Four people seated at a table in a meeting room, with a presenter speaking in front of a screen.

Security Assessment vs Penetration Test: Was dein KMU wirklich braucht

Security Assessment vs Penetration Test: Was dein KMU wirklich braucht

Yannick H.,

TLDR;

Ein Penetration Test und ein Security Assessment klingen ähnlich, lösen aber unterschiedliche Probleme. Der Pentest prüft in die Tiefe, ob ein Angreifer an einer konkreten Stelle wirklich reinkommt. Das Security Assessment schaut in die Breite: Technik, Prozesse, Menschen, Governance. Die meisten KMU kaufen einen Pentest, brauchen aber zuerst ein Assessment. Wer die Reihenfolge dreht, zahlt für einen Report, den niemand umsetzen kann. Kläre zuerst, wo du stehst, dann prüfe gezielt nach.

ODCUS Blog-Artikel Titelbild

„Wir brauchen einen Penetration Test." So fangen bei uns viele Gespräche an. Ein Geschäftsführer hat im Verwaltungsrat eine Frage kassiert, ein Kunde verlangt einen Nachweis, oder die Cyber-Versicherung hakt nach. Die Reaktion ist fast immer dieselbe: Es muss ein Pentest her.

Manchmal stimmt das. Oft nicht. Denn hinter der Frage Security Assessment vs Penetration Test steckt eine Entscheidung, die über mehrere tausend Franken und über den echten Sicherheitsgewinn bestimmt. Und die wird selten bewusst getroffen.

Wir klären das hier einmal sauber. Ohne Fachchinesisch, ohne Verkaufsmasche.

Was ein Penetration Test wirklich ist

Ein Penetration Test ist ein kontrollierter Angriff. Du beauftragst jemanden, in dein System einzubrechen, so wie es ein echter Angreifer versuchen würde. Das Ziel: herausfinden, ob eine konkrete Schwachstelle wirklich ausnutzbar ist. Nicht theoretisch, sondern praktisch.

Ein guter Pentester nimmt sich zum Beispiel deine Webapplikation vor, dein VPN oder dein internes Netzwerk. Er sucht den Weg rein, dokumentiert ihn, und zeigt dir, wie weit er kommt. Das Ergebnis ist tief und spezifisch. Ungefähr so: „Über diese veraltete Bibliothek im Kundenportal komme ich an die Datenbank, und von dort an die Rechnungsdaten."

Es gibt verschiedene Varianten. Beim Blackbox-Test weiss der Tester nichts über dein System und tastet sich von aussen heran. Beim Whitebox-Test bekommt er Zugänge und Dokumentation und schaut gezielter. Beide haben ihren Platz, kosten aber unterschiedlich viel Zeit und Geld.

Ein Pentest ist stark, wenn du eine konkrete Sache absichern willst. Eine neue Applikation vor dem Go-live. Eine Umgebung, die besonders exponiert ist. Ein System, das gerade umgebaut wurde. Da bringt die Tiefe echten Wert.

Was ein Pentest nicht macht: Er sagt dir nicht, ob deine Backups funktionieren, ob deine Mitarbeitenden Phishing erkennen, ob es einen Notfallplan gibt oder wer eigentlich für Sicherheit verantwortlich ist. Er leuchtet einen Tunnel aus, nicht das ganze Gebäude.

Was ein Security Assessment abdeckt

Ein Security Assessment geht die andere Richtung. Statt in die Tiefe eines Systems geht es in die Breite deiner gesamten Sicherheitslage. Die Frage ist nicht „Komme ich hier rein?", sondern „Wo stehen wir insgesamt, und wo sind die grössten Lücken?".

Ein gutes Assessment schaut sich vier Bereiche an, die zusammenspielen:

  • Die Technik: wie Systeme konfiguriert, gepatcht und segmentiert sind, und wo noch Altlasten mitlaufen.

  • Die Prozesse: ob Incident Response, Backups und Zugriffsverwaltung geregelt sind.

  • Die Menschen: ob Mitarbeitende typische Angriffe erkennen und wer im Ernstfall wofür verantwortlich ist.

  • Die Governance: ob es Richtlinien, Nachweise und klare Entscheidungswege gibt.

Am Ende steht kein einzelner Einbruchsweg, sondern ein Bild. Und zwar ein priorisiertes: Das hier ist dringend, das ist wichtig, das kann warten. Genau dieses Bild fehlt den meisten KMU, mit denen wir zum ersten Mal sprechen.

Konkret bekommst du aus einem Assessment meist drei Dinge in die Hand. Erstens eine ehrliche Standortbestimmung, oft entlang eines anerkannten Rahmens wie ISO 27001 oder dem NIST-Framework, damit klar wird, wo Lücken sind. Zweitens eine Risikoübersicht, die technische Findings in Geschäftssprache übersetzt, also nicht „Port 3389 offen", sondern „so kommt jemand an eure Lohndaten". Und drittens einen Massnahmenplan, der nach Wirkung und Aufwand sortiert ist. Damit kann eine Geschäftsleitung tatsächlich entscheiden, statt nur zu nicken.

