“Unsere IT-Abteilung kann ja selbst Pentests durchführen, wenn sie das für eine notwendige Maßnahme hält…” 
Das hören wir häufig von Managern, die das Thema Cybersicherheit vollständig an ihre IT abgegeben haben. Doch abgesehen davon, dass sich zwar Aufgaben, nicht jedoch die Verantwortung für Sicherheit delegieren lassen, ist diese Haltung gefährlich:
ERSTENS 
In Zeiten des Fachkräftemangels haben IT-Administratoren in Unternehmen bereits genügend mit ihren originären Aufgaben zu tun. Daher wählen sie tendenziell Sicherheitsmaßnahmen aus, die effizient und leicht zu administrieren sind. Pentests fallen nicht in diese Kategorie.
ZWEITENS
Die IT des Unternehmens ist mit der Durchführung von Pentests i.d.R. doch etwas überfordert. Ethical Hacking ist eine eigene Disziplin, die spezielle Kompetenzen erfordert (z.B. das Verstehen von Binär- bzw. Maschinencode). Hier sind die eigenen IT-Administratoren meist raus, zumindest fehlt ihnen die tägliche Praxis und damit erforderliche Erfahrungswerte, die externe Pentester mitbringen.
DRITTENS
Ein Pentest deckt Schwachstellen auf. Doch nicht jede Unternehmenskultur gibt es her, dass offen über Fehler gesprochen werden kann. Entsprechend gibt es IT-Abteilungen, die Pentests lieber nicht allzu regelmäßig durchführen, wenn sie im Anschluss für die Ergebnisse an den Pranger gestellt werden.
ERGO:
Die eigene IT-Abteilung ist nicht immer die beste Stelle, um über das Yes or No zur Durchführung von Pentests zu entscheiden. Die Entscheidung ist besser beim Top Management aufgehoben, weil dieses einen ungeschönten Blick auf die Cybersicherheit verdient hat.
Wir finden Pentests oder zumindest umfassende Schwachstellenscans sollten in Unternehmen eine regelmäßige Routine sein. So fordern übrigens auch Normen wie die ISO/IEC 27001 (ISMS) – sowohl anlassbezogene als auch turnusmäßige Prüfungen.
