{"id":4318,"date":"2026-07-18T21:32:09","date_gmt":"2026-07-18T19:32:09","guid":{"rendered":"https:\/\/security.sauer.ninja\/?p=4318"},"modified":"2026-07-18T21:50:36","modified_gmt":"2026-07-18T19:50:36","slug":"penetrationstest-anbieter-die-tricks-der-branche","status":"publish","type":"post","link":"https:\/\/security.sauer.ninja\/de\/pentesting\/penetrationstest-anbieter-die-tricks-der-branche\/","title":{"rendered":"Penetrationstest-Anbieter: Die Tricks der Branche"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Seit mittlerweile 13 Jahren f\u00fchre ich ein Pentesting-Unternehmen. Ich habe den Markt von der Pike auf miterlebt \u2013 angefangen damals mit der <em>binsec &#8211; binary security UG (haftungsbeschr\u00e4nkt)<\/em> bis hin zur heutigen <em>binsec group<\/em> GmbH. In \u00fcber einem Jahrzehnt an der vordersten Front sieht man so ziemlich alles: grandiose technische Durchbr\u00fcche, extrem komplexe Infrastrukturen und leider auch die zunehmende Professionalisierung von absolutem Bullshit-Marketing.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wer heute nach einem Anbieter f\u00fcr einen Penetrationstest (Pentest) sucht, betritt ein Minenfeld aus Buzzwords, Hochglanz-Brosch\u00fcren und Vertriebs-Versprechen. Cybersicherheit ist ein boomendes Gesch\u00e4ft, und wo viel Geld flie\u00dft, ziehen die H\u00e4ndler von Schlangen\u00f6l bekanntlich schnell nach.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Viele Unternehmen wiegen sich nach einem eingekauften Pentest in falscher Sicherheit. Sie glauben, ihre Infrastruktur sei gepr\u00fcft, dabei haben sie nur viel Geld f\u00fcr hei\u00dfe Luft bezahlt. Schauen wir uns die sieben dreistesten Tricks an, sortiert nach dem typischen Ablauf einer Auftragsvergabe, und wie man sie durchschaut.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Trick 1: Die Content-Fabrik (Blackhat-SEO, PBNs und KI-M\u00fcll)<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der Trick setzt an, noch bevor Sie \u00fcberhaupt den ersten Kontakt haben: bei Ihrer Suche auf Google. Man denkt sich automatisch: <em>\u201eWer bei Google ganz oben steht, muss wohl die f\u00fchrende Expertenbude sein.\u201c<\/em> Ein fataler Trugschluss.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Was wirklich passiert:<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Viele Agenturen stecken deutlich mehr Budget in aggressives Suchmaschinen-Marketing als in die Weiterbildung ihrer Techniker. Statt echter Fachexpertise regiert hier die SEO-Abteilung. Um die Sichtbarkeit k\u00fcnstlich nach oben zu treiben, greifen manche Anbieter tief in die Blackhat-Trickkiste. Sie betreiben im Hintergrund Private Blog Networks (PBNs), also Netzwerke aus dutzenden scheinbar unabh\u00e4ngigen Websites, die sich gegenseitig verlinken, um den Google-Algorithmus auszutricksen. Die Blogs dieser Firmen quellen \u00fcber vor belanglosen, KI-generierten Phrasen-Texten (\u201eDie 10 besten Cyber-Tipps\u201c), die nie ein Pentester aus der N\u00e4he gesehen hat.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\"><strong>Klartext:<\/strong> Gutes Pentesting ist Handarbeit. Ein echter Hacker schreibt keine SEO-optimierten Textw\u00fcsten f\u00fcr das Google-Ranking. Schauen Sie lieber hin, ob die Firma echte, tiefgehende technische Analysen (Write-Ups) oder eigene Open-Source-Tools ver\u00f6ffentlicht. Das zeigt echte Kompetenz.<\/p>\n<\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading\">Trick 2: Die \u201eGeheimagenten\u201c-Referenzen (Das NDA-Versteckspiel)<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Sie haben den Anbieter gefunden und fragen im Erstgespr\u00e4ch nach Referenzen, um zu sehen, ob die Firma \u00fcberhaupt schon mal ein System aus Ihrer Liga von innen gesehen hat. Die Antwort des Vertrieblers kommt prompt mit staatstragender Miene: <em>\u201eWir arbeiten f\u00fcr DAX-Konzerne, Landesbanken und Bundesbeh\u00f6rden. Sie verstehen sicher, dass wir aufgrund strenger Geheimhaltungsvereinbarungen (NDAs) absolut keine Namen nennen d\u00fcrfen.