Penetrationstest-Anbieter: Die Tricks der Branche

Seit mittlerweile 13 Jahren führe ich ein Pentesting-Unternehmen. Ich habe den Markt von der Pike auf miterlebt – angefangen damals mit der binsec – binary security UG (haftungsbeschränkt) bis hin zur heutigen binsec group GmbH. In über einem Jahrzehnt an der vordersten Front sieht man so ziemlich alles: grandiose technische Durchbrüche, extrem komplexe Infrastrukturen und leider auch die zunehmende Professionalisierung von absolutem Bullshit-Marketing.

Wer heute nach einem Anbieter für einen Penetrationstest (Pentest) sucht, betritt ein Minenfeld aus Buzzwords, Hochglanz-Broschüren und Vertriebs-Versprechen. Cybersicherheit ist ein boomendes Geschäft, und wo viel Geld fließt, ziehen die Händler von Schlangenöl bekanntlich schnell nach.

Viele Unternehmen wiegen sich nach einem eingekauften Pentest in falscher Sicherheit. Sie glauben, ihre Infrastruktur sei geprüft, dabei haben sie nur viel Geld für heiße Luft bezahlt. Schauen wir uns die sieben dreistesten Tricks an, sortiert nach dem typischen Ablauf einer Auftragsvergabe, und wie man sie durchschaut.

Trick 1: Die Content-Fabrik (Blackhat-SEO, PBNs und KI-Müll)

Der Trick setzt an, noch bevor Sie überhaupt den ersten Kontakt haben: bei Ihrer Suche auf Google. Man denkt sich automatisch: „Wer bei Google ganz oben steht, muss wohl die führende Expertenbude sein.“ Ein fataler Trugschluss.

Was wirklich passiert:

Viele Agenturen stecken deutlich mehr Budget in aggressives Suchmaschinen-Marketing als in die Weiterbildung ihrer Techniker. Statt echter Fachexpertise regiert hier die SEO-Abteilung. Um die Sichtbarkeit künstlich nach oben zu treiben, greifen manche Anbieter tief in die Blackhat-Trickkiste. Sie betreiben im Hintergrund Private Blog Networks (PBNs), also Netzwerke aus dutzenden scheinbar unabhängigen Websites, die sich gegenseitig verlinken, um den Google-Algorithmus auszutricksen. Die Blogs dieser Firmen quellen über vor belanglosen, KI-generierten Phrasen-Texten („Die 10 besten Cyber-Tipps“), die nie ein Pentester aus der Nähe gesehen hat.

Klartext: Gutes Pentesting ist Handarbeit. Ein echter Hacker schreibt keine SEO-optimierten Textwüsten für das Google-Ranking. Schauen Sie lieber hin, ob die Firma echte, tiefgehende technische Analysen (Write-Ups) oder eigene Open-Source-Tools veröffentlicht. Das zeigt echte Kompetenz.

Trick 2: Die „Geheimagenten“-Referenzen (Das NDA-Versteckspiel)

Sie haben den Anbieter gefunden und fragen im Erstgespräch nach Referenzen, um zu sehen, ob die Firma überhaupt schon mal ein System aus Ihrer Liga von innen gesehen hat. Die Antwort des Vertrieblers kommt prompt mit staatstragender Miene: „Wir arbeiten für DAX-Konzerne, Landesbanken und Bundesbehörden. Sie verstehen sicher, dass wir aufgrund strenger Geheimhaltungsvereinbarungen (NDAs) absolut keine Namen nennen dürfen.“

Was wirklich passiert:

Natürlich sind NDAs in der IT-Sicherheit Standard. Kein Unternehmen hängt gerne an die große Glocke, wer die eigenen Schwachstellen kennt. Aber das totale Verbot, irgendetwas zu sagen, ist oft eine bequeme Nebelkerze. Dahinter verstecken sich gerne Agenturen, die entweder überhaupt keine namhaften Kunden vorzuweisen haben oder deren „Projekt“ beim DAX-Konzern lediglich daraus bestand, die Laptops von drei Praktikanten zu scannen.

