Wie lange dauert ein Penetrationstest in Berlin?

Ein einfacher Webapplikations-Pentest dauert 3–5 Werktage. Ein vollständiger KMU-Pentest (extern + Active Directory + Phishing) dauert typischerweise 2–4 Wochen vom Kick-off bis zur Abschlusspräsentation.

Warum sollte ich einen Berliner Pentest-Anbieter wählen?

Ein lokaler Pentest-Anbieter aus Berlin kennt die regionalen Compliance-Anforderungen, ist bei Bedarf vor Ort verfügbar und versteht die spezifischen Herausforderungen des Berliner Mittelstands. SODU Secure bietet direkten Kontakt, kurze Reaktionszeiten und individuelle Betreuung.

Welche Zertifizierungen haben eure Pentester?

Unser Team besitzt Kenntnisse im Bereich OSCP-Methodik, OWASP-Testing-Guide und führt Angriffssimulationen nach etablierten Frameworks wie PTES und OSSTMM durch. Wir sind ein junges, spezialisiertes Berliner Sicherheitsunternehmen.

Bietet SODU Secure auch kostenlose Pentests an?

Im Rahmen unseres Berlin KMU Pilotprogramms 2026 bieten wir einem ausgewählten Berliner KMU einen vollständigen Pentest im Wert von bis zu 15.000 € kostenfrei an. Bewerben Sie sich unter sodusecure.com/berlin-kmu-pilot.

Was ist der Unterschied zwischen einem Pentest und einem Vulnerability Scan?

Ein Vulnerability Scan identifiziert automatisch bekannte Schwachstellen mithilfe von Tools. Ein Penetrationstest geht darüber hinaus: Ein menschlicher Tester versucht aktiv, Schwachstellen auszunutzen, Angriffsketten zu kombinieren und reale Angreiferszenarien zu simulieren. Nur ein Pentest zeigt, ob eine Lücke tatsächlich ausnutzbar ist.

ISO 27001 · NIS2 · DSGVO

ISO 27001 Pentest Berlin

Q: Was kostet ein Pentest in Berlin?

Ein professioneller Pentest in Berlin kostet je nach Scope zwischen 2.500 € (einfacher Webapplikationstest) und 15.000 € (vollständiger KMU-Pentest inkl. Active Directory und Phishing-Simulation). Kontaktieren Sie uns für ein individuelles Angebot.

Welche Sicherheitstests für die ISO 27001 Zertifizierung erforderlich sind, welche Controls einen Pentest verlangen und wie SODU Secure Berliner Unternehmen audit-ready macht.

Compliance-Pentest Anfragen ← Pentest Berlin Übersicht

ISO 27001:2022

Internationale Norm für Informationssicherheits-Management (ISMS). Annex A 8.8 und 8.29 fordern technische Schwachstellenprüfungen.

NIS2-Richtlinie

EU-Richtlinie mit Gesetzeskraft. Art. 21 fordert technische Risikomanagementmaßnahmen — Pentests sind stärkster Nachweis.

DSGVO Art. 32

Technische und organisatorische Maßnahmen (TOMs) zur Datensicherheit. Ein Pentest zeigt, dass TOMs wirksam implementiert sind.

Welche ISO 27001 Controls einen Pentest verlangen

ISO 27001:2022 enthält 93 Controls in 4 Domänen. Diese 6 sind direkt durch einen Pentest adressierbar — 3 davon sind besonders relevant für Auditoren.

A 8.8

Management technischer Schwachstellen

Besonders relevant

Informationen über technische Schwachstellen in genutzten Systemen müssen zeitnah beschafft, das Risikoniveau bewertet und geeignete Maßnahmen ergriffen werden.

Direkte Evidenz durch Schwachstellenidentifikation + CVSS-Bewertung im Pentest-Bericht.

A 8.29

Sicherheitstests in Entwicklung & Abnahme

Besonders relevant

Sicherheitstests müssen in der Entwicklung und beim Release neuer oder geänderter Systeme durchgeführt werden.

Web-Application-Pentest und API-Sicherheitstest als Abnahmetest vor Go-Live.

A 8.25

Sicherer Entwicklungslebenszyklus

Regeln für die sichere Softwareentwicklung müssen festgelegt und angewendet werden.

White-Box-Pentest mit Source-Code-Review als SSDLC-Werkzeug.

A 5.37

Dokumentierte Betriebsabläufe

Betriebsverfahren für IT-Systeme müssen dokumentiert und verfügbar sein.

Pentest-Bericht als dokumentierter Nachweis der Sicherheitsüberprüfung.

A 5.30

IKT-Bereitschaft für Business Continuity

Die IKT-Bereitschaft muss geplant, implementiert, bewertet und kontinuierlich verbessert werden.

Red-Team-Übungen und Incident-Response-Szenarien aus Pentest-Ergebnissen.

A 8.2

Privilegierte Zugriffsrechte

Besonders relevant

Zuweisung und Nutzung privilegierter Zugangsdaten müssen eingeschränkt und verwaltet werden.

Active-Directory-Pentest prüft Privilege-Escalation-Pfade und PAM-Konfigurationen.

Quelle: DIN EN ISO/IEC 27001:2023, Annex A — din.de

ISO 27001 vs. NIS2 — Was ist der Unterschied?

