Die Deutsche Beteiligungs AG steigt bei Bug Bounty Switzerland ein und wettet damit auf ein Sicherheitsmodell, das den klassischen Pentest ablöst. Statt einer Prüfung pro Jahr suchen 16.000 geprüfte Ethical Hacker fortlaufend nach Lücken. Für Entscheider im DACH-Raum steckt darin mehr als eine Kapitalanlage.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenBug Bounty verlagert die Sicherheitsprüfung von einem einzelnen Termin in den Dauerbetrieb. Ende April 2026 hat die börsennotierte Deutsche Beteiligungs AG (DBAG) genau dieses Modell zu ihrer siebten Langfristbeteiligung gemacht. Der Deal selbst ist dabei weniger spannend als das, was er über den Markt verrät.
Das Wichtigste in Kürze
- Gemeinsam mit Direttissima Growth Partners beteiligt sich die DBAG im Rahmen einer Runde über rund 12 Millionen Franken an Bug Bounty Switzerland.
- Die Plattform „Cyber Resilience Shield“ bündelt über 16.000 geprüfte Ethical Hacker und KI-Agenten zu einem fortlaufenden Test.
- Zu den 52 Kunden zählen Finanzdienstleister, kritische Infrastruktur und die nationale Cybersicherheitsbehörde der Schweiz.
- Unter NIS2 wird laufendes Schwachstellenmanagement Pflicht, was Crowdsourcing-Modellen zusätzlichen Rückenwind gibt.
Was macht Bug Bounty Switzerland anders?

Bug Bounty Switzerland ersetzt die jährliche Momentaufnahme durch einen Dauertest: Über 16.000 geprüfte Ethical Hacker und KI-Agenten suchen laufend nach Lücken, bezahlt wird pro gefundenem Fehler.
Der klassische Penetrationstest liefert eine Momentaufnahme. Ein Team prüft ein System über wenige Tage, schreibt einen Bericht, und bis zur nächsten Runde bleibt vieles im Dunkeln.
Die 2020 in Luzern gegründete Firma dreht dieses Prinzip um und orchestriert über ihre Plattform mehr als 16.000 geprüfte Ethical Hacker, ergänzt um KI-Agenten und Bedrohungsdaten in Echtzeit.[1] Der eigentliche Hebel ist die Dauerhaftigkeit: Das Zeitfenster, in dem eine Lücke unentdeckt offensteht, schrumpft von Monaten auf Tage.
Warum steckt ein Beteiligungshaus Geld in Ethical Hacking?
Die DBAG sieht einen Markt, der jährlich um rund 25 Prozent wächst, und steuert über die Plattform das gesamte Sicherheitstest-Programm der Kunden, angetrieben von der Verbreitung von KI.
Von etwa 12,8 Milliarden Euro im Jahr 2024 soll der Markt für Sicherheitstests bis 2029 auf 38,2 Milliarden Euro klettern.[1] Tom Alzin, Vorstandssprecher der DBAG, hebt hervor, dass die Plattform „das gesamte Sicherheitstest-Programm“ ihrer Kunden steuert.
Gerade agentische KI schafft neue Angriffsflächen. Dass Angreifer den KI-Agenten von GitHub zur Preisgabe privater Repositories verleitet haben oder unsichtbare Befehle im Quelltext KI-Agenten gekapert haben, zeigt: Lücken entstehen schneller, als ein Jahrestest sie einfangen kann.
Zwei Prüfmodelle im Vergleich
- ◆Momentaufnahme an wenigen Tagen
- ◆meist einmal pro Jahr
- ◆festes, kleines Prüfteam
- ◆Bericht, dann Stillstand
- ◆Dauerbetrieb rund um die Uhr
- ◆16.000 Prüfer plus KI-Agenten
- ◆Bezahlung pro gefundenem Fehler
- ◆Lücke offen: Tage statt Monate
Ethical Hacking wird vom Einmal-Projekt zur Daueraufgabe. Sicherheit als jährlicher Haken auf der Compliance-Liste prüft die eigene Tür genau an den Tagen nicht, an denen eingebrochen wird.
— Markus Seyfferth, Chefredakteur Dr. Web
Was bedeutet das für NIS2-pflichtige Unternehmen?
Unter NIS2 wird laufendes Schwachstellenmanagement zur Pflicht. Ein verwalteter Bug-Bounty-Betrieb liefert genau das, plus die rechtssichere Klammer, die der Hackerparagraf sonst vermissen lässt.
Für Unternehmen im DACH-Raum kommt der Zeitpunkt nicht von ungefähr. Mit NIS2 macht die EU laufendes Schwachstellenmanagement zur Pflicht, und in Deutschland koordiniert das BSI die geregelte Offenlegung von Lücken.[2] Wie sich Firmen grundsätzlich absichern, zeigt der Leitfaden zur Informationssicherheit.
Ein Haken bleibt die Rechtslage: Die Paragrafen 202a bis 202c StGB stellen selbst wohlmeinendes Eindringen unter Strafe, solange Erlaubnis und Safe-Harbor-Klausel fehlen. Die Bandbreite der Vorfälle reicht ohnehin von versteckten Hintertüren in Router-Firmware bis zu Erpressergruppen, die es auf Konzerne abgesehen haben.
Vor dem Einstieg klären Verantwortliche die Safe-Harbor-Bedingungen im Vertrag und legen fest, welche Systeme in den Dauertest gehören und wer gemeldete Funde in welcher Frist behebt. Für den Mittelstand zählt am Ende weniger die Aktie als die Frage, welches Prüfmodell zum eigenen Risiko passt.
Quellen
[1] Deutsche Beteiligungs AG: „Deutsche Beteiligungs AG invests in Bug Bounty Switzerland and strengthens cybersecurity testing platform“ ↩
[2] BSI: „NIS-2 Sicherheitsmaßnahmen und Schwachstellenmanagement“ ↩
Mehr Newshunger?
- GitLost: Wie sich GitHubs KI-Agent zur Preisgabe privater Repositories verleiten lässt
- Unsichtbare Befehle im Quelltext: Wie manipulierte Webseiten KI-Agenten zur Zahlung bringen
- Tenda-Firmware enthält eine versteckte Authentifizierungs-Hintertür
- Erst zwei Opfer, dann die Deutsche Bank: Was hinter der Erpressergruppe UnSafe steckt
- Smart Home Sicherheit: Wenn das Homeoffice zum Risiko wird
- Was sind Patientendaten Kriminellen im Darknet wert?