Anrufen
StartseiteBlogPentest Kosten
Pentest April 2026 6 Min. Lesezeit

Was kostet ein Penetrationstest? Preise, Umfang & worauf es ankommt

Angebote für Penetrationstests reichen von 500 € bis 50.000 € — für scheinbar ähnliche Leistungen. Was erklärt diesen Unterschied, und wie erkennen Sie, welches Angebot das richtige für Ihr Unternehmen ist?

Inhaltsverzeichnis

Warum Pentest-Preise so stark variieren

Die kurze Antwort: weil „Pentest" keine geschützte Bezeichnung ist und darunter sehr unterschiedliche Leistungen verkauft werden.

Auf der einen Seite stehen automatisierte Vulnerability-Scans — Tools, die bekannte Schwachstellen in Ihrer Software identifizieren, einen Report generieren und als „Pentest" vermarktet werden. Preis: 500–2.000 €. Wert: begrenzt, weil Angreifer nicht wie Tools denken.

Auf der anderen Seite stehen manuelle Penetrationstests durch erfahrene Sicherheitsforscher, die Angriffsketten durchspielen, Schwachstellen logisch verknüpfen und Business-Logik-Fehler finden, die kein automatisches Tool erkennt. Preis: 5.000–30.000 €.

Dazwischen gibt es hybride Ansätze. Der Trick ist zu verstehen, was Sie wirklich brauchen.

Pentest-Typen und ihre Kosten

Web-Applikation Pentest

Der häufigste Anwendungsfall für KMU. Ein manueller Web-Pentest prüft Ihre Anwendung auf OWASP Top 10, Business-Logik-Fehler, Authentifizierungsprobleme und API-Schwachstellen.

Realistischer Preis: 2.500–8.000 € für kleine bis mittlere Anwendungen. Komplexe Enterprise-Applikationen mit vielen Funktionsbereichen können mehr kosten.

Was den Preis treibt: Anzahl der zu testenden Funktionsbereiche, Authentifizierungsebenen, API-Komplexität, ob Quellcode vorliegt (White-Box) oder nicht (Black-Box).

Netzwerk-Pentest / Infrastruktur-Audit

Prüfung Ihrer internen oder externen Netzwerkinfrastruktur: Firewalls, offene Ports, Dienste-Konfigurationen, laterale Bewegungsmöglichkeiten im Netzwerk.

Realistischer Preis: 4.500–15.000 € je nach Netzwerkgröße (Anzahl Hosts, Segmente, Standorte).

Social Engineering / Phishing-Simulation

Test der menschlichen Komponente: simulierte Phishing-Kampagnen, Vishing-Anrufe, physische Zugangsversuche. Oft als Ergänzung zu technischen Tests.

Realistischer Preis: 1.500–5.000 € für eine gezielte Kampagne mit Report und Auswertung.

Was ein gutes Angebot enthält

Bevor Sie ein Angebot annehmen, prüfen Sie diese Punkte:

  • Scope ist klar definiert: Welche URLs, IPs oder Systeme werden getestet? Was ist explizit ausgeschlossen?
  • Methodik ist benannt: OWASP Testing Guide, PTES, NIST? Oder nur „wir schauen uns das an"?
  • Report-Format ist beschrieben: Management Summary + technischer Report mit Reproduktionsschritten und Risikobewertung (CVSS)?
  • Nachgespräch / Retest ist inkludiert: Ein seriöser Anbieter erklärt Findings persönlich und prüft nach Behebung, ob die Lücken geschlossen sind.
  • Qualifikation ist nachweisbar: OSCP, OSCE, CEH oder vergleichbare Zertifikate der durchführenden Person — nicht nur des Unternehmens.

Was Sie vor dem Pentest tun sollten

Ein Penetrationstest ist keine Grundlagenarbeit. Er ist sinnvoll, wenn Ihr Sicherheitsfundament steht: Patches sind aktuell, MFA ist aktiviert, ein Backup-Konzept existiert. Wenn das nicht der Fall ist, werden Sie im Pentest-Report eine Liste an vermeidbaren Basics sehen — und dafür viel Geld bezahlt haben.

Sinnvoll ist ein Pentest für:

  • Produktivsysteme vor dem Go-Live
  • Nachweis gegenüber Kunden, Versicherungen oder im Rahmen von NIS2-Anforderungen
  • Nach größeren Infrastrukturänderungen
  • Regelmäßige Überprüfung (1× pro Jahr ist ein vernünftiger Rhythmus)
Fazit: Für ein KMU mit einer Web-Applikation und überschaubarer Infrastruktur sind 2.500–6.000 € für einen seriösen manuellen Pentest ein realistisches Budget. Günstigere Angebote sind meistens automatisierte Scans. Teurer ist nicht immer besser — aber billiger fast immer schlechter.

Häufige Fragen

Realistische Preisebenen: Einfacher Web-Applikations-Pentest (bis 5 Funktionsbereiche) ab 2.500 €. Netzwerk-Pentest bis 50 Hosts ab 4.500 €. Vollständige Infrastruktur-Prüfung (Web + Netzwerk + Social Engineering) ab 8.000 €. Günstigere Angebote unter 1.500 € sind fast immer automatisierte Scanner-Reports — kein echter Pentest.
Der größte Preistreiber ist der Anteil manueller Arbeit. Automatisierte Tools scannen Systeme in Stunden und kosten wenig — liefern aber nur bekannte, publizierte Schwachstellen. Manuelle Pentests durch erfahrene Spezialisten finden logische Fehler, Business-Logic-Schwachstellen und Kombinationsangriffe, die kein Tool erkennt. Der Aufwand bestimmt den Preis.
Mindestens jährlich für kritische Systeme (Web-Anwendungen mit Kundendaten, öffentlich erreichbare Infrastruktur). Nach größeren Änderungen (neues System, neue Anwendung, Cloud-Migration) ist ein erneuter Test empfohlen. Cyberversicherer und NIS2 fordern zunehmend regelmäßige Sicherheitsnachweise.
Ein guter Pentest: klarer Scope vorab definiert, überwiegend manuelle Arbeit durch erfahrene Spezialisten, Abschlussbericht mit priorisierten Findings und konkreten Handlungsempfehlungen, Nachbesprechung und Folgefragen möglich. Ein schlechter Pentest: automatisierter Scan, langes PDF mit hunderten unkritischer Findings, kein klarer Handlungsbedarf erkennbar.

Pentest-Angebot anfordern

Im Erstgespräch definieren wir gemeinsam Scope und Umfang — und Sie erhalten ein verbindliches Festpreisangebot.

Erstgespräch buchen Pentest-Leistungen →