Skip to content
CyberXplore - Xplore the Unseen

Was kostet ein Penetrationstest im Jahr 2026? (Eine ehrliche Aufschlüsselung)

cyberxploreVon cyberxplore9 Min. Lesezeit

Eine klare Antwort zu den Kosten eines Penetrationstests im Jahr 2026: die echten Treiber hinter der Zahl, ehrliche Spannen und die Posten, die ein Angebot unbemerkt in die Höhe treiben.

Was kostet ein Penetrationstest im Jahr 2026? (Eine ehrliche Aufschlüsselung)

Einmal im Monat schreibt uns jemand eine kurze Mail mit einer einzigen Frage: “Was kostet ein schneller Pentest?” Man will eine einzige Zahl zurück. Ich verstehe den Impuls, aber die ehrliche Antwort lautet: Die Kosten eines Penetrationstests verhalten sich weniger wie ein Preisschild im Regal und eher wie der Kostenvoranschlag für eine Haussanierung. Zwei Aufträge, die sich in einem einzeiligen Briefing identisch lesen, können sich um das Dreifache unterscheiden, sobald man mitzählt, was tatsächlich zum Scope gehört.

Lassen Sie mich also die Motorhaube öffnen, statt auszuweichen. So legen wir den Umfang fest, das treibt die Zahl nach oben oder unten, und diese Spannen können Sie dieses Jahr realistisch erwarten. Keine erfundene Preisliste. Nur die Mechanik dahinter, damit Sie jedes Angebot lesen können – unseres oder das eines anderen – und beurteilen, ob es fair ist.

Und eine Warnung vorab. Die größten versteckten Kosten in diesem Markt stehen nicht auf der Rechnung. Es ist echtes Geld für einen Scan-and-Dump-Bericht, den ein kostenloses Tool von allein hätte erzeugen können.

Das Wichtigste in Kürze

  • Die Kosten eines Penetrationstests werden vor allem vom Umfang des Scopes, der Prüftiefe und der Erfahrung der Tester bestimmt – nicht von einem festen Preis pro Anwendung.
  • Ein fokussierter Test einer Webanwendung landet typischerweise im unteren bis mittleren fünfstelligen Bereich (USD). Große Projekte mit mehreren Anwendungen oder Red-Team-Einsätze liegen deutlich darüber.
  • Günstige Angebote bedeuten meist automatisiertes Scannen mit einem menschlichen Logo obendrauf. Manuelle Tests durch erfahrene Leute kosten mehr, weil sie die Fehler finden, die Scanner übersehen.
  • Fragen Sie genau, was enthalten ist: Retest, Unterstützung bei der Behebung, Tests der Business-Logik und ein echter Bericht – jedes dieser Elemente verändert den tatsächlichen Preis.
  • Der schnellste Weg zu einer belastbaren Zahl ist ein Scoping-Gespräch, keine Preisseite. Die Variablen sind zu spezifisch, um einen Pauschalpreis zu veröffentlichen.

Was bestimmt eigentlich die Kosten eines Penetrationstests?

Die Kosten eines Penetrationstests sind eine Funktion des Aufwands, und Aufwand wird in Tester-Tagen gemessen. Fast jede Position in einem Angebot lässt sich auf zwei Dinge zurückführen: wie viele Tage ein qualifizierter Tester an Ihrem Ziel arbeitet und wie erfahren dieser Tester ist. Aus diesem Blickwinkel hören die Kostentreiber auf, ein Rätsel zu sein.

Umfang des Scopes. Das ist der wichtigste Hebel. Eine einzelne Webanwendung mit zwanzig Endpunkten und einer Benutzerrolle bedeutet ein paar Tage Arbeit. Dieselbe Anwendung mit drei Mandantentypen, einer Admin-Konsole, einer öffentlichen API und einem OAuth-Flow ist ein völlig anderes Kaliber. Wir kalkulieren in Einheiten der Angriffsfläche, nicht in “Anwendungen”, weil sich hinter einer einzigen “Anwendung” regelmäßig fünf Anwendungen verbergen.

