Was kostet ein Penetrationstest? Preise & Faktoren 2026
Cyber Security3. Juli 20268 Min. Lesezeit

Was kostet ein Penetrationstest? Preise & Faktoren 2026

AN

Alen Nukovic

Gründer & IT-Security-Berater

Was kostet ein Penetrationstest? Die kurze Antwort

Die Frage "Was kostet ein Penetrationstest?" lässt sich nicht mit einer einzigen Zahl beantworten, denn der Preis hängt stark vom Prüfumfang ab. Als grobe Orientierung für den deutschen Markt 2026 gilt: Ein fokussierter Web-Application-Pentest beginnt bei etwa 3.500 Euro, ein externer Netzwerk-Penetrationstest ab rund 5.000 Euro. Umfangreiche Projekte für mittelständische Unternehmen bewegen sich häufig im Bereich von 8.000 bis 25.000 Euro, große Enterprise-Assessments können deutlich darüber liegen.

Diese Penetrationstest-Kosten spiegeln keinen willkürlichen Tagessatz wider, sondern den tatsächlichen manuellen Aufwand qualifizierter Sicherheitsexperten. In diesem Beitrag zeigen wir transparent, welche Faktoren den Pentest-Preis bestimmen, wie sich die Methodik auf die Kosten auswirkt und worauf speziell kleine und mittlere Unternehmen (KMU) achten sollten.

Typische Preisspannen im Überblick

Penetrationstests werden meist als Projekt kalkuliert, das sich aus einer geschätzten Anzahl an Personentagen (PT) und einem Tagessatz zusammensetzt. Marktübliche Tagessätze für erfahrene Penetration Tester in Deutschland liegen 2026 zwischen etwa 1.000 und 1.800 Euro. Daraus ergeben sich je nach Testart folgende typische Größenordnungen:

  • Web-App-Pentest (kleine Anwendung): ab ca. 3.500 - 6.000 Euro, meist 3 bis 5 Personentage.
  • Web-App- oder API-Pentest (komplex, viele Rollen/Funktionen): ca. 7.000 - 15.000 Euro.
  • Externer Netzwerk-Pentest (Perimeter): ab ca. 5.000 Euro, abhängig von der Anzahl exponierter Systeme.
  • Interner Netzwerk-Pentest / Active-Directory-Assessment: ca. 8.000 - 20.000 Euro.
  • Mobile-App-Pentest (iOS/Android): ca. 5.000 - 12.000 Euro.
  • Social Engineering / Phishing-Kampagne: ca. 3.000 - 8.000 Euro.

Wichtig: Diese Zahlen sind Richtwerte. Ein seriöser Anbieter nennt niemals einen Festpreis, bevor der Scope geklärt ist. Deshalb steht am Anfang jedes Projekts ein sogenanntes Scoping-Gespräch.

Die wichtigsten Kostenfaktoren beim Pentest-Preis

Warum kostet ein Penetrationstest mal 3.500 und mal 25.000 Euro? Fünf Faktoren erklären fast den gesamten Unterschied:

1. Scope und Umfang des Testobjekts

Der Scope ist der mit Abstand größte Kostentreiber. Entscheidend ist, wie viele Angriffsflächen geprüft werden: die Zahl der IP-Adressen und Server, die Menge und Komplexität der Web-Anwendungen, die Anzahl der Benutzerrollen, vorhandene APIs, Cloud-Umgebungen und die Größe des internen Netzwerks. Eine einzelne Marketing-Website mit fünf Seiten ist in wenigen Tagen geprüft, ein ERP-System mit mehreren Mandanten, Schnittstellen und Rollenkonzepten bindet dagegen erheblich mehr manuelle Arbeit.

