Penetrationstest Kosten für KMU — Koreva eG

Was kostet ein Penetrationstest? Preise, Umfang & worauf es ankommt

Angebote für Penetrationstests reichen von 500 € bis 50.000 € — für scheinbar ähnliche Leistungen. Was erklärt diesen Unterschied, und wie erkennen Sie, welches Angebot das richtige für Ihr Unternehmen ist?

Das Wichtigste in Kürze:
  • Pentest-Angebote reichen von 500 € bis 50.000 €, weil die Bezeichnung nicht geschützt ist; größter Preistreiber ist der Anteil manueller Arbeit.
  • Angebote unter 1.500 € sind fast immer automatisierte Schwachstellenscans mit Report — kein echter Penetrationstest.
  • Realistische Preise: Web-Applikations-Pentest 2.500–8.000 €, Netzwerk-Pentest 4.500–15.000 €, Phishing-Simulation 1.500–5.000 €.
  • Ein gutes Angebot nennt klaren Scope, Methodik (OWASP, PTES), Report mit CVSS-Bewertung, Retest und die Qualifikation des Prüfers (z. B. OSCP).
  • Für ein KMU mit einer Web-Applikation sind 2.500–6.000 € ein realistisches Budget für einen seriösen manuellen Pentest.
Inhaltsverzeichnis

Warum Pentest-Preise so stark variieren

Die kurze Antwort: weil „Pentest" keine geschützte Bezeichnung ist und darunter sehr unterschiedliche Leistungen verkauft werden.

Auf der einen Seite stehen automatisierte Vulnerability-Scans — Tools, die bekannte Schwachstellen in Ihrer Software identifizieren, einen Report generieren und als „Pentest" vermarktet werden. Preis: 500–2.000 €. Wert: begrenzt, weil Angreifer nicht wie Tools denken.

Auf der anderen Seite stehen manuelle Penetrationstests durch erfahrene Sicherheitsforscher, die Angriffsketten durchspielen, Schwachstellen logisch verknüpfen und Business-Logik-Fehler finden, die kein automatisches Tool erkennt. Preis: 5.000–30.000 €.

Dazwischen gibt es hybride Ansätze. Der Trick ist zu verstehen, was Sie wirklich brauchen.

Schwachstellenscan, Pentest oder Audit — wo liegt der Unterschied?

Drei Begriffe, die oft synonym verwendet werden, aber unterschiedliche Dinge bedeuten — und unterschiedlich viel kosten:

  • Schwachstellenscan (Vulnerability Scan): Ein automatisiertes Tool gleicht Ihre Systeme mit einer Datenbank bekannter Schwachstellen ab. Schnell, günstig, oberflächlich — findet das Offensichtliche, aber keine Angriffsketten. Sinnvoll als regelmäßige Hygiene, nicht als Sicherheitsnachweis.
  • Penetrationstest: Ein Mensch denkt wie ein Angreifer, verknüpft Schwachstellen und versucht aktiv, in Ihre Systeme einzudringen. Findet, was Tools übersehen — Business-Logik-Fehler, Rechteausweitung, Kombinationsangriffe.
  • Security-Audit: Eine strukturierte Prüfung gegen einen Standard (ISO 27001, BSI-Grundschutz) — sie bewertet Prozesse, Dokumentation und Konfiguration, nicht primär die aktive Ausnutzbarkeit.

Wer einen „Pentest" für 500 € kauft, bekommt fast immer einen Schwachstellenscan mit hübschem Deckblatt. Das ist nicht wertlos — aber es ist kein Pentest.

Pentest-Typen und ihre Kosten

Web-Applikation Pentest

Der häufigste Anwendungsfall für KMU. Ein manueller Web-Pentest prüft Ihre Anwendung auf OWASP Top 10, Business-Logik-Fehler, Authentifizierungsprobleme und API-Schwachstellen.

Realistischer Preis: 2.500–8.000 € für kleine bis mittlere Anwendungen. Komplexe Enterprise-Applikationen mit vielen Funktionsbereichen können mehr kosten.

Was den Preis treibt: Anzahl der zu testenden Funktionsbereiche, Authentifizierungsebenen, API-Komplexität, ob Quellcode vorliegt (White-Box) oder nicht (Black-Box).

Netzwerk-Pentest / Infrastruktur-Audit

Prüfung Ihrer internen oder externen Netzwerkinfrastruktur: Firewalls, offene Ports, Dienste-Konfigurationen, laterale Bewegungsmöglichkeiten im Netzwerk.

Realistischer Preis: 4.500–15.000 € je nach Netzwerkgröße (Anzahl Hosts, Segmente, Standorte).

Social Engineering / Phishing-Simulation

Test der menschlichen Komponente: simulierte Phishing-Kampagnen, Vishing-Anrufe, physische Zugangsversuche. Oft als Ergänzung zu technischen Tests.

Realistischer Preis: 1.500–5.000 € für eine gezielte Kampagne mit Report und Auswertung.

Wie ein professioneller Pentest abläuft

Ein seriöser Penetrationstest folgt einer nachvollziehbaren Methodik — meist angelehnt an den PTES (Penetration Testing Execution Standard) oder den OWASP Testing Guide. Wie der Ablauf eines Penetrationstests im Einzelnen aussieht, lässt sich in fünf Phasen gliedern:

  1. Scoping & Vorbereitung: Gemeinsam wird festgelegt, was getestet wird, was tabu ist und in welchem Zeitfenster. Hier entsteht die rechtliche Grundlage — die schriftliche Beauftragung.
  2. Reconnaissance: Informationssammlung über die Zielsysteme — öffentlich erreichbare Dienste, Subdomains, eingesetzte Technologien, versehentlich exponierte Daten.
  3. Scanning & Enumeration: Systematisches Aufspüren offener Ports, Dienste und potenzieller Einfallstore — teils automatisiert, teils manuell.
  4. Exploitation: Der eigentliche Test — der Prüfer versucht, gefundene Schwachstellen aktiv auszunutzen und Angriffsketten durchzuspielen, ohne produktive Systeme zu beschädigen.
  5. Reporting & Re-Test: Dokumentation aller Findings mit Risikobewertung und Reproduktionsschritten, Abschlussgespräch — und nach der Behebung eine Nachprüfung, ob die Lücken wirklich geschlossen sind.

Der hohe manuelle Aufwand in den Phasen Reconnaissance bis Exploitation erklärt, warum ein echter Pentest mehr kostet als ein Knopfdruck-Scan.

Was ein gutes Angebot enthält

Bevor Sie ein Angebot annehmen, prüfen Sie diese Punkte:

  • Scope ist klar definiert: Welche URLs, IPs oder Systeme werden getestet? Was ist explizit ausgeschlossen?
  • Methodik ist benannt: OWASP Testing Guide, PTES, NIST? Oder nur „wir schauen uns das an"?
  • Report-Format ist beschrieben: Management Summary + technischer Report mit Reproduktionsschritten und Risikobewertung (CVSS)?
  • Nachgespräch / Retest ist inkludiert: Ein seriöser Anbieter erklärt Findings persönlich und prüft nach Behebung, ob die Lücken geschlossen sind.
  • Qualifikation ist nachweisbar: OSCP, OSCE, CEH oder vergleichbare Zertifikate der durchführenden Person — nicht nur des Unternehmens.

Was Sie vor dem Pentest tun sollten

Ein Penetrationstest ist keine Grundlagenarbeit. Er ist sinnvoll, wenn Ihr Sicherheitsfundament steht: Patches sind aktuell, MFA ist aktiviert, ein Backup-Konzept existiert. Wenn das nicht der Fall ist, werden Sie im Pentest-Report eine Liste an vermeidbaren Basics sehen — und dafür viel Geld bezahlt haben.

Sinnvoll ist ein Pentest für:

  • Produktivsysteme vor dem Go-Live
  • Nachweis gegenüber Kunden, Versicherungen oder im Rahmen von NIS2-Anforderungen
  • Nach größeren Infrastrukturänderungen
  • Regelmäßige Überprüfung (1× pro Jahr ist ein vernünftiger Rhythmus)

Lohnt sich die Investition? Kosten gegen Schadensrisiko

Ein Pentest für 4.000 € klingt nach viel — bis man ihn gegen die Kosten eines erfolgreichen Angriffs hält. Ein Ransomware-Vorfall bedeutet für ein KMU schnell tagelangen Produktionsausfall, Wiederherstellungskosten, mögliche Lösegeldforderungen und im schlimmsten Fall ein DSGVO-Bußgeld bei Datenabfluss — Summen, die ein Pentest-Budget um ein Vielfaches übersteigen.