\u201c<\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Was wirklich passiert:<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Nat\u00fcrlich sind NDAs in der IT-Sicherheit Standard. Kein Unternehmen h\u00e4ngt gerne an die gro\u00dfe Glocke, wer die eigenen Schwachstellen kennt. Aber das totale Verbot, <em>irgendetwas<\/em> zu sagen, ist oft eine bequeme Nebelkerze. Dahinter verstecken sich gerne Agenturen, die entweder \u00fcberhaupt keine namhaften Kunden vorzuweisen haben oder deren \u201eProjekt\u201c beim DAX-Konzern lediglich daraus bestand, die Laptops von drei Praktikanten zu scannen.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\"><strong>Klartext:<\/strong> Seri\u00f6se Anbieter haben <em>immer<\/em> Kunden, die bereit sind, als anonymisierte Referenz aufzutreten. Wer sich komplett hinter dem NDA-Argument verschanzt, hat meistens schlicht nichts Relevantes vorzuweisen.<\/p>\n<\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading\">Trick 3: Das \u201eZertifizierungs-Bingo\u201c (Lametta ohne Leistung)<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Wenn die technischen Argumente im Gespr\u00e4ch ausgehen, wird das digitale Lametta ausgepackt. Auf der Website und in den Folien des Anbieters prangt eine bunte Wand aus Logos, Zertifikaten, ISO-Stempeln und kryptischen Abk\u00fcrzungen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Was wirklich passiert:<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Man blendet Sie mit Zertifikaten, die entweder absolut nichts \u00fcber die praktische Hacking-Kompetenz aussagen oder schlicht am Thema vorbeigehen. Bestes Beispiel ist der <strong>ISO-27001-Bluff<\/strong>: Ein Unternehmen mit diesem Stempel hat bewiesen, dass es funktionierende <em>Prozesse<\/em> und sauber dokumentierte Excel-Listen hat. \u00dcber die handwerkliche F\u00e4higkeit, eine komplexe Sicherheitsl\u00fccke in Ihrer Web-Applikation zu finden, sagt das exakt gar nichts. \u00c4hnlich verh\u00e4lt es sich mit reinen Theorie-Riesen wie dem <em>CISSP<\/em> oder <em>CISM<\/em>. Diese sind gro\u00dfartig f\u00fcr Manager, aber wenn Ihnen der Anbieter einen CISSP als ausf\u00fchrenden Pentester verkauft, schicken Sie einen Theoretiker in den Sch\u00fctzengraben.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\"><strong>Klartext:<\/strong> Ein Zertifikat ist nur so viel wert wie die praktische Pr\u00fcfung, die dahintersteht. Fragen Sie gezielt nach den <em>praktischen<\/em> Zertifizierungen der konkreten Mitarbeiter (z. B. aus dem Hause OffSec wie <em>OSCP\/OSEP<\/em>), bei denen man unter massivem Zeitdruck echte Server hacken muss. Ja, selbst die sagen nicht so viel aus, aber es ist zumindest ein erster guter Filter.<\/p>\n<\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading\">Trick 4: Der \u201eK\u00f6der-Senior\u201c (Oben unterschreiben, unten ausbaden)<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Das Angebot liegt vor. Im Pitch und beim Scoping-Call sa\u00df Ihnen die absolute Elite des Anbieters gegen\u00fcber: Ein erfahrener Senior-Pentester mit jahrelanger Projekterfahrung, der Ihre Fragen brillant beantwortet hat und im Angebot namentlich als Projektleiter aufgef\u00fchrt wird. Der Tagessatz spiegelt diese Expertise nat\u00fcrlich wider.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Was wirklich passiert:<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sobald die Tinte auf dem Vertrag trocken ist, wandert Ihr Projekt in ein Ticket-System und der Senior sieht Ihre Systeme h\u00f6chstens noch auf einem Dashboard. Die eigentliche Arbeit, das manuelle Suchen nach Schwachstellen und das Schreiben des Berichts, wird an einen frisch von der Uni oder der Umschulung kommenden Junior-Consultant delegiert. Dieser arbeitet dann stur eine Checkliste ab, weil ihm das intuitive Gesp\u00fcr f\u00fcr kreative Angriffswege fehlt. Sie bezahlen also den Premium-Tarif f\u00fcr ein Senior-Gehirn, bekommen aber die Trial-and-Error-Versuche eines Berufseinsteigers.