Eine der häufigsten Fragen, die uns potenzielle Kunden stellen: 'Was kostet ein Penetrationstest?' Die ehrliche Antwort: Es kommt darauf an. Aber wir können Ihnen trotzdem eine sehr gute Orientierung geben. Eine erste Schätzung für Ihr Projekt liefert unser Pentest-Kostenrechner in zwei Minuten.
Was beeinflusst die Kosten eines Penetrationstests?
- Umfang: Wie viele Systeme, IP-Adressen, Webanwendungen werden getestet?
- Testmethode: Black Box, Grey Box oder White Box?
- Testziel: Externe Infrastruktur, interne Netzwerke, Active Directory, Web-App?
- Vorkenntnisse: Mit oder ohne Vorabinformationen (Zugangsdaten, Architekturpläne)?
- Tiefe des Tests: Automatisierter Scan vs. vollständige manuelle Exploitation
- Retest: Wird eine Verifikation der behobenen Schwachstellen gewünscht?
- Bericht: Executive Summary für die Geschäftsleitung oder nur technischer Bericht?
Kostenlose Erstberatung anfragen
Antwort innerhalb von 24 Stunden
Typische Kosten nach Testkategorie
Web-Applikation Penetrationstest
Ein professioneller Web-Pentest einer mittelgroßen Webanwendung kostet typischerweise 3.000 bis 10.000 Euro. Bei komplexen Anwendungen mit vielen Endpunkten oder bei E-Commerce-Plattformen mit Payment-Integration können es 15.000 Euro und mehr werden.
Netzwerk-Penetrationstest (extern)
Ein externer Netzwerkpentest prüft Ihre öffentlich erreichbare Infrastruktur. Kosten: 3.000 bis 12.000 Euro, abhängig von der Anzahl der IP-Adressen und Dienste.
Interner Netzwerk-Penetrationstest
Ein interner Test, der einen kompromittierten Insider simuliert, kostet 5.000 bis 20.000 Euro. Beim Fokus auf Active Directory kann der Aufwand höher sein.
Social Engineering / Phishing-Simulation
Gezielte Phishing-Kampagnen mit anschließendem Training: 2.000 bis 8.000 Euro, abhängig von der Anzahl der Mitarbeiter und der Komplexität der Szenarien.
Vergleich: Der durchschnittliche Ransomware-Schaden für ein KMU beträgt 85.000 bis 250.000 Euro (BSI 2024). Ein Pentest kostet 2-10% davon.
Was ist im Pentest-Preis enthalten?
Ein seriöser Penetrationstest umfasst immer: Scoping-Gespräch, Testdurchführung, vollständigen technischen Bericht mit CVSS-bewerteten Schwachstellen, Executive Summary sowie eine Nachbesprechung. Optional: Retest nach Behebung.
Wann ist ein Penetrationstest Pflicht?
- NIS2-Richtlinie: Für alle betroffenen Unternehmen empfohlen als Nachweis von Sicherheitsmaßnahmen
- ISO 27001 Zertifizierung: Regelmäßige Penetrationstests als Teil des ISMS
- DSGVO: Technische Maßnahmen zur Datensicherheit (Art. 32)
- Vertragsanforderungen: Viele Großkunden fordern Pentest-Nachweise
- Versicherungen: Cyberversicherungen setzen zunehmend Pentest-Nachweise voraus
Fazit: Pentest ist immer günstiger als der Ernstfall
Die Frage ist nicht ob, sondern wann ein Angriff stattfindet. Ein Penetrationstest findet Schwachstellen, bevor Angreifer es tun. Für ein Unternehmen mit 50 Mitarbeitern und typischer IT-Infrastruktur liegt ein erster hochwertiger Pentest im Bereich 5.000 bis 15.000 Euro. Eine Investition, die sich bei einem verhinderten Angriff um ein Vielfaches auszahlt. Einen Überblick über alle Testarten finden Sie auf unserer Leistungsseite.
Häufige Fragen
Was kostet ein Penetrationstest in Deutschland?
Ein professioneller Penetrationstest kostet in Deutschland je nach Umfang zwischen 3.000 und 30.000 Euro. Ein Web-Applikations-Pentest beginnt ab 3.000 Euro, ein umfassender Infrastruktur-Pentest liegt zwischen 8.000 und 20.000 Euro.
Wie lange dauert ein Penetrationstest?
Ein typischer Penetrationstest dauert 3 bis 10 Werktage. Die Dauer hängt vom Umfang ab: Ein einfacher Web-Pentest dauert 3-5 Tage, ein vollständiger Infrastruktur-Pentest 5-10 Tage.
Was ist im Preis eines Pentests enthalten?
Im Preis enthalten sind die technische Durchführung, ein detaillierter Bericht mit allen gefundenen Schwachstellen, Risikobewertung nach CVSS, konkrete Handlungsempfehlungen und ein Abschlussgespräch.
Samir Shamdin
IT-Sicherheitsberater & NIS2-Experte · 3. Platz NISCON Awards 2026 (Deutschlands beste Pentester)
LinkedIn-ProfilPassende Leistung
Netzwerk-Penetrationstest
Interne und externe Infrastruktur professionell testen lassen.
Ihre IT-Sicherheit beginnt heute.
Warten Sie nicht auf einen Angriff. Kontaktieren Sie uns für eine kostenlose Erstberatung und erfahren Sie, wie sicher Ihre IT wirklich ist.
