Pentest KRITIS ist ein SecTepe-Produkt · SecTepe · IT-Dienstleister aus Wülfrath · seit 2023 hello@sectepe.de
SecTepe Pentest KRITIS Gespräch
KRITIS · §8a BSIG · BSI-Methodik

Pentest für kritische Infrastrukturen.

Wer Energie, Wasser, Gesundheit, Verkehr oder Finanzen betreibt, hat besondere Pflichten — und braucht besondere Sorgfalt. Wir testen mit Erfahrung aus Stadtwerken, Krankenhäusern und Verkehrsbetrieben.

KRITIS-Pentest planen Methodik §8a
  • §8a BSIG
  • 8 KRITIS-Sektoren
  • BSI-orientiert
  • OT-fähig

Auf einen Blick Stand · 27. Mai 2026 · Von SecTepe, Wülfrath (NRW)

KRITIS-Betreiber sind nach §8a BSIG verpflichtet, alle zwei Jahre nachweislich angemessene technische und organisatorische Vorkehrungen zu treffen — Pentest ist faktisch unverzichtbar. Pentest-KRITIS ist unsere Linie für Energie, Wasser, Gesundheit, Transport, Finanzen und IT-/TK-Sektor — methodisch nach BSI-Orientierungshilfe und mit Behörden-Kompatibilität.

Leistungen

Penetrationstest für KRITIS-Betreiber

Pentest nach §8a BSIG / KRITIS-Verordnung.

01

IT-Pentest

Klassischer IT-Pentest auf Web, externe Schnittstellen und interne Netze — methodisch wie für normale Unternehmen, aber dokumentiert für KRITIS-Prüfungen.

02

OT- & ICS-Pentest

Industrie-Steuerungen, SCADA, Leitsysteme — passive Erkennung, vorsichtige Test­schritte, keine Produktions-Unterbrechung.

03

Versorgung & Telemetrie

Spezialisierte Tests für Fernwirktechnik, AMI/Smart-Meter-Gateways, RTU-Kommunikation.

04

Krisen-Szenarien (Tabletop)

Realistische Übungen mit Krisenstab und ISB — vom Verschlüsselungs-Vorfall bis zum Netzausfall.

05

§8a-Begleitung

Vorbereitung und Begleitung der Wiederholungs-Prüfung nach §8a BSIG — Bericht im erwarteten Format.

06

NIS2-Mapping

KRITIS-Pflichten und NIS2-Anforderungen werden gemeinsam adressiert — kein Doppelaufwand.

Über Pentest KRITIS

Kritisch heißt: vorsichtig testen.

Pentest KRITIS ist ein Produkt von SecTepe — einem inhabergeführten IT-Dienstleister aus Wülfrath (NRW), gegründet 2023.

Pentest in einer KRITIS-Umgebung ist kein normaler Pentest. Ein nicht zu Ende gedachter Test kann reale Auswirkungen haben — eine Industrie-Steuerung, die ungeplant in Sicherheitsmodus geht; ein Leitsystem, das auf unerwartete Pakete reagiert.

Wir testen KRITIS-Umgebungen seit über 8 Jahren und verwenden Vorgehen, die Produktions-Risiko minimieren: Read-only-First, abgestufte Eingriffstiefe, Echtzeit-Abstimmung mit Ihrer Leitstelle. Unsere Methodik ist mit mehreren KRITIS-Aufsichts­behörden abgestimmt.

§8a BSIG
Prüfungsbasis
8+ Jahre
KRITIS-Pentest-Erfahrung
0
Produktionsausfälle
Häufige Fragen

Was Sie wahrscheinlich noch wissen wollen.

Antworten auf die Fragen, die in Erstgesprächen am häufigsten aufkommen. Steht Ihre Frage nicht dabei, schreiben Sie uns einfach.

Wer gilt als KRITIS-Betreiber?

Betreiber, die in einem der acht KRITIS-Sektoren liegen und die Schwellenwerte aus der BSI-Kritisverordnung (BSI-KritisV) überschreiten. Beispiele: Krankenhaus mit > 30.000 vollstationären Fällen/Jahr, Stromnetz mit > 100 MW versorgte Leistung, Wasserversorgung > 22 Mio. m³/Jahr.

Wie oft ist ein §8a-Nachweis fällig?

Mindestens alle zwei Jahre. Der Nachweis kann durch ein Audit der eingerichteten Maßnahmen geschehen — Pentest ist faktisch immer Bestandteil.

Können Sie auch OT-Strecken testen, ohne Produktion zu stören?

Ja. Wir starten mit passiven Methoden (Netzwerk-Sniffing, Inventarisierung) und steigen nur in vorab abgestimmten Wartungsfenstern und nach Risikobewertung in aktivere Tests ein.

Kennen Sie sektor-spezifische Anforderungen?

Wir haben Erfahrung in Energie (B3S Energie), Wasser, Krankenhäuser (B3S Krankenhäuser), Verkehrsbetriebe (B3S kommunaler ÖPNV) und Finanzen (BAIT/MaRisk).

Was ist der Unterschied zu NIS2-Pentest?

KRITIS ist die deutsche, sektor-spezifische Aufsicht; NIS2 die EU-weite, größere Rahmen-Regelung. Viele KRITIS-Betreiber sind zugleich „wesentliche Einrichtungen" nach NIS2 — wir mappen Pentest-Befunde auf beide Welten.

Wie schnell können Sie starten?

Vorab-Gespräch und Scope-Klärung dauern 1–2 Wochen, dann beginnen wir mit der passiven Phase. Aktiver Test in abgestimmten Wartungsfenstern.

Kerngedanken

Das Wichtigste in fünf Punkten.

  1. 01 §8a BSIG: alle 2 Jahre Nachweis angemessener IT-Sicherheit.
  2. 02 Sektoren: Energie, Wasser, Gesundheit, Verkehr, Finanzen, IT/TK u.a.
  3. 03 Pentest-Methodik nach BSI-Orientierungshilfe.
  4. 04 Berichte sind als Teil der §8a-Prüfung verwendbar.
  5. 05 NIS2-Mapping inklusive — KRITIS ≈ wesentliche Einrichtungen.
Pentest KRITIS · ein Produkt von SecTepe

KRITIS-Pentest braucht Erfahrung — keine Improvisation.

Wir besprechen Ihren Sektor, Ihre Schwellenwerte und die nächste §8a-Frist in einem Vorgespräch.

Ihre Nachricht landet direkt bei SecTepe in Wülfrath — an hello@sectepe.de. Wir antworten in der Regel innerhalb eines Werktages.

Vorgespräch buchen
Anschrift
SecTepe · 42489 Wülfrath · NRW
Servicegebiet
Deutschland