Letzte Aktualisierung: März 2026 | Lesezeit: ca. 10 Min.
Die öffentliche Verwaltung in Deutschland steht unter wachsendem Druck, ihre IT-Infrastruktur gegen Cyberangriffe abzusichern. Penetrationstests — also die kontrollierte Simulation von Angriffen auf IT-Systeme — gehören dabei zu den wichtigsten Werkzeugen. Für IT-Beratungsunternehmen, die in diesem Segment aktiv sind oder es werden wollen, bietet der öffentliche Sektor enorme Chancen. Gleichzeitig unterscheiden sich die Anforderungen deutlich von dem, was Sie aus dem privaten Sektor kennen.
In diesem Artikel zeigen wir Ihnen, was Sie über Penetrationstests im Behördenumfeld wissen müssen: von den regulatorischen Treibern über die konkreten Anforderungen bis hin zu Strategien, wie Sie die passenden Ausschreibungen finden und gewinnen.
Auf einen Blick:
- NIS2 + KRITIS treiben die Nachfrage — der Markt wächst rasant
- 1.200–1.800 EUR Tagessatz für Senior-Pentester im öffentlichen Sektor
- 80–150 Seiten umfasst ein typischer Behörden-Pentest-Bericht (vs. 20–40 im privaten Sektor)
- 200k–500k EUR Volumen bei Rahmenverträgen für Penetrationstests (2–4 Jahre Laufzeit)
- SÜ1/SÜ2 Sicherheitsüberprüfung dauert Monate — frühzeitig beantragen
Warum die Nachfrage nach Penetrationstests im öffentlichen Sektor explodiert
Drei regulatorische Entwicklungen treiben den Markt, die eng mit dem Thema IT-Sicherheitsausschreibungen und BSI-Grundschutz verknüpft sind:
NIS2-Umsetzung: Die europäische NIS2-Richtlinie, die in Deutschland durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt wird, erweitert den Kreis der betroffenen Organisationen massiv. Nicht nur klassische KRITIS-Betreiber, sondern auch zahlreiche Behörden und öffentliche Einrichtungen müssen nun nachweisen, dass sie ihre Systeme regelmäßig auf Schwachstellen prüfen lassen. Penetrationstests sind dabei ein zentrales Element der geforderten Risikoanalysen.
KRITIS-Regulierung: Das IT-Sicherheitsgesetz 2.0 hat die Anforderungen an Betreiber kritischer Infrastrukturen verschärft. Viele dieser Betreiber — Stadtwerke, Krankenhäuser, Verkehrsverbünde — sind öffentliche oder halböffentliche Einrichtungen. Eine detaillierte Analyse dieses Segments finden Sie in unserem Artikel zu KRITIS und IT-Sicherheitsausschreibungen. Sie müssen dem BSI regelmäßig nachweisen, dass ihre Systeme auf dem aktuellen Stand der Technik sind. Pentests sind ein anerkannter Nachweis.
BSI-Grundschutz und IT-Konsolidierung: Die fortschreitende IT-Konsolidierung des Bundes und der Länder bringt neue, komplexe Systemlandschaften hervor, die systematisch getestet werden müssen. Der BSI-Grundschutz-Katalog empfiehlt Penetrationstests explizit als Maßnahme zur Überprüfung der Wirksamkeit von Sicherheitsmaßnahmen.
In der Praxis bedeutet das: Die Zahl der öffentlichen Ausschreibungen für Penetrationstests hat sich in den letzten zwei Jahren deutlich erhöht. Und dieser Trend wird sich fortsetzen.
Was der öffentliche Sektor erwartet — im Vergleich zum privaten Sektor
Wenn Sie bisher primär für private Unternehmen Pentests durchgeführt haben, werden Sie im öffentlichen Sektor einige Unterschiede feststellen:
Formalisierte Methodik: Während private Auftraggeber oft ein pragmatisches „Findet unsere Schwachstellen" erwarten, verlangen Behörden eine dokumentierte, nachvollziehbare Vorgehensweise. Der BSI-Leitfaden „Durchführung von Penetrationstests" (BSI-Penetrationstest-Leitfaden) ist dabei häufig die verbindliche Grundlage. Achten Sie darauf, dass Ihre Nachweise die typischen Eignungskriterien bei IT-Ausschreibungen erfüllen. Sie müssen in Ihrem Angebot darlegen, dass Sie nach diesem Leitfaden arbeiten und welche der sechs Klassifikationsmerkmale (Informationsbasis, Aggressivität, Umfang, Vorgehensweise, Technik, Ausgangspunkt) Sie wie umsetzen.
Umfangreiche Dokumentation: Behördliche Auftraggeber erwarten detaillierte Ergebnisberichte, die nicht nur technische Schwachstellen auflisten, sondern diese in den Kontext der BSI-Grundschutz-Bausteine einordnen. Ein typischer Abschlussbericht für eine Behörde umfasst oft 80 bis 150 Seiten — im Vergleich zu den 20 bis 40 Seiten, die im privaten Sektor üblich sind.
Sicherheitsüberprüfung der Tester: Für viele Behördenprojekte müssen die eingesetzten Pentester eine Sicherheitsüberprüfung (SÜ1 oder sogar SÜ2) vorweisen können. Das ist eine signifikante Hürde, denn der Prozess dauert mehrere Monate. Wenn Sie in den Behördenmarkt einsteigen wollen, sollten Sie frühzeitig Sicherheitsüberprüfungen für Ihr Kernteam beantragen.
Häufiger Fehler: Im privaten Sektor wird Eigeninitiative beim Pentesting oft geschätzt. Im öffentlichen Sektor kann das Testen außerhalb des vereinbarten Scopes zu rechtlichen Problemen führen. Halten Sie sich strikt an die Leistungsbeschreibung.
Strengere Scope-Definitionen: Im öffentlichen Sektor ist der Testumfang in der Leistungsbeschreibung häufig sehr genau definiert. Eigeninitiative außerhalb des vereinbarten Scopes — im privaten Sektor oft geschätzt — kann hier zu rechtlichen Problemen führen.
Einbindung des ISB: Der Informationssicherheitsbeauftragte (ISB) der Behörde ist typischerweise eng in den Prozess eingebunden. Sie kommunizieren nicht nur mit der IT-Abteilung, sondern auch mit dem ISB und müssen Ihre Ergebnisse vor diesem Gremium präsentieren.
BSI-Zertifizierungen: Was Sie wirklich brauchen
Eine der häufigsten Fragen lautet: „Brauche ich eine BSI-Zertifizierung, um Pentests für Behörden durchzuführen?" Die Antwort ist differenziert:
BSI-zertifizierte IT-Sicherheitsdienstleister: Das BSI führt eine Liste zertifizierter IT-Sicherheitsdienstleister, die nach dem „Schema zur Zertifizierung von IT-Sicherheitsdienstleistern" geprüft wurden. Für bestimmte Ausschreibungen — insbesondere auf Bundesebene und für KRITIS-Prüfungen — ist diese Zertifizierung eine harte Anforderung. Der Zertifizierungsprozess ist aufwendig und umfasst eine Prüfung der technischen Kompetenz, der Prozesse und des Qualitätsmanagements.
ISO 27001 auf Basis von IT-Grundschutz: Diese Zertifizierung Ihres eigenen Unternehmens zeigt, dass Sie die BSI-Standards nicht nur kennen, sondern auch selbst leben. Sie ist zwar nicht immer eine zwingende Voraussetzung, verschafft Ihnen aber einen erheblichen Bewertungsvorteil.
Persönliche Zertifizierungen: Viele Ausschreibungen fordern, dass die eingesetzten Tester bestimmte Zertifizierungen vorweisen können. Am häufigsten gefragt sind: OSCP (Offensive Security Certified Professional), GPEN (GIAC Penetration Tester) und CEH (Certified Ethical Hacker). Zunehmend werden auch BSI-spezifische Qualifikationen verlangt.
Praxis-Tipp: Wenn Sie noch keine BSI-Zertifizierung als Dienstleister haben, starten Sie mit kommunalen und Landesausschreibungen. Dort sind die Anforderungen oft weniger streng als auf Bundesebene, und Sie können Referenzen im öffentlichen Sektor aufbauen.