2. Testtiefe und Methodik

Ein oberflächlicher, weitgehend automatisierter Schwachstellen-Scan ist günstig, liefert aber nur eine Liste bekannter CVEs. Ein echter Penetrationstest kombiniert Automatisierung mit intensiver manueller Analyse: Tester verketten Schwachstellen, umgehen Schutzmechanismen und prüfen Geschäftslogik, die kein Scanner versteht. Je tiefer die manuelle Prüfung, desto höher der Aufwand und damit der Preis, aber auch die Aussagekraft.

3. Black Box, White Box oder Grey Box

Die Ausgangsinformationen, die der Tester erhält, beeinflussen sowohl Kosten als auch Ergebnisqualität. Dazu gleich mehr im eigenen Abschnitt.

4. Qualifikation der Tester

Zertifizierungen wie OSCP, OSWE, GPEN oder Erfahrung nach dem BSI-Praxisleitfaden für IS-Penetrationstests sind ein Qualitätsmerkmal. Hochqualifizierte Tester kosten mehr pro Tag, finden aber Schwachstellen, die günstigere Anbieter übersehen. Beim Sicherheitsniveau zu sparen ist selten eine gute Investition.

5. Retest und Dokumentation

Ein professioneller Pentest endet nicht mit dem Angriff, sondern mit einem verständlichen Bericht für Management und Technik sowie idealerweise einem Retest, der prüft, ob die behobenen Schwachstellen tatsächlich geschlossen wurden. Diese Leistungen sind bei seriösen Anbietern eingepreist. Fehlt der Retest im Angebot, ist der scheinbar niedrige Preis oft trügerisch.

Black Box, White Box, Grey Box: Was passt zu welchem Budget?

Die Wahl des Testansatzes ist eine strategische Entscheidung, die den Preis und den Erkenntnisgewinn direkt beeinflusst:

  • Black Box: Der Tester agiert wie ein echter externer Angreifer ohne Vorwissen. Das ist realistisch, aber zeitintensiv, weil ein großer Teil des Aufwands in die Aufklärung (Reconnaissance) fließt. Black-Box-Tests sind pro geprüfter Schwachstelle oft am teuersten, weil viel Zeit ohne direkten Fund vergeht.
  • White Box: Der Tester erhält vollständige Informationen, etwa Quellcode, Architekturdiagramme und Zugangsdaten. Das ermöglicht die höchste Prüftiefe pro Euro, weil keine Zeit für das Erraten von Strukturen verloren geht. White Box ist ideal, wenn maximale Abdeckung das Ziel ist.
  • Grey Box: Der pragmatische Mittelweg und in der Praxis am häufigsten. Der Tester bekommt teilweise Informationen, zum Beispiel Benutzerkonten mit unterschiedlichen Rollen. Das kombiniert Realismus mit Effizienz und liefert für die meisten KMU das beste Verhältnis aus Kosten und Nutzen.

Unsere Empfehlung für die meisten Mittelständler: Ein Grey-Box-Ansatz mit klar definiertem Scope. Er hält die Penetrationstest-Kosten im Rahmen und deckt trotzdem realistische Angriffsszenarien ab.

Penetrationstest für KMU: Womit ist zu rechnen?

Ein Penetrationstest für KMU muss nicht das Budget sprengen. Viele mittelständische Unternehmen starten mit einem gezielten Test der wichtigsten Angriffsfläche, etwa der öffentlich erreichbaren Web-Anwendung oder des E-Mail- und VPN-Perimeters. Ein solcher fokussierter Erst-Pentest liegt häufig im Bereich von 4.000 bis 8.000 Euro und liefert bereits einen realistischen Überblick über die kritischsten Risiken.

Für KMU sinnvoll ist ein risikobasiertes Vorgehen: Zuerst wird geprüft, was ein Angreifer als Erstes ins Visier nehmen würde. Anschließend lässt sich der Prüfumfang in Folgejahren schrittweise erweitern. So werden Kosten planbar, und die Sicherheit wächst kontinuierlich mit dem Unternehmen. Ein jährlicher Rhythmus sowie ein zusätzlicher Test nach größeren Änderungen an der IT-Landschaft haben sich als gute Praxis etabliert.

NIS2 und die neue Pflicht zur Überprüfung

Seit der Umsetzung der NIS2-Richtlinie in Deutschland fällt ein deutlich erweiterter Kreis von Unternehmen unter verbindliche Cybersicherheitsanforderungen, darunter viele mittelständische Betriebe aus Sektoren wie Fertigung, Energie, Gesundheit, Logistik und digitale Dienste. NIS2 verlangt ein wirksames Risikomanagement und die regelmäßige Bewertung der Sicherheit der Netz- und Informationssysteme.

Ein Penetrationstest ist zwar nicht in jedem Fall wörtlich vorgeschrieben, gilt aber als anerkanntes Mittel, um die geforderte Wirksamkeit der Sicherheitsmaßnahmen nachzuweisen. Wer die Angemessenheit seiner Schutzmaßnahmen belegen und die persönliche Haftung der Geschäftsführung reduzieren möchte, kommt an regelmäßigen technischen Überprüfungen kaum vorbei. Die Kosten eines Pentests sollten daher als Teil des NIS2-Budgets betrachtet werden. Einen Überblick über die weiteren Aufwände geben wir in unserem Beitrag zu den Kosten der NIS2-Beratung.

Was einen guten Penetrationstest ausmacht

Der günstigste Anbieter ist selten der beste. Achten Sie bei der Auswahl auf folgende Qualitätsmerkmale, die den Preis rechtfertigen und den tatsächlichen Nutzen bestimmen:

  • Anerkannte Methodik: Orientierung an Standards wie dem OWASP Testing Guide, dem PTES (Penetration Testing Execution Standard) oder dem BSI-Leitfaden für IS-Penetrationstests.
  • Hoher manueller Anteil: Echte Experten statt reiner Tool-Ausgabe. Automatisierte Scans allein sind kein Penetrationstest.
  • Verständlicher Bericht: Priorisierung nach Risiko (z. B. via CVSS), Nachvollziehbarkeit der Funde und konkrete, umsetzbare Handlungsempfehlungen für Ihr Team.
  • Kostenfreier oder eingepreister Retest: Bestätigung, dass die Schwachstellen wirklich behoben wurden.
  • Klare Kommunikation: Ein Scoping-Gespräch vorab, Erreichbarkeit bei kritischen Funden während des Tests und ein persönliches Abschlussgespräch.
  • Vertraulichkeit und Rechtssicherheit: Klare vertragliche Grundlage, Geheimhaltungsvereinbarung und dokumentierte Freigabe des Testfensters.

Fazit: Der Preis ist eine Investition in Ihre Sicherheit

Was kostet ein Penetrationstest? Realistisch beginnt ein fundierter Web-App-Pentest bei rund 3.500 Euro, ein Netzwerk-Pentest bei etwa 5.000 Euro, und für einen soliden KMU-Test sollten Sie ein Budget von 5.000 bis 15.000 Euro einplanen. Der genaue Pentest-Preis ergibt sich immer aus Scope, Testtiefe, Methodik und der Qualifikation der Tester. Entscheidend ist nicht der niedrigste Angebotspreis, sondern das Verhältnis aus Aufwand, Aussagekraft und nachhaltiger Risikoreduktion.

Gemessen an den durchschnittlichen Kosten eines erfolgreichen Cyberangriffs, die für den deutschen Mittelstand schnell in den sechs- bis siebenstelligen Bereich gehen, ist ein Penetrationstest eine der wirtschaftlichsten Sicherheitsinvestitionen überhaupt. NovaCon begleitet Unternehmen von der Scope-Definition über die Durchführung bis zum Retest. Ein transparentes Angebot mit fester Preisspanne erhalten Sie nach einem kurzen Scoping-Gespräch. Mehr zu unserem Vorgehen erfahren Sie auf unserer Seite zum Penetration Testing.