Wie lange dauert ein Penetrationstest in Berlin?

Ein einfacher Webapplikations-Pentest dauert 3–5 Werktage. Ein vollständiger KMU-Pentest (extern + Active Directory + Phishing) dauert typischerweise 2–4 Wochen vom Kick-off bis zur Abschlusspräsentation.

Warum sollte ich einen Berliner Pentest-Anbieter wählen?

Ein lokaler Pentest-Anbieter aus Berlin kennt die regionalen Compliance-Anforderungen, ist bei Bedarf vor Ort verfügbar und versteht die spezifischen Herausforderungen des Berliner Mittelstands. SODU Secure bietet direkten Kontakt, kurze Reaktionszeiten und individuelle Betreuung.

Welche Zertifizierungen haben eure Pentester?

Unser Team besitzt Kenntnisse im Bereich OSCP-Methodik, OWASP-Testing-Guide und führt Angriffssimulationen nach etablierten Frameworks wie PTES und OSSTMM durch. Wir sind ein junges, spezialisiertes Berliner Sicherheitsunternehmen.

Was ist der Unterschied zwischen einem Pentest und einem Vulnerability Scan?

Ein Vulnerability Scan identifiziert automatisch bekannte Schwachstellen mithilfe von Tools. Ein Penetrationstest geht darüber hinaus: Ein menschlicher Tester versucht aktiv, Schwachstellen auszunutzen, Angriffsketten zu kombinieren und reale Angreiferszenarien zu simulieren. Nur ein Pentest zeigt, ob eine Lücke tatsächlich ausnutzbar ist.

Berliner Mittelstand & KMU

Pentest Berlin für KMU

Q: Was kostet ein Pentest in Berlin?

Ein professioneller Pentest in Berlin kostet je nach Scope zwischen 1.499 € (einfacher Webapplikationstest) und 15.000 € (vollständiger KMU-Pentest inkl. Active Directory und Phishing-Simulation). Kontaktieren Sie uns für ein individuelles Angebot.

62 % aller Cyberangriffe weltweit treffen kleine und mittlere Unternehmen. Berliner KMUs sind ein bevorzugtes Ziel - weil automatisierte Angriffe keine Unternehmensgröße kennen.

KMU Pentest Konfigurieren

81 %

dt. Unternehmen Opfer von Cyberangriffen

(Bitkom 2024)

62 %

aller Angriffe treffen KMUs

(Verizon DBIR 2024)

60 %

angegriffener KMUs gehen innerhalb von 6 Monaten insolvent

(U.S. NCSA)

4,9 Mio. €

Ø Kosten eines Sicherheitsvorfalls in DE

(IBM 2024)

Warum Angreifer KMUs bevorzugen

Kein dediziertes Security-Team

IT wird oft nebenbei durch Generalisten betrieben - keine Zeit für proaktive Sicherheit.

Veraltete Software & Updates

Patch-Management ist aufwendig. Bekannte CVEs bleiben Monate ungepatcht.

Fehlkonfiguriertes Active Directory

Standard-AD-Konfigurationen sind für Angreifer trivial. Kerberoasting, Pass-the-Hash, ACM-Misconfiguration.

Zugang zu Lieferketten

KMUs sind Zulieferer großer Unternehmen - ein KMU-Hack ist der Einstiegspunkt für Lieferketten-Angriffe.

Kein Incident Response Plan

Ohne Plan zahlt ein KMU nach einem Angriff doppelt: Bereinigung + Ausfallzeit + Datenschutzmeldung.

Der typische KMU-Angriffsablauf

Automatisierter Scan

Shodan, Censys und Masscan scannen permanent das Internet auf offene Ports, veraltete Software und bekannte CVEs.

Initialer Zugang

Ausnutzung einer CVE in VPN, Webserver oder Mail-Lösung. Alternativ: Phishing-Mail an Mitarbeiter.

Laterale Bewegung

NTLM-Relay, Pass-the-Hash oder Kerberoasting im Active Directory. Ausbreitung auf alle Systeme.

Exfiltration + Ransomware

Datenkopie → Verschlüsselung → Lösegeld. Ø Forderung KMU: 100.000–500.000 € (FBI 2024).

Was ein KMU-Pentest in Berlin abdeckt

Kein Standardpaket - jeder KMU-Pentest wird auf Ihre Infrastruktur zugeschnitten.

Externer Netzwerk-Pentest

Scan und Exploitation aller öffentlichen IPs, offenen Ports, Remote-Access-Dienste (VPN, RDP, SSH). Identifikation von CVEs in produktiven Systemen.

Web Application Pentest

OWASP Top 10, Business Logic Fehler, API-Sicherheit. Prüfung Ihrer Webapplikationen auf ausnutzbare Schwachstellen.

