In Deutschland liegen die Kosten für einen Penetrationstest im Schnitt zwischen 6.000 € und 35.000 €, solide KMU-Projekte landen häufig bei 7.500 € bis 15.000 €. Für einfache Webanwendungen starten realistische Tests oft bei 5.000 € bis 10.000 €, während komplexere Netzwerke 10.000 € bis 40.000 € kosten können.
Wenn Sie gerade Budget planen, NIS-2 prüfen oder für ein Audit belastbare Nachweise brauchen, dann ist die eigentliche Frage nicht: Was kostet ein Pentest? Die richtige Frage ist: Was genau muss getestet werden, damit Sie Ihr Risiko wirklich senken und nicht nur einen Bericht kaufen?
Viele Geschäftsführer und IT-Leiter sitzen aktuell genau an diesem Punkt. Die Firewall läuft, Microsoft 365 ist sauber aufgesetzt, Backups existieren, vielleicht steht sogar eine Cloud-Migration auf IONOS oder eine ISO-27001-nahe Struktur im Raum. Trotzdem bleibt Unsicherheit. Ein Pentest klingt sinnvoll, aber die Preisunterschiede wirken auf den ersten Blick chaotisch.
Sind Penetration Testing Kosten also planbar? Ja. Wenn man versteht, welche Testart sinnvoll ist, welche Faktoren den Preis treiben und wann sich ein höheres Budget geschäftlich klar rechnet.
Penetration Testing Kosten im Überblick
Ihr größter Kunde fordert kurzfristig einen Sicherheitsnachweis. Parallel prüft Ihr Team NIS-2, und der nächste Release steht vor der Tür. In genau dieser Lage wird die Preisfrage schnell falsch gestellt. Entscheidend ist nicht der billigste Pentest, sondern der Test, der ein reales Geschäftsrisiko aufdeckt und für Audits, Kundenprüfungen und Management-Entscheidungen brauchbar ist.
Für KMU sind Pentest-Kosten planbar. Sie hängen am Scope, an der Kritikalität der Systeme und am gewünschten Prüftiefgang. Wer nur eine Zahl vergleichen will, kauft oft zu wenig Testtiefe und bekommt am Ende einen Bericht, der weder operative Lücken schließt noch bei ISO 27001, NIS-2 oder Due-Diligence-Fragen sauber weiterhilft.
Was Sie aus der Preisspanne wirklich ableiten sollten
Ein Pentest ist bezahlte Spezialarbeit. Er kombiniert Angriffssimulation, technische Analyse, Priorisierung und saubere Dokumentation. Genau deshalb unterscheiden sich Angebote so stark.
Stellen Sie sich zuerst drei Fragen:
Welche Systeme tragen Umsatz oder Betrieb?
Etwa Onlineshop, ERP, Kundenportal, Microsoft-365-Umgebung, Cloud-Workloads oder internes Netzwerk.Welchen Nachweis brauchen Sie wirklich?
Für NIS-2, ISO 27001, Kundenanforderungen, Cyber-Versicherer oder einen sicheren Go-live brauchen Sie unterschiedliche Scopes und Berichtstiefen.Welche Angreiferperspektive ist relevant?
Extern ohne Vorwissen, mit Benutzerzugang oder mit tiefer technischer Einsicht. Wer den Unterschied zwischen legitimen Prüfern und kriminellen Angreifern kurz einordnen will, findet das in diesem Beitrag über White-Hat-Hacker und ihre Rolle in der IT-Sicherheit.
Praxisregel: Ein sehr günstiges Angebot bedeutet meist einen kleineren Scope, weniger manuelle Prüfzeit oder schwächere Ergebnisqualität.
Warum sich die Investition rechnet
Ein sauber geplanter Pentest spart Geld an den teuren Stellen. Er zeigt Ihrem Team, welche Schwachstellen zuerst geschlossen werden müssen, bevor daraus Ausfall, Datenabfluss oder Vertragsstress mit Kunden entsteht. Das verkürzt Diskussionen, fokussiert Budgets und verbessert die Priorisierung im IT-Betrieb.
Für viele mittelständische Unternehmen ist das der eigentliche ROI. Sie vermeiden Blindflug bei Sicherheitsausgaben, reduzieren das Risiko vor Audits und schaffen belastbare Nachweise für Geschäftsführung, Kunden und Prüfer. Wer dagegen nur für die Checkliste einkauft, zahlt häufig doppelt. Erst für den unpassenden Test, dann für Nachbesserung unter Zeitdruck.
Was ist ein Pentest und welche Arten gibt es
Ein Pentest ist eine kontrollierte digitale Prüfung. Sie beauftragen Spezialisten, Ihre Systeme so anzugreifen, wie es ein echter Angreifer versuchen würde. Der Unterschied ist entscheidend: Der Tester arbeitet autorisiert, dokumentiert seine Schritte und liefert Ihnen verwertbare Ergebnisse statt Schaden.
Zur Veranschaulichung hilft dieses Bild:

Die drei Grundansätze
Blackbox bedeutet: Der Tester startet fast ohne Vorwissen. Das simuliert einen externen Angreifer recht realistisch. Dafür braucht der Test mehr Zeit für Aufklärung und Angriffsvorbereitung.
Whitebox bedeutet: