„Sind wir überhaupt interessant genug für einen Angriff?"
Diese Frage stellen sich viele IT-Verantwortliche in kleineren Unternehmen – und sie ist absolut legitim. Warum sollte jemand gezielt eine regionale Spedition, eine Steuerberatungskanzlei oder einen mittelständischen Maschinenbauer angreifen?
Die Antwort ist: Die meisten Angriffe sind gar nicht gezielt. Ein Teil davon läuft vollautomatisiert – Ransomware-Gruppen scannen täglich Millionen von IP-Adressen nach bekannten Schwachstellen und schlagen zu, wenn sie fündig werden. Ob dahinter 50 oder 5.000 Mitarbeiter stecken, ist dabei irrelevant.
Der weitaus häufigere Einstiegsweg ist aber ein anderer: der Mensch. Eine täuschend echte E-Mail, die vorgibt von einem Lieferanten zu kommen. Ein Mitarbeiter der auf einen Link klickt, weil die Mail aussieht wie eine interne IT-Benachrichtigung. Ein Passwort das irgendwo schon einmal geleakt wurde und jetzt automatisiert ausprobiert wird. Phishing ist heute der häufigste Erstzugang bei Angriffen auf Unternehmen – und er funktioniert unabhängig davon, wie gut Ihre Firewall konfiguriert ist.
Das ist keine abstrakte Bedrohung. In Österreich wird jährlich eine erhebliche Zahl an Unternehmen Opfer von Angriffen, die mit einer einzigen kompromittierten E-Mail-Adresse begonnen haben – und die sich von dort unbemerkt durch das gesamte Netzwerk gefressen haben, bevor irgendjemand etwas bemerkt hat.
Kurz gesagt: Es ist nicht die Frage ob Ihr Unternehmen angegriffen wird – sondern wann. Die entscheidende Frage ist: Was kann ein Angreifer in diesem Moment bei Ihnen wirklich tun, wenn er erst einmal drinnen ist? Kann er auf Ihre Fileserver zugreifen? Ihre Backups verschlüsseln? Sich unbemerkt durch das Netzwerk bewegen? Das wissen die wenigsten mit Sicherheit. Genau hier setzt ein Penetrationstest an.
Was ein Penetrationstest eigentlich testet
Bevor wir die Frage „Brauche ich einen Pentest?" beantworten können, lohnt es sich klarzustellen, was ein Penetrationstest überhaupt ist – und was er nicht ist.
Ein Penetrationstest ist ein autorisierter, kontrollierter Angriff auf Ihre Systeme durch spezialisierte Sicherheitsexperten. Ziel ist es, Schwachstellen zu finden, bevor echte Angreifer es tun. Ein Pentest beantwortet konkret:
- Kann ein externer Angreifer in mein Netzwerk eindringen?
- Was kann jemand anrichten, der bereits im Netzwerk ist?
- Sind meine Web- oder Mobilanwendungen manipulierbar?
- Können meine Benutzerkonten kompromittiert werden?
- Wie weit kommt ein Angreifer nach dem ersten Zugang?
Was ein Pentest nicht ist: kein automatisierter Vulnerability-Scan, keine einmalige Checkbox für Compliance-Berichte, und kein Ersatz für grundlegende Sicherheitsmaßnahmen wie Patch-Management oder Mitarbeiterschulungen. Er ist ein Werkzeug zur Prüfung – und sollte Teil eines umfassenderen Sicherheitskonzepts sein.
Sechs Situationen, in denen ein Pentest klar sinnvoll ist
Sie haben noch nie einen Pentest gemacht
Wenn Ihre Infrastruktur noch nie extern auf Schwachstellen geprüft wurde, wissen Sie schlicht nicht, wo Sie stehen. Erfahrungsgemäß finden wir in jedem Ersttest kritische oder hochriskante Findings – unabhängig von der Unternehmensgröße.
