Wenn Unternehmen „Was kostet ein Penetrationstest?“ fragen, steckt dahinter meist eine zweite Frage: Welche Art von Sicherheit bekomme ich für mein Budget? Denn Pentest-Kosten hängen stark vom Scope, der Testtiefe und der Reife der Umgebung ab.

Dieser Blog gibt dir eine pragmatische Preis-Orientierung, erklärt die größten Kostentreiber und zeigt, wie du Angebote vergleichbar machst.

1) Warum Pentest-Preise so stark schwanken

Ein Pentest ist kein Standardprodukt wie Hosting oder Lizenzen. Der Aufwand variiert, weil die Angriffsfläche und die notwendige manuelle Arbeit sehr unterschiedlich sein können.

Typische Preistreiber:

• Umfang (Anzahl Systeme/Hosts, Apps, APIs, Umgebungen)
• Testtyp (Blackbox vs. Greybox vs. Whitebox)
• Authentifizierung/ Rollenmodelle (mehr Rollen = mehr Testpfade)
• Komplexität (Microservices, SSO, Legacy, AD, Hybrid-Cloud)
• Anforderungen ans Reporting (Detailgrad, Nachweise, Executive Summary, Compliance)
• Retest (Nachtest) und Advisory-Zeit (Fix-Support)

2) Grobe Kosten-Spannen (als Orientierung)

Die folgenden Spannen sind bewusst breit — sie sollen dir helfen, ein Angebot einzuordnen. Region, Anbieterprofil und Scope können stark abweichen.

• Web-App Pentest (klein/mittel): oft im Bereich von wenigen Tausend bis in den unteren fünfstelligen Bereich
• API Pentest: ähnlich wie Web-App, häufig abhängig von Anzahl Endpunkte + AuthZ-Logik
• Externer Netzwerk-Pentest: häufig günstiger als komplexe Web-Apps, abhängig von Host-Anzahl und Services
• Interner Pentest / Active Directory: kann schnell in den fünfstelligen Bereich gehen (Zeit + Tiefe)
• Red Team / Angriffssimulation: typischerweise teurer (mehr Zeit, mehr Technik, mehr Abstimmung)

Wichtig: „Billig“ ist nicht automatisch schlecht und „teuer“ nicht automatisch gut — entscheidend ist, was getestet wird, wie dokumentiert wird und ob Findings wirklich reproduzierbar/handlungsorientiert sind.