Es gibt in meiner Beratungspraxis eine Aussage, die ich fast jede Woche höre. Sie kommt von Geschäftsführern, von IT-Leitern, manchmal sogar von Compliance-Verantwortlichen. Sie lautet: „Wir machen jedes Jahr einen Penetrationstest.“ Und dann folgt eine kurze Pause, in der ich spüre, dass die Person auf meine Bestätigung wartet. Die bekommt sie seit dem 6. Dezember 2025 nicht mehr.
An diesem Datum ist das neue BSI-Gesetz (BSIG) in Kraft getreten, mit dem Deutschland die europäische NIS-2-Richtlinie in nationales Recht überführt hat. Für rund 30.000 Unternehmen in 18 Sektoren gilt seitdem: Cybersicherheit ist kein Projekt. Sie ist ein fortlaufender Prozess, dessen Wirksamkeit kontinuierlich nachzuweisen ist. Und genau das verändert die Geschäftsgrundlage des einmal jährlichen Pentests fundamental.
Das BSIG nennt das Wort Penetrationstest an keiner Stelle. Wer das als Freifahrtschein versteht, liegt falsch. Die eigentliche Pflichtlage ergibt sich aus zwei Nummern des Mindestmaßnahmenkataloges in Paragraf 30 Absatz 2 BSIG.
Nummer 5 verlangt Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen – einschließlich des Managements und der Offenlegung von Schwachstellen. Ein Penetrationstest ist das methodisch schärfste Instrument zur strukturierten Schwachstellenidentifikation, das in der Praxis verfügbar ist.
Nummer 6 fordert Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen. Wer behauptet, seine Sicherheitsmaßnahmen seien wirksam, muss das belegen können. Ein einmal jährlich durchgeführter Test, der einen Stichtag abbildet, erfüllt diese Anforderung nach meiner Einschätzung nicht mehr.
Überwölbt wird beides von der Formulierung in Paragraf 30 Absatz 2 Satz 1: Maßnahmen müssen den Stand der Technik einhalten und einschlägige europäische und internationale Normen berücksichtigen. Damit sind ISO 27001:2022, der BSI IT-Grundschutz und die EU-Durchführungsverordnung zu NIS-2 gemeint – alle drei behandeln technische Sicherheitsüberprüfungen als wiederkehrenden, nicht als einmaligen Vorgang.
Das BSI schiebt den Maßstab nach oben
Besonders aufschlussreich ist, was die Aufsichtsbehörde selbst zu Paragraf 30 Absatz 2 Nr. 6 BSIG veröffentlicht hat. Das BSI stellt in seinen offiziellen Orientierungshilfen klar:
„Die Bewertung der Wirksamkeit von Sicherheitsmaßnahmen ist kein einmaliges Ereignis, sondern ein fortlaufender Prozess. Ohne eine regelmäßige Wirksamkeitsprüfung entsteht schnell der Effekt einer scheinbaren Sicherheit: Einrichtungen fühlen sich sicher, sind es faktisch aber möglicherweise nicht und übersehen dadurch reale Risiken.“
Das ist nicht irgendeine Auslegung. Das ist die amtliche Position der Behörde, die für die Aufsicht über 30.000 Unternehmen zuständig ist. Das BSI geht noch weiter: Die Wirksamkeit von Prozessen soll nicht nur „establiert“ (Reifegrad 3) sein, sondern „messbar“ (Reifegrad 4). Kennzahlen, kontinuierliche Überwachung, regelmäßige Audits und Penetrationstests werden ausdrücklich als Instrumente dieser Wirksamkeitsbewertung benannt.
Warum der Jahrespentest das Problem nicht löst
Die Welt der Angreifer dreht sich schneller als der Kalender. Kritische CVEs werden nicht im Jahresrhythmus veröffentlicht, sondern täglich. Konfigurationen ändern sich, neue Cloud-Dienste werden angebunden, Mitarbeiter wechseln, externe Zugänge entstehen. Was ein Pentest-Team im Januar als sicher bewertet hat, kann im März durch eine öffentlich bekannte Schwachstelle längst kompromittierbar sein.
Der Jahrespentest ist ein Bild vom Ist-Zustand zu einem bestimmten Stichtag. Er beantwortet eine wichtige Frage – aber er beantwortet sie nur einmal. Das Gesetz verlangt, dass die Frage dauerhaft beantwortet bleibt.
In meiner Praxis empfehle ich deshalb ein gestaffeltes Modell: monatliche automatisierte Schwachstellenscans als Dauermonitoring, quartalsweise technische Penetrationstests für relevante Angriffsflächen, und mindestens einmal jährlich einen vollumfänglichen, extern durchgeführten Test mit Bericht an die Geschäftsleitung. Erst dieses Zusammenspiel bildet ab, was Paragraf 30 BSIG und die BSI-Auslegung meinen, wenn sie von einem fortlaufenden Prozess sprechen.
Die Haftungsfrage ist persönlich
Ein Aspekt, der in vielen Unternehmen noch nicht angekommen ist: Die Pflicht sitzt nicht in der IT-Abteilung. Paragraf 38 BSIG verpflichtet die Geschäftsleitung persönlich zur Genehmigung, Überwachung und eigenen Schulung in Bezug auf die Risikomanagementmaßnahmen. Ein Haftungsverzicht durch das Unternehmen ist gesetzlich ausgeschlossen.
Das bedeutet im Klartext: Wenn ein Sicherheitsvorfall eintritt und im Nachgang festgestellt wird, dass Schwachstellenmanagement und Wirksamkeitsprüfung nicht dem Stand der Technik entsprachen, haftet der Geschäftsführer persönlich. Das Risikobewusstsein, das ich bei Entscheidern in der Finanzbranche erwarte, muss sich auf diese Dimension erstrecken.
Was jetzt zu tun ist
Zunächst: prüfen, ob Ihr Unternehmen überhaupt unter das BSIG fällt. Wer in einem der 18 regulierten Sektoren tätig ist und die Schwellenwerte überschreitet (50 Mitarbeitende oder 10 Millionen Euro Jahresumsatz), ist betroffen. Die Registrierungsfrist beim BSI lief am 6. März 2026 ab – wer das versäumt hat, steht bereits im Fokus der Aufsicht.
Dann: die eigene Schwachstellenmanagement- und Testpraxis ehrlich bewerten. Nicht ob man irgendwann einen Penetrationstest gemacht hat, sondern ob ein strukturiertes, dokumentiertes, kontinuierliches Verfahren existiert, das der Geschäftsleitung regelmäßig Rechenschaft ablegt.
Das Gesetz ist in Kraft, die Aufsicht ist aktiv, und die Anforderung ist klar. Einmal im Jahr reicht nicht mehr.
Thilo Noack ist seit über 25 Jahren im Bereich Datenschutz sowie der IT- und Informationssicherheit tätig. Im Rahmen seiner beratenden Tätigkeit betreut er international mehr als 250 Unternehmen und Konzerne aus verschiedensten Branchen. Seine Arbeit konzentriert sich auf die praxisnahe Umsetzung gesetzlicher Anforderungen, den Aufbau von Managementsystemen sowie die Begleitung komplexer IT- und Compliance-Projekte.
