scans. Wenn Sie unsicher sind, ob ein Pentest für Ihre Situation sinnvoll ist, bietet RedTeam Partners eine kostenlose Bedrohungsanalyse an, die als Entscheidungsgrundlage dienen kann.

Transparenz-Hinweis: Alpine Excellence listet ausschliesslich geprüfte Anbieter. Wenn in diesem Artikel Seal-Inhaber erwähnt werden, dient dies der konkreten Illustration von Qualitätsstandards, nicht der Werbung.