Pentest-Kosten & Preise
Transparente Preise für professionelle Penetrationstests. Was kostet ein Pentest wirklich? Hier erfahren Sie alle Kostenfaktoren, Preismodelle und wie Sie Ihr Budget optimal einsetzen.
Was kostet ein Penetrationstest?
Die Kosten für einen professionellen Penetrationstest variieren erheblich – abhängig vom Scope, der Komplexität, dem Testansatz und dem Dienstleister. In der Schweiz, Deutschland und Österreich liegen die Preise typischerweise zwischen CHF 1’800 und CHF 50’000+. Ein einfacher Web-Application-Pentest für eine kleine Anwendung kann bereits ab CHF 1’800 durchgeführt werden, während ein umfassendes Red-Teaming-Engagement für einen grossen Konzern mit mehreren Standorten leicht CHF 30’000-50’000 kosten kann.
Die Pentest-Magazine und der BSI empfehlen, bei der Budgetplanung neben den direkten Kosten auch die indirekten Kosten wie Remediation, Retest und mögliche Geschäftsunterbrechungen zu berücksichtigen.
Die 7 wichtigsten Kostenfaktoren
- Scope & Anzahl der Systeme: Je mehr IP-Adressen, Domains, APIs oder Apps geprüft werden, desto höher der Aufwand. Jede zusätzliche Anwendung erfordert eigene Reconnaissance, Testing und Reporting.
- Komplexität der Anwendung: Eine statische Website ist schneller zu testen als eine Single-Page-Application (SPA) mit Microservices, GraphQL und komplexer Authentifizierung.
- Testansatz (Black, Grey, White Box): Black-Box-Tests sind oft teurer, da mehr Zeit für Reconnaissance benötigt wird. White-Box-Tests erfordern Code-Review und sind ebenfalls aufwändiger als Grey-Box.
- Art des Pentests: Ein Web-App-Pentest ist in der Regel günstiger als ein Red-Teaming-Engagement oder ein ICS/OT-Pentest, da letztere spezialisierte Expertise und längere Testzeiträume erfordern.
- Erfahrung des Pentesters: Zertifizierte Senior-Pentester (OSCP, CEH, GPEN, GWAPT) kosten mehr als Junior-Tester – liefern aber auch deutlich höhere Qualität und Testtiefe.
- Dokumentation & Reporting: Umfassende Reports mit Executive Summary, technischen Details, Risikobewertung nach CVSS und Remediation-Guide sind arbeitsintensiv, aber essenziell.
- Retest & Support: Viele Anbiote bieten einen kostenlosen Retest nach Behebung der Schwachstellen an. Dieser sollte im Preis inbegriffen sein.
Preismodelle im Vergleich
| Pentest-Typ | Umfang | Zeitraum | Preisspanne (CHF) |
|---|---|---|---|
| Web-Application-Pentest | 1 App, bis 50 Seiten | 3-5 Tage | ab 1’800 – 8’000 |
| API-Pentest | 1 API, bis 20 Endpunkte | 3-5 Tage | ab 2’500 – 10’000 |
| Netzwerk-Pentest | Bis 100 IPs, intern | 5-10 Tage | ab 5’000 – 15’000 |
| Mobile-App-Pentest | iOS oder Android | 5-8 Tage | ab 4’000 – 12’000 |
| Social-Engineering | Phishing + Vishing | 2-4 Wochen | ab 3’000 – 8’000 |
| Cloud-Pentest | AWS/Azure/GCP Config | 5-10 Tage | ab 5’000 – 18’000 |
| Red Teaming | Full-Scope Adversarial Sim. | 2-6 Wochen | ab 15’000 – 50’000+ |
Hinweis: Diese Preisspannen sind Richtwerte für die DACH-Region (Schweiz, Deutschland, Österreich). Tatsächliche Kosten hängen vom individuellen Scope ab. Kontaktieren Sie mich für ein unverbindliches Angebot.
ROI: Was bringt ein Pentest?
Die Kosten eines Pentests sind gering im Vergleich zu den potenziellen Schäden eines Sicherheitsvorfalls. Laut einer IBM-Studie «Cost of a Data Breach 2024» betragen die durchschnittlichen Kosten eines Datenlecks weltweit USD 4,88 Millionen. In der Schweiz und im DACH-Raum liegen die Kosten oft noch höher aufgrund der strengen regulatorischen Anforderungen (DSGVO, nDSG, FINMA, BSI).
Ein Pentest ist somit keine Kostenposition, sondern eine Investition in Risikominimierung. Die frühzeitige Erkennung einer kritischen Schwachstelle kann Millionen an direkten Kosten (Strafen, Schadensersatz, IT-Wiederherstellung) und indirekten Kosten (Reputationsverlust, Kundenabwanderung) verhindern.
FAQ: Pentest-Kosten
Warum gibt es so grosse Preisunterschiede?
Die Preise hängen primär vom Aufwand ab. Ein Pentest von einem Freelancer mit wenig Erfahrung mag günstig sein, findet aber oft nur oberflächliche Schwachstellen. Ein Senior-Pentester mit OSCP und Jahren Erfahrung kostet mehr, liefert aber fundierte, tiefgehende Ergebnisse.
Sind die Kosten steuerlich absetzbar?
Ja. Pentests gelten in der Schweiz und Deutschland als Betriebsausgaben im Bereich IT-Sicherheit und sind steuerlich absetzbar.
Was ist im Preis inbegriffen?
Meine Pentests beinhalten immer: Testdurchführung, umfassenden Report mit CVSS-Bewertung, Executive Summary, Remediation-Guide und einen kostenlosen Retest nach Behebung.
Gibt es versteckte Kosten?
Nein. Ich arbeite mit fixen Tagesraten und einem im Voraus definierten Scope. Es gibt keine Überraschungen am Ende.
Individuelles Angebot anfordern
Jedes Unternehmen ist anders. Lassen Sie uns in einem kurzen Gespräch Ihren Scope definieren und ein massgeschneidertes Angebot erstellen.