Wovon hängen die Kosten eines Pentests ab?
Der Aufwand eines Penetrationstests wird fast vollständig durch den Scope bestimmt — also durch das, was getestet wird. Die fünf wichtigsten Kostenfaktoren:
- Anzahl und Art der Ziele: Eine einzelne Webanwendung ist schneller geprüft als ein Netzwerk mit 20 Servern, Active Directory und VPN-Zugängen.
- Testtiefe (Black/Grey/White Box): Je weniger Vorabinformationen der Tester erhält, desto mehr Zeit fließt in die Reconnaissance. Grey-Box-Tests sind für KMU meist das beste Preis-Leistungs-Verhältnis.
- Interne Tests: Die Frage „Was passiert, wenn ein Arbeitsplatz kompromittiert ist?" erfordert Zugriff von innen — das erhöht Aufwand und Aussagekraft.
- Reporting-Anforderungen: Ein Compliance-tauglicher Bericht (NIS2, ISO 27001, Cyber-Versicherung) mit Executive Summary und CVSS-Bewertung braucht 1–2 zusätzliche Tage.
- Retest: Die Nachprüfung behobener Schwachstellen wird oft vergessen — einplanen lohnt sich, sonst bleibt offen, ob die Fixes wirken.
Preisübersicht: realistische Orientierungswerte
| Testart | Typischer Umfang | Dauer | Preis (netto) |
|---|---|---|---|
| Web-App-Pentest (OWASP Top 10) | 1–3 Anwendungen / APIs | 2–4 Tage + Reporting | ab 1.500 € |
| Corporate-Network-Pentest | Internes + externes Netzwerk, Active Directory | 5–10 Tage + Reporting | ab 3.500 € |
| Phishing-Simulation | Kampagne + Auswertung + Schulungsempfehlung | 1–2 Wochen (begleitend) | auf Anfrage |
| Retest / Nachtest | Verifikation der behobenen Findings | 1–2 Tage | auf Anfrage |
| Enterprise-Red-Teaming | Mehrmonatige Angriffssimulation | 4–12 Wochen | 50.000 €+ (für KMU selten sinnvoll) |
Diese Preise entsprechen unserem eigenen Festpreismodell für KMU-Pentests. Marktbreit können Tagessätze von Sicherheitsdienstleistern zwischen 900 € und 1.800 € liegen — entscheidend ist, dass der Scope zur Unternehmensgröße passt.
Warum KMU keine Enterprise-Preise zahlen sollten
Viele Angebote am Markt sind für Konzerne kalkuliert: wochenlange Red-Team-Kampagnen, Social-Engineering-Module, physische Zutrittstests. Für ein Unternehmen mit 20 bis 100 Mitarbeitenden ist das selten das richtige Werkzeug. Angegriffen wird dort, was automatisiert erreichbar ist: VPN-Zugänge, Exchange- und Web-Server, veraltete Dienste, schwache Passwörter im Active Directory. Ein auf diesen Scope zugeschnittener Test findet die kritischen Lücken — zu einem Bruchteil der Kosten.
Versteckte Kosten: worauf Sie im Angebot achten sollten
- Reporting inklusive? Manche Anbieter berechnen den Abschlussbericht separat.
- Ergebnispräsentation: Ist die Vorstellung der Findings (auch für Nicht-Techniker) enthalten?
- Festpreis vs. Aufwandsschätzung: Eine „Schätzung" kann sich verdoppeln. Bestehen Sie auf einem Festpreis nach Scoping-Gespräch.
- Retest-Konditionen: Was kostet die Nachprüfung nach der Behebung?
- Interne Folgekosten: Die Behebung der Findings bindet eigene IT-Zeit — das größte „versteckte" Budget ist meist nicht der Test selbst.
Was kostet es, keinen Pentest zu machen?
Zum Vergleich: Die Kosten eines erfolgreichen Ransomware-Angriffs auf ein KMU liegen — Wiederherstellung, Betriebsunterbrechung, Meldepflichten, Reputationsschaden zusammengenommen — regelmäßig im sechsstelligen Bereich. Hinzu kommt: NIS2-pflichtige Unternehmen müssen regelmäßige Schwachstellenbewertungen ohnehin nachweisen, und Cyber-Versicherer machen Sicherheitsprüfungen zunehmend zur Bedingung. Ein Pentest ab 1.500 € ist in dieser Rechnung keine Ausgabe, sondern eine Versicherungsprämie mit Erkenntnisgewinn.
Fazit
Für KMU gilt: Ein fokussierter Web-App-Test ab 1.500 € oder ein Corporate-Network-Pentest ab 3.500 € deckt die realistisch angreifbare Fläche ab. Wichtiger als der niedrigste Preis ist ein sauberer Scope, ein Festpreis ohne Nachträge und ein Bericht, den Auditor und Versicherung akzeptieren. Unklar, welcher Test passt? Der Unterschied zum reinen Schwachstellenscan ist hier erklärt — oder Sie fragen direkt ein Festpreisangebot an.
Unverbindlich anfragen
Schildern Sie uns kurz Ihre Situation — Sie erhalten innerhalb von 24 Stunden eine konkrete Rückmeldung mit Vorschlag und Preisrahmen.