Die Muster wiederholen sich dabei erstaunlich oft. Was uns bei fast jeder Prüfung wieder begegnet, haben wir in einem eigenen Beitrag gesammelt. Kurz gesagt: Meist sind es simple, offene Türen, durch die jemand hereinkommt, kaum je ein ausgefeilter Angriff.

Der eigentliche Unterschied: Tiefe gegen Breite

Stell dir ein Gebäude vor. Ein Penetration Test ist der Einbrecher, den du selbst engagierst, um eine bestimmte Tür zu testen. Kommt er durch das Kellerfenster? Gut zu wissen. Ein Security Assessment ist die Begehung des ganzen Gebäudes. Welche Türen gibt es überhaupt, welche stehen offen, wer hat einen Schlüssel, und was passiert, wenn doch jemand reinkommt?

Beides ist sinnvoll. Aber sie beantworten verschiedene Fragen. Der Pentest liefert Tiefe an einer Stelle. Das Assessment liefert Überblick über alle Stellen.

Der Punkt, den viele übersehen: Ohne Überblick weisst du gar nicht, welche Tür du überhaupt testen lassen solltest. Du rätst. Und Raten ist teuer, wenn eine Prüfung mehrere tausend Franken kostet.

Welches brauchst du zuerst?

Die ehrliche Antwort für die meisten KMU: das Assessment.

Wenn du noch nie strukturiert auf deine Sicherheit geschaut hast, ist ein Pentest wie ein hochauflösendes Röntgenbild eines einzelnen Zahns, bevor überhaupt jemand deine Krankengeschichte kennt. Du bekommst ein sehr detailliertes Ergebnis zu einem winzigen Ausschnitt, während die grossen, offensichtlichen Themen ungeprüft bleiben.

Ein Beispiel aus der Praxis. Ein Unternehmen wollte unbedingt einen Pentest der Website, weil ein Kunde das verlangt hatte. Wir haben trotzdem zuerst einen Tag Assessment vorgeschlagen. Das Ergebnis: Die Website war solide. Aber es gab keine funktionierenden Backups, ein von mehreren Personen geteiltes Admin-Passwort und keinen einzigen Menschen, der im Ernstfall gewusst hätte, was zu tun ist. Der Pentest allein hätte einen grünen Haken produziert, während das eigentliche Risiko woanders schlummerte.

Die Faustregel, die wir Kunden mitgeben, ist simpel:

  • Du kennst deine Sicherheitslage nicht strukturiert? Starte mit einem Assessment.

  • Du hast einen guten Überblick und willst ein konkretes, exponiertes System härten? Dann ist ein Pentest genau richtig.

  • Ein Kunde oder eine Ausschreibung verlangt explizit einen Pentest? Dann kläre zuerst, was genau gefordert ist. Oft reicht ein gezielter Test eines Systems, kein Rundumschlag über die ganze Infrastruktur.

Es geht nicht darum, den Pentest schlechtzureden. Es geht um die Reihenfolge. Das eine schafft die Landkarte, das andere gräbt an der markierten Stelle.

„Aber der Kunde verlangt einen Pentest"

Ein häufiger Auslöser verdient eine eigene Erklärung. Immer öfter steht in Verträgen oder Ausschreibungen, dass ein Lieferant einen Penetration Test vorweisen muss. Manchmal auch die Cyber-Versicherung fragt danach. Das fühlt sich nach einer klaren Anweisung an: Pentest kaufen, Häkchen setzen, fertig.

In der Praxis lohnt sich hier ein Zwischenschritt. Frag nach, was genau gefordert ist. Oft ist der Wortlaut schwammig, und ein gezielter Test des einen Systems, um das es dem Kunden geht, reicht vollkommen. Ein Assessment im Vorfeld hilft dir sogar dabei: Es zeigt, welches System überhaupt gemeint sein könnte und ob es davor noch offensichtliche Baustellen gibt, die ein Prüfer sonst zuerst findet. Nichts ist unangenehmer, als für viel Geld einen Test zu bestellen, der an einer trivialen Fehlkonfiguration hängen bleibt.

Und ein Nebeneffekt, den viele unterschätzen: Ein sauberer Assessment-Bericht plus ein gezielter Test ist gegenüber einem Kunden oder einer Versicherung meist überzeugender als ein isolierter Pentest-Report. Du zeigst damit, dass ihr die Sicherheit systematisch im Griff habt. Ein einzelner grüner Haken auf einem System sagt darüber wenig aus.