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\"><strong>Klartext:<\/strong> Es ist v\u00f6llig legitim, dass Junioren in Projekten mitarbeiten, so lernen sie es. Unfair und unprofessionell wird es dann, wenn der Anbieter Ihnen die unerfahrene Arbeitskraft zum vollen Senior-Satz unterjubelt. Bestehen Sie auf eine transparente Aufschl\u00fcsselung der Projektstunden pro Mitarbeiterlevel.<\/p>\n<\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading\">Trick 5: Das \u201eBody-Leasing\u201c \u00fcber Subunternehmer und Freelancer<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Eine Steigerung des Junior-Tricks tritt ein, wenn der Anbieter nicht einmal eigene Leute schickt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Was wirklich passiert:<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Weil das Kernteam des Anbieters chronisch \u00fcberlastet oder schlicht zu klein ist, wird Ihr Auftrag klammheimlich an einen g\u00fcnstigen Freelancer oder an einen Subunternehmer im Ausland weitergereicht. Am Ende testet ein externer Dritter Ihre kritischsten Systeme, w\u00e4hrend der Anbieter nur als extrem teure Vermittlungsagentur fungiert. Das ist nicht nur ein massives Qualit\u00e4tsproblem, sondern oft auch ein datenschutzrechtlicher Albtraum.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\"><strong>Klartext:<\/strong> Ein guter Dienstleister garantiert Ihnen vertraglich, dass <strong>keine Unterauftragsvergabe<\/strong> stattfindet und dass die Experten, die fest bei der Firma angestellt sind, auch tats\u00e4chlich die Konsole bedienen.<\/p>\n<\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading\">Trick 6: Der umetikettierte Nessus-Scan (Das \u201eAutomatisierungs-Wunder\u201c)<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Jetzt geht das Projekt los. Der Dienstleister hat Ihnen einen umfassenden \u201eexternen und internen Penetrationstest\u201c verkauft.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Was wirklich passiert:<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der \u201eExperte\u201c startet ein automatisiertes Vulnerability-Scanning-Tool (wie Nessus, OpenVAS oder Qualys), trinkt drei Tage lang Kaffee und dr\u00fcckt am Ende auf \u201eBericht generieren\u201c. Dieses dreihundertseitige PDF-Dokument wird dann ungelesen, aber mit einem schicken Firmenlogo versehen, an Sie weitergeleitet. Im Idealfall wird dieser noch in eine eigenen Bericht aufbereitet und zusammen gefasst.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\"><strong>Klartext:<\/strong> Ein automatisierter Schwachstellenscan ist kein Penetrationstest. Scans finden bekannte Versionskonflikte und fehlende Patches. Sie finden <em>keine<\/em> logischen Fehler in Ihrer Applikation und sie kombinieren keine Schwachstellen, um Rechte zu eskalieren. Wenn der Pentester nicht manuell Hand anlegt, ist der Bericht das Papier nicht wert, auf dem er gedruckt ist.<\/p>\n<\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading\">Trick 7: Die versteckte Kostenfalle \u201eNachtestung\u201c<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der Test ist vorbei, der Bericht liegt vor. Ihre internen Entwickler oder Admins setzen sich flei\u00dfig dran und beheben die L\u00fccken. Nun wollen Sie verst\u00e4ndlicherweise wissen: Sind die Fixes wasserdicht? Sie bitten den Dienstleister, noch einmal kurz dr\u00fcberzuschauen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Was wirklich passiert:<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u201eGerne, das macht dann noch einmal 1,5 Personentage laut aktuellem Tagessatz.\u201c Viele Anbieter nutzen die Nachtestung (das Verifizieren der Behebungen) als kalkuliertes Up-Selling-Instrument. Da Sie den Nachweis f\u00fcr ein Audit oder f\u00fcr Ihre eigenen Kunden dringend brauchen, sitzen Sie in der Klemme und m\u00fcssen zahlen.