Automatisierte Pentests vs. manuelle Pentests: Eine ehrliche Analyse

Written by ExposIQ | März 3, 2026

Tools wie Pentera, Horizon3.ai NodeZero oder RidgeBot versprechen vollautomatische Penetrationstests — rund um die Uhr, ohne menschliches Zutun. Aber halten sie dieses Versprechen? Und was bedeutet das für Schweizer KMU, die weder das Budget eines Grosskonzerns noch ein eigenes Security-Team haben?

Eine ehrliche Analyse, basierend auf Praxis und Fakten.

Was automatisierte Pentest-Tools tatsächlich können

Zunächst das Positive — und das ist nicht wenig. Die aktuelle Generation automatisierter Pentest-Plattformen ist beeindruckend:

  • Pentera simuliert reale Angriffsketten auf Ihre interne Infrastruktur — von der initialen Schwachstelle bis zum lateralen Movement. Das Tool testet nicht nur ob eine Schwachstelle existiert, sondern ob sie tatsächlich ausnutzbar ist.
  • Horizon3.ai NodeZero arbeitet als autonomer Pentester: Es scannt Ihr Netzwerk, identifiziert Angriffspfade und versucht aktiv, Zugang zu kritischen Systemen zu erlangen. NodeZero hat im Rahmen des NSA CAPT-Programms über 50’000 Schwachstellen bei 1’000 US-Rüstungsunternehmen aufgedeckt — und Domain-Kompromittierungen in unter 77 Sekunden erreicht.
  • RidgeBot kombiniert automatisiertes Scanning mit KI-gestützter Angriffsplanung und liefert verifizierte Exploits mit dokumentiertem Impact.

Diese Tools finden zuverlässig bekannte Schwachstellen (CVEs), testen Standard-Passwörter, identifizieren Fehlkonfigurationen und decken typische Angriffspfade auf. Und sie tun das schnell, reproduzierbar und konsistent — ein menschlicher Tester hat gute und schlechte Tage, ein automatisiertes Tool nicht.

Wo Automatisierung dem Menschen überlegen ist

In bestimmten Bereichen sind automatisierte Tools tatsächlich besser als manuelle Pentester:

  • Geschwindigkeit und Abdeckung: Ein automatisiertes Tool kann Tausende von Hosts und Diensten in Stunden prüfen. Ein menschlicher Tester schafft in der gleichen Zeit einen Bruchteil davon.
  • Konsistenz: Jeder Test läuft nach dem gleichen Verfahren ab. Keine Schwachstelle wird übersehen, weil der Tester müde war oder unter Zeitdruck stand.
  • Regelmässigkeit: Automatisierte Tests können wöchentlich oder sogar täglich laufen. Ein manueller Pentest findet typischerweise ein- bis zweimal pro Jahr statt — viel zu selten in einer Welt, in der täglich neue CVEs veröffentlicht werden.

Für die Erkennung bekannter Schwachstellen, Standard-Fehlkonfigurationen und schwacher Passwörter sind diese Tools einem durchschnittlichen manuellen Pentest mindestens ebenbürtig — oft sogar überlegen.

Wo die Grenzen liegen

Aber jede ehrliche Analyse muss auch die Grenzen benennen. Und die sind real:

  • Business-Logik-Schwachstellen: Automatisierte Tools verstehen Ihre Geschäftsprozesse nicht. Ein manueller Tester erkennt, dass man durch Manipulation eines Bestellprozesses Waren zu negativen Preisen kaufen kann. Ein automatisiertes Tool sieht nur HTTP-Requests. Ein bekanntes Beispiel: Ein US-Unternehmen liess 16 automatisierte Pentests von 7 verschiedenen Anbietern durchführen — alle verpassten eine kritische Schwachstelle mit über 100 Millionen Dollar Schadenpotenzial. Ein manuelles Red Team fand sie.
  • Komplexe Angriffsketten: Die besten Pentester kombinieren soziale, technische und physische Vektoren kreativ. Ein automatisiertes Tool kann keine Phishing-Mail schreiben, die auf die spezifische Organisationsstruktur Ihres Unternehmens zugeschnitten ist.
  • Zero-Day-Entdeckung: Automatisierte Tools testen gegen bekannte Schwachstellen. Unbekannte Schwachstellen in individuellen Applikationen finden sie nicht — hier braucht es kreatives menschliches Denken.
  • Kontextverständnis: Ein erfahrener Tester versteht, welche Findings in Ihrem spezifischen Umfeld wirklich kritisch sind und welche theoretisch, aber praktisch irrelevant. Tools priorisieren nach generischen Scores.

Die Kostenfrage: Enterprise-Tools für KMU-Budgets?

Hier wird es für Schweizer KMU konkret — und ernüchternd. Diese automatisierten Pentest-Plattformen sind Enterprise-Produkte mit Enterprise-Preisen:

  • Pentera startet bei rund USD 35’000 pro Jahr. Typische Enterprise-Lizenzen liegen bei USD 120’000 und mehr jährlich.
  • Horizon3.ai NodeZero veröffentlicht keine Preise, arbeitet mit individuellen Angeboten. Die Positionierung richtet sich klar an grössere Organisationen.
  • RidgeBot ist ab ca. USD 500–1’000 verfügbar, allerdings mit stark eingeschränktem Scope (z.B. eine einzelne Web-App oder 20 IPs).

