Cyberangriffe treffen längst nicht mehr nur Konzerne. Auch österreichische Startups, SaaS-Unternehmen und mittelständische Tech-Firmen werden regelmäßig Ziel von Angriffen, Fehlkonfigurationen, Datenlecks und Supply-Chain-Risiken.

Ein professioneller Penetrationstest oder ein Security Audit hilft dabei, Schwachstellen frühzeitig zu erkennen, Risiken realistisch zu bewerten und technische sowie organisatorische Maßnahmen abzuleiten.

Doch die Auswahl des passenden Partners ist nicht einfach. Der Markt reicht von automatisierten Schwachstellenscans über spezialisierte Penetrationstest-Dienstleister bis zu umfassender Cybersecurity Beratung in Österreich.

Dieser Guide zeigt Schritt für Schritt, wie IT-Leiter, CTOs und Security-Verantwortliche passende Pentesting- und Security-Audit-Anbieter in Österreich bewerten – von Scope und Methoden über DSGVO/AVV bis Angebotsvergleich und Anfrage.

Was ist der Unterschied zwischen Pentest und Security Audit?

Die Begriffe werden oft vermischt, meinen aber nicht dasselbe.

Ein Penetrationstest simuliert kontrollierte Angriffe auf Systeme, Anwendungen, APIs, Cloud-Umgebungen oder Netzwerke. Ziel ist es, ausnutzbare Schwachstellen praktisch nachzuweisen.

Ein Security Audit ist breiter angelegt. Es bewertet Prozesse, Konfigurationen, Richtlinien, Dokumentation, Architektur, Berechtigungen und technische Schutzmaßnahmen.

Kurz gesagt:

  • Ein Pentest prüft, ob und wie ein Angriff funktionieren kann.
  • Ein Security Audit prüft, ob Sicherheitsniveau, Prozesse und Kontrollen angemessen sind.

Für viele österreichische Startups und mittelständische Unternehmen ist eine Kombination sinnvoll: technischer Pentest plus Security Assessment für Architektur, Prozesse und Betrieb.

Wann braucht ein Unternehmen einen Pentesting-Anbieter?

Ein Penetrationstest Dienstleister ist besonders sinnvoll, wenn:

  • eine neue Webanwendung live geht
  • eine SaaS-Plattform Kundendaten verarbeitet
  • APIs öffentlich erreichbar sind
  • ein größeres Release geplant ist
  • Kunden oder Investoren Sicherheitsnachweise verlangen
  • ISO 27001, TISAX, NIS2 oder ähnliche Anforderungen relevant werden
  • ein Cloud- oder Kubernetes-Setup geprüft werden soll
  • interne Systeme über VPN, Remote Access oder Zero Trust erreichbar sind
  • ein Verdacht auf Fehlkonfigurationen besteht
  • sensible Daten verarbeitet werden

Gerade wachstumsstarke Startups sollten nicht warten, bis Kunden einen Pentest verlangen. Wer Security früh in Produkt, Infrastruktur und Betrieb einbaut, vermeidet spätere teure Nacharbeiten.

Schritt 1: Ziel des Pentests klären

Bevor Anbieter verglichen werden, muss intern klar sein, was geprüft werden soll.

Typische Ziele sind:

  • Schwachstellen vor einem Launch finden
  • Kundennachweis für Security liefern
  • Compliance-Anforderungen erfüllen
  • API-Sicherheit prüfen
  • Cloud- oder Kubernetes-Konfiguration bewerten
  • Angriffspfade in internen Netzwerken erkennen
  • Risiken für Geschäftsführung und IT-Leitung priorisieren
  • Security-Niveau für Investoren, Partner oder Audits dokumentieren

Ein unklarer Auftrag führt zu unklaren Angeboten. Deshalb sollte die Anfrage nicht lauten:

„Wir brauchen einen Pentest.“

Besser ist:

„Wir möchten unsere SaaS-Webanwendung inklusive API, Authentifizierung, Rollenmodell und Cloud-Konfiguration vor dem nächsten Enterprise-Kunden-Onboarding prüfen lassen.“

Je konkreter das Ziel, desto vergleichbarer werden die Angebote.

Schritt 2: Den Scope sauber definieren

Der Scope ist der wichtigste Teil einer Pentest-Anfrage. Er legt fest, was geprüft wird und was nicht.

Ein guter Scope enthält:

  • getestete Domains
  • IP-Adressen
  • Anwendungen
  • APIs
  • Mobile Apps
  • Cloud-Accounts
  • Kubernetes-Cluster
  • interne Netzbereiche
  • Benutzerrollen
  • Testzugänge
  • Ausschlüsse
  • Testzeitraum
  • Ansprechpartner
  • Notfallkontakt
  • erlaubte Testmethoden
  • Grenzen für Lasttests oder Exploitation

Für Startups ist besonders wichtig, auch Rollen und Rechte zu definieren. Viele kritische Schwachstellen entstehen nicht im Login selbst, sondern im Berechtigungsmodell.

Beispiele:

  • Kann ein normaler Nutzer Daten eines anderen Kunden sehen?
  • Können Rollen manipuliert werden?
  • Gibt es Broken Access Control?
  • Können API-Endpunkte fremde Objekte auslesen?
  • Funktioniert Mandantentrennung korrekt?
  • Werden Admin-Funktionen ausreichend geschützt?

Ein guter Anbieter fragt aktiv nach diesen Details. Wenn ein Angebot ohne Scope-Fragen abgegeben wird, ist Vorsicht angebracht.

Schritt 3: Art des Tests auswählen

Nicht jeder Pentest ist gleich. Je nach Ziel gibt es unterschiedliche Testarten.

Black-Box-Test

Der Anbieter erhält kaum Informationen und testet wie ein externer Angreifer. Das ist realistisch, aber oft weniger effizient.

Grey-Box-Test

Der Anbieter erhält definierte Informationen, Testzugänge und Architekturhinweise. Für Webanwendungen, APIs und SaaS-Produkte ist das häufig der beste Ansatz.

White-Box-Test

Der Anbieter erhält umfassenden Einblick, zum Beispiel Architektur, Quellcode oder interne Dokumentation. Das eignet sich für tiefe technische Analysen.

Web-App-Pentest

Prüfung von Webanwendungen, Authentifizierung, Session Management, Rollen, Eingabevalidierung, Business Logic und Datenzugriff.

API-Pentest

Prüfung von REST-, GraphQL- oder internen APIs. Besonders wichtig bei SaaS-Produkten und mobilen Anwendungen.

Infrastruktur-Pentest

Prüfung von Netzwerken, Servern, VPN, Firewalls, Active Directory, Remote Access, Cloud-Umgebungen und internen Systemen.

Cloud Security Assessment

Prüfung von AWS, Azure, Google Cloud, Microsoft 365 oder hybriden Setups. Fokus liegt auf Identitäten, Berechtigungen, Storage, Netzwerken, Logging und Fehlkonfigurationen.

Kubernetes- und Container-Security-Test

Prüfung von Cluster-Konfiguration, Images, Secrets, Netzwerkpolicies, RBAC, Ingress, CI/CD und Runtime-Security.

Red Team Assessment

Ein Red Team simuliert realistischere Angriffsketten. Das ist sinnvoll für reifere Organisationen, aber oft zu groß für den ersten Test.

Für die meisten Startups ist ein Grey-Box-Test für Web-App, API und Cloud-Konfiguration der beste Einstieg.

Schritt 4: Methoden und Standards prüfen

Ein professioneller Pentesting-Anbieter sollte nicht nur Tools starten, sondern methodisch testen.

Gute Anbieter orientieren sich je nach Scope an bekannten Standards und Frameworks wie:

  • OWASP Web Security Testing Guide
  • OWASP Top 10
  • OWASP API Security Top 10
  • PTES
  • OSSTMM
  • CIS Controls
  • ISO 27001
  • NIST Cybersecurity Framework
  • BSI-Empfehlungen

Wichtig ist nicht, dass jeder Anbieter alle Standards verwendet. Wichtig ist, dass klar erklärt wird, welche Methodik zum Scope passt.

Für eine Webanwendung sollte zum Beispiel klar sein, dass nicht nur technische Standardlücken geprüft werden, sondern auch:

  • Authentifizierung
  • Autorisierung
  • Session Management
  • Mandantentrennung
  • Input Validation
  • Business Logic
  • Datei-Uploads
  • API-Berechtigungen
  • Rate Limiting
  • Security Header
  • Fehlerverhalten
  • Logging
  • sensible Daten

Ein reiner automatisierter Scan reicht dafür nicht aus.