Wann sich beide ergänzen

Am stärksten sind die beiden zusammen, in der richtigen Abfolge. Ein typischer Weg, den wir mit Kunden gehen, sieht so aus.

Zuerst das Assessment, um den Überblick zu schaffen und die dringendsten Lücken zu schliessen. Das sind oft unspektakuläre Dinge: Backups testen, Admin-Rechte aufräumen, Multi-Faktor-Authentifizierung überall aktivieren, einen simplen Notfallplan aufschreiben. Diese Basisarbeit bringt pro investiertem Franken meist am meisten Schutz.

Danach, wenn das Fundament steht, ein gezielter Penetration Test auf das System, das am stärksten exponiert ist. Das Kundenportal, der Webshop oder der Fernzugriff. Jetzt ist der Test auch etwas wert, weil er nicht mehr an den offensichtlichen Themen scheitert und die tieferen Risiken sichtbar macht, die vorher niemand gesehen hätte.

So wird aus zwei konkurrierenden Rechnungen ein aufeinander aufbauender Plan. Und du gibst kein Geld für Tiefe aus, solange die Breite noch löchrig ist.

Der teure Fehler, den wir immer wieder sehen

Jetzt wird es zur Budgetfrage. Ein Pentest ist nicht billig, und ein breit angelegter kostet schnell ein Mehrfaches eines fokussierten Assessments. Das Geld ist gut angelegt, wenn der Test die richtige Frage beantwortet. Es ist verbrannt, wenn er die falsche beantwortet.

Der Klassiker: Ein KMU kauft einen breiten Pentest, bekommt einen 60-seitigen Report mit dutzenden Findings, und dann passiert nichts. Weil niemand die Findings priorisieren, einordnen oder umsetzen kann. Der Report wandert in einen Ordner, das Sicherheitsniveau bleibt gleich, und im nächsten Jahr wird der Test wiederholt. Bezahlt, aber wirkungslos.

Das ist genau die Art von Ausgabe, die wir gerne hinterfragen. Mehr Sicherheit entsteht nicht durch mehr Prüfungen, sondern durch die richtige Prüfung zum richtigen Zeitpunkt. Wer sein Security-Budget dorthin lenkt, wo es am meisten bewirkt, bekommt für weniger Geld mehr Schutz. Ein Assessment kostet oft einen Bruchteil eines umfassenden Pentests und sagt dir überhaupt erst, wofür sich die Tiefe lohnt.

Unser Ansatz beim Security Assessment ist deshalb bewusst pragmatisch. Erst verstehen, wo du stehst, dann gezielt vertiefen. Kein Report, der niemanden weiterbringt, sondern eine Handvoll Massnahmen, die du wirklich angehen kannst. Und wenn danach ein Pentest sinnvoll ist, weisst du wenigstens genau, welches System du prüfen lässt und warum.

Auf den Punkt gebracht

Security Assessment und Penetration Test sind keine Konkurrenten, sondern zwei Werkzeuge für zwei Fragen. Das Assessment zeigt dir die ganze Landkarte und wo die Löcher sind. Der Pentest gräbt an einer Stelle tief und beweist, ob ein konkreter Angriff funktioniert. Für die meisten KMU ist die richtige Reihenfolge erst der Überblick, dann die Tiefe. Wer das dreht, zahlt für Präzision an einem Punkt, während das grosse Bild unscharf bleibt.

Wenn du gerade überlegst, ob bei euch ein Assessment oder ein Pentest ansteht, sprich kurz mit uns. In einem kostenlosen Erstgespräch sortieren wir in 30 Minuten, was du wirklich brauchst, bevor du Geld ausgibst.

Begib dich mit uns auf die Reise

Unkompliziert ein Gespräch vereinbaren und erfahren, wie wir den Erfolg in der digitalen Welt in dein Unternehmen bringen.

Two men sit together in a cozy setting, smiling and sharing a conversation over drinks.

Begib dich mit uns auf die Reise

Unkompliziert ein Gespräch vereinbaren und erfahren, wie wir den Erfolg in der digitalen Welt in dein Unternehmen bringen.

Two men sit together in a cozy setting, smiling and sharing a conversation over drinks.
Abstract design featuring vibrant purple and blue gradients with geometric shapes and lines.
Text reads: "Let’s begin our digital journey."
Kontaktiere uns!

Grabenstrasse 15a

6340 Baar

Switzerland

+41 43 217 86 70

Copyright © 2026 ODCUS | Alle Rechte vorbehalten.

Abstract design featuring vibrant purple and blue gradients with geometric shapes and lines.
Text reads: "Let’s begin our digital journey."
Kontaktiere uns!

Grabenstrasse 15a

6340 Baar

Switzerland

+41 43 217 86 70

Copyright © 2026 ODCUS | Alle Rechte vorbehalten.