Eine der häufigsten Fragen, die uns potenzielle Kunden stellen: 'Was kostet ein Penetrationstest?' Die ehrliche Antwort: Es kommt darauf an. Aber wir können Ihnen trotzdem eine sehr gute Orientierung geben.
Was beeinflusst die Kosten eines Penetrationstests?
- Umfang: Wie viele Systeme, IP-Adressen, Webanwendungen werden getestet?
- Testmethode: Black Box, Grey Box oder White Box?
- Testziel: Externe Infrastruktur, interne Netzwerke, Active Directory, Web-App?
- Vorkenntnisse: Mit oder ohne Vorabinformationen (Zugangsdaten, Architekturpläne)?
- Tiefe des Tests: Automatisierter Scan vs. vollständige manuelle Exploitation
- Retest: Wird eine Verifikation der behobenen Schwachstellen gewünscht?
- Bericht: Executive Summary für die Geschäftsleitung oder nur technischer Bericht?
Kostenlose Erstberatung anfragen
Antwort innerhalb von 24 Stunden
Typische Kosten nach Testkategorie
Web-Applikation Penetrationstest
Ein professioneller Web-Pentest einer mittelgroßen Webanwendung kostet typischerweise 3.000 bis 10.000 Euro. Bei komplexen Anwendungen mit vielen Endpunkten oder bei E-Commerce-Plattformen mit Payment-Integration können es 15.000 Euro und mehr werden.
Netzwerk-Penetrationstest (extern)
Ein externer Netzwerkpentest prüft Ihre öffentlich erreichbare Infrastruktur. Kosten: 3.000 bis 12.000 Euro, abhängig von der Anzahl der IP-Adressen und Dienste.
Interner Netzwerk-Penetrationstest
Ein interner Test, der einen kompromittierten Insider simuliert, kostet 5.000 bis 20.000 Euro. Beim Fokus auf Active Directory kann der Aufwand höher sein.
Social Engineering / Phishing-Simulation
Gezielte Phishing-Kampagnen mit anschließendem Training: 2.000 bis 8.000 Euro, abhängig von der Anzahl der Mitarbeiter und der Komplexität der Szenarien.
Vergleich: Der durchschnittliche Ransomware-Schaden für ein KMU beträgt 85.000 bis 250.000 Euro (BSI 2024). Ein Pentest kostet 2–10% davon.
Was ist im Pentest-Preis enthalten?
Ein seriöser Penetrationstest umfasst immer: Scoping-Gespräch, Testdurchführung, vollständigen technischen Bericht mit CVSS-bewerteten Schwachstellen, Executive Summary sowie eine Nachbesprechung. Optional: Retest nach Behebung.
Wann ist ein Penetrationstest Pflicht?
- NIS2-Richtlinie: Für alle betroffenen Unternehmen empfohlen als Nachweis von Sicherheitsmaßnahmen
- ISO 27001 Zertifizierung: Regelmäßige Penetrationstests als Teil des ISMS
- DSGVO: Technische Maßnahmen zur Datensicherheit (Art. 32)
- Vertragsanforderungen: Viele Großkunden fordern Pentest-Nachweise
- Versicherungen: Cyberversicherungen setzen zunehmend Pentest-Nachweise voraus
Fazit: Pentest ist immer günstiger als der Ernstfall
Die Frage ist nicht ob, sondern wann ein Angriff stattfindet. Ein Penetrationstest findet Schwachstellen, bevor Angreifer es tun. Für ein Unternehmen mit 50 Mitarbeitern und typischer IT-Infrastruktur liegt ein erster hochwertiger Pentest im Bereich 5.000 bis 15.000 Euro. Eine Investition, die sich bei einem verhinderten Angriff um ein Vielfaches auszahlt.
Alb Cyber Guards
IT-Sicherheitsexperten aus Albstadt
Ihre IT-Sicherheit beginnt heute.
Warten Sie nicht auf einen Angriff. Kontaktieren Sie uns für eine kostenlose Erstberatung und erfahren Sie, wie sicher Ihre IT wirklich ist.