Ein Pentest ist Prävention: Er deckt die Lücken auf, bevor es ein Angreifer tut. Wer sein Sicherheitsfundament kennt, investiert gezielt — statt nach einem Vorfall teuer zu reparieren. Wie sich ein KMU grundsätzlich gegen Erpressungstrojaner wappnet, lesen Sie im Beitrag zum Ransomware-Schutz; warum eine Cyberversicherung einen Pentest nicht ersetzt, sondern voraussetzt, dort.

Ein Wort zur Förderung — mit Vorsicht: Theoretisch bezuschussen manche Programme externe IT-Sicherheitsberatung. In der Praxis sind die Fördertöpfe aber meist leer oder ausgeschöpft, und die Antragstellung ist aufwendig. Planen Sie eine Förderung allenfalls als möglichen Bonus ein — nie als Budgetgrundlage (ehrlicher Überblick: IT-Förderung für KMU).

Fazit: Für ein KMU mit einer Web-Applikation und überschaubarer Infrastruktur sind 2.500–6.000 € für einen seriösen manuellen Pentest ein realistisches Budget. Günstigere Angebote sind meistens automatisierte Scans. Teurer ist nicht immer besser — aber billiger fast immer schlechter.

Steffen Huntscha

IT-Berater & Gründungsmitglied · Koreva eG

Cisco-zertifizierter Netzwerk- & Security-Spezialist (CCNA/CCNP, seit 2010), BSI-zertifizierter Security-Risk-Check-Berater. Arbeitet seit Jahren produktiv mit KI — auch lokal auf eigener GPU-Infrastruktur.

Häufige Fragen

Realistische Preisebenen: Einfacher Web-Applikations-Pentest (bis 5 Funktionsbereiche) ab 2.500 €. Netzwerk-Pentest bis 50 Hosts ab 4.500 €. Vollständige Infrastruktur-Prüfung (Web + Netzwerk + Social Engineering) ab 8.000 €. Günstigere Angebote unter 1.500 € sind fast immer automatisierte Scanner-Reports — kein echter Pentest.
Der größte Preistreiber ist der Anteil manueller Arbeit. Automatisierte Tools scannen Systeme in Stunden und kosten wenig — liefern aber nur bekannte, publizierte Schwachstellen. Manuelle Pentests durch erfahrene Spezialisten finden logische Fehler, Business-Logic-Schwachstellen und Kombinationsangriffe, die kein Tool erkennt. Der Aufwand bestimmt den Preis.
Mindestens jährlich für kritische Systeme (Web-Anwendungen mit Kundendaten, öffentlich erreichbare Infrastruktur). Nach größeren Änderungen (neues System, neue Anwendung, Cloud-Migration) ist ein erneuter Test empfohlen. Cyberversicherer und NIS2 fordern zunehmend regelmäßige Sicherheitsnachweise.
Ein guter Pentest: klarer Scope vorab definiert, überwiegend manuelle Arbeit durch erfahrene Spezialisten, Abschlussbericht mit priorisierten Findings und konkreten Handlungsempfehlungen, Nachbesprechung und Folgefragen möglich. Ein schlechter Pentest: automatisierter Scan, langes PDF mit hunderten unkritischer Findings, kein klarer Handlungsbedarf erkennbar.
Ja — der Umfang wird an die Unternehmensgröße angepasst. Ein kleines Unternehmen mit einer Web-Anwendung braucht keinen 30.000-€-Test, sondern einen fokussierten Web-App-Pentest ab etwa 2.500 €. Entscheidend ist nicht die Größe, sondern wie viele sensible Daten und öffentlich erreichbare Systeme Sie betreiben.
In der Theorie ja, in der Praxis selten. Programme wie go-digital oder regionale Digitalboni können IT-Sicherheitsberatung bezuschussen — die Fördertöpfe sind aber meist leer oder ausgeschöpft, und die Antragstellung ist aufwendig. Rechnen Sie nicht fest damit: Behandeln Sie eine mögliche Förderung als Bonus, nicht als Budgetgrundlage.

Pentest-Angebot anfordern

Im Erstgespräch definieren wir gemeinsam Scope und Umfang — und Sie erhalten ein verbindliches Festpreisangebot.