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\"><strong>Tipp f\u00fcr den Einkauf:<\/strong> Seri\u00f6se Pentest-Anbieter kalkulieren fair. Bei Qualit\u00e4tsanbietern ist eine zeitnahe Standard-Nachtestung der gefundenen Schwachstellen oft bereits im Festpreis enthalten. Ehrlich gesagt, es ist ohnehin kein nennenswerter Aufwand. Wer hier extra Kasse machen will, hat das Prinzip von nachhaltiger Sicherheit nicht verstanden.<\/p>\n<\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading\">Fazit: Wie Sie Spreu vom Weizen trennen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Lassen Sie sich nicht von SEO-Rankings, Zertifikats-Sammlungen oder geschleckten Vertrieblern blenden. Wenn Sie einen Pentest einkaufen, stellen Sie im Vorfeld diese simplen Fragen:<\/p>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li>Wie hoch ist der prozentuale Anteil an <em>manueller<\/em> Arbeit im Vergleich zu automatisierten Scans?<\/li>\n\n\n\n<li>Welche Referenzen kann das Unternehmen vorweisen?<\/li>\n\n\n\n<li>Schlie\u00dfen Sie eine Unterauftragsvergabe an Freelancer oder Drittfirmen vertraglich aus?<\/li>\n\n\n\n<li>Welche <em>praktischen<\/em> Zertifikate haben die Leute, die am Ende wirklich in die Tasten hauen?<\/li>\n\n\n\n<li>Ist die Verifikation der Schwachstellenbehebung (Nachtestung) im Preis inbegriffen?<\/li>\n<\/ol>\n\n\n\n<p class=\"wp-block-paragraph\">Wer bei diesen Fragen ins Schwimmen ger\u00e4t oder mit wolkigen Formulierungen antwortet, sucht keinen Einbruchsweg in Ihre Systeme \u2013 sondern nur den schnellsten Weg zu Ihrem Budget.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Seit mittlerweile 13 Jahren f\u00fchre ich ein Pentesting-Unternehmen. Ich habe den Markt von der Pike auf miterlebt \u2013 angefangen damals mit der binsec &#8211; binary security UG (haftungsbeschr\u00e4nkt) bis hin zur heutigen binsec group GmbH. In \u00fcber einem Jahrzehnt an der vordersten Front sieht man so ziemlich alles: grandiose technische Durchbr\u00fcche, extrem komplexe Infrastrukturen und &#8230; <span class=\"more\"><a class=\"more-link\" href=\"https:\/\/security.sauer.ninja\/de\/pentesting\/penetrationstest-anbieter-die-tricks-der-branche\/\">[Read more&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","_seopress_robots_follow":"","_seopress_robots_imageindex":"","_seopress_robots_snippet":"","_seopress_robots_primary_cat":"","_seopress_robots_breadcrumbs":"","_seopress_robots_freeze_modified_date":"","_seopress_robots_custom_modified_date":"","_seopress_robots_canonical":"","_seopress_social_fb_title":"","_seopress_social_fb_desc":"","_seopress_social_fb_img":"","_seopress_social_fb_img_attachment_id":0,"_seopress_social_fb_img_width":0,"_seopress_social_fb_img_height":0,"_seopress_social_twitter_title":"","_seopress_social_twitter_desc":"","_seopress_social_twitter_img":"","_seopress_social_twitter_img_attachment_id":0,"_seopress_social_twitter_img_width":0,"_seopress_social_twitter_img_height":0,"_seopress_redirections_value":"","_seopress_redirections_enabled":"","_seopress_redirections_enabled_regex":"","_seopress_redirections_logged_status":"","_seopress_redirections_param":"","_seopress_redirections_type":0,"_seopress_analysis_target_kw":"","footnotes":""},"categories":[23],"tags":[],"class_list":["entry","post","publish","author-psauer","post-4318","format-standard","category-pentesting"],"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/4318","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=4318"}],"version-history":[{"count":20,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/4318\/revisions"}],"predecessor-version":[{"id":4344,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/4318\/revisions\/4344"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=4318"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=4318"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=4318"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}