Ihre Infrastruktur hat sich verändert
Cloud-Umzug, neue Webanwendung, Übernahme eines anderen Unternehmens, Umstieg auf Microsoft 365 – jede wesentliche Änderung an der IT-Landschaft verändert auch die Angriffsfläche. Ein Pentest danach ist keine Vorsicht, sondern Pflicht.
Sie müssen Compliance-Anforderungen erfüllen
NIS2, ISO 27001, DORA oder branchenspezifische Vorgaben – in vielen Fällen sind regelmäßige Sicherheitstests explizit gefordert oder dringend empfohlen. Ein professioneller Pentest-Bericht ist dabei ein anerkannter Nachweis.
Sie verarbeiten sensible Daten
Gesundheitsdaten, Finanzdaten, personenbezogene Kundendaten oder Geschäftsgeheimnisse – wer solche Informationen verarbeitet, trägt eine erhöhte Verantwortung für deren Schutz. Ein Datenleck kann existenzbedrohend sein.
Ihre Kunden oder Partner fragen danach
Immer mehr Unternehmen verlangen im Rahmen von Lieferantenbewertungen oder Vertragsabschlüssen Nachweise über durchgeführte Sicherheitsprüfungen. Ein Pentest-Bericht stärkt Ihre Position als vertrauenswürdiger Partner.
Sie hatten bereits einen Sicherheitsvorfall
Nach einem Ransomware-Angriff, einem Datenleck oder einer kompromittierten E-Mail-Adresse ist ein Pentest der logische nächste Schritt – um zu verstehen, wie der Angriff möglich war, und um sicherzustellen, dass der Weg geschlossen ist.
Wann ein Pentest vielleicht noch warten kann
Ein Penetrationstest macht nur dann Sinn, wenn ein Mindestmaß an Grundsicherheit bereits vorhanden ist. Wenn Ihre Systeme noch nicht gepatcht werden, Benutzer noch lokale Administratorrechte auf allen Rechnern haben und grundlegende Schutzmaßnahmen wie Endpoint-Schutz oder Backups fehlen – dann sollten diese Grundlagen zuerst adressiert werden.
Ein Pentest deckt erstmals die Schwachstellen auf – er behebt sie nicht. Wenn nach einem Pentest keine Ressourcen vorhanden sind, um die Findings abzuarbeiten, verpufft der Mehrwert. Planen Sie daher von Beginn an auch Budget und Zeit für die Umsetzung der Empfehlungen ein.
NIS2, ISO 27001 und Co.: Was schreibt das Gesetz vor?
Die NIS2-Richtlinie wird in Österreich durch das nationale NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026) umgesetzt, welches am 1. Oktober 2026 in Kraft tritt. Diese Gesetzgebung verpflichtet eine breite Gruppe von rund 4.000 Unternehmen in Österreich zu nachweisbaren technischen und organisatorischen Schutzmaßnahmen. Dazu zählen unter anderem Risikomanagement, Incident Response, die Sicherheit der Lieferkette sowie die regelmäßige Überprüfung der Sicherheitsvorkehrungen. Penetrationstests sind zwar nicht explizit als namentliche Pflicht formuliert, gelten jedoch als Stand der Technik und anerkannte Methode, um die gesetzlich geforderte Wirksamkeit der Schutzmaßnahmen nachzuweisen.
Wer nach ISO 27001 zertifiziert ist oder eine Zertifizierung anstrebt, findet in Annex A entsprechende Controls zu regelmäßigen Sicherheitstests und technischen Schwachstellenmanagement. Auch hier ist ein professioneller Pentest die anerkannte Methode, um diese Anforderungen glaubwürdig zu erfüllen.
Für Unternehmen im Finanzbereich gilt zusätzlich DORA (Digital Operational Resilience Act), der ab 2025 unter anderem regelmäßige TLPT-Tests (Threat-Led Penetration Testing) für bestimmte Finanzinstitute vorschreibt.
