
Penetrationstest 2026: Bericht im Trust Center veröffentlicht

Seit dieser Woche ist der Bericht zu unserem Penetrationstest 2026 in unserem Trust Center einsehbar, einschließlich der unabhängigen Nachprüfung. Wie jedes Jahr haben wir VIA von externen Sicherheitsexperten prüfen lassen. In diesem Beitrag erklären wir, was dabei eigentlich passiert und warum wir diesen Aufwand betreiben.
Was ist ein Penetrationstest?
Bei einem Penetrationstest beauftragt man Sicherheitsexperten damit, die eigene Software anzugreifen. Das geschieht kontrolliert und dokumentiert, aber mit denselben Methoden, die auch echte Angreifer verwenden würden. Die Prüfer versuchen etwa, an Daten zu gelangen, die ihnen nicht gehören, Zugriffsbeschränkungen zu umgehen oder Schutzmechanismen auszuhebeln.
Man kann es sich vorstellen wie eine Brandschutzprüfung: Es genügt nicht, dass der Architekt versichert, das Gebäude sei sicher. Jemand Unabhängiges muss es kontrolliert auf die Probe stellen.
Das Ergebnis ist ein detaillierter Bericht: Was wurde geprüft, was wurde gefunden, wie kritisch ist es, und wie wurde es behoben. Nach der Behebung folgt eine Nachprüfung (Re-Test), bei der die Prüfer verifizieren, dass die Maßnahmen tatsächlich wirken.
Der Grund, warum wir das jährlich tun, ist zweifach. Zum einen verändert sich Software ständig: neue Funktionen, neue Komponenten, neue Angriffstechniken. Eine Sicherheitsprüfung von vor zwei Jahren sagt wenig über den heutigen Stand aus. Zum anderen ist die regelmäßige Prüfung durch unabhängige Experten eine Anforderung der Standards, nach denen VIA geprüft und zertifiziert ist: des BSI C5 und der ISO/IEC 27001:2022. Der Penetrationstest gehört bei uns deshalb zum festen Jahresrhythmus, genau wie die externen Audits.
Der Test 2026 konkret
Im Mai 2026 hat die binsec GmbH, ein auf Penetrationstests spezialisiertes Prüfunternehmen aus Frankfurt am Main, die VIA Plattform umfassend geprüft. Durchgeführt wurde der Test von einem zertifizierten Senior Penetration Tester (OSCP). Geprüft wurden unter anderem Zugriffskontrolle und Autorisierung, Sitzungs- und Passwortmechanismen, Transportverschlüsselung sowie die Konfiguration der Infrastruktur.
Dass ein gründlicher Penetrationstest Verbesserungspunkte identifiziert, ist übrigens normal und gewollt. Ein Bericht ohne einen einzigen Hinweis wäre eher ein Grund, an der Gründlichkeit der Prüfung zu zweifeln. Der Wert des Verfahrens liegt genau darin: Jedes Jahr schaut jemand mit frischem, gegnerischem Blick auf das System, und jedes Jahr wird es dadurch ein Stück robuster. Auch in diesem Zyklus konnten wir VIA gezielt härten, unter anderem beim Sitzungsmanagement, bei Passwort- und Sperrmechanismen sowie in der Konfiguration von Servern und DNS.
Die identifizierten Schwachstellen haben wir umgehend behoben. So ist der Prozess vorgesehen: Der Test deckt Schwachstellen auf, damit sie geschlossen werden können, bevor sie jemand ausnutzt. Im Juni 2026 folgte deshalb ein zweiter Penetrationstest, die sogenannte Nachprüfung. Dabei haben dieselben unabhängigen Prüfer gezielt kontrolliert, ob unsere Korrekturen tatsächlich greifen. Denn eine Schwachstelle gilt erst dann als geschlossen, wenn jemand von außen erneut versucht hat, sie auszunutzen, und daran scheitert. Beide Berichte stehen ungekürzt im Trust Center. Wer möchte, kann dort jedes einzelne Finding und seinen Status nachlesen.
Der rechtliche Rahmen: § 393 SGB V
Für Psychotherapeut:innen ist der Einsatz digitaler Werkzeuge kein rechtsfreier Raum.
§ 393 SGB V schreibt seit Juli 2024 vor, dass Cloud-Dienste im Gesundheitswesen nur eingesetzt werden dürfen, wenn der Anbieter ein aktuelles BSI C5-Testat vorweisen kann, den Prüfstandard des Bundesamts für Sicherheit in der Informationstechnik für Cloud-Dienste. VIA verfügt über ein C5 Typ 2 Testat, die anspruchsvollere Variante: Sie prüft nicht nur, ob Sicherheitsmaßnahmen definiert sind, sondern ob sie über den gesamten Prüfzeitraum hinweg tatsächlich wirksam waren. Der jährliche Penetrationstest ist eine der 121 Sicherheitsanforderungen des C5-Katalogs, deren Wirksamkeit im Audit nachgewiesen werden muss. Dasselbe gilt für unsere ISO/IEC 27001:2022-Zertifizierung.
Alles an einem Ort
Im Trust Center finden Sie insgesamt vier Penetrationstestberichte: den initialen Test vom Mai und die Nachprüfung vom Juni, jeweils einmal mit Risikobewertung nach dem internationalen CVSS-Standard und einmal mit der qualitativen Bewertungsmethodik der binsec GmbH.
Dort finden Sie außerdem alle weiteren Nachweise:
- das BSI C5 Typ 2 Testat mit dem ausführlichen Prüfbericht
- das ISO/IEC 27001:2022-Zertifikat samt Auditbericht
- den Auftragsverarbeitungsvertrag und die Datenschutzerklärung
- die Datenschutz-Folgenabschätzung
- unsere Erklärung zur Konformität mit der EU-KI-Verordnung.








