BSI-zertifizierte Pentest-Anbieter: Zertifizierung, Anforderungen und die aktuelle Liste
Wer darf IS-Penetrationstests nach BSI durchführen? Personenzertifizierung, Unternehmensanforderungen und die aktuelle BSI-Liste im Überblick.
Wer einen Penetrationstest in Auftrag gibt, steht vor einer grundlegenden Frage: Wie lässt sich die Kompetenz eines Anbieters objektiv beurteilen? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dafür ein eigenes Zertifizierungsprogramm geschaffen. Es prüft sowohl die fachliche Eignung einzelner Tester als auch die organisatorische Qualität des Dienstleisters. Das Ergebnis ist eine öffentlich einsehbare Liste zertifizierter Unternehmen, die als Orientierungshilfe bei der Anbieterauswahl dient.
Für Auftraggeber aus der öffentlichen Verwaltung ist diese Zertifizierung oft Voraussetzung. Doch auch privatwirtschaftliche Unternehmen profitieren davon, weil sie einen nachprüfbaren Qualitätsstandard schafft.
Kompetenzfeststellung für Penetrationstester
Die Zertifizierung beginnt auf der Ebene einzelner Personen. Das BSI hat das ursprüngliche formale Personenzertifizierungsverfahren inzwischen durch ein Kompetenzfeststellungsverfahren ersetzt. Dabei werden keine eigenen BSI-Prüfungen mehr abgenommen, sondern anerkannte externe Fachkundenachweise überprüft.
Konkret muss ein Kandidat mindestens eines der vom BSI anerkannten Zertifikate vorweisen. Dazu gehören unter anderem OSCP und OSWE von Offensive Security, GPEN und GXPN von GIAC, der Certified Red Team Operator (CRTO) von Zero-Point Security sowie der CPTS von HackTheBox Academy. Auch CompTIA PenTest+, der CREST Registered Penetration Tester (CRT) und die EC-Council-Zertifikate CEH (Practical) und CPENT werden akzeptiert. Das BSI prüft darüber hinaus auf Einzelfallbasis weitere Zertifikate, sofern diese einen nachweisbaren praktischen Anteil von mindestens 60 Prozent und eine Abschlussprüfung mit hohem Praxisanteil enthalten.
Zwei Bedingungen gelten für alle eingereichten Nachweise: Das Zertifikat darf zum Zeitpunkt der Antragstellung nicht älter als drei Jahre sein und muss noch gültig sein. Wer sein OSCP also vor vier Jahren erworben und nicht erneuert hat, muss die Prüfung erneut ablegen.
Der Antrag wird nicht vom Tester selbst eingereicht, sondern zentral durch den IT-Sicherheitsdienstleister bei der BSI-Anerkennungsstelle. Das Unternehmen koordiniert alle An-, Um- und Nachmeldungen und stellt die vollständigen Nachweise zusammen. Unvollständige Unterlagen werden nicht bearbeitet.
Zertifizierung des Unternehmens
Die Personenkompetenz allein reicht nicht aus. Damit ein Unternehmen auf die BSI-Liste kommt, muss es das Zertifizierungsprogramm IS-Penetrationstest durchlaufen. Die zentrale Anforderung: Das Unternehmen muss mindestens zwei Personen beschäftigen, deren Kompetenz im Geltungsbereich IS-Penetrationstests nachgewiesen wurde. Damit wird sichergestellt, dass der Dienstleister nicht von einer einzelnen Person abhängig ist und Projekte auch bei Personalwechsel oder Auslastungsspitzen abgesichert bleiben.
Die Unternehmens- und Personenzertifizierung laufen parallel. Ein Unternehmen kann seine Mitarbeiter also nicht vorab zertifizieren lassen und später die Firmenzertifizierung beantragen, sondern beide Verfahren sind aneinander gekoppelt. Das BSI prüft dabei neben der Fachkompetenz auch die Zuverlässigkeit, Unabhängigkeit und die Qualität der Dienstleistungserbringung. Grundlage ist die Verfahrensbeschreibung zur Zertifizierung von IT-Sicherheitsdienstleistern (VB-IT-Sicherheitsdienstleister) zusammen mit dem IS-Penetrationstest-Programm, das die verpflichtenden Anforderungen im Detail beschreibt.
