Kosten für Penetrationstests
Die Kosten eines Penetrationstests hängen weniger vom Namen des Anbieters ab als von Scope, Tiefe und Rahmenbedingungen. Wer diese Faktoren sauber definiert, erhaelt Angebote, die vergleichbar und belastbar sind.
Aus der Praxis: Unklare Zugriffe, fehlende Testaccounts oder nicht dokumentierte Einstiegspunkte fuehren oft zu Nachkalkulationen oder verkleinertem Scope.
Stand: Feb 2026
Was die Kosten wirklich beeinflusst
Scope & Assets
Anzahl von Anwendungen, APIs, Hosts, Cloud-Accounts und externen Einstiegspunkten.
Tiefe & Methodik
Manuelle Tests, Business-Logic-Checks, Auth-Bypass und Exploit-Nachweise.
Rahmenbedingungen
Prod vs. Staging, Timeboxing, RoE, Zugriff auf Testaccounts oder Logs.
Deliverables
Executive Summary, technischer Report, PoCs, Retest und Fix-Verifikation.
Warum es keinen Fixpreis gibt
Pentests sind auf Ihre Systeme zugeschnitten. Schon kleine Unterschiede bei Scope, Zugriffswegen oder Testtiefe verschieben den Aufwand deutlich. Deshalb ist eine saubere Eingrenzung wichtiger als jede Preisliste.
Wie wir Aufwand einordnen
Grundlage sind technische und organisatorische Eckdaten: Anzahl der Assets, Auth- und Rollenmodell, Datenkritikalitaet, Testfenster, Umgebungen, Retest- Bedarf sowie Verfuegbarkeit von Accounts und Logs. Alles, was fehlt, wird als Risikoaufschlag kalkuliert oder als Annahme dokumentiert.
Passt, wenn
- der Scope grob abgrenzbar ist
- ein Zeitfenster fuer Tests existiert
- Testaccounts und Zugriffe planbar sind
Passt nicht, wenn
- Systeme noch nicht erreichbar sind
- keine Verantwortlichkeiten geklaert sind
- der Scope offen und unbegrenzt ist
Typische Preistreiber
Diese Faktoren erhoehen den Aufwand am haeufigsten.
- viele Systeme oder stark vernetzte Landschaften
- komplexe Auth- und Rollenmodelle
- produktive Systeme mit engen Zeitfenstern
- mehrere Testarten gleichzeitig (Web + Netzwerk + Cloud)
- zusaetzliche Compliance-Anforderungen (z. B. spezielle Reporting-Formate)
Tiefe und Assurance (Vergleich)
| Kurztest | Tiefer Test |
|---|---|
| Standardpfade und Basischecks | Business-Logik, Rollenwechsel, Missbrauchsszenarien |
| Geringere Abstimmung | Mehr Analyse, Abstimmung und Retests |
| Kuerzere Dauer | Hoeherer Zeitbedarf |
Prozess in 4 Schritten
1. Scope klaeren: Ziele, Grenzen, Assets, Testfenster.
2. Priorisieren: kritische Systeme zuerst, Randbereiche spaeter.
- Kontext liefern:
Architektur, Auth, Tech-Stack, bekannte Risiken.
- Erwartungen setzen:
Risiko- und Impact-Kriterien festlegen.
Beispiel zur Einordnung (anonymisiert)
Zwei Web-Apps, eine API, fuenf Rollen und stabile Testaccounts sind gut planbar. Derselbe Funktionsumfang mit zusaetzlichen Subdomains, produktiven Abhaengigkeiten und fehlenden Accounts fuehrt haeufig zu mehr Explorations- und Abstimmungsaufwand sowie zu erhoehtem Retest-Bedarf.
Sie erhalten
Lieferumfang
- Executive Summary und technischer Report
- PoCs und Impact-Bewertung
- Retest und Fix-Verifikation
Dokumentation
- Scope, Methodik und Annahmen
- Abbruchkriterien und Zeitansatz
- Rollen und Ansprechpartner
Anbieter-Kriterien (2 Gruppen)
Qualitaetssignale
- klare Testziele und Abgrenzungen
- Methodik nach OWASP/ASVS oder PTES
- nachvollziehbarer Zeitansatz
Vertragsklarheit
- Retest-Regelung und Abbruchkriterien
- Deliverables mit Beispielstruktur
- dokumentierte Abhaengigkeiten
Scope-Hinweis
Diese Seite bietet Orientierung zur Aufwandseinordnung und Angebotsstruktur. Sie ersetzt kein verbindliches Angebot, keine Rechtsberatung und kein Compliance-Assessment.
FAQ
Welche Faktoren treiben die Kosten eines Penetrationstests am staerksten?
Umfang der Assets, Komplexitaet der Authentifizierung, Testtiefe und Betriebsbedingungen sind die groessten Hebel. Unklare Zugaenge und fehlende Testaccounts fuehren meist zu Zusatzaufwand.
Wie wirkt sich die Testtiefe auf den Aufwand aus?
Tiefe Tests enthalten mehr Analyse, Rollenwechsel und Missbrauchsszenarien. Das erhoeht die noetige Zeit fuer Abstimmung, Findings und Retests.
Was muss ich vor einem Pentest bereitstellen?
Sie benoetigen einen grob abgegrenzten Scope, Testfenster und Ansprechpartner. Zusaetzlich helfen Testaccounts, Zugriffe und Logs.
Woran erkenne ich ein belastbares Angebot?
Es enthaelt klare Ziele, Methodik, Zeitansatz, Annahmen und Deliverables. Retest-Regelung und Abbruchkriterien sollten dokumentiert sein.
Wann passt ein Pentest nicht?
Wenn Systeme noch nicht erreichbar sind oder der Scope offen bleibt, entsteht kein belastbarer Aufwand. In solchen Faellen sollte zuerst der Rahmen geklaert werden.
Weiterfuehrende Links
Wann brauche ich einen Penetrationstest?
Wie waehle ich einen Pentest-Anbieter?
Fragen vor einem Pentest
Pentest vs. Vulnerability Scan
- Penetration Testing
Naechste Schritte (Checkliste)
Das brauchen Sie fuer eine belastbare Einordnung.
- Scope skizzieren und Systeme benennen
- Testfenster und Ansprechpartner festlegen
- Accounts, Zugriffe und Logs vorbereiten
- Erwartete Deliverables priorisieren
Naechster Schritt
Beschreiben Sie kurz Ihren Bedarf. Wir helfen, Scope und Aufwand realistisch einzuordnen. Hinweis: Wir beraten zur Vorbereitung und Auswahl, fuehren aber keine Tests durch.
Anfrageformular oeffnen