Wenn Sie unsicher sind, ob Ihr Unternehmen unter NIS2 fällt: Die WKO bietet einen kostenlosen NIS2-Selbstcheck an. Als Faustregel gilt: Unternehmen ab 50 Mitarbeitern oder einem Jahresumsatz von über 10 Mio. Euro, die in einem der definierten kritischen Sektoren (wie unter anderem Energie, Gesundheit, Transport, digitale Infrastruktur) tätig sind, sollten ihre Betroffenheit aktiv klären. Beachten Sie zudem, dass auch kleinere Unternehmen indirekt betroffen sein können, wenn sie als Dienstleister oder Lieferant Teil der Lieferkette einer regulierten Einrichtung sind.
Die typische Entscheidungsmatrix für österreichische KMUs
Anhand weniger Fragen lässt sich einschätzen, ob ein Pentest für Sie aktuell sinnvoll ist:
| Situation | Empfehlung |
|---|---|
| Internet-exponierte Systeme oder kritische Daten – aber noch kein Pentest durchgeführt | Ja – sinnvoller Einstieg. Starten Sie mit einem externen und – je nach Risiko – internen Pentest, um reale Angriffspfade und Ihre tatsächliche Angriffsfläche zu verstehen. |
| Unklar, auf welchem Stand die IT-Sicherheit ist | Klären Sie strukturiert Ihren aktuellen Reifegrad (z. B. Patch-Stand, Berechtigungen, MFA, Logging), bevor ein Pentest sinnvoll eingesetzt wird. Wir unterstützen Sie dabei. |
| Letzter Pentest vor mehr als 12 Monaten | Ja – regelmäßig wiederholen. Infrastruktur und Bedrohungslage entwickeln sich kontinuierlich weiter. |
| Neue Systeme, Cloud-Migration, neue Anwendungen oder größere Änderungen | Ja – gezielt testen. Führen Sie einen fokussierten Pentest durch (z. B. Applikation vor Go-Live oder Infrastruktur nach Änderungen). |
| Compliance-Anforderungen (z. B. NIS2, ISO 27001, DORA) | Ja – als Baustein. Pentests unterstützen den Nachweis, ersetzen jedoch kein umfassendes Sicherheitskonzept oder ISMS. |
| Nach einem Sicherheitsvorfall | Ja – nach Stabilisierung. Nach abgeschlossener Incident Response hilft ein Pentest, weitere Schwachstellen systematisch aufzudecken. |
| IT-Sicherheitsprozesse etabliert und regelmäßig geprüft | Nächster Schritt: erweitertes Testing. Ergänzen Sie Pentests durch Red Teaming oder Purple Teaming, um Erkennung und Reaktionsfähigkeit realistisch zu testen. |
Welcher Pentest ist der richtige Einstieg?
Wenn Sie das erste Mal einen Penetrationstest in Auftrag geben, empfehlen wir für die meisten österreichischen Unternehmen folgende Kombination als Einstieg:
Externer + interner Penetrationstest
Der externe Pentest prüft, was ein Angreifer aus dem Internet erreichen kann – Webserver, VPN-Gateways, E-Mail-Dienste, öffentlich erreichbare Portale. Der interne Pentest simuliert, was nach einem erfolgreichen Erstzugang (z.B. nach einem Phishing-Angriff, durch ein erfolgreich kompromittiertes Benutzerkonto) passiert: Wie weit kommt ein Angreifer im Netzwerk? Kann er auf Domain-Admin-Rechte eskalieren? Kann er auf Fileserver, Backups oder kritische Systeme zugreifen?
Diese Kombination bildet die realistischste Angriffskette ab und deckt erfahrungsgemäß die kritischsten Schwachstellen in den meisten Unternehmen auf.
Active Directory Assessment – wenn Sie eine Windows-Domäne betreiben
Active Directory ist in österreichischen KMUs das häufigste Angriffsziel bei internen Kompromittierungen – und gleichzeitig das am schlechtesten gewartete System. Ein Active Directory Assessment ist immer dann besonders wertvoll, wenn Ihre Domäne über Jahre gewachsen ist und nie systematisch auf Berechtigungsfehler überprüft wurde.