Die Zertifizierung wird für einen definierten Zeitraum erteilt und muss regelmäßig erneuert werden. Bei den aktuell gelisteten Unternehmen beträgt die Gültigkeitsdauer typischerweise drei Jahre.
Die aktuelle BSI-Liste der IS-Penetrationstest-Anbieter
Das BSI veröffentlicht die Liste zertifizierter IT-Sicherheitsdienstleister auf seiner Website. Aktuell sind 18 Unternehmen im Geltungsbereich IS-Penetrationstests zertifiziert:
| Unternehmen | Gültig bis |
|---|---|
| @-yet GmbH | 14.01.2029 |
| CGI Deutschland B.V. & Co. KG | 31.05.2027 |
| datenschutz cert GmbH | 14.05.2027 |
| Deutsche Telekom MMS GmbH | 31.01.2029 |
| Deutsche Telekom Security GmbH | 30.06.2028 |
| Ernst & Young GmbH WPG | 14.10.2026 |
| Eviden Germany GmbH | 31.12.2025 |
| HiSolutions AG | 31.05.2026 |
| Infodas GmbH | 31.05.2028 |
| PwC Cyber Security Services GmbH | 14.08.2027 |
| PwC GmbH WPG | 14.06.2027 |
| secunet AG | 01.08.2028 |
| secuvera GmbH | 31.03.2028 |
| SVA System Vertrieb Alexander GmbH | 15.12.2028 |
| SySS GmbH | 14.11.2028 |
| turingpoint GmbH | 14.11.2028 |
| TÜV Informationstechnik GmbH | 29.02.2028 |
| TÜV TRUST IT GmbH | 29.02.2028 |
Die Liste umfasst sowohl große Beratungshäuser und Konzerngesellschaften als auch spezialisierte mittelständische Dienstleister. Auffällig ist, dass einige Unternehmen bereits seit über zehn Jahren zertifiziert sind und ihre Zulassung regelmäßig erneuern, während andere erst kürzlich hinzugekommen sind. Der Markt wächst, und das BSI hat das Verfahren in den letzten Jahren bewusst für weitere qualifizierte Anbieter geöffnet.
Was die Zertifizierung für Auftraggeber bedeutet
Ein Eintrag auf der BSI-Liste ist kein Marketinglabel, sondern das Ergebnis eines dokumentierten Prüfverfahrens. Für Auftraggeber bedeutet das: Die fachliche Eignung der eingesetzten Tester wurde anhand international anerkannter Zertifikate geprüft, der Dienstleister verfügt über mindestens zwei qualifizierte Penetrationstester und die Zertifizierung wird regelmäßig erneuert.
Besonders relevant ist die BSI-Zertifizierung für Unternehmen, die dem IT-Grundschutz unterliegen oder Aufträge im öffentlichen Sektor ausführen. In vielen Ausschreibungen auf Bundes- und Landesebene ist die Zertifizierung als IS-Penetrationstester eine harte Vergabevoraussetzung. Aber auch ohne formale Pflicht liefert die Liste einen verlässlichen Anhaltspunkt bei der Anbieterauswahl, weil sie auf einem transparenten und vom BSI überwachten Verfahren basiert.
Fazit
Die BSI-Zertifizierung für IS-Penetrationstests schafft einen nachvollziehbaren Qualitätsstandard auf zwei Ebenen: Einzelne Tester müssen ihre Kompetenz über anerkannte Praxiszertifikate nachweisen, und Unternehmen müssen organisatorische Mindestanforderungen erfüllen. Wer auf der Suche nach einem qualifizierten Pentest-Anbieter ist, findet in der BSI-Liste einen guten Ausgangspunkt. Und wer selbst Dienstleister ist, kann die Zertifizierung als strategisches Differenzierungsmerkmal nutzen, das Vertrauen bei Kunden und in Vergabeverfahren schafft.