Was kostet ein Pentest für KMU wirklich?

Ein Penetrationstest für kleine und mittlere Unternehmen kostet in Deutschland typischerweise zwischen 1.500 € und 15.000 € netto. Ein fokussierter Webanwendungstest beginnt bei etwa 1.500 €, ein Corporate-Network-Pentest (internes und externes Netzwerk) bei etwa 3.500 €. Der Preis hängt vor allem vom Scope ab: Anzahl der Systeme, Testtiefe und Reporting-Anforderungen.

Wovon hängen die Kosten eines Pentests ab?

Der Aufwand eines Penetrationstests wird fast vollständig durch den Scope bestimmt — also durch das, was getestet wird. Die fünf wichtigsten Kostenfaktoren:

  1. Anzahl und Art der Ziele: Eine einzelne Webanwendung ist schneller geprüft als ein Netzwerk mit 20 Servern, Active Directory und VPN-Zugängen.
  2. Testtiefe (Black/Grey/White Box): Je weniger Vorabinformationen der Tester erhält, desto mehr Zeit fließt in die Reconnaissance. Grey-Box-Tests sind für KMU meist das beste Preis-Leistungs-Verhältnis.
  3. Interne Tests: Die Frage „Was passiert, wenn ein Arbeitsplatz kompromittiert ist?" erfordert Zugriff von innen — das erhöht Aufwand und Aussagekraft.
  4. Reporting-Anforderungen: Ein Compliance-tauglicher Bericht (NIS2, ISO 27001, Cyber-Versicherung) mit Executive Summary und CVSS-Bewertung braucht 1–2 zusätzliche Tage.
  5. Retest: Die Nachprüfung behobener Schwachstellen wird oft vergessen — einplanen lohnt sich, sonst bleibt offen, ob die Fixes wirken.

Preisübersicht: realistische Orientierungswerte

TestartTypischer UmfangDauerPreis (netto)
Web-App-Pentest (OWASP Top 10)1–3 Anwendungen / APIs2–4 Tage + Reportingab 1.500 €
Corporate-Network-PentestInternes + externes Netzwerk, Active Directory5–10 Tage + Reportingab 3.500 €
Phishing-SimulationKampagne + Auswertung + Schulungsempfehlung1–2 Wochen (begleitend)auf Anfrage
Retest / NachtestVerifikation der behobenen Findings1–2 Tageauf Anfrage
Enterprise-Red-TeamingMehrmonatige Angriffssimulation4–12 Wochen50.000 €+ (für KMU selten sinnvoll)

Diese Preise entsprechen unserem eigenen Festpreismodell für KMU-Pentests. Marktbreit können Tagessätze von Sicherheitsdienstleistern zwischen 900 € und 1.800 € liegen — entscheidend ist, dass der Scope zur Unternehmensgröße passt.

Warum KMU keine Enterprise-Preise zahlen sollten

Viele Angebote am Markt sind für Konzerne kalkuliert: wochenlange Red-Team-Kampagnen, Social-Engineering-Module, physische Zutrittstests. Für ein Unternehmen mit 20 bis 100 Mitarbeitenden ist das selten das richtige Werkzeug. Angegriffen wird dort, was automatisiert erreichbar ist: VPN-Zugänge, Exchange- und Web-Server, veraltete Dienste, schwache Passwörter im Active Directory. Ein auf diesen Scope zugeschnittener Test findet die kritischen Lücken — zu einem Bruchteil der Kosten.

Versteckte Kosten: worauf Sie im Angebot achten sollten

  • Reporting inklusive? Manche Anbieter berechnen den Abschlussbericht separat.
  • Ergebnispräsentation: Ist die Vorstellung der Findings (auch für Nicht-Techniker) enthalten?
  • Festpreis vs. Aufwandsschätzung: Eine „Schätzung" kann sich verdoppeln. Bestehen Sie auf einem Festpreis nach Scoping-Gespräch.
  • Retest-Konditionen: Was kostet die Nachprüfung nach der Behebung?
  • Interne Folgekosten: Die Behebung der Findings bindet eigene IT-Zeit — das größte „versteckte" Budget ist meist nicht der Test selbst.

Was kostet es, keinen Pentest zu machen?

Zum Vergleich: Die Kosten eines erfolgreichen Ransomware-Angriffs auf ein KMU liegen — Wiederherstellung, Betriebsunterbrechung, Meldepflichten, Reputationsschaden zusammengenommen — regelmäßig im sechsstelligen Bereich. Hinzu kommt: NIS2-pflichtige Unternehmen müssen regelmäßige Schwachstellenbewertungen ohnehin nachweisen, und Cyber-Versicherer machen Sicherheitsprüfungen zunehmend zur Bedingung. Ein Pentest ab 1.500 € ist in dieser Rechnung keine Ausgabe, sondern eine Versicherungsprämie mit Erkenntnisgewinn.

Fazit

Für KMU gilt: Ein fokussierter Web-App-Test ab 1.500 € oder ein Corporate-Network-Pentest ab 3.500 € deckt die realistisch angreifbare Fläche ab. Wichtiger als der niedrigste Preis ist ein sauberer Scope, ein Festpreis ohne Nachträge und ein Bericht, den Auditor und Versicherung akzeptieren. Unklar, welcher Test passt? Der Unterschied zum reinen Schwachstellenscan ist hier erklärt — oder Sie fragen direkt ein Festpreisangebot an.

Marc Seeber, Geschäftsführer der Shared Business Service UG
Marc Seeber
Geschäftsführer und Gründer der Shared Business Service UG (Westgreußen, Thüringen). Führt Penetrationstests für KMU durch und unterstützt Unternehmen bei Buchhaltung, E-Rechnung und Backoffice-Prozessen. IHK-Mitglied Erfurt, HRB 524180 AG Jena. Kontakt: info@sbs-ug.de · 0171 4108980

Unverbindlich anfragen

Schildern Sie uns kurz Ihre Situation — Sie erhalten innerhalb von 24 Stunden eine konkrete Rückmeldung mit Vorschlag und Preisrahmen.