Klartext: Seriöse Anbieter haben immer Kunden, die bereit sind, als anonymisierte Referenz aufzutreten. Wer sich komplett hinter dem NDA-Argument verschanzt, hat meistens schlicht nichts Relevantes vorzuweisen.

Trick 3: Das „Zertifizierungs-Bingo“ (Lametta ohne Leistung)

Wenn die technischen Argumente im Gespräch ausgehen, wird das digitale Lametta ausgepackt. Auf der Website und in den Folien des Anbieters prangt eine bunte Wand aus Logos, Zertifikaten, ISO-Stempeln und kryptischen Abkürzungen.

Was wirklich passiert:

Man blendet Sie mit Zertifikaten, die entweder absolut nichts über die praktische Hacking-Kompetenz aussagen oder schlicht am Thema vorbeigehen. Bestes Beispiel ist der ISO-27001-Bluff: Ein Unternehmen mit diesem Stempel hat bewiesen, dass es funktionierende Prozesse und sauber dokumentierte Excel-Listen hat. Über die handwerkliche Fähigkeit, eine komplexe Sicherheitslücke in Ihrer Web-Applikation zu finden, sagt das exakt gar nichts. Ähnlich verhält es sich mit reinen Theorie-Riesen wie dem CISSP oder CISM. Diese sind großartig für Manager, aber wenn Ihnen der Anbieter einen CISSP als ausführenden Pentester verkauft, schicken Sie einen Theoretiker in den Schützengraben.

Klartext: Ein Zertifikat ist nur so viel wert wie die praktische Prüfung, die dahintersteht. Fragen Sie gezielt nach den praktischen Zertifizierungen der konkreten Mitarbeiter (z. B. aus dem Hause OffSec wie OSCP/OSEP), bei denen man unter massivem Zeitdruck echte Server hacken muss. Ja, selbst die sagen nicht so viel aus, aber es ist zumindest ein erster guter Filter.

Trick 4: Der „Köder-Senior“ (Oben unterschreiben, unten ausbaden)

Das Angebot liegt vor. Im Pitch und beim Scoping-Call saß Ihnen die absolute Elite des Anbieters gegenüber: Ein erfahrener Senior-Pentester mit jahrelanger Projekterfahrung, der Ihre Fragen brillant beantwortet hat und im Angebot namentlich als Projektleiter aufgeführt wird. Der Tagessatz spiegelt diese Expertise natürlich wider.

Was wirklich passiert:

Sobald die Tinte auf dem Vertrag trocken ist, wandert Ihr Projekt in ein Ticket-System und der Senior sieht Ihre Systeme höchstens noch auf einem Dashboard. Die eigentliche Arbeit, das manuelle Suchen nach Schwachstellen und das Schreiben des Berichts, wird an einen frisch von der Uni oder der Umschulung kommenden Junior-Consultant delegiert. Dieser arbeitet dann stur eine Checkliste ab, weil ihm das intuitive Gespür für kreative Angriffswege fehlt. Sie bezahlen also den Premium-Tarif für ein Senior-Gehirn, bekommen aber die Trial-and-Error-Versuche eines Berufseinsteigers.

Klartext: Es ist völlig legitim, dass Junioren in Projekten mitarbeiten, so lernen sie es. Unfair und unprofessionell wird es dann, wenn der Anbieter Ihnen die unerfahrene Arbeitskraft zum vollen Senior-Satz unterjubelt. Bestehen Sie auf eine transparente Aufschlüsselung der Projektstunden pro Mitarbeiterlevel.

Trick 5: Das „Body-Leasing“ über Subunternehmer und Freelancer

Eine Steigerung des Junior-Tricks tritt ein, wenn der Anbieter nicht einmal eigene Leute schickt.