🚀 Tipp: Tendit kostenlos testen
Tendit findet automatisch passende IT-Ausschreibungen für Ihr Unternehmen — KI-gestützt und in Sekunden statt Stunden. Jetzt kostenlos testen →
Typischer Scope und Preisgestaltung in öffentlichen Ausschreibungen
Öffentliche Pentest-Ausschreibungen lassen sich grob in drei Kategorien einteilen:
Einzelne Pentests (Projektbasis): Hierbei geht es um den Test eines bestimmten Systems oder einer Anwendung. Typische Beispiele sind der Pentest eines neuen Bürgerportals, einer E-Akte-Lösung oder eines Fachverfahrens. Das Volumen liegt typischerweise zwischen 30.000 und 80.000 Euro, die Laufzeit bei vier bis acht Wochen.
Rahmenverträge für Penetrationstests: Viele größere Behörden und IT-Dienstleistungszentren schreiben Rahmenverträge aus, über die sie bei Bedarf Pentests abrufen können. Diese Verträge haben typischerweise eine Laufzeit von zwei bis vier Jahren mit einem Gesamtvolumen von 200.000 bis 500.000 Euro. Der Vorteil für Sie: Planungssicherheit und regelmäßige Aufträge.
Umfassende Sicherheitsüberprüfungen: Besonders im KRITIS-Umfeld gibt es Ausschreibungen, die Pentests als Teil einer umfassenderen Sicherheitsüberprüfung umfassen. Hier werden neben klassischen Pentests auch Code-Reviews, Architekturanalysen und organisatorische Prüfungen gefordert. Das Volumen kann 500.000 Euro und mehr betragen.
Zahlen & Fakten: Tagessätze für Senior-Pentester: 1.200–1.800 EUR (Public Sector) vs. 1.800–2.500 EUR (Privatwirtschaft). Einzelprojekte: 30k–80k EUR. Rahmenverträge: 200k–500k EUR. KRITIS-Sicherheitsüberprüfungen: bis 500k EUR+.
Bei den Tagessätzen liegt der öffentliche Sektor typischerweise bei 1.200 bis 1.800 Euro pro Personentag für Senior-Pentester. Das ist weniger als im privaten Sektor, wo 1.800 bis 2.500 Euro üblich sind. Allerdings bieten öffentliche Aufträge den Vorteil höherer Planungssicherheit und größerer Volumina.
Compliance-Anforderungen im Detail
Wenn Sie sich an einer Pentest-Ausschreibung im öffentlichen Sektor beteiligen, sollten Sie die folgenden Normen und Richtlinien kennen:
BSI TR-02102 (Kryptographische Verfahren): Diese technische Richtlinie definiert, welche kryptographischen Verfahren als sicher gelten. In Ihren Pentest-Berichten müssen Sie Schwachstellen in der Kryptographie an dieser Richtlinie messen — nicht an allgemeinen Best Practices.
BSI-Penetrationstest-Leitfaden: Wie bereits erwähnt, ist dieser Leitfaden die methodische Grundlage. Er definiert sechs Klassifikationsmerkmale für Pentests und beschreibt eine fünfphasige Vorgehensweise: Vorbereitung, Informationsbeschaffung, Bewertung der Informationen, Aktive Eindringversuche und Abschlussanalyse.
BSI IT-Grundschutz-Kompendium: Die Ergebnisse Ihrer Pentests müssen in den Kontext der relevanten Grundschutz-Bausteine eingeordnet werden. Wenn Sie beispielsweise eine SQL-Injection-Schwachstelle finden, reicht es nicht, diese als „kritisch" einzustufen — Sie müssen sie dem Baustein APP.3.1 (Webanwendungen und Webservices) zuordnen und die betroffenen Anforderungen benennen.
Key Takeaway: Kennen Sie die fünf wichtigsten Normen: BSI TR-02102, BSI-Penetrationstest-Leitfaden, BSI IT-Grundschutz-Kompendium, OWASP Testing Guide und DSGVO/BDSG. Wer Schwachstellen nicht an diesen Standards messen kann, verliert Punkte in der Angebotswertung.
