Net-Evolution
Penetration Testing

Was kostet ein Penetration Test?

Marvin Henrich4 Min. Lesezeit

Die kurze Antwort

Ein professioneller Penetration Test kostet in Deutschland typischerweise zwischen 3.000 und 50.000 Euro. Die große Spanne ergibt sich aus den zahlreichen Faktoren, die Umfang und Komplexität eines Tests bestimmen. Pauschale Preisangaben sind deshalb wenig aussagekräftig – entscheidend ist, was Sie für Ihr Investment bekommen.

Welche Faktoren beeinflussen die Kosten?

1. Umfang (Scope)

Der wichtigste Kostentreiber ist der Umfang des Tests. Ein Penetration Test einer einzelnen Webanwendung ist deutlich günstiger als ein umfassender Test Ihrer gesamten externen und internen Infrastruktur. Fragen, die den Scope definieren:

  • Wie viele IP-Adressen, Domains oder Anwendungen sollen getestet werden?
  • Sollen nur externe Systeme oder auch das interne Netzwerk geprüft werden?
  • Sind Cloud-Umgebungen (AWS, Azure, GCP) Teil des Scopes?
  • Sollen auch mobile Anwendungen oder APIs getestet werden?

2. Testmethodik

Die gewählte Methodik beeinflusst den Aufwand erheblich:

  • Black-Box-Test: Der Tester hat keine Vorinformationen über die Zielumgebung. Aufwändiger, da zunächst Reconnaissance betrieben werden muss.
  • Grey-Box-Test: Der Tester erhält grundlegende Informationen (z. B. Netzwerkdiagramme, Zugangsdaten für einen Standardbenutzer). Guter Kompromiss zwischen Realismus und Effizienz.
  • White-Box-Test: Voller Zugang zu Dokumentation, Quellcode und Architekturinformationen. Ermöglicht die tiefgreifendste Analyse.

3. Komplexität der Umgebung

Eine moderne Microservices-Architektur mit Kubernetes, mehreren Cloud-Providern und dutzenden APIs erfordert deutlich mehr Expertise und Zeit als eine klassische LAMP-Stack-Anwendung. Auch Eigenentwicklungen sind aufwändiger zu testen als Standard-Software.

4. Regulatorische Anforderungen

Wenn der Pentest für Compliance-Zwecke durchgeführt wird (z. B. ISO 27001, PCI DSS, NIS2), muss er bestimmte Standards und Dokumentationsanforderungen erfüllen. Das erhöht den Aufwand für Planung und Reporting.

5. Erfahrung des Dienstleisters

Erfahrene Penetration Tester mit relevanten Zertifizierungen (OSCP, OSCE, CRTO) und nachgewiesener Expertise kosten mehr – liefern aber auch qualitativ hochwertigere und verwertbarere Ergebnisse.

Typische Preisbereiche

| Pentest-Typ | Typischer Umfang | Preisbereich | |---|---|---| | Webanwendung (klein) | 1 Anwendung, begrenzte Funktionalität | 3.000 – 8.000 € | | Webanwendung (komplex) | Umfangreiche Anwendung, APIs, Authentifizierung | 8.000 – 20.000 € | | Externer Infrastrukturtest | Externe IP-Ranges, exponierte Dienste | 5.000 – 15.000 € | | Interner Infrastrukturtest | Internes Netzwerk, Active Directory | 8.000 – 25.000 € | | Umfassender Pentest | Extern + Intern + Webanwendungen | 15.000 – 50.000 € | | Red Team Assessment | Vollständige Angriffssimulation über mehrere Wochen | 30.000 – 80.000 € |

Diese Angaben dienen als Orientierung. Der tatsächliche Preis hängt immer von Ihrer individuellen Situation ab.

Was ist im Preis enthalten?

Ein professioneller Penetration Test umfasst weit mehr als nur das technische Testing. Achten Sie darauf, dass folgende Leistungen inkludiert sind:

  • Scoping und Planung: Gemeinsame Definition des Testumfangs und der Ziele
  • Durchführung: Der eigentliche technische Test durch qualifizierte Tester
  • Dokumentation: Ausführlicher Bericht mit allen Findings, Risikobewertungen und Nachweisen
  • Management Summary: Zusammenfassung für die Geschäftsleitung, verständlich ohne technisches Detailwissen
  • Handlungsempfehlungen: Konkrete, priorisierte Maßnahmen zur Behebung der Schwachstellen
  • Ergebnispräsentation: Persönliche Vorstellung der Ergebnisse für technische und nicht-technische Stakeholder
  • Nachtest (optional): Überprüfung, ob die kritischen Schwachstellen erfolgreich behoben wurden

Worauf Sie achten sollten

Vorsicht bei Dumpingpreisen

Ein Penetration Test für 500 Euro klingt verlockend, liefert aber in der Regel nur einen automatisierten Vulnerability Scan – keine manuelle Analyse durch erfahrene Tester. Der Unterschied ist erheblich: Ein Scanner findet bekannte Schwachstellen. Ein erfahrener Penetration Tester findet Logikfehler, Fehlkonfigurationen und Angriffsketten, die kein automatisiertes Tool entdecken würde.

Qualifikation prüfen

Fragen Sie nach den Qualifikationen des Teams, das den Test tatsächlich durchführt. Relevante Zertifizierungen, nachweisbare Erfahrung und eine klare Methodik sind wichtiger als der niedrigste Preis.

Verwertbarkeit der Ergebnisse

Der Wert eines Pentests liegt in der Verwertbarkeit der Ergebnisse. Ein guter Bericht enthält nicht nur eine Liste von Schwachstellen, sondern kontextbezogene Risikobewertungen und priorisierte Handlungsempfehlungen, die Ihr Team sofort umsetzen kann.

Wie Sie Ihr Budget planen

Als Faustregel sollten Unternehmen 5 bis 10 Prozent ihres IT-Security-Budgets für regelmäßige Penetration Tests einplanen. Die Frequenz hängt von Ihrer Branche und Regulatorik ab:

  • Mindestens jährlich für Unternehmen mit NIS2- oder ISO-27001-Anforderungen
  • Nach wesentlichen Änderungen an Infrastruktur oder Anwendungen
  • Quartalsweise für Unternehmen in besonders exponierten Branchen

Nächste Schritte

Sie möchten ein konkretes Angebot für einen Penetration Test? Ich erstelle Ihnen eine transparente Aufwandsschätzung basierend auf Ihren individuellen Anforderungen – ohne versteckte Kosten.

Kontaktieren Sie mich für ein kostenloses Scoping-Gespräch – gemeinsam definieren wir den optimalen Testumfang für Ihr Unternehmen.

Alle Artikel anzeigen