Was wirklich passiert:

Weil das Kernteam des Anbieters chronisch überlastet oder schlicht zu klein ist, wird Ihr Auftrag klammheimlich an einen günstigen Freelancer oder an einen Subunternehmer im Ausland weitergereicht. Am Ende testet ein externer Dritter Ihre kritischsten Systeme, während der Anbieter nur als extrem teure Vermittlungsagentur fungiert. Das ist nicht nur ein massives Qualitätsproblem, sondern oft auch ein datenschutzrechtlicher Albtraum.

Klartext: Ein guter Dienstleister garantiert Ihnen vertraglich, dass keine Unterauftragsvergabe stattfindet und dass die Experten, die fest bei der Firma angestellt sind, auch tatsächlich die Konsole bedienen.

Trick 6: Der umetikettierte Nessus-Scan (Das „Automatisierungs-Wunder“)

Jetzt geht das Projekt los. Der Dienstleister hat Ihnen einen umfassenden „externen und internen Penetrationstest“ verkauft.

Was wirklich passiert:

Der „Experte“ startet ein automatisiertes Vulnerability-Scanning-Tool (wie Nessus, OpenVAS oder Qualys), trinkt drei Tage lang Kaffee und drückt am Ende auf „Bericht generieren“. Dieses dreihundertseitige PDF-Dokument wird dann ungelesen, aber mit einem schicken Firmenlogo versehen, an Sie weitergeleitet. Im Idealfall wird dieser noch in eine eigenen Bericht aufbereitet und zusammen gefasst.

Klartext: Ein automatisierter Schwachstellenscan ist kein Penetrationstest. Scans finden bekannte Versionskonflikte und fehlende Patches. Sie finden keine logischen Fehler in Ihrer Applikation und sie kombinieren keine Schwachstellen, um Rechte zu eskalieren. Wenn der Pentester nicht manuell Hand anlegt, ist der Bericht das Papier nicht wert, auf dem er gedruckt ist.

Trick 7: Die versteckte Kostenfalle „Nachtestung“

Der Test ist vorbei, der Bericht liegt vor. Ihre internen Entwickler oder Admins setzen sich fleißig dran und beheben die Lücken. Nun wollen Sie verständlicherweise wissen: Sind die Fixes wasserdicht? Sie bitten den Dienstleister, noch einmal kurz drüberzuschauen.

Was wirklich passiert:

„Gerne, das macht dann noch einmal 1,5 Personentage laut aktuellem Tagessatz.“ Viele Anbieter nutzen die Nachtestung (das Verifizieren der Behebungen) als kalkuliertes Up-Selling-Instrument. Da Sie den Nachweis für ein Audit oder für Ihre eigenen Kunden dringend brauchen, sitzen Sie in der Klemme und müssen zahlen.

Tipp für den Einkauf: Seriöse Pentest-Anbieter kalkulieren fair. Bei Qualitätsanbietern ist eine zeitnahe Standard-Nachtestung der gefundenen Schwachstellen oft bereits im Festpreis enthalten. Ehrlich gesagt, es ist ohnehin kein nennenswerter Aufwand. Wer hier extra Kasse machen will, hat das Prinzip von nachhaltiger Sicherheit nicht verstanden.

Fazit: Wie Sie Spreu vom Weizen trennen

Lassen Sie sich nicht von SEO-Rankings, Zertifikats-Sammlungen oder geschleckten Vertrieblern blenden. Wenn Sie einen Pentest einkaufen, stellen Sie im Vorfeld diese simplen Fragen:

  1. Wie hoch ist der prozentuale Anteil an manueller Arbeit im Vergleich zu automatisierten Scans?
  2. Welche Referenzen kann das Unternehmen vorweisen?
  3. Schließen Sie eine Unterauftragsvergabe an Freelancer oder Drittfirmen vertraglich aus?
  4. Welche praktischen Zertifikate haben die Leute, die am Ende wirklich in die Tasten hauen?
  5. Ist die Verifikation der Schwachstellenbehebung (Nachtestung) im Preis inbegriffen?

Wer bei diesen Fragen ins Schwimmen gerät oder mit wolkigen Formulierungen antwortet, sucht keinen Einbruchsweg in Ihre Systeme – sondern nur den schnellsten Weg zu Ihrem Budget.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert