Security Audit und Penetration Testing -- Wann und wie du dein Startup testen lässt
"Wir haben noch nie einen Security Audit gemacht" -- diesen Satz hören wir bei Startup Burgenland öfter, als uns lieb ist. Und ehrlich gesagt ist das bei Pre-Seed-Startups auch okay. Aber ab einem bestimmten Punkt wird ein professioneller Sicherheitstest zur Pflicht -- spätestens wenn Enterprise-Kunden, Investoren oder Regulatoren anklopfen.
Security Audit vs. Penetration Test -- der Unterschied
Diese Begriffe werden oft synonym verwendet, meinen aber Unterschiedliches:
| Aspekt | Security Audit | Penetration Test |
|---|---|---|
| Ziel | Gesamtübersicht der Sicherheitslage | Gezieltes Aufdecken von Schwachstellen |
| Methode | Review von Code, Konfiguration, Prozessen | Simulierter Angriff auf deine Systeme |
| Umfang | Breit (Technik + Organisation + Prozesse) | Fokussiert (Webapp, API, Netzwerk) |
| Dauer | 1-4 Wochen | 3-10 Tage |
| Kosten | EUR 3.000-15.000 | EUR 2.000-10.000 |
| Ergebnis | Bericht mit Empfehlungen | Liste konkreter Schwachstellen |
Wann brauchst du was?
Security Audit zuerst, wenn:
- Du noch nie eine systematische Prüfung gemacht hast
- Du eine Finanzierungsrunde vorbereitest (Investoren fragen danach)
- Du eine ISO-27001-Zertifizierung anstrebst
- Ein Enterprise-Kunde einen Sicherheitsnachweis verlangt
Penetration Test zuerst, wenn:
- Du eine Webapp oder API mit Nutzerdaten betreibst
- Du kurz vor einem grossen Launch stehst
- Ein konkreter Verdacht auf Schwachstellen besteht
- Regulatorische Anforderungen es verlangen (FinTech, HealthTech)
Arten von Penetration Tests
Black Box
Der Tester hat keine Informationen über dein System -- er geht vor wie ein echter Angreifer.
Grey Box
Der Tester bekommt eingeschränkte Informationen (z.B. API-Dokumentation, Testaccount). Das ist für die meisten Startups der beste Kompromiss.
White Box
Der Tester hat vollen Zugang zu Code und Infrastruktur. Am gründlichsten, aber auch am teuersten.
So läuft ein typischer Pentest ab
Woche 1 -- Vorbereitung:
- Scope definieren (Was wird getestet? Was nicht?)
- Vertrag und NDA unterschreiben
- Testumgebung bereitstellen
- Zeitfenster vereinbaren
Woche 2 -- Durchführung:
- Automatisierte Scans
- Manuelle Tests
- Social-Engineering-Tests (optional)
- Exploitation gefundener Schwachstellen
Woche 3 -- Auswertung:
- Detaillierter Bericht mit Schwachstellen
- Risikobewertung (kritisch, hoch, mittel, niedrig)
- Konkrete Empfehlungen zur Behebung
- Präsentations-Call mit deinem Team
Anbieter in Österreich und DACH
| Anbieter | Spezialisierung | Preisbereich |
|---|---|---|
| SEC Consult (Wien) | Enterprise, komplexe Systeme | EUR 5.000-20.000 |
| SBA Research (Wien) | Akademisch fundiert, gründlich | EUR 3.000-12.000 |
| Certitude (Wien) | Cloud und Web-Applikationen | EUR 3.000-10.000 |
| Cure53 (Berlin) | Open Source, Web Security | EUR 4.000-15.000 |
| Bugcrowd/HackerOne | Bug-Bounty-Plattformen | Ab EUR 500/Monat |
Bug-Bounty-Programme als Alternative
Für Startups mit knappem Budget kann ein Bug-Bounty-Programm eine kostengünstige Ergänzung sein. Du zahlst nur für tatsächlich gefundene Schwachstellen.
Vorteile:
- Kontinuierliches Testing statt Einmal-Aktion
- Zahlung nur bei Ergebnis
- Zugang zu einer Community von Security-Experten
Nachteile:
- Kein strukturierter Bericht
- Qualität der Meldungen variiert
- Kein Ersatz für einen systematischen Audit
DIY-Security-Checks für den Anfang
Bevor du Geld für externe Tests ausgibst, kannst du einiges selbst prüfen:
- OWASP ZAP (kostenlos) -- automatisierter Web-Scanner
- Nmap -- Netzwerk-Scanning
- SSL Labs (ssllabs.com) -- SSL/TLS-Konfiguration testen
- Mozilla Observatory -- HTTP-Header-Analyse
- npm audit / pip audit -- Abhängigkeiten auf bekannte Schwachstellen prüfen
- SonarQube (Community Edition) -- statische Code-Analyse
Was machst du mit den Ergebnissen?
Ein Pentest-Bericht ist nur so gut wie deine Reaktion darauf:
- Kritische Schwachstellen: Sofort beheben (innerhalb von 24-48 Stunden)
- Hohe Schwachstellen: Innerhalb von 2 Wochen
- Mittlere Schwachstellen: Innerhalb von 4 Wochen
- Niedrige Schwachstellen: Im nächsten Sprint-Zyklus
- Re-Test: 4-6 Wochen nach der Behebung die kritischen Punkte erneut testen lassen
Dein Aktionsplan
Wenn du noch keinen Security Audit gemacht hast:
- Starte mit den kostenlosen DIY-Tools (heute)
- Behebe die offensichtlichsten Schwachstellen (diese Woche)
- Hole dir Angebote für einen Grey-Box-Pentest ein (diesen Monat)
- Plane den Audit vor deiner nächsten Finanzierungsrunde oder deinem Enterprise-Kunden-Pitch
Der beste Zeitpunkt für deinen ersten Security Test war gestern. Der zweitbeste ist heute.
Weiterführende Artikel
- Incident Response Plan erstellen
- Cyber-Versicherung für Startups
- Cybersecurity Grundlagen für Startups -- Warum IT-Sicherheit von Tag eins zählt
- No-Code-Grundlagen -- Ohne Programmieren gründen
- Passwörter und Authentifizierung richtig umsetzen -- So schützt du dein Startup
Dieser Beitrag ist Teil der Serie "cybersecurity-für-startups" auf Startup Burgenland. Alle Beiträge findest du in unserem Blog.
Über den Autor: Felix Lenhard ist Program Director und Startup Coach bei Startup Burgenland. Zuvor Managing Director beim 360 Innovation Lab, Innovation Manager bei RHI Magnesita und Serial Entrepreneur mit internationalen Exits. Über 15 Jahre Erfahrung in Innovation und Unternehmensaufbau.