Anbietervergleich Schweiz
Pentest-Anbieter in der Schweiz: Vergleichsleitfaden 2026
Schweizer Unternehmen finden auf dem Markt mehr als 30 Penetration-Testing-Anbieter, von Solo-Consultants bis zu Big-Four-Beratungen. Die Qualitätsspanne ist breit, die Preise variieren um Faktor zehn, und nur wenige Anbieter erfüllen die Anforderungen, die FINMA-regulierte Institute oder TIBER-CH-Tests verlangen.
Wie wählt man einen Pentest-Anbieter in der Schweiz?
Vier Kriterien entscheiden, ob ein Pentest-Anbieter in der Schweiz qualifiziert ist: erstens eine CREST-Akkreditierung auf Unternehmensebene und CREST-CRT- oder CCT-Zertifizierungen der Tester, die tatsächlich am Engagement arbeiten; zweitens eine offen kommunizierte Methodik basierend auf OWASP Testing Guide, OWASP ASVS, PTES und NIST SP 800-115; drittens transparente Preisbildung mit definierten Tagessätzen und Scope-basierten Pauschalen statt diffusen "auf Anfrage"-Angeboten; viertens Branchenerfahrung in Ihrer Regulierungsumgebung, dokumentiert durch Referenzen, Audit-Anhang-Erfahrung und nachweisbare Compliance-Mappings auf FINMA-Rundschreiben 2023/1, ISO 27001 oder TIBER-CH. Anbieter, die zwei oder mehr dieser Kriterien nicht erfüllen, liefern in der Regel oberflächliche Reports ohne belastbare Audit-Spur.
Die sechs Kriterien für die Anbieterwahl
Unternehmenszertifizierung
CREST-Akkreditierung auf Firmenebene ist der internationale Goldstandard. Für TIBER-CH-konforme Tests ist CREST typischerweise Voraussetzung. ISO 27001 des Anbieters selbst zeigt, dass die eigene Sicherheit ernst genommen wird.
Tester-Zertifizierungen
Auf Personenebene relevant: OSCP, OSCE, OSWE, CREST CRT, CREST CCT, GPEN. Achten Sie darauf, dass die Tester, die an Ihrem Projekt arbeiten, diese Zertifizierungen halten, nicht nur das Unternehmen.
Methodik
Saubere Anbieter dokumentieren ihre Methodik öffentlich: OWASP Testing Guide, OWASP ASVS für Webanwendungen, OWASP API Security Top 10 für APIs, PTES für Infrastruktur, NIST SP 800-115 als Übersichtsrahmen.
Preistransparenz
Vermeiden Sie Anbieter, die ausschliesslich auf Anfrage anbieten. Seriöse Anbieter publizieren Preisspannen pro Testtyp. Ein Web-App-Pentest unter CHF 6'000 ist verdächtig knapp; über CHF 25'000 erfordert eine plausible Begründung.
Branchen- und Compliance-Erfahrung
Für FINMA-regulierte Institute, Healthcare-Anbieter und kritische Infrastrukturen ist branchenspezifische Erfahrung kein Luxus. Fragen Sie nach Audit-Anhang-Beispielen und Compliance-Mappings.
Reporting-Qualität
Fordern Sie ein Sample-Report. Ein guter Bericht enthält Management Summary, CVSS-bewertete Findings, Proof of Concept, Business-Impact-Analyse und priorisierte Remediation. Reine Tool-Output-Reports erkennen Sie an Seitenzahlen über 200 ohne narrative Struktur.
Preisspannen für Penetrationstests in der Schweiz 2026
| Testtyp | Preis | Dauer |
|---|---|---|
| Web Application Pentest | CHF 8'000 – 15'000 | 5 – 10 Tage |
| Externe Infrastruktur | CHF 10'000 – 20'000 | 5 – 10 Tage |
| Interne Infrastruktur | CHF 12'000 – 25'000 | 5 – 15 Tage |
| Mobile App (iOS / Android) | CHF 10'000 – 18'000 | 5 – 10 Tage |
| API Security Assessment | CHF 8'000 – 15'000 | 5 – 10 Tage |
| Wireless Assessment | CHF 8'000 – 14'000 | 5 Tage |
| Red Teaming (vollständig) | CHF 40'000 – 150'000 | 4 – 8 Wochen |
Drei rote Flaggen, an denen Sie unseriöse Anbieter erkennen
Pauschale Tagessätze unter CHF 1'500 ohne Erklärung. Erfahrene CREST-zertifizierte Tester arbeiten in der Schweiz typischerweise zu CHF 1'800 bis CHF 2'500 pro Tag. Deutlich tiefere Sätze deuten auf Junior-Personal oder Offshore-Delivery hin.