Schritt 5: Automatisierter Scan ist kein vollständiger Pentest

Automatisierte Schwachstellenscanner sind nützlich. Sie finden bekannte Probleme, Fehlkonfigurationen und technische Hinweise.

Aber sie ersetzen keinen professionellen Penetrationstest.

Scanner erkennen oft nicht zuverlässig:

  • Business-Logic-Fehler
  • Mandantentrennungsprobleme
  • komplexe Rollenfehler
  • unsichere Workflows
  • chained Exploits
  • Kontext-Risiken
  • echte Ausnutzbarkeit
  • Auswirkungen auf das Geschäftsmodell

Ein guter Penetrationstest kombiniert Tools mit manueller Analyse. Besonders bei Startups, SaaS-Produkten und Tech-Firmen ist manuelle Prüfung entscheidend, weil viele Risiken im Zusammenspiel von Produktlogik, Rollenmodell und Datenflüssen entstehen.

Schritt 6: Qualifikation und Erfahrung bewerten

Bei der Auswahl eines Pentesting- und Security-Audit-Anbieters in Österreich sollten Qualifikation und praktische Erfahrung geprüft werden.

Wichtige Fragen:

  • Welche Erfahrung hat der Anbieter mit Web Apps, APIs, Cloud oder Kubernetes?
  • Hat das Team Erfahrung mit Startups und SaaS-Produkten?
  • Gibt es Referenzen aus ähnlichen Branchen?
  • Welche Zertifizierungen besitzen die Tester?
  • Wer führt den Test tatsächlich durch?
  • Gibt es Senior Reviewer?
  • Wie wird Qualitätssicherung gemacht?
  • Gibt es Erfahrung mit DSGVO, ISO 27001, NIS2 oder regulatorischen Anforderungen?
  • Kann der Anbieter technische und Management-Zielgruppen bedienen?

Mögliche Zertifizierungen und Nachweise sind zum Beispiel:

  • OSCP
  • OSWE
  • OSEP
  • GPEN
  • GWAPT
  • CISSP
  • CISA
  • ISO 27001 Lead Auditor
  • CREST-Zertifizierungen
  • praktische CVE- oder Research-Erfahrung

Zertifikate ersetzen keine Erfahrung, aber sie sind ein Signal für methodisches Arbeiten.

Schritt 7: Reporting vorab prüfen

Der Bericht ist das wichtigste Ergebnis eines Pentests. Er muss sowohl für technische Teams als auch für Entscheider nutzbar sein.

Ein guter Bericht enthält:

  • Management Summary
  • getesteten Scope
  • Methodik
  • Zeitraum
  • Risikoeinstufung
  • technische Details
  • Nachweise
  • Reproduktionsschritte
  • betroffene Systeme
  • Business-Auswirkung
  • empfohlene Maßnahmen
  • Priorisierung
  • Verantwortlichkeiten
  • Quick Wins
  • strategische Empfehlungen
  • Anhang mit getesteten Bereichen

Für CTOs und IT-Leiter ist besonders wichtig, dass Findings nicht nur technisch beschrieben werden. Sie müssen priorisiert und in Maßnahmen übersetzt werden.

Ein gutes Finding beantwortet:

  • Was ist das Problem?
  • Wie kritisch ist es?
  • Wie kann es ausgenutzt werden?
  • Welche Systeme sind betroffen?
  • Welches Risiko entsteht für das Unternehmen?
  • Wie wird es behoben?
  • Wie schnell sollte es behoben werden?

Fordern Sie vor Beauftragung einen anonymisierten Beispielbericht an. Wenn der Bericht nur aus Scanner-Ausgaben besteht, ist das ein Warnsignal.

Schritt 8: DSGVO und AVV prüfen

Bei Pentests und Security Audits können sensible Daten verarbeitet werden. Deshalb ist der Datenschutz besonders wichtig.

Ein DSGVO-Check sollte mindestens diese Punkte enthalten:

  • Wird ein Auftragsverarbeitungsvertrag benötigt?
  • Welche Daten verarbeitet der Anbieter?
  • Werden personenbezogene Daten in Logs, Tickets oder Reports sichtbar?
  • Wo werden Berichte gespeichert?
  • Werden Daten außerhalb der EU verarbeitet?
  • Wer hat Zugriff auf Testergebnisse?
  • Wie lange werden Daten gespeichert?
  • Wie werden Findings und Beweisdaten gelöscht?
  • Gibt es Verschlüsselung für Austausch und Speicherung?
  • Werden Testdaten minimiert?
  • Gibt es Vertraulichkeitsvereinbarungen?
  • Wie wird mit kritischen Schwachstellen umgegangen?