Prüftiefe. Ein Vulnerability Assessment, das Scanner-Ergebnisse bestätigt und priorisiert, ist günstiger als ein vollständiger manueller Test, der Funde zu einer funktionierenden Exploitation verkettet. In der Tiefe steckt der größte Teil der Preisspanne. Wenn jemand Broken Access Control über Rollen hinweg tatsächlich ausnutzen, ein JWT fälschen und die Business-Logik untersuchen soll – den Fehler beim Stapeln von Gutscheinen, die Rückerstattung, die ein Nutzer sich selbst genehmigen kann – dann sind das menschliche Stunden, die kein Scanner ersetzt.

Erfahrung der Tester. Ein Test, der von jemandem mit OSCP oder OSWE und echter Projekterfahrung durchgeführt wird, kostet pro Tag mehr – und ist es wert. Der Unterschied zwischen einem Junior, der in Burp auf “active scan” klickt, und einem Senior, der eine IDOR-Kette manuell über zwei Rollen hinweg durchgeht, ist, ehrlich gesagt, der gesamte Wert des Einsatzes.

Methodik und Reporting. Ein Bericht, den Sie einem Entwickler, einem Auditor und einem Vorstand vorlegen können, liest sich völlig anders als ein Tool-Export. Saubere Schritte zur Reproduktion, ehrliche Aussagen zu den geschäftlichen Auswirkungen und Hinweise zur Behebung zu schreiben, kostet Zeit. Ebenso ein Retest, der bestätigt, dass Ihre Korrekturen tatsächlich gehalten haben.

Was kostet ein Penetrationstest im Jahr 2026?

Hier einige ehrliche, beispielhafte Spannen in US-Dollar. Betrachten Sie sie als typisch, nicht als Angebote. Ihre Zahl hängt von den oben genannten Faktoren ab, und die Preise variieren je nach Region und Anbieter.

  • Kleine Web- oder Mobile-App, fokussierter Scope: oft im unteren fünfstelligen Bereich. Ein eng gefasster Test einer einzelnen Anwendung mit wenigen Rollen liegt am unteren Ende der Spanne.
  • Mittelgroße Webanwendung oder API-Test: typischerweise im mittleren fünfstelligen Bereich, sobald mehrere Rollen, eine API und Drittanbieter-Integrationen hinzukommen.
  • Test des externen Netzwerks oder Perimeters: Der Preis richtet sich nach der Zahl der aktiven Hosts und der exponierten Dienste. Ein kleiner Perimeter ist mit dem Test einer kleinen Anwendung vergleichbar.
  • Review der Cloud-Konfiguration (AWS, Azure, GCP): skaliert mit der Zahl der Accounts und dem Wildwuchs an Diensten.
  • Red-Team-Einsatz: mehrwöchig, zielbasiert und mit großem Abstand die teuerste Kategorie, weil er einen geduldigen Angreifer über einen längeren Zeitraum simuliert statt eine Checkliste abzuarbeiten.

Hier das verräterische Zeichen. Wenn ein vollständiger Test des externen Netzwerks zum Preis eines guten Abendessens angeboten wird, ist das kein Penetrationstest. Es ist ein Nessus- oder nuclei-Lauf mit einem angehefteten Deckblatt. Wir lesen viele dieser “früheren Berichte”, wenn wir Anschlussaufträge übernehmen, und das Muster ist stets dasselbe: Die falsche Sparsamkeit ist real, und sie zeigt sich meist im schlechtesten Moment – bei einem Vorfall oder einem durchgefallenen Audit.

Warum sind manche Angebote so viel günstiger?

Weil sie unter demselben Namen etwas anderes verkaufen. Der mit Abstand wichtigste Grund, warum zwei Angebote für Penetrationstests auseinandergehen, ist das Verhältnis von automatisierter zu manueller Arbeit. Automatisierung ist billig und schnell. Sie ist auch hervorragend darin, fehlende Header und bekannt angreifbare Versionen zu erkennen – und nutzlos, wenn es darum geht, einen Logikfehler zu finden, der es einem Nutzer erlaubt, seine eigene Rückerstattung zu genehmigen.