Keine Beispielberichte verfügbar. Etablierte Anbieter haben anonymisierte Sample-Reports oder zumindest Inhaltsverzeichnisse. Die Aussage "können wir aus Vertraulichkeitsgründen nicht zeigen" ist plausibel, wenn ein Strukturmuster oder eine Schablone gezeigt werden kann.
Tools statt Methodik. Wenn ein Anbieter primär über Werkzeuge (Burp, Nessus, Metasploit) statt über Methodik (OWASP, PTES, MITRE ATT&CK) spricht, ist das ein Hinweis auf scan-basierte Engagements ohne manuelle Tiefe.
Häufige Fragen zur Anbieterauswahl
Antworten auf die Fragen, die Schweizer Sicherheitsverantwortliche bei der Anbieterauswahl am häufigsten stellen.
Wie viele CREST-akkreditierte Pentest-Anbieter gibt es in der Schweiz?
Stand 2026 sind nur eine Handvoll Schweizer Anbieter auf Firmenebene CREST-akkreditiert. RedTeam Partners gehört zu den wenigen CREST-akkreditierten Anbietern in der Deutschschweiz. Eine aktuelle Liste publiziert CREST direkt unter crest-approved.org.
Wie unterscheiden sich Schweizer Pentest-Anbieter von ausländischen?
Schweizer Anbieter haben drei Vorteile: Vertrautheit mit nDSG, FINMA-Rundschreiben und TIBER-CH; Onsite-Verfügbarkeit für interne Infrastruktur-Tests; und Datenresidenz in der Schweiz, was für regulierte Branchen oft Voraussetzung ist. Ausländische Anbieter sind typischerweise günstiger, scheitern aber an Datenresidenz und Compliance-Anforderungen.
Was ist der Unterschied zwischen CREST und ISO 27001 für einen Pentest-Anbieter?
CREST zertifiziert die offensiven Sicherheitsleistungen selbst (Methodik, Tester-Qualifikation, Reporting-Standards). ISO 27001 zertifiziert das Informationssicherheits-Managementsystem des Anbieters (interne Prozesse, Datenschutz). Für einen ernsthaften Anbieter sollten beide vorhanden sein.
Soll man jährlich denselben Anbieter beauftragen?
Empfehlung: alle 2 bis 3 Jahre den Anbieter wechseln, um Betriebsblindheit zu vermeiden. Die laufenden Tests können beim gleichen Anbieter bleiben für Konsistenz, aber zumindest ein grosser Audit pro Zyklus sollte von einem zweiten Anbieter durchgeführt werden.
Können kleine Anbieter genauso gute Arbeit leisten wie grosse?
Ja, häufig sogar bessere. Solo-CREST-CCT-Tester und kleine Boutique-Anbieter haben oft tiefere technische Expertise als Big-Four-Beratungen, wo der eigentliche Test an Junior-Mitarbeitende delegiert wird. Wichtig ist die individuelle Tester-Qualifikation, nicht die Firmengrösse.
Wie viele Anbieter sollte man im Auswahlprozess vergleichen?
Drei Anbieter sind das Optimum: einer als Preis-Anker, einer als Qualitäts-Anker (etablierter CREST-Anbieter), einer als Branchen-Spezialist. Bei mehr als fünf Anbietern wird der Vergleich unscharf. Lassen Sie alle drei dasselbe Scope-Dokument scopen, um die Angebote vergleichbar zu machen.
Du weisst nicht, was Angreifer in deinem Netzwerk sehen. Wir schon.
30 Minuten. Ein CREST-zertifizierter Offensive-Experte zeigt dir, wo dein grösstes Risiko liegt. Kostenlos. Ohne Verpflichtung. Nur Fakten.
Kein Verkaufsgespräch — nur Erkenntnisse, die du morgen umsetzen kannst
30-Minuten-Videocall mit einem CREST-zertifizierten Offensive-Experten
Analyse basierend auf deiner tatsächlichen Infrastruktur, kein generisches Template
Kostenlose Analyse buchen
Drei kurze Fragen. Dann zeigen wir dir, wo du verwundbar bist.
Erhalten.
Wir melden uns innerhalb von 24 Stunden.