Besonders wichtig: Pentest-Berichte enthalten oft hochsensible Informationen. Sie beschreiben Schwachstellen, Angriffspfade und technische Details. Deshalb sollten sie nicht unverschlüsselt per E-Mail verschickt oder dauerhaft in unsicheren Tools gespeichert werden.

Ein seriöser Anbieter kann klar erklären, wie Berichte, Screenshots, Logs, Zugangsdaten und Beweisdaten geschützt werden.

Schritt 9: Rechtliche Freigabe und Rules of Engagement

Ein Pentest darf nicht informell gestartet werden. Vor Beginn braucht es klare Regeln.

Die sogenannten Rules of Engagement sollten festhalten:

  • Auftraggeber
  • Anbieter
  • Scope
  • erlaubte Methoden
  • verbotene Methoden
  • Testfenster
  • Kontaktpersonen
  • Notfallkontakt
  • Eskalationsweg
  • Umgang mit kritischen Findings
  • Umgang mit Produktivsystemen
  • Datenzugriffe
  • Abbruchkriterien
  • Haftung und Begrenzungen
  • Kommunikationskanäle

Bei Produktivsystemen ist besondere Vorsicht nötig. Lasttests, Exploits oder aggressive Scans können Systeme beeinträchtigen. Deshalb müssen Grenzen vorher definiert werden.

Ein gutes Pentest-Projekt startet erst, wenn Scope, Freigabe und Kommunikationswege schriftlich geklärt sind.

Schritt 10: Angebotsvergleich richtig durchführen

Pentest-Angebote sind oft schwer vergleichbar. Ein günstiges Angebot kann gut sein – oder schlicht zu wenig Tiefe enthalten.

Vergleichen Sie nicht nur den Preis. Vergleichen Sie:

  • Scope
  • Testtiefe
  • Methodik
  • Anzahl Personentage
  • Seniorität der Tester
  • manuelle Analyse
  • automatisierte Scans
  • Reporting-Qualität
  • Abschlussgespräch
  • Retest
  • DSGVO/AVV
  • Projektmanagement
  • Reaktionszeit bei kritischen Findings
  • Erfahrung mit ähnlichen Umgebungen
  • Haftpflichtversicherung
  • Verfügbarkeit
  • Sprache des Berichts
  • Standort und Datenverarbeitung

Ein gutes Angebot beschreibt klar, was enthalten ist und was nicht.

Warnsignale sind:

  • pauschaler Preis ohne Scope-Fragen
  • kein Beispielbericht
  • keine klare Methodik
  • keine DSGVO-Aussage
  • kein Retest
  • nur automatisierte Scanner-Ausgabe
  • unklare Zuständigkeit
  • keine Erklärung zur Datenlöschung
  • keine Angaben zu Testgrenzen
  • keine Projektkommunikation

Angebotsvergleich: praktische Bewertungstabelle

Nutzen Sie diese Tabelle für den Vergleich von Anbietern:

Kriterium Anbieter A Anbieter B Anbieter C
Scope vollständig verstanden
Passende Methodik erklärt
Manuelle Tests enthalten
Erfahrung mit Web/App/API/Cloud
Erfahrung mit Startups oder Mittelstand
DSGVO/AVV sauber geregelt
Beispielbericht verfügbar
Management Summary enthalten
Technische Reproduktionsschritte enthalten
Retest enthalten
Abschlussworkshop enthalten
Kritische Findings werden sofort gemeldet
Datenlöschung geregelt
Preis transparent
Projektstart realistisch

Bewerten Sie jedes Feld mit 0 bis 3 Punkten:

  • 0 = nicht erfüllt
  • 1 = unklar
  • 2 = erfüllt
  • 3 = sehr gut erfüllt

Der beste Anbieter ist nicht automatisch der günstigste. Der beste Anbieter ist der, dessen Scope, Methodik, Reporting und Datenschutz am besten zu Ihrer Risikolage passen.

Schritt 11: Retest und Maßnahmenplan einplanen

Ein Pentest ist erst dann wirklich abgeschlossen, wenn die wichtigsten Findings behoben und überprüft wurden.

Deshalb sollte ein Retest eingeplant werden.