Azure / M365 Assessment – wenn die Cloud Ihr Alltag ist
Wer täglich mit Teams, SharePoint und Exchange Online arbeitet, sollte wissen, ob die zugrundeliegenden Identitäts- und Zugriffsrichtlinien sicher konfiguriert sind. Ein Azure / M365 Assessment deckt Fehlkonfigurationen auf, die in der Praxis erschreckend häufig sind – fehlende MFA-Erzwingung, übermäßige App-Berechtigungen oder unsichere Conditional-Access-Richtlinien.
Sie sind unsicher, welcher Test für Ihr Unternehmen der richtige Einstieg ist? In einem 15-minütigen Erstgespräch können wir das gemeinsam einschätzen – kostenlos und unverbindlich. Wir empfehlen nur, was auch wirklich Mehrwert bringt.
Häufige Fragen (FAQ)
Muss ich meinen Betrieb während des Pentests unterbrechen?
In der Regel nein. Professionelle Penetrationstests werden so durchgeführt, dass der laufende Betrieb nicht beeinträchtigt wird. Sensible Phasen werden im Vorfeld mit Ihnen abgestimmt – zum Beispiel, wenn Lasttests auf Webdienste geplant sind.
Wie lange dauert ein Penetrationstest?
Je nach Scope zwischen zwei und zehn Werktagen. Ein kompakter externer Pentest für ein KMU ist oft in drei bis vier Tagen abgeschlossen. Umfangreichere Projekte können auch länger dauern.
Was passiert nach dem Pentest?
Sie erhalten einen strukturierten Bericht mit allen gefundenen Schwachstellen, einem Proof-of-Concept je Finding, einer Risikopriorisierung und konkreten Handlungsempfehlungen. Dazu gehört eine persönliche Nachbesprechung mit unserem Team – so lange, bis alle offenen Fragen geklärt sind.
Wie oft sollte ich einen Pentest durchführen?
Als Faustregel gilt: mindestens einmal jährlich oder nach wesentlichen Infrastrukturänderungen. Bedrohungslagen und Angriffsmethoden entwickeln sich laufend weiter – ein einmalig durchgeführter Test hat nach 18 bis 24 Monaten deutlich an Aussagekraft verloren.
Was kostet ein Penetrationstest?
Das kommt auf den Scope an – eine ehrliche Pauschalantwort gibt es nicht. Ein kompakter externer Pentest für ein KMU beginnt in Österreich bei rund 2.500 €, ein internes Active-Directory-Assessment liegt typischerweise höher. Was den Preis konkret beeinflusst, welche Testtypen es gibt und worauf Sie bei Angeboten achten sollten, haben wir in einem eigenen Artikel detailliert aufgeschlüsselt: → Was kostet ein Pentest in Österreich? Kosten & Faktoren erklärt
Fazit: Kein Nice-to-have – sondern Risikomanagement
Die Frage ist nicht ob Ihr Unternehmen angegriffen wird, sondern wann – und ob Sie es bemerken, bevor der Schaden entsteht. Ein Penetrationstest ist kein Luxus für Großunternehmen. Er ist das effektivste Werkzeug, das Sie haben, um reale Angriffspfade sichtbar zu machen, bevor sie ausgenutzt werden.
Für die meisten österreichischen Unternehmen, die noch nie einen professionellen Sicherheitstest durchgeführt haben, ist die Frage nicht ob – sondern womit sie anfangen sollen. Und darauf haben wir nach einem kurzen Erstgespräch immer eine klare Antwort.
Kostenloses Erstgespräch vereinbaren
In 15 Minuten klären wir gemeinsam, welche nächsten Schritte für Ihr Unternehmen sinnvoll sind, um Ihre IT-Sicherheit zu stärken – ohne Pauschalempfehlungen.
Jetzt unverbindlich anfragen