nexalign

Decision guide · Penetration Testing

Pentest-Anbieter auswählen: TLPT, Red Team, klassisches Pentest

Pentests sind kein homogener Markt. TLPT (DORA Art. 26-27), Red-Team-Operations, Web-App-Pentest, Cloud-Pentest, Hardware-Pentest, Social Engineering und Adversary Simulation sind unterschiedliche Disziplinen mit unterschiedlichen Anbietern. Eine generische 'Pentest-Beschaffung' ist meist falsche Kategorie-Wahl.

TL;DR

Erst Disziplin definieren, dann Anbieter wählen. TLPT braucht TIBER-EU-Erfahrung, Red Team braucht eigene C2-Capability, Web-App braucht OSCP+CRT-Tester.

Who owns this decision

CISO ist Owner. Compliance und Audit im Lenkungskreis bei TLPT.

Key criteria to weight

  • Disziplin-Spezialisierung

    TLPT-Anbieter sind nicht zwingend gute Web-App-Tester und umgekehrt.

  • Tester-Qualifikation (OSCP, OSEP, CRT, GIAC GXPN, GCFA)

    Profilen und Zertifikate sind Mindest-Filter, kein Goldstandard.

  • Methodik (TIBER-EU, NIST 800-115, OWASP WSTG, MITRE ATT&CK)

    Welche Methodik passt zum Mandat? TLPT erfordert TIBER-EU.

  • EU-Hoheit und Daten-Verarbeitung

    Findings dürfen nicht in US-Plattformen abfliessen.

  • Eskalations- und Vertraulichkeits-Pfad

    Bei kritischen Findings muss der Kommunikations-Weg klar sein, vor allem im Red Team.

  • Reporting-Tiefe und Reproduzierbarkeit

    PoC pro Finding, Reproduktions-Schritte, Risiko-Bewertung in Business-Sprache.

Step-by-step decision flow

  1. 1

    Scope und Disziplin

    Was genau soll getestet werden? Web-App, Cloud, internes Netz, AD, Red Team, TLPT?

  2. 2

    Anbieter-Longlist je Disziplin

    TLPT: NCC Group, F-Secure (jetzt WithSecure), KPMG, Deloitte, EY, Mandiant. Web-App/Cloud: Cure53, SySS, secunet, NVISO, Bishop Fox. DACH-Spezialisten: cirosec, ERNW, Compass Security.

  3. 3

    Methodik-Prüfung

    Welche Methodik führt der Anbieter? Welche Tools, welche Reporting-Struktur, welche Re-Test-Klauseln?

  4. 4

    Auftrags-Klauseln

    Vertraulichkeit, Daten-Hoheit, Auftragsverarbeitungsvertrag, Re-Test-Inklusion, Findings-Eigentum.

  5. 5

    Memo, Beauftragung, Test, Reporting

    Decision Memo mit Anbieter-Auswahl plus Mandats-Brief plus Test-Fenster plus Re-Test-Plan.

Compliance note

DORA Art. 24-27 für Digital Operational Resilience Testing inkl. TLPT alle 3 Jahre bei signifikanten Entitäten. NIS2 Art. 21 Buchst. f für Wirksamkeitsprüfung. ISO 27001 A.12.7 (Audit) und A.18.2 (Reviews). BAIT BTO 5 für regelmäßige Sicherheits-Prüfungen.

Common pitfalls

  • !Web-App-Pentest wird beauftragt, aber Red-Team-Use-Case gemeint. Falsche Methodik.
  • !TLPT ohne TIBER-EU-Erfahrung. BaFin akzeptiert das nicht.
  • !Findings landen in US-SaaS-Plattformen ohne EU-AVV.
  • !Re-Test wird nicht im Vertrag fixiert. Späterer Aufpreis.

FAQ

Was ist TLPT genau?

Threat-Led Penetration Testing nach DORA Art. 26-27. Methodisch angelehnt an TIBER-EU der EZB. Threat-Intel-gestützte Angriffsszenarien, Tests in Produktivumgebungen, strenge Trennung von Test und Beauftragten, Reporting an die Aufsicht. Pflicht mindestens alle 3 Jahre für signifikante Finanzunternehmen.

Was kostet ein Pentest?

Web-App-Pentest 8-25 TEUR pro Anwendung. Cloud-Pentest 15-40 TEUR pro Umgebung. Red Team 60-200 TEUR. TLPT 200-700 TEUR plus interne Aufwände. Preise stark abhängig von Scope und Anbieter-Profil.

Wie oft muss man pentesten?

Web-Apps: bei jeder Major-Release, mindestens jährlich. Cloud: jährlich plus nach größeren Änderungen. AD/internes Netz: jährlich. Red Team: alle 1-2 Jahre. TLPT: mindestens alle 3 Jahre für DORA-signifikante Entitäten.

Run this decision in DecisionOS →What is DecisionOS?