Kosten·9 Min. Lesezeit

Was kostet ein Penetrationstest? Security-Audit-Preise 2026

Was kostet ein Penetrationstest 2026? Realistische Preise nach Umfang und Tiefe, der Unterschied zum Security-Audit, Kostentreiber, Beispielrechnung und wie oft Sie testen sollten – Stichwort NIS2.

Ein Penetrationstest bringt ans Licht, wo Angreifer in Ihre Systeme eindringen könnten – bevor es jemand mit böser Absicht tut. Was ein solcher Test kostet, hängt stark von Umfang und Tiefe ab: Zwischen der Prüfung einer einzelnen Web-Anwendung und einem umfassenden Audit der gesamten IT-Landschaft liegen leicht mehrere Zehntausend Euro. Dieser Guide ordnet die üblichen Preisspannen im DACH-Raum ein (Stand 2026), erklärt den Unterschied zwischen Penetrationstest und Security-Audit, zeigt anhand einer Beispielrechnung, wie sich das Budget zusammensetzt – und warum das Thema mit NIS2 für viele Unternehmen dringlicher wird.

Penetrationstest: Kostenübersicht 2026

Als grobe Orientierung nach Umfang und Tiefe – netto, für einen einmaligen Test:

TestumfangBeschreibungKosten (netto)Dauer
Fokussierter PentestEine überschaubare Web-App oder API, klar abgegrenzter Scope5.000 – 12.000 €3–8 Tage
Umfassender PentestKomplexe Anwendung oder Netzwerk, mehrere Systeme und Rollen12.000 – 30.000 €2–4 Wochen
Red Teaming / Enterprise-AuditSzenariobasiert über mehrere Angriffsvektoren, inkl. Social Engineering30.000 – 80.000 €+mehrere Wochen

Die Zahlen sind Erfahrungswerte und keine Festpreise: Ein und derselbe „Web-App-Pentest" kann je nach Zahl der Funktionen, Nutzerrollen und Schnittstellen sehr unterschiedlich ausfallen. Verstehen Sie die Tabelle deshalb als Startpunkt für ein Angebot, nicht als Preisliste. Ein belastbarer Preis entsteht erst nach einem Scoping-Gespräch, in dem Umfang und Tiefe konkret festgelegt werden.

Stundensätze: Warum Security-Expertise ihren Preis hat

Penetrationstests werden fast immer über den Tages- oder Stundensatz der eingesetzten Spezialisten kalkuliert. Zur Einordnung hilft der breitere Markt: Der Median-Stundensatz von IT-Freelancern in der DACH-Region liegt laut dem IT-Freelancer-Stundensatz 2026 bei rund 95 €/h, mit einer typischen Spanne von 80–120 €/h je nach Spezialisierung. Sicherheitsexperten mit nachgewiesener Offensiv-Erfahrung und einschlägigen Zertifizierungen liegen erfahrungsgemäß deutlich darüber – als grobe Orientierung sind im Pentest-Umfeld 130–200 € pro Stunde üblich.

Der Aufschlag hat einen einfachen Grund: Qualifizierte Fachkräfte sind knapp. Laut einer Bitkom-Erhebung fehlen in Deutschland rund 109.000 IT-Fachkräfte, und 85 % der Unternehmen beklagen den Fachkräftemangel. In der IT-Sicherheit, einem besonders spezialisierten Teilbereich, ist der Engpass noch ausgeprägter – erfahrene Tester haben entsprechend Preissetzungsmacht. Für Sie heißt das: Der Stundensatz selbst ist selten der wirksame Hebel zum Sparen. Deutlich mehr bewegt ein klug abgegrenzter Scope und gute Vorbereitung (mehr dazu weiter unten).

Penetrationstest oder Security-Audit?

Die Begriffe werden oft vermischt, meinen aber Unterschiedliches:

  • Penetrationstest: Spezialisten simulieren reale Angriffe und versuchen aktiv, in Systeme einzudringen. Ergebnis ist eine Liste konkret ausnutzbarer Schwachstellen mit nachgewiesenem Risiko – „Hier kommt ein Angreifer tatsächlich rein."
  • Security-Audit: Eine breitere, eher prüfende Betrachtung gegen Richtlinien und Standards (etwa ISO 27001 oder BSI-Grundschutz). Es geht um Prozesse, Konfigurationen und Organisation – nicht primär um das aktive Ausnutzen von Lücken.

