One-Off vs. Managed Pentesting: Was Finanzinstitute wissen müssen

Banken und große Unternehmen bestehen längst nicht mehr nur aus einer Website oder einer App.
Eine moderne Bank betreibt oft Hunderte von vernetzten Services – von Kundenportalen und mobilen Banking-Apps über APIs bis hin zu Gebäudeleittechnik und IoT-basierten CCTV-Systemen. Jeder dieser Services ist ein potenzielles Einfallstor für Angreifer – und jeder muss im Rahmen der Compliance-Anforderungen getestet werden.

Die Frage lautet: Reicht ein einmaliger Pentest aus – oder braucht es ein Managed Pentesting Service (MPS), um den Überblick zu behalten?

Die Grenzen von einmaligen Pentests

Ein klassischer Pentest ist eine Momentaufnahme. Ein Dienstleister wird beauftragt, ein bestimmtes System oder eine Anwendung zu prüfen, erstellt einen Bericht – und das war’s.
Für Unternehmen mit komplexen Infrastrukturen hat dieses Modell jedoch klare Schwächen:

• Fehlender Kontext: Ein One-Off-Test beleuchtet nur einen einzelnen Ausschnitt – nicht das gesamte Angriffsszenario.

• Hoher Koordinationsaufwand: Für jede neue Prüfung müssen Sie mit verschiedenen Anbietern angebote einholen und mit internen und externen Teams Release-Zyklen abstimmen.

• Compliance-Lücken: Vorschriften wie NIS2, ISO27001, NIST, DORA oder TIBER-EU erfordern regelmäßige Tests kritischer Assets. Ohne zentrale Planung verliert man schnell den Überblick, ob alle Anforderungen erfüllt werden.

• Kein Follow-up: Wer prüft, ob die Findings wirklich umgesetzt und behoben wurden? Hier fehlen oft Prozesse zur Integration der Ergebnisse in Risk-, GRC- oder Entwicklerteams.

Was ein Managed Pentesting Service anders macht

Ein Managed Pentesting Service (MPS) geht weit über den klassischen „Scan-und-Report“-Ansatz hinaus. Er ist ein kontinuierliches Sicherheitsprogramm, das die gesamte IT-Landschaft und regulatorische Anforderungen abdeckt.

Die wichtigsten Vorteile von MPS:

1. Risikobasierte Priorisierung

Nicht alle Systeme sind gleich kritisch.
Eine Core-Banking-Anwendung erfordert z. B. jährliche oder quartalsweise Tests, während eine interne Facility-Lösung alle zwei bis drei Jahre geprüft werden kann. MPS priorisiert nach Kritikalität und Compliance-Vorgaben.

2. Zentrale Koordination

Schluss mit dem Jonglieren von 800 Ansprechpartnern.
Ein Managed Service übernimmt:

• Abstimmung der Testfenster mit Entwicklerteams.

• Planung entlang von Release-Zyklen (z. B. neue Major-Versionen).

• Vendor-Management für Drittanbietersysteme.

3. Kontinuierliches Testing & Retesting

Gefundene Schwachstellen werden nicht nur dokumentiert, sondern regelmäßig nachgeprüft – ein Feature, das bei Einmaltests oft teuer dazugekauft werden muss.

4. Compliance-gerechte Reports

Standards wie ISO 27001, PCI DSS, DORA oder TIBER-EU erfordern strukturierte Dokumentationen. Ein Pentest as a Service liefert:

• Auditfertige Reports nach regulatorischen Vorgaben.

• SLA-basierte Testzyklen entsprechend der Asset-Kritikalität.

• Evidenz für interne und externe Audits.

5. Integration in GRC und Risikomanagement

Statt eines isolierten Berichts werden Ergebnisse direkt verknüpft mit:

• Risikoregister und GRC-Prozessen.

• Management-Summaries für die Führungsebene.

• Automatisierter Nachverfolgung und Remediation.

Ein Praxisbeispiel: Eine Bank mit 800 Services

Eine europäische Bank betreibt:

• 50+ Kundenanwendungen (Web & Mobile Banking).

• 200+ interne Systeme.

• 100+ Gebäude- und IoT-Systeme (CCTV, Zutrittskontrollen).

• Hunderte von APIs und Microservices.

Brauchen all diese Assets jährliche Tests?
Nein, aber alle müssen nach einem kritikalitätsbasierten Rhythmus geprüft und dokumentiert werden.

Mit einem One-Off-Ansatz bedeutet das:

• Unzählige Einzelverträge.

• Manuelles Tracking und Chaos bei Release-Absprachen.

• Getrennte Berichte und fehlende Übersicht.

Mit einem Managed Service eines Managed Security Service Provider (MSSP) bedeutet es:

• Ein zentraler Partner (Exploit Labs) koordiniert alle Tests.

• Dynamische Priorisierung – kritische Systeme werden häufiger geprüft.

• Dashboards & KPIs für Board-Reports und Compliance.

Wann ist der richtige Zeitpunkt für Tests?

Ein Pentest sollte nicht nur nach Zeitplan erfolgen, sondern auch bei Veränderungen in der Infrastruktur:

• Neue Versionen oder Major Releases.

• Cloud-Migrationen.

• Compliance Deadlines oder Audits.

Ein MSSP überwacht diese Trigger automatisch, damit keine sicherheitskritische Änderung ungetestet bleibt.

Wie Exploit Labs Managed Pentesting liefert

Exploit Labs kombiniert erstklassige Red-Teaming & Pentest-Expertise mit skalierbaren Pentesting-Operations.

Unser Ansatz:

• Adversary Emulation: Realistische Angriffs-Szenarien basierend auf aktuellen Bedrohungsdaten.

• Risk-Based Testing: Fokus auf die Systeme, die Angreifer zuerst ins Visier nehmen.

• Purple-Team-Integration: Ergebnisse fließen direkt an Blue Teams für Sofortmaßnahmen.

• Compliance Mapping: Alle Findings sind mit DORA, ISO 27001 & TIBER-EU verknüpft.

• Globaler Scope: Wir arbeiten für regulierte Unternehmen in der EU, GCC und weltweit.

One-Off vs. Managed Pentesting – im Vergleich