Was kostet ein Penetrationstest? Woraus sich der Preis zusammensetzt und worauf Sie achten sollten

Ein Penetrationstest kann ein paar tausend Zloty kosten oder ein paar hundert. Diese Spanne ist keine Laune des Anbieters. Sie ergibt sich daraus, was wirklich in den Umfang fällt und wer auf der anderen Seite steht. Wir schlüsseln den Preis auf: was ihn treibt, warum das günstigste Angebot am Ende meist das teuerste ist und wie Sie einen Anbieter erkennen, der Ihnen echten Wert liefert statt eines Ausdrucks aus dem Scanner.
Ein Pentest ist kein automatischer Scan
Ein Schwachstellenscanner ist ein Werkzeug. Er geht das System durch und liefert eine Liste bekannter Fehler aus der CVE-Datenbank. Ein Pentest beginnt dort, wo der Scanner aufhört. Ein Mensch analysiert die Architektur, verkettet einzelne Schwächen und prüft die Geschäftslogik, also genau das, was ein automatisches Werkzeug nicht versteht: wie sich der Bezahlvorgang umgehen lässt, wie man vom Konto eines normalen Nutzers an fremde Daten kommt, wie ein kleines Versäumnis zur Übernahme des Servers führt.
Ein guter Pentest-Bericht ist deshalb kein Stapel von Alarmen zum Durchsehen. Er beschreibt das reale Risiko und nennt konkrete, umsetzbare Schritte zur Behebung, geordnet nach dem, was am meisten droht. Wenn Ihnen jemand einen „Pentest“ zu einem Preis anbietet, der kaum für einen Arbeitstag eines Fachmanns reicht, bekommen Sie fast sicher einen Scanner-Export und keine Sicherheitsbewertung.
Black Box, Grey Box, White Box: unterschiedlicher Zugang, unterschiedliche Kosten
Der Zugang, den Sie dem Tester geben, bestimmt den Arbeitsaufwand und damit den Preis.
- Black Box: Der Tester beginnt ohne Wissen über das System, wie ein Angreifer von außen. Am nächsten an einem echten Angriff, aber die Informationsbeschaffung kostet die meiste Zeit.
- Grey Box: Der Tester erhält begrenzten Zugang, etwa ein normales Nutzerkonto. Das simuliert jemanden, der die erste Verteidigungslinie schon durchbrochen hat oder von innen agiert. Meist das beste Verhältnis von Kosten zu Abdeckung.
- White Box: Der Tester hat vollständiges Wissen, einschließlich Quellcode und Diagrammen. So lässt sich die Anwendung am tiefsten durchgehen, Punkt für Punkt.
Woraus sich der Preis zusammensetzt
Der Preis eines Pentests besteht vor allem aus der Arbeitszeit erfahrener Menschen und dem Unterbau, der ihnen die Arbeit ermöglicht. Er setzt sich zusammen aus:
- Das Team. Ein guter Pentester bedeutet jahrelange Praxis, Zertifikate und ständiges Lernen neuer Techniken. Zum Gehalt kommen Schulungen, Konferenzen und Ausrüstung. Hinter jedem Test steht zudem eine Qualitätsprüfung des Berichts, nicht eine Person für alles.
- Werkzeuge. Professionelle Scanner und Plattformen zur Angriffssimulation sind kommerzielle Lizenzen, die jedes Jahr erneuert werden. Die besten Teams ergänzen sie um eigene, selbst entwickelte Werkzeuge.
- Umfang. Eine kleine Visitenkarten-Website ist ein anderer Aufwand als eine E-Commerce-Plattform mit Integrationen, API und mehreren Anwendungen. Jedes zusätzliche System bedeutet weitere Arbeitstage.
- Komplexität. Eine typische Website auf einem verbreiteten CMS ist berechenbar. Eine ungewöhnliche, stark integrierte Umgebung erfordert mehr Zeit und eine enge Spezialisierung.
- Tiefe. Eine oberflächliche Prüfung kostet weniger, doch erst der Blick in die Geschäftslogik und ungewöhnliche Angriffswege zeigt das wahre Bild der Sicherheit.
- Bericht und Formalitäten. Ein verständlicher Bericht mit Prioritäten und einer Anleitung zur Behebung ist eigene analytische Arbeit. Dazu kommen Verträge, NDA, Versicherung und die Projektkoordination.