Vereinfacht: Der Pentest zeigt, ob und wie jemand hereinkommt; das Audit prüft, ob Ihre Sicherheitsorganisation insgesamt richtlinienkonform aufgestellt ist. Für ein vollständiges Bild ergänzen sich beide – viele Unternehmen kombinieren sie. Das Audit kostet dabei tendenziell weniger im aktiven Testen, dafür mehr in Dokumentation und Prozessbewertung.

Welche Arten von Penetrationstests gibt es?

„Pentest" ist ein Sammelbegriff. Welche Disziplin Sie brauchen, hängt davon ab, was schützenswert und exponiert ist – und beeinflusst den Preis erheblich:

  • Web-Anwendungstest: Prüft Websites, Portale und APIs auf typische Lücken wie fehlerhafte Zugriffskontrolle, Injection oder unsichere Sitzungen. Der häufigste und für viele Unternehmen wichtigste Test.
  • Netzwerktest (extern/intern): Untersucht die aus dem Internet erreichbare Angriffsfläche oder – von innen – was ein Angreifer nach dem ersten Zugang erreichen könnte.
  • Mobile- und Cloud-Test: Prüft mobile Apps sowie Cloud-Konfigurationen, in denen Fehlkonfigurationen (offene Speicher, zu weite Rechte) eine häufige Schwachstelle sind.
  • Social Engineering: Testet den Faktor Mensch, etwa über simulierte Phishing-Kampagnen – oft Teil umfangreicherer Red-Teaming-Übungen.

Für den Start konzentrieren sich die meisten Unternehmen auf ihre kritischste, am stärksten exponierte Anwendung und weiten den Umfang später aus. Wer eine individuell entwickelte Web-Anwendung oder App betreibt, sollte diese fast immer als Erstes prüfen lassen, da hier eigene Logik und Schnittstellen stecken, die Standard-Tools nicht kennen.

Was die Kosten treibt

  • Umfang (Scope): Die Zahl der zu prüfenden Anwendungen, Systeme, IP-Adressen und Nutzerrollen bestimmt den Aufwand am stärksten. Ein eng abgegrenzter Scope hält den Preis niedrig.
  • Testtiefe und -ansatz: Black-Box (ohne Vorwissen, aufwendiger) ist teurer als Grey- oder White-Box, bei dem die Tester Zugangsdaten und Dokumentation erhalten und weniger Zeit für Aufklärung brauchen.
  • Art des Tests: Web, interne oder externe Netzwerke, Mobile Apps, Cloud-Konfiguration oder Social Engineering – jede Disziplin verlangt eigenes Spezialwissen.
  • Komplexität der Anwendung: Viele Funktionen, individuelle Logik und zahlreiche Schnittstellen bedeuten mehr Prüfaufwand als eine schlanke Standardanwendung.
  • Qualifikation der Tester: Erfahrene, zertifizierte Spezialisten kosten mehr, finden aber oft die kritischen Lücken, die automatisierte Werkzeuge übersehen.
  • Nachtest (Retest): Ein erneuter Test nach dem Beheben der Funde ist sinnvoll, verursacht aber zusätzlichen Aufwand – klären Sie vorab, ob er im Preis enthalten ist.

So läuft ein Penetrationstest ab

Ein seriöser Test folgt einem strukturierten Vorgehen statt planlosem „Herumprobieren":

  • Scoping und Zieldefinition: Gemeinsam festlegen, was getestet wird, mit welchem Ansatz (Black/Grey/White-Box) und in welchem Zeitfenster – inklusive schriftlicher Freigabe.
  • Informationsbeschaffung: Die Tester sammeln Informationen über die Zielsysteme und identifizieren mögliche Angriffsflächen.
  • Schwachstellenanalyse und Exploitation: Gefundene Lücken werden bewertet und – soweit vereinbart – kontrolliert ausgenutzt, um das reale Risiko nachzuweisen.
  • Bericht mit Risikobewertung: Verständliche Dokumentation aller Funde, priorisiert nach Kritikalität, mit konkreten Handlungsempfehlungen. Der Bericht ist das eigentliche Produkt.
  • Nachtest: Nach dem Beheben prüfen die Tester gezielt, ob die Schwachstellen wirklich geschlossen sind.

Beispielrechnung: Pentest eines Kundenportals

Ein mittelständisches Unternehmen lässt sein web-basiertes Kundenportal prüfen – mit Login, mehreren Nutzerrollen, einer Bezahlfunktion und einer angebundenen API. Vereinbart wird ein Grey-Box-Test, bei dem die Tester Testzugänge und Dokumentation erhalten. So verteilt sich der Aufwand grob (Sätze als Erfahrungswert von rund 160 €/h angenommen):

ArbeitsblockAufwandGrobe Summe
Scoping & Kick-offca. 0,5 Tag~800 €
Informationsbeschaffung & Mappingca. 1 Tag~1.500 €
Aktive Tests (Web-App, API, Rollen)ca. 4 Tage~6.400 €
Bericht & Risikobewertungca. 1,5 Tage~2.400 €
Abschlussgesprächca. 0,5 Tag~800 €
Summe (ohne Retest)ca. 7,5 Tage~11.900 €
Optionaler Nachtest (Retest)ca. 1 Tag~1.500 €

Die Aufstellung macht einen oft übersehenen Punkt sichtbar: Das eigentliche „Hacken" ist nur ein Teil der Rechnung. Aufbereitung, verständlicher Bericht und Kommunikation machen einen erheblichen Anteil aus – und genau darin liegt der Wert. Ein solcher fokussierter bis mittlerer Test landet damit im unteren fünfstelligen Bereich, konsistent mit der Übersichtstabelle oben.

Laufende Kosten: Sicherheit ist kein Einmalkauf

Ein einzelner Pentest ist eine Momentaufnahme. Wer Sicherheit ernst nimmt, sollte über den einmaligen Testpreis hinaus mit wiederkehrenden Posten rechnen:

  • Wiederkehrende Tests: mindestens jährlich sowie nach größeren Änderungen – das ist der offensichtlichste laufende Posten.
  • Behebungsaufwand: Die gefundenen Lücken müssen geschlossen werden. Je nach Kritikalität bindet das interne Entwickler- oder externe Agenturkapazität und ist im Testpreis nicht enthalten.
  • Schwachstellenscans zwischen den Tests: automatisierte Scans als günstige, laufende Ergänzung, um zwischen den manuellen Tests grobe neue Lücken früh zu erkennen.
  • Monitoring und Reaktion: Je nach Risikoprofil laufendes Sicherheits-Monitoring, das Angriffe erkennt, bevor sie Schaden anrichten.
  • Awareness und Schulung: Da der Faktor Mensch eine der häufigsten Schwachstellen ist, gehören Schulungen der Mitarbeitenden zu den wirksamsten wiederkehrenden Investitionen.

Als Orientierung: Behandeln Sie IT-Sicherheit als fortlaufende Betriebsposition, nicht als einmaliges Projekt. Der Testpreis ist nur der sichtbarste Teil der Gesamtkosten.

Wie oft testen – und was NIS2 damit zu tun hat

Sicherheit ist kein Einmalprojekt. Als Faustregel sollten Sie mindestens einmal jährlich testen lassen – zusätzlich immer nach größeren Änderungen wie einem Relaunch, neuen Schnittstellen oder einer Cloud-Migration. Jede solche Änderung kann neue Lücken einführen, die der letzte Test noch nicht kannte.

An Dringlichkeit gewinnt das Thema durch die EU-Richtlinie NIS2, die ab 2024/2025 deutlich mehr Unternehmen zu einem angemessenen Risikomanagement verpflichtet – nicht mehr nur klassische Betreiber kritischer Infrastruktur, sondern auch viele mittelständische Betriebe in betroffenen Sektoren und deren Zulieferer. Regelmäßige Sicherheitstests sind ein naheliegender Baustein, um die geforderte Sorgfalt nachzuweisen. Ob und wie genau Sie betroffen sind, klären Sie am besten früh mit einem spezialisierten Partner.

Wichtig ist außerdem, den Test nicht isoliert zu betrachten: Ein Pentest liefert eine Momentaufnahme. Sein Wert entsteht erst, wenn die gefundenen Lücken auch behoben und im Nachtest überprüft werden – und wenn Sicherheit als fortlaufender Prozess verstanden wird, der mit jeder größeren Änderung erneut auf die Agenda kommt. Ein einmaliger Test, dessen Ergebnisse in der Schublade landen, ist verlorenes Geld.