Kriterium	ISO 27001:2022	NIS2-Richtlinie
Rechtlicher Status	Freiwillige internationale Norm	EU-Richtlinie (gesetzliche Pflicht)
Zielgruppe	Alle Organisationen weltweit	Bestimmte Sektoren/Größen in der EU
Ziel	ISMS-Zertifizierung + Vertrauensnachweis	Cybersicherheitspflichten im öffentlichen Interesse
Pentest gefordert?	Indirekt (Annex A 8.8, 8.29)	Indirekt (Art. 21 "angemessene Maßnahmen")
Sanktionen	Kein Zertifikat / Auditergebnis	Bis zu 10 Mio. € oder 2 % Jahresumsatz
Berlin-Relevanz	Wettbewerbsvorteil, Versicherung, Tender	NIS2-UmsuCG: Pflicht für relevante Sektoren

Wie SODU Secure ISO 27001 Audit-Readiness unterstützt

Scope-Gespräch & Risikoanalyse

Kostenlos (30 Min.). Wir klären, welche Systeme im ISMS-Scope sind und welche Controls bereits umgesetzt sind.

Pentest-Durchführung

Grey-Box-Pentest auf alle relevanten Systeme (Extern, Active Directory, Web, Cloud). Testdauer: 5–15 Werktage.

Strukturierter Pentest-Bericht

CVSS-bewertete Findings, Risikoeinstufung (kritisch/hoch/mittel/niedrig), Maßnahmenempfehlungen — audit-tauglich aufbereitet.

Direkt einsetzbar als ISO 27001 Audit-Evidenz (Annex A 8.8).

Maßnahmenumsetzung & Re-Test

Ihre IT behebt kritische Findings. SODU Secure führt Re-Test durch und stellt eine Bestätigung der Behebung aus.

Optional: Audit-Vorbereitung

Wir klären offene Fragen zum Pentest-Bericht mit Ihrem ISO 27001 Auditor und bereiten die Präsentation der Evidenz vor.

Auch relevant: DORA (für Finanzdienstleister in Berlin)

Der Digital Operational Resilience Act (DORA) gilt ab Januar 2025 für alle Finanzinstitute in der EU — inkl. Berliner Fintechs, Zahlungsdienstleister und Versicherungen. DORA verpflichtet zu regelmäßigen TLPT (Threat-Led Penetration Tests) nach TIBER-EU-Methodik für bedeutende Institute.

DORA-Pentest anfragen EBA DORA Guidelines →

Häufige Fragen: ISO 27001 Pentest Berlin

Verlangt ISO 27001 explizit einen Penetrationstest?

ISO 27001:2022 verlangt in Annex A 8.8 (Management technischer Schwachstellen) das Identifizieren und Beheben von Schwachstellen in Informationssystemen. Während ein Pentest nicht explizit vorgeschrieben ist, gilt er als einer der stärksten Nachweise für die Umsetzung dieses Controls. Zertifizierungsauditoren erwarten für Umgebungen mit erhöhtem Risikoprofil typischerweise Pentest-Belege.

Welche ISO 27001 Controls erfordern einen Pentest?

Die relevantesten Controls: A 8.8 (Management technischer Schwachstellen), A 8.25 (Sicherer Entwicklungslebenszyklus), A 8.29 (Sicherheitstests in Entwicklung und Abnahme), A 5.37 (Dokumentierte Betriebsabläufe) sowie A 5.30 (IKT-Bereitschaft für Business Continuity). Ein Pentest liefert direkte Evidenz für A 8.8 und A 8.29.

Wie oft muss ein Pentest für ISO 27001 durchgeführt werden?

ISO 27001 schreibt keine feste Häufigkeit vor, empfiehlt aber regelmäßige Überprüfungen entsprechend dem Risikoniveau. Gängige Praxis: Initialer Pentest vor der Zertifizierung, danach jährlich oder bei wesentlichen Infrastrukturänderungen. Viele Zertifizierungsauditoren akzeptieren einen Pentest-Bericht, der nicht älter als 12 Monate ist.

Was ist der Unterschied zwischen einem Pentest für ISO 27001 und NIS2?

ISO 27001 ist eine freiwillige Norm für ein Informationssicherheits-Managementsystem (ISMS). NIS2 hingegen ist eine EU-Richtlinie mit gesetzlichen Pflichten. Beide erfordern technische Sicherheitsmaßnahmen. Ein Pentest-Bericht kann für beide Zwecke als Nachweis dienen — idealerweise nach Absprache mit dem Auditor.

Kann SODU Secure uns auf die ISO 27001 Zertifizierung vorbereiten?

SODU Secure führt den technischen Pentest durch und liefert einen strukturierten Bericht, der als Evidenz im ISMS-Audit einsetzbar ist. Wir dokumentieren Findings nach CVSS 3.1, geben Maßnahmenempfehlungen und führen auf Wunsch ein Re-Test-Check durch. Für ISMS-Aufbau und ISO 27001 Gap-Analyse empfehlen wir einen Compliance-spezialisierten Partner.

Weitere Themen rund um Pentest Berlin

Was kostet ein Pentest in Berlin?

Transparente Preise, Pakete und Kostenfaktoren für Berliner Unternehmen.

Pentest Berlin für KMU

Warum KMUs besonders gefährdet sind und wie ein maßgeschneiderter Pentest schützt.

Interner vs. Externer Pentest

Unterschiede, Vor- und Nachteile und wann welcher Ansatz sinnvoll ist.

ISO 27001 konformen Pentest anfragen

SODU Secure erstellt audit-taugliche Pentestberichte für ISO 27001, NIS2 und DSGVO — direkt einsetzbar als Evidenz im Zertifizierungsaudit.

Compliance-Pentest Konfigurieren

← Zurück zur Pentest Berlin Übersicht