OWASP Testing Guide: Für Web-Anwendungen wird häufig die Durchführung gemäß OWASP Testing Guide gefordert. Dies ergänzt den BSI-Leitfaden um spezifische Testfälle für Webanwendungen.
Datenschutz (DSGVO/BDSG): Bei Pentests in Behörden kommen Sie zwangsläufig mit personenbezogenen Daten in Berührung. Ihre Vorgehensweise muss datenschutzkonform sein, und Sie benötigen typischerweise eine Vereinbarung zur Auftragsverarbeitung mit dem Auftraggeber.
Wie Sie Pentest-spezifische Ausschreibungen finden
Die Suche nach relevanten Pentest-Ausschreibungen ist eine der größten Herausforderungen. Die Ausschreibungen verteilen sich über zahlreiche Plattformen:
TED (Tenders Electronic Daily): Alle EU-weiten Ausschreibungen oberhalb der Schwellenwerte. Hier finden Sie die großen Rahmenverträge auf Bundes- und Landesebene. Suchbegriffe: „Penetrationstest", „IT-Sicherheitsüberprüfung", „Schwachstellenanalyse".
Vergabeplattformen der Länder: Jedes Bundesland hat eigene Vergabeplattformen (z. B. Vergabe.Bayern, Vergabe.NRW, eVergabe Berlin). Besonders Landes-IT-Dienstleister wie Dataport, AKDB oder IT.NRW schreiben regelmäßig Pentests aus.
Bund.de / service.bund.de: Für Bundesausschreibungen. Hier finden Sie Ausschreibungen des ITZBund, des BSI selbst und anderer Bundesbehörden.
Die manuelle Suche über all diese Plattformen ist extrem zeitaufwendig. Ein typischer Vertriebsmitarbeiter verbringt mehrere Stunden pro Woche damit, relevante Ausschreibungen zu identifizieren — und verpasst trotzdem regelmäßig Chancen, weil eine Plattform nicht abgedeckt wurde oder der Suchbegriff nicht passte. Genau hier setzt eine KI-basierte Ausschreibungssuche an, die alle relevanten Plattformen kontinuierlich überwacht und automatisch die für Ihr Profil passenden Ausschreibungen herausfiltert.
Fazit: Ein wachsender Markt mit klaren Spielregeln
Der Markt für Penetrationstests im öffentlichen Sektor wächst rasant — getrieben durch NIS2, KRITIS-Regulierung und das gestiegene Bewusstsein für Cybersicherheit in der Verwaltung. Für IT-Beratungsunternehmen, die bereit sind, die spezifischen Anforderungen des öffentlichen Sektors zu erfüllen, bietet sich eine hervorragende Chance.
Der Schlüssel zum Erfolg liegt in der Vorbereitung: Investieren Sie in BSI-Zertifizierungen, bauen Sie ein Team mit Sicherheitsüberprüfungen auf, machen Sie sich mit dem BSI-Penetrationstest-Leitfaden vertraut und entwickeln Sie Berichtsvorlagen, die den Anforderungen der öffentlichen Hand entsprechen.
Und vor allem: Verpassen Sie keine relevante Ausschreibung. Der Markt ist groß genug für spezialisierte Anbieter — aber nur, wenn Sie die Ausschreibungen rechtzeitig finden.
Zusammenfassung — Checkliste für den Einstieg:
- BSI-Penetrationstest-Leitfaden als methodische Grundlage verinnerlichen
- Sicherheitsüberprüfungen (SÜ1/SÜ2) für Kernteam frühzeitig beantragen
- Persönliche Zertifizierungen (OSCP, GPEN, CEH) für Tester sicherstellen
- Berichtsvorlagen entwickeln, die BSI-Grundschutz-Bausteine referenzieren (80–150 Seiten)
- Mit kommunalen Ausschreibungen starten — niedrigere Hürden, ideal zum Referenzaufbau
Testen Sie Tendit 8 Wochen kostenlos — und verpassen Sie keine relevante Ausschreibung mehr. usetendit.com