Zum Vergleich: Ein jährlicher manueller Pentest für ein KMU kostet typischerweise CHF 8’000–20’000, je nach Scope. Ein Vulnerability Scanner wie Nessus, OpenVAS oder Qualys liegt bei CHF 2’000–5’000 pro Jahr. Für ein KMU mit 20–100 Mitarbeitenden ist eine Pentera-Lizenz schlicht jenseits des realistischen Budgets — und selbst wenn das Budget vorhanden wäre, ist die Frage ob der Mehrwert gegenüber einem guten Vulnerability Scanner plus gezieltem manuellem Pentest den Preis rechtfertigt.

Die Schweizer Perspektive: Datenresidenz und nDSG

Für Schweizer Unternehmen gibt es eine zusätzliche Dimension, die selten diskutiert wird: Wo landen Ihre Scan-Daten?

Automatisierte Pentest-Tools sammeln hochsensible Informationen: Netzwerktopologien, Schwachstellen, Passwörter, Konfigurationsdetails. Diese Daten sind für einen Angreifer Gold wert.

  • Pentera Core wird als On-Premises-Appliance (VM) im eigenen Netzwerk betrieben — die Tests laufen lokal. Ob und welche Daten an Penteras Cloud-Infrastruktur für Lizenzierung oder Updates übermittelt werden, sollte vor dem Einsatz geklärt werden.
  • Horizon3.ai NodeZero ist eine SaaS-Plattform. Ein Docker-Container läuft zwar lokal, aber die Orchestrierung erfolgt über Horizon3s Cloud-Infrastruktur in den USA. Laut Hersteller werden nur Metadaten (keine Dateiinhalte) übermittelt und nach 5 Tagen gelöscht — dennoch fliesst Infrastruktur-Information in eine US-Cloud.
  • RidgeBot bietet sowohl Cloud- als auch On-Premises-Deployment.

Unter dem revidierten Schweizer Datenschutzgesetz (nDSG) müssen Sie bei Cloud-basierten Lösungen sicherstellen, dass ein angemessenes Datenschutzniveau gewährleistet ist. Bei Sicherheitsscan-Daten — die de facto eine Schwachstellenkarte Ihres Unternehmens darstellen — sollte man besonders kritisch sein.

Was für KMU tatsächlich sinnvoll ist

Können automatisierte Pentest-Tools manuelle Pentests ersetzen? Technisch ja, in vielen Bereichen. Praktisch scheitert es für die meisten KMU am Budget.

Der pragmatische Ansatz für Schweizer KMU sieht daher anders aus als die Marketing-Versprechen der Enterprise-Anbieter:

  1. Regelmässiges Vulnerability Scanning als Fundament: Ein Vulnerability Scanner (Nessus, OpenVAS, Qualys oder vergleichbar) für CHF 2’000–5’000 pro Jahr deckt den Grossteil der bekannten Schwachstellen, Fehlkonfigurationen und veralteten Software ab. Wöchentliche oder monatliche Scans schaffen die kontinuierliche Sichtbarkeit, die ein jährlicher Pentest allein nicht bieten kann.
  2. Ein gezielter manueller Pentest pro Jahr: Einmal jährlich einen erfahrenen Pentester beauftragen, der Ihre Web-Applikationen, Business-Logik und individuelle Infrastruktur testet. Das deckt ab, was kein automatisiertes Tool kann — und liefert den Compliance-Nachweis, den Auditoren und das nDSG verlangen.
  3. Enterprise-Pentest-Plattformen nur wo Budget und Komplexität es rechtfertigen: Tools wie Pentera oder NodeZero sind für Unternehmen mit grossen, komplexen Netzwerken und entsprechendem Security-Budget sinnvoll. Für ein KMU mit 50 Arbeitsplätzen sind sie in den meisten Fällen Overkill.

Fazit: Pragmatisch statt dogmatisch

Die Frage „automatisiert oder manuell“ ist die falsche Frage. Die richtige Frage lautet: Was braucht Ihr Unternehmen, um sein spezifisches Risiko auf ein akzeptables Niveau zu senken — innerhalb eines realistischen Budgets?

Für die meisten Schweizer KMU ist die Antwort klar: Regelmässiges Vulnerability Scanning als Basis, ergänzt durch einen jährlichen manuellen Pentest. Das ist sofort umsetzbar, kosteneffizient und deckt sowohl die kontinuierliche Überwachung als auch die Tiefenprüfung ab. Automatisierte Pentest-Plattformen sind beeindruckende Tools — aber für die meisten KMU schlicht überdimensioniert und zu teuer.

Denn am Ende ist der gefährlichste Pentest der, den man gar nicht macht — egal ob automatisiert oder manuell.

ExposIQ ist die Schweizer Plattform für automatisiertes Vulnerability Management. Wir helfen KMU und IT-Dienstleistern, Schwachstellen zu erkennen und zu beheben – sicher, verständlich und nDSG-konform.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Firma

Über uns Kontakt Blog
 Datenschutzerklärung Nutzungsbedingungen

Newsletter

Copyright © ExposIQ Schweiz 2026. Alle Rechte vorbehalten.