Die Deutsche Beteiligungs AG steigt bei Bug Bounty Switzerland ein und wettet damit auf ein Sicherheitsmodell, das den klassischen Pentest ablöst. Statt einer Prüfung pro Jahr suchen 16.000 geprüfte Ethical Hacker fortlaufend nach Lücken. Für Entscheider im DACH-Raum steckt darin mehr als eine Kapitalanlage.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Bug Bounty verlagert die Sicherheitsprüfung von einem einzelnen Termin in den Dauerbetrieb. Ende April 2026 hat die börsennotierte Deutsche Beteiligungs AG (DBAG) genau dieses Modell zu ihrer siebten Langfristbeteiligung gemacht. Der Deal selbst ist dabei weniger spannend als das, was er über den Markt verrät.

Das Wichtigste in Kürze

  • Gemeinsam mit Direttissima Growth Partners beteiligt sich die DBAG im Rahmen einer Runde über rund 12 Millionen Franken an Bug Bounty Switzerland.
  • Die Plattform „Cyber Resilience Shield“ bündelt über 16.000 geprüfte Ethical Hacker und KI-Agenten zu einem fortlaufenden Test.
  • Zu den 52 Kunden zählen Finanzdienstleister, kritische Infrastruktur und die nationale Cybersicherheitsbehörde der Schweiz.
  • Unter NIS2 wird laufendes Schwachstellenmanagement Pflicht, was Crowdsourcing-Modellen zusätzlichen Rückenwind gibt.

Was macht Bug Bounty Switzerland anders?

Ein ABUS-Vorhängeschloss und ein Marienkäfer mit Preisschild vor weißem Hintergrund
Bug Bounty Switzerland setzt auf kontinuierliche Sicherheitstests statt jährlicher Snapshots: 16.000 zertifizierte Ethical Hacker und KI-Agenten suchen ständig nach Sicherheitslücken

Bug Bounty Switzerland ersetzt die jährliche Momentaufnahme durch einen Dauertest: Über 16.000 geprüfte Ethical Hacker und KI-Agenten suchen laufend nach Lücken, bezahlt wird pro gefundenem Fehler.

Der klassische Penetrationstest liefert eine Momentaufnahme. Ein Team prüft ein System über wenige Tage, schreibt einen Bericht, und bis zur nächsten Runde bleibt vieles im Dunkeln.

Die 2020 in Luzern gegründete Firma dreht dieses Prinzip um und orchestriert über ihre Plattform mehr als 16.000 geprüfte Ethical Hacker, ergänzt um KI-Agenten und Bedrohungsdaten in Echtzeit.[1] Der eigentliche Hebel ist die Dauerhaftigkeit: Das Zeitfenster, in dem eine Lücke unentdeckt offensteht, schrumpft von Monaten auf Tage.

Warum steckt ein Beteiligungshaus Geld in Ethical Hacking?

Die DBAG sieht einen Markt, der jährlich um rund 25 Prozent wächst, und steuert über die Plattform das gesamte Sicherheitstest-Programm der Kunden, angetrieben von der Verbreitung von KI.

Von etwa 12,8 Milliarden Euro im Jahr 2024 soll der Markt für Sicherheitstests bis 2029 auf 38,2 Milliarden Euro klettern.[1] Tom Alzin, Vorstandssprecher der DBAG, hebt hervor, dass die Plattform „das gesamte Sicherheitstest-Programm“ ihrer Kunden steuert.

Gerade agentische KI schafft neue Angriffsflächen. Dass Angreifer den KI-Agenten von GitHub zur Preisgabe privater Repositories verleitet haben oder unsichtbare Befehle im Quelltext KI-Agenten gekapert haben, zeigt: Lücken entstehen schneller, als ein Jahrestest sie einfangen kann.

Bug Bounty Switzerland in Zahlen
Vom Jahres-Pentest zum fortlaufenden Sicherheitstest
16.000+
geprüfte Ethical Hacker
auf der Plattform organisiert
52
Unternehmenskunden
inkl. Schweizer Cybersicherheitsbehörde NCSC
2020
gegründet in Luzern
von drei Sicherheitsexperten
12 Mio.
Franken Series A
Ende April 2026, mit DBAG und Direttissima

Zwei Prüfmodelle im Vergleich

Klassischer Pentest
  • Momentaufnahme an wenigen Tagen
  • meist einmal pro Jahr
  • festes, kleines Prüfteam
  • Bericht, dann Stillstand
Bug Bounty
  • Dauerbetrieb rund um die Uhr
  • 16.000 Prüfer plus KI-Agenten
  • Bezahlung pro gefundenem Fehler
  • Lücke offen: Tage statt Monate
12,8 → 38,2 Mrd. €
So soll der Markt für Sicherheitstests laut DBAG von 2024 bis 2029 wachsen, rund 25 Prozent pro Jahr.

Ethical Hacking wird vom Einmal-Projekt zur Daueraufgabe. Sicherheit als jährlicher Haken auf der Compliance-Liste prüft die eigene Tür genau an den Tagen nicht, an denen eingebrochen wird.

— Markus Seyfferth, Chefredakteur Dr. Web

Was bedeutet das für NIS2-pflichtige Unternehmen?

Unter NIS2 wird laufendes Schwachstellenmanagement zur Pflicht. Ein verwalteter Bug-Bounty-Betrieb liefert genau das, plus die rechtssichere Klammer, die der Hackerparagraf sonst vermissen lässt.

Für Unternehmen im DACH-Raum kommt der Zeitpunkt nicht von ungefähr. Mit NIS2 macht die EU laufendes Schwachstellenmanagement zur Pflicht, und in Deutschland koordiniert das BSI die geregelte Offenlegung von Lücken.[2] Wie sich Firmen grundsätzlich absichern, zeigt der Leitfaden zur Informationssicherheit.

Ein Haken bleibt die Rechtslage: Die Paragrafen 202a bis 202c StGB stellen selbst wohlmeinendes Eindringen unter Strafe, solange Erlaubnis und Safe-Harbor-Klausel fehlen. Die Bandbreite der Vorfälle reicht ohnehin von versteckten Hintertüren in Router-Firmware bis zu Erpressergruppen, die es auf Konzerne abgesehen haben.

Vor dem Einstieg klären Verantwortliche die Safe-Harbor-Bedingungen im Vertrag und legen fest, welche Systeme in den Dauertest gehören und wer gemeldete Funde in welcher Frist behebt. Für den Mittelstand zählt am Ende weniger die Aktie als die Frage, welches Prüfmodell zum eigenen Risiko passt.

Quellen

[1] Deutsche Beteiligungs AG: „Deutsche Beteiligungs AG invests in Bug Bounty Switzerland and strengthens cybersecurity testing platform“

[2] BSI: „NIS-2 Sicherheitsmaßnahmen und Schwachstellenmanagement“

Mehr Newshunger?

4,2 10 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?