Ein sinnvoller Ablauf:

  1. Pentest durchführen
  2. Bericht erhalten
  3. Abschlussgespräch durchführen
  4. Findings priorisieren
  5. Maßnahmenplan erstellen
  6. kritische und hohe Findings beheben
  7. Retest durchführen
  8. Rest-Risiken dokumentieren
  9. Lessons Learned ableiten

Ohne Retest bleibt unklar, ob die Maßnahmen wirklich funktionieren.

Für Startups ist außerdem wichtig, Findings direkt in bestehende Tools zu überführen. Zum Beispiel in Jira, GitHub Issues, GitLab, Azure DevOps oder ein internes Ticketsystem.

Schritt 12: Security Audit als Ergänzung nutzen

Ein Sicherheitsaudit für mittelständische Unternehmen geht über technische Schwachstellen hinaus.

Es prüft zum Beispiel:

  • Rollen und Verantwortlichkeiten
  • Patch-Management
  • Backup-Konzept
  • Incident Response
  • Zugriffskontrolle
  • Cloud-Governance
  • Admin-Rechte
  • Lieferantenrisiken
  • Monitoring
  • Logging
  • Netzwerksegmentierung
  • Endpoint-Security
  • Dokumentation
  • Notfallprozesse
  • Awareness
  • Sicherheitsrichtlinien

Für mittelständische Unternehmen und Startups ist ein Security Audit oft der bessere Einstieg, wenn noch unklar ist, wo die größten Risiken liegen.

Ein Pentest zeigt, wo technische Schwachstellen ausnutzbar sind. Ein Security Audit zeigt, ob die Organisation grundsätzlich sicher aufgestellt ist.

Schritt 13: Anbieter passend zur Unternehmensphase auswählen

Nicht jeder Anbieter passt zu jeder Unternehmensgröße.

Frühes Startup

Geeignet sind kompakte Assessments, Web-App/API-Pentests und pragmatische Maßnahmenpläne. Wichtig sind schnelle Umsetzung und klare Priorisierung.

Wachstumsstartup

Hier werden Cloud, CI/CD, Rollenmodell, Mandantentrennung, Security-Prozesse und Kundenanforderungen wichtiger. Ein strukturierter Pentest mit Retest und Management Summary ist sinnvoll.

Mittelständische Tech-Firma

Hier zählen Governance, Compliance, Dokumentation, NIS2-Relevanz, ISO 27001, interne Netze, Lieferanten und regelmäßige Prüfzyklen.

Regulierter Bereich

Unternehmen in sensiblen Branchen brauchen Anbieter mit Erfahrung in Compliance, Auditfähigkeit, Nachweisdokumentation und formalen Prozessen.

Der Anbieter sollte zur Reife des Unternehmens passen. Ein zu kleines Setup kann Risiken übersehen. Ein zu schwergewichtiges Setup kann Startups überfordern.

Schritt 14: Kosten realistisch bewerten

Pentest-Kosten hängen stark von Scope, Testtiefe, Komplexität, Systemanzahl und Berichtsumfang ab.

Ein einfacher Scan ist deutlich günstiger als ein manueller Grey-Box-Pentest einer SaaS-Plattform mit API, Rollenmodell und Cloud-Review.

Preisfaktoren sind:

  • Anzahl Anwendungen
  • Anzahl Rollen
  • API-Komplexität
  • Cloud-Umfang
  • interne oder externe Systeme
  • Anzahl Personentage
  • Seniorität der Tester
  • Berichtstiefe
  • Abschlussworkshop
  • Retest
  • Compliance-Anforderungen
  • gewünschte Geschwindigkeit

Für Entscheider ist wichtig: Zu knapp kalkulierte Pentests liefern oft keine ausreichende Tiefe. Gleichzeitig muss nicht jedes Unternehmen ein großes Red-Team-Projekt beauftragen.

Der richtige Umfang entsteht aus Risiko, Ziel und Budget.

Schritt 15: Anfrage an Anbieter richtig formulieren

Eine gute Anfrage spart Zeit und führt zu besseren Angeboten.

Nutzen Sie diese Struktur:

1. Unternehmenskontext

Beschreiben Sie kurz Ihr Unternehmen, Branche, Teamgröße und technische Umgebung.

2. Ziel

Erklären Sie, warum der Pentest oder das Security Audit durchgeführt werden soll.

3. Scope

Listen Sie Anwendungen, APIs, Systeme, Cloud-Umgebungen und Testzugänge auf.