So sparen Sie bei einem Pentest

  • Scope klar abgrenzen: Je präziser Sie definieren, was geprüft werden soll, desto günstiger und aussagekräftiger der Test. Prüfen Sie das Kritische zuerst.
  • Grey-Box statt Black-Box: Stellen Sie Zugangsdaten und Dokumentation bereit – das spart teure Aufklärungszeit und bringt oft mehr relevante Funde.
  • Hausaufgaben vorher machen: Automatisierte Schwachstellenscans und offensichtliche Updates vorab erledigen – dann konzentriert sich der teure Spezialist auf die anspruchsvollen Lücken.
  • Retest mitverhandeln: Klären Sie vorab, ob ein Nachtest nach der Behebung im Preis enthalten ist – das erspart eine separate Beauftragung.
  • Nicht den billigsten Anbieter wählen: Ein oberflächlicher Test, der kritische Lücken übersieht, ist teurer als kein Test – er wiegt in falscher Sicherheit. Achten Sie auf Qualifikation und Referenzen.

Häufige Fragen

Wie oft sollte man einen Penetrationstest durchführen?

Mindestens einmal jährlich sowie nach jeder größeren Änderung an der Anwendung oder Infrastruktur – etwa Relaunch, neue Schnittstellen oder Cloud-Umzug. Für stark exponierte oder regulierte Systeme kann ein kürzerer Rhythmus sinnvoll sein.

Was ist der Unterschied zu einem Schwachstellenscan?

Ein automatisierter Schwachstellenscan ist günstig und schnell, meldet aber nur bekannte Muster und produziert Fehlalarme. Ein Penetrationstest wird von Menschen durchgeführt, die Lücken kombinieren, ausnutzen und im Kontext bewerten. Der Scan ist eine sinnvolle Ergänzung, ersetzt den Pentest aber nicht.

Was kostet der günstigste sinnvolle Pentest?

Ein fokussierter Test einer klar abgegrenzten Web-Anwendung beginnt erfahrungsgemäß im mittleren vierstelligen Bereich (ab rund 5.000 €). Deutlich billigere Angebote sind oft nur automatisierte Scans – prüfen Sie genau, was tatsächlich manuell getestet wird.

Wie lange dauert ein Penetrationstest?

Ein fokussierter Test einer einzelnen Anwendung dauert meist drei bis acht Arbeitstage inklusive Bericht. Umfassendere Prüfungen mehrerer Systeme ziehen sich über zwei bis vier Wochen, Red-Teaming-Übungen entsprechend länger. Planen Sie zusätzlich Vorlaufzeit für Scoping und Terminfindung ein, da gute Tester oft ausgebucht sind.

Brauchen wir das wegen NIS2 oder DSGVO?

Beide fordern angemessene technische Sicherheitsmaßnahmen. NIS2 weitet die Pflichten ab 2024/2025 auf viele weitere Unternehmen aus. Ein regelmäßiger Pentest ist zwar selten wörtlich vorgeschrieben, aber ein anerkannter Weg, die geforderte Sorgfalt nachzuweisen und Risiken belegbar zu senken.

Was ist im Bericht enthalten – und ist ein Retest dabei?

Ein guter Bericht listet alle Funde priorisiert nach Kritikalität, erklärt sie verständlich und gibt konkrete Handlungsempfehlungen. Ob ein Nachtest nach der Behebung inklusive ist, unterscheidet sich je Anbieter – fragen Sie das vor der Beauftragung ausdrücklich ab.

Passende Agentur finden: Vergleichen Sie geprüfte Cybersecurity-Agenturen in Deutschland und Österreich – mit Bewertungen, Referenzen und Spezialisierung auf Penetrationstests und Security-Audits. Für die grundsätzliche Auswahl helfen Die richtige Agentur auswählen: 8 Kriterien und Festpreis oder nach Aufwand?

Schlagwörter

CybersecurityPenetrationstestKostenNIS2

Keine Zeit zum Vergleichen? Beschreiben Sie Ihr Projekt – wir schlagen Ihnen passende Agenturen vor, kostenlos und unverbindlich.

TeilenLinkedInXE-Mail

Redaktion

Die Redaktion von deine-agenturen.com informiert Sie regelmäßig über aktuelle Themen rund um Softwareentwicklung, Webdesign und digitale Dienstleistungen.

Passende Agenturen finden

Geprüfte Anbieter aus der DACH-Region – mit echten Bewertungen und transparenten Preisen.

Alle Artikel anzeigen