In der Praxis wird das in Arbeitstagen berechnet (dem sogenannten Personentag). Ein einfacher Test dauert einige Tage, eine komplexe Plattform oder eine Red-Team-Simulation mehrere Dutzend und mehr. Fragen Sie deshalb nicht nach „dem Preis eines Pentests“, sondern legen Sie zuerst den Umfang fest, denn er bestimmt die Summe.
Warum das günstigste Angebot meist am teuersten wird
Ein niedriger Preis ergibt sich aus weniger Zeit, und weniger Zeit bedeutet eine oberflächlichere Analyse. Die Folgen bemerken Sie meist zu spät:
- Ein falsches Sicherheitsgefühl. Der Bericht sagt „sauber“, weil der Test die Stellen, an denen das Problem sitzt, gar nicht erreicht hat.
- Übersehene Schwachstellen. Fehler, die Zeit und Einfallsreichtum verlangen, bleiben unberührt.
- Ein Bericht ohne Wert. Ein generischer Export aus dem Werkzeug, voller Fehlalarme, ohne Hinweise, was und wie zu beheben ist.
- Keine Unterstützung nach dem Test. Sie bleiben mit einer Liste von Problemen allein, ohne Besprechung und ohne Retest nach den Korrekturen.
Die Kosten eines soliden Pentests sind ein Bruchteil der Kosten eines echten Vorfalls: Ausfallzeit, Wiederherstellung der Systeme, Bußgelder und verlorenes Vertrauen. Am Test zu sparen verschiebt die Ausgabe meist nur nach hinten, auf einen schlechteren Moment.
Wie Sie einen Anbieter auswählen
Bevor Sie die Summen vergleichen, vergleichen Sie, was dahintersteht. Fragen Sie nach:
- Erfahrung in Ihrer Branche und mit Ihrem Systemtyp.
- Referenzen und umgesetzten Projekten, am besten mit Ansprechpartnern bei Kunden.
- Dem Team: wer genau testet, welche Zertifikate die Person hat (zum Beispiel OSCP, OSWE, CISSP) und wie viel Praxis.
- Einem anonymisierten Musterbericht, damit Sie beurteilen können, ob er für Ihr IT-Team verständlich und umsetzbar ist.
- Einer Methodik nach anerkannten Standards (OWASP, PTES, NIST) und einem klar festgehaltenen Umfang.
- Vertraulichkeit: einem soliden NDA und einer Haftpflichtversicherung.
- Was nach dem Test passiert: einer Besprechung der Ergebnisse und einem Retest, sobald die Korrekturen umgesetzt sind.
Die niedrigste Summe ist selten die beste Entscheidung. Vergleichen Sie Angebote als Ganzes: was Sie für diesen Preis wirklich bekommen.
Was es in der Praxis kostet
Die ehrliche Antwort lautet: Es hängt vom Umfang ab, und die Spanne ist groß. Eine einfache Website sind ein paar Arbeitstage und die niedrigste Preisklasse. Eine mittelgroße Web- oder Mobile-App dauert meist mehr als zehn Tage, weil Geschäftslogik und ein API-Unterbau hinzukommen. Infrastrukturtests skalieren mit der Zahl der Server, Geräte und Netzsegmente. Der breiteste Umfang, ein vollständiges Sicherheitsaudit oder Red Teaming für reife Organisationen, umfasst mehrere Dutzend Tage und mehr.
Auch Faktoren jenseits des Umfangs treiben den Preis: ein Eiltempo, Arbeit zu ungewöhnlichen Zeiten, Tests vor Ort oder besondere Anforderungen an den Bericht. Eine belastbare Summe kennen Sie deshalb erst, wenn der Leistungsumfang (Statement of Work) festgelegt ist. Bitten Sie statt um eine fertige Preisliste um ein Angebot, das zu Ihrer Umgebung und Ihrem Risiko passt.
Das Fazit
Der Preis eines Pentests spiegelt die Zeit, das Wissen, die Werkzeuge und die Verantwortung wider, die darin stecken müssen. Das günstigste Angebot bedeutet meist einen oberflächlicheren Test und einen Bericht, aus dem sich wenig ergibt. Richten Sie sich nicht allein nach der Summe, sondern legen Sie den Umfang fest, prüfen Sie den Anbieter und vergleichen Sie den echten Wert. Ein gut geplanter Test kostet deutlich weniger als der Vorfall, den er verhindert.
Vereinbaren Sie eine kostenlose Beratung. Gemeinsam mit einem Berater legen wir den Umfang und ein Angebot für einen Penetrationstest fest, das zum realen Risiko Ihres Unternehmens passt.