Ein schneller Weg, ein günstiges Angebot auf die Probe zu stellen: Fragen Sie, wie viele Tester-Tage eingeplant sind und wer die Tests durchführt. Vage Antworten – “das übernimmt unsere Plattform” – bedeuten, dass das Ergebnis ein Scan ist. Scannen hat seinen Platz. Es gehört in Ihre CI-Pipeline und Ihr laufendes Schwachstellenmanagement-Programm. Es ist kein Penetrationstest und sollte auch nicht wie einer bepreist werden.

Faustregel: Wenn im Angebot weder manuelles Testen noch Business-Logik oder eine benannte Methodik erwähnt werden, kaufen Sie einen Scan. Bepreisen Sie ihn entsprechend.

Welche Posten verändern den Preis unbemerkt?

Eine Handvoll Dinge, die Käufer zu prüfen vergessen und die jeweils die tatsächlichen Kosten bewegen können:

  • Retest inklusive oder extra? Ein Test ohne verifizierenden Retest lässt Sie im Ungewissen, ob Ihre Korrekturen gewirkt haben. Steht er nicht im Angebot, fragen Sie nach. Oft ist das der Unterschied zwischen “erledigt” und “erledigt und nachgewiesen”.
  • Anzahl der Benutzerrollen. Der Aufwand für Access-Control-Tests vervielfacht sich mit den Rollen. Admin-, Mitarbeiter- und Kundenansichten zu testen bedeutet grob drei Durchläufe über die Autorisierungsfläche.
  • Authentifiziert vs. nicht authentifiziert. Testern Zugangsdaten zu geben kostet zunächst mehr, weil es mehr zu testen gibt – und ist fast immer die richtige Entscheidung. Die meisten ernsten Funde liegen hinter dem Login.
  • Compliance-Zuordnung. Soll der Bericht auf SOC 2, PCI DSS, ISO 27001 oder einen Sicherheitsfragebogen eines Kunden zugeschnitten sein? Dieser zusätzliche Reporting-Aufwand ist echte Arbeit.
  • Unterstützung bei der Behebung. Ein Debrief-Gespräch mit Ihren Entwicklern oder eine erneute Prüfung eines Patches ist Zeit, die sich zu bezahlen lohnt – und nach der man vorab fragen sollte.

Wie kommen Sie zu einer präzisen Zahl?

Eine präzise Kostenangabe für einen Penetrationstest ergibt sich aus einem Scoping-Gespräch, nicht aus einem Rechner. Wir fragen nach der Liste der Ziele, dem Tech-Stack, der Anzahl der Rollen, ob eine API und eine Mobile-App im Scope sind und was Sie eigentlich nachweisen wollen – eine Kundenanforderung, eine Compliance-Frist oder echte Sicherheit vor einem Launch. Zwanzig Minuten Scoping bewahren Sie davor, zu viel zu zahlen oder den Scope zu klein anzusetzen.

Bringen Sie Kontext mit, mit dem wir den Umfang schnell einschätzen können: eine Architekturskizze, Endpunkt- oder Swagger-Dokumentation und jeden früheren Bericht. Je präziser Ihr Scope, desto enger und fairer das Angebot – und desto weniger “Puffer” für Unwägbarkeiten muss irgendjemand einkalkulieren.

Wie CyberXplore kalkuliert und liefert

Wir kalkulieren nach Angriffsfläche und Tester-Tagen. Wir testen manuell, mit erfahrenen Leuten. Jeder Einsatz liefert einen Bericht, mit dem Ihre Entwickler etwas anfangen können, plus einen Retest, der bestätigt, dass die Korrekturen gehalten haben. Unser Penetrationstest für Webanwendungen ist auf die manuelle Ausnutzung der Fehler ausgerichtet, die wirklich zählen – Broken Access Control, Injection, Fehler bei Authentifizierung und Sitzungsverwaltung sowie Business-Logik – und nicht auf einen Scanner, der als Service verkleidet ist.

Wollen Sie statt einer Spanne eine echte Zahl für Ihren konkreten Scope? Fordern Sie ein Angebot an, und wir machen aus einem kurzen Scoping-Gespräch einen festen, transparenten Preis ohne überraschende Posten.

FAQ

Was kostet ein Penetrationstest für eine Webanwendung?

Für einen fokussierten Test einer einzelnen Anwendung sollten Sie mit dem unteren fünfstelligen Bereich in USD rechnen. Mittelgroße Anwendungen mit mehreren Rollen, einer API und Integrationen landen typischerweise im mittleren fünfstelligen Bereich. Die genauen Kosten eines Penetrationstests hängen von Umfang, Tiefe und Erfahrung der Tester ab – deshalb kommen belastbare Zahlen aus einem Scoping-Gespräch und nicht aus einer Preisliste.

Warum sind Penetrationstests so teuer?

Weil es qualifizierte menschliche Arbeit ist. Ein erfahrener Tester, der Ihre Anwendung manuell ausnutzt, findet Logikfehler und Access-Control-Ketten, die automatisierte Tools völlig übersehen. Sie bezahlen für Fachwissen und Zeit, nicht für Software. Die billige Alternative, ein automatisierter Scan, ist schlicht nicht dasselbe Produkt.

Lohnt sich ein günstiger Penetrationstest?

Meist nicht, wenn “günstig” einen Scan mit einer Berichtsvorlage bedeutet. Solche Tests übersehen die Funde, die tatsächlich zu Sicherheitsvorfällen führen, und können Ihnen kurz vor einem Audit oder einem Vorfall falsche Sicherheit vermitteln. Wenn das Budget knapp ist, grenzen Sie den Scope auf Ihr kritischstes Asset ein und testen Sie es richtig, statt alles oberflächlich zu prüfen.

Umfasst ein Penetrationstest auch das Beheben der Probleme?

Ein Penetrationstest identifiziert und priorisiert Schwachstellen mit Schritten zur Reproduktion und Hinweisen zur Behebung. Die Behebung selbst übernimmt Ihr Team. Gute Anbieter schließen einen Retest ein, der bestätigt, dass die Korrekturen gewirkt haben, und viele bieten ein Debrief zur Behebung an. Vergewissern Sie sich, dass beides im Angebot steht, bevor Sie unterschreiben.

Wie oft sollten wir einen Penetrationstest durchführen?

Mindestens jährlich und nach jedem größeren Release oder jeder Architekturänderung. Viele Teams kombinieren einen jährlichen manuellen Penetrationstest mit kontinuierlichem automatisiertem Scannen dazwischen, was die laufenden Kosten planbar hält und neue Probleme trotzdem früh erkennt.

Wie groß ist der Kostenunterschied zwischen einem Schwachstellen-Scan und einem Penetrationstest?

Ein Scan ist weitgehend automatisiert und günstig. Ein Penetrationstest ist manuell, arbeitsintensiv und wird nach Tester-Tagen bepreist. Der Kostenunterschied spiegelt einen Fähigkeitsunterschied wider: Scans finden bekannte Probleme, Pentests finden die ausnutzbaren und logikbasierten. Beide haben ihren Platz in einem ausgereiften Programm.

Ähnliche Artikel

Machen Sie aus diesen Insights ein Projekt

Erhalten Sie einen von Senior-Experten geführten Penetrationstest, zugeschnitten auf Ihren Stack - umsetzbare Ergebnisse statt Checkliste.

  • Kostenloser Nachtest für jeden Fix
  • Scope und Angebot innerhalb von 24 Stunden
  • Ausschließlich Senior-Tester
  • ISO 27001
  • ISO 9001
  • OSCP
  • CRTP
  • CREST
Angebot anfordern