Active Directory Assessment

Kerberoasting, Pass-the-Hash, ACL-Misconfigurations, Privilegien-Eskalation. Die häufigste Angriffsfläche im Berliner Mittelstand.

Phishing-Simulation

Realistische Spear-Phishing-Kampagne gegen Ihre Mitarbeiter. Klickrate-Auswertung + Awareness-Empfehlungen für Ihre Security-Schulung.

Cloud Security Review

Prüfung von AWS/Azure/GCP-Konfigurationen: S3-Bucket-Berechtigungen, IAM-Policies, öffentliche Endpunkte, Secrets in Code-Repos.

Management-Summary & Re-Test

Abschlussbericht mit Management-Summary für Geschäftsführung und technischem Report für IT-Team. Re-Test kritischer Findings inklusive.

NIS2 und der Berliner Mittelstand

Die NIS2-Richtlinie (seit Oktober 2024 in nationales Recht umzusetzen) verpflichtet wichtige Einrichtungen ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz in relevanten Sektoren zu technischen Risikomanagementmaßnahmen - darunter regelmäßige Sicherheitsprüfungen.

Ein Penetrationstest ist die stärkste Form des Nachweises für „angemessene Sicherheitsmaßnahmen“ nach Art. 21 NIS2. Das BSI empfiehlt Pentests als Teil des IT-Grundschutz-Prozesses.

NIS2-konformen Pentest anfragen BSI NIS-2 Seite →

Was ein KMU nach dem Pentest hat

Vor dem Pentest

✗Keine Kenntnis realer Angriffsvektoren
✗AD-Konfiguration nie extern geprüft
✗Kein Überblick über exponierte Systeme
✗Kein NIS2 / Versicherungsnachweis
✗Keine priorisierten Maßnahmen

Nach dem Pentest

Klarer Bericht aller Schwachstellen (CVSS)
Priorisierte Maßnahmenliste für IT-Team
Management-Summary für Geschäftsführung
Nachweis für NIS2, ISO 27001, Cyberversicherung
Re-Test-Check für kritische Findings

Häufige Fragen: Pentest für KMU Berlin

Warum sind KMUs besonders häufig Ziel von Cyberangriffen?

KMUs haben im Vergleich zu Großunternehmen oft weniger IT-Ressourcen, veraltete Software und keine dedizierten Sicherheitsteams – und sind damit für automatisierte Angriffe leichtere Ziele. Laut Bitkom 2024 waren 81 % der befragten deutschen Unternehmen Opfer von Cyberangriffen, der Mittelstand überproportional betroffen.

Bin ich als KMU von NIS2 betroffen?

NIS2 gilt für "wichtige Einrichtungen" ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz in Sektoren wie IT, Energie, Produktion, Lebensmittel, Logistik oder Gesundheit. Ein Pentest ist zwar nicht explizit vorgeschrieben, gilt aber als Nachweis für "angemessene Sicherheitsmaßnahmen" nach Art. 21 NIS2. Quelle: BSI NIS-2.

Was kostet ein KMU-Pentest in Berlin?

Ein vollständiger KMU-Pentest (extern + Active Directory + optional Phishing-Simulation) kostet bei SODU Secure ab 8.000 €. Der genaue Preis hängt von der Anzahl der Systeme und dem gewünschten Testumfang ab.

Wie lange dauert ein KMU-Pentest?

Ein typischer KMU-Pentest dauert 2–3 Wochen vom Kick-off bis zur Abschlusspräsentation. Vorbereitung und NDA-Unterzeichnung: 1–2 Tage. Aktive Testphase: 7–10 Werktage. Berichtserstellung: 3–5 Tage.

Was sind die häufigsten Schwachstellen bei KMUs in Berlin?

Die häufigsten Findings in KMU-Pentests: (1) Schwache Active-Directory-Konfigurationen mit Kerberoasting-Anfälligkeit, (2) Veraltete VPN-Systeme oder Remote-Desktop-Dienste ohne MFA, (3) Fehlkonfigurierte Cloud-Speicher (S3, Azure Blob), (4) OWASP-Top-10-Lücken in internen Webanwendungen, (5) Unsichere Default-Credentials auf Netzwerkgeräten.

Weitere Themen rund um Pentest Berlin

Was kostet ein Pentest in Berlin?

Transparente Preise, Pakete und Kostenfaktoren für Berliner Unternehmen.

Interner vs. Externer Pentest

Was ist der Unterschied und wann brauchen KMUs welchen Ansatz?

ISO 27001 Pentest Berlin

Welche Pentests für ISO 27001 und NIS2-Compliance notwendig sind.

KMU-Pentest in Berlin anfragen

Kostenloses Erstgespräch - kein Verkaufsdruck. Wir besprechen Ihren Scope und erstellen ein verbindliches Festpreisangebot.

KMU Pentest Kosten Berechnen

← Zurück zur Pentest Berlin Übersicht