4. Testart

Nennen Sie, ob Black Box, Grey Box oder White Box gewünscht ist.

5. Zeitplan

Nennen Sie gewünschtes Testfenster, Deadline und kritische Termine.

6. Reporting

Beschreiben Sie, welches Ergebnis Sie brauchen: Management Summary, technische Details, Maßnahmenplan, Retest.

7. Datenschutz

Fragen Sie nach AVV, Datenverarbeitung, Speicherort, Löschung und sicherem Austausch.

8. Vergleichbarkeit

Bitten Sie um Aufschlüsselung nach Personentagen, Leistungen, Retest und Zusatzoptionen.

Vorlage: Anfrage an Pentesting-Anbieter

Sie können diese Vorlage direkt verwenden:

Betreff: Anfrage Pentest / Security Audit für österreichisches Tech-Unternehmen

Guten Tag,

wir suchen einen geeigneten Anbieter für einen Penetrationstest bzw. ein Security Assessment.

Kurz zu uns:
Wir sind ein österreichisches Unternehmen im Bereich [Branche] mit [Anzahl] Mitarbeitenden. Unsere IT-/Produktlandschaft umfasst [kurze Beschreibung: Webanwendung, API, Cloud, Microsoft 365, Kubernetes, interne Systeme].

Ziel der Prüfung:
Wir möchten [Ziel einfügen: z. B. unsere SaaS-Plattform vor einem Enterprise-Kunden-Onboarding prüfen, Kundennachweise vorbereiten, Security-Risiken priorisieren oder Compliance-Anforderungen erfüllen].

Geplanter Scope:

  • Webanwendung: [URL / Beschreibung]
  • API: [Beschreibung]
  • Cloud / Infrastruktur: [AWS/Azure/GCP/On-Prem]
  • Benutzerrollen: [z. B. Admin, Kunde, normaler Nutzer]
  • Testart: [Black Box / Grey Box / White Box]
  • Produktivsystem oder Testsystem: [Angabe]
  • Gewünschter Zeitraum: [Datum]
  • Besondere Anforderungen: [z. B. DSGVO, AVV, ISO 27001, NIS2, Kundenvorgaben]

Wir bitten um ein Angebot mit:

  • Beschreibung der Methodik
  • geplantem Scope
  • Anzahl Personentage
  • enthaltenen manuellen und automatisierten Tests
  • Beispielstruktur des Reports
  • Management Summary
  • technischem Bericht mit Reproduktionsschritten
  • Umgang mit kritischen Findings
  • Abschlussgespräch
  • optionalem Retest
  • DSGVO-/AVV-Informationen
  • Informationen zu Datenverarbeitung, Speicherort und Löschung

Bitte nennen Sie außerdem mögliche Starttermine und welche Informationen Sie für eine präzise Aufwandsschätzung benötigen.

Vielen Dank und freundliche Grüße

[Name]
[Unternehmen]
[Kontakt]

Entscheidungskriterien auf einen Blick

Ein guter Pentesting- oder Security-Audit-Anbieter für österreichische Startups und mittelständische Tech-Firmen erfüllt diese Kriterien:

  1. Er versteht Ihren Scope.
  2. Er stellt vorab präzise Rückfragen.
  3. Er erklärt die Methodik verständlich.
  4. Er kombiniert Tools mit manueller Analyse.
  5. Er hat Erfahrung mit ähnlichen Systemen.
  6. Er liefert einen brauchbaren Management- und Technikbericht.
  7. Er behandelt Datenschutz und Vertraulichkeit professionell.
  8. Er bietet einen Retest an.
  9. Er priorisiert Findings nach Risiko.
  10. Er hilft bei der Umsetzung, ohne Risiken zu verharmlosen.

Wie FEHMER TECH bei der Auswahl und Vorbereitung unterstützt

FEHMER TECH unterstützt österreichische Unternehmen bei stabilem, sicherem und dokumentiertem IT-Betrieb. Dazu gehören IT Managed Services, Security, Monitoring, Runbooks, Cloud-Optimierung und KI-gestützte Automatisierung.

Bei Pentesting und Security Audits hilft FEHMER TECH besonders in der Vorbereitung und Umsetzung:

  • Scope für Pentest oder Security Audit definieren
  • Systeme, Anwendungen und Verantwortlichkeiten erfassen
  • Anbieterangebote vergleichbar machen
  • DSGVO- und AVV-Fragen vorbereiten
  • technische Dokumentation und Runbooks aufbereiten
  • Findings nach dem Test in Maßnahmen übersetzen
  • Umsetzung von Security-Maßnahmen begleiten
  • Monitoring und Betrieb nach dem Audit verbessern

So wird aus einem Pentest kein einmaliger Bericht, sondern ein konkreter Verbesserungsprozess für Ihre IT-Sicherheit.

Mehr dazu: IT Managed Services von FEHMER TECH

Fazit

Die Auswahl eines passenden Pentesting- und Security-Audit-Anbieters in Österreich sollte nicht nur über Preis oder Verfügbarkeit entschieden werden.

Wichtiger sind:

  • klarer Scope
  • passende Methodik
  • manuelle Analyse
  • Erfahrung mit ähnlichen Systemen
  • verständliches Reporting
  • DSGVO-konforme Datenverarbeitung
  • klare Rules of Engagement
  • Retest
  • realistische Maßnahmenplanung

Für Startups und mittelständische Tech-Firmen ist der beste Anbieter derjenige, der technische Tiefe mit pragmatischer Umsetzung verbindet.

Ein professioneller Pentest zeigt nicht nur Schwachstellen. Er hilft, Risiken zu priorisieren, Security-Maßnahmen umzusetzen und den Betrieb langfristig sicherer zu machen.

Nächster Schritt: Bereiten Sie Scope, Ziel und Systemübersicht vor und vergleichen Sie mindestens zwei bis drei Angebote anhand klarer Kriterien.

Kostenloses Erstgespräch mit FEHMER TECH buchen

FAQ

Was ist ein Pentesting-Anbieter?

Ein Pentesting-Anbieter ist ein Dienstleister, der Systeme, Anwendungen, APIs oder Netzwerke kontrolliert auf Schwachstellen prüft. Ziel ist es, reale Angriffsmöglichkeiten zu erkennen, bevor sie von Angreifern ausgenutzt werden.

Was ist der Unterschied zwischen Penetrationstest und Security Audit?

Ein Penetrationstest simuliert technische Angriffe auf definierte Systeme. Ein Security Audit bewertet zusätzlich Prozesse, Konfigurationen, Richtlinien, Dokumentation und organisatorische Sicherheitsmaßnahmen.

Worauf sollten Startups bei einem Pentest achten?

Startups sollten besonders auf klaren Scope, API- und Rollenprüfung, Mandantentrennung, DSGVO, Reporting, Retest und konkrete Maßnahmen achten. Ein reiner automatisierter Scan reicht für SaaS-Produkte meist nicht aus.

Braucht man für einen Pentest einen AVV?

Wenn der Anbieter personenbezogene Daten verarbeitet, kann ein Auftragsverarbeitungsvertrag erforderlich sein. Das sollte vor Projektstart mit Datenschutzverantwortlichen und Anbieter geklärt werden.

Was sollte in einem Pentest-Angebot stehen?

Ein gutes Angebot enthält Scope, Testart, Methodik, Personentage, manuelle Tests, Reporting, Umgang mit kritischen Findings, Retest, DSGVO-Informationen, Datenlöschung und Preisstruktur.

Ist ein automatisierter Schwachstellenscan ein Pentest?

Nein. Ein automatisierter Scan ist ein hilfreicher Bestandteil, ersetzt aber keinen vollständigen Penetrationstest. Ein echter Pentest enthält manuelle Analyse, Kontextbewertung und nachvollziehbare Risikopriorisierung.

Wie oft sollte ein Unternehmen Pentests durchführen?

Viele Unternehmen führen mindestens jährlich oder vor großen Releases einen Pentest durch. Zusätzlich sind Tests sinnvoll nach größeren Architekturänderungen, Cloud-Migrationen, neuen APIs oder sicherheitskritischen Produktänderungen.

Was kostet ein Pentest in Österreich?

Die Kosten hängen von Scope, Komplexität, Testart, Systemanzahl, Personentagen, Berichtstiefe und Retest ab. Ein kleiner Web-App-Test ist günstiger als ein umfassender SaaS-, API-, Cloud- und Infrastruktur-Pentest.

Was ist ein Retest?

Ein Retest prüft, ob gemeldete Schwachstellen nach der Behebung tatsächlich geschlossen wurden. Er ist wichtig, damit der Pentest nicht nur Findings liefert, sondern nachweisbare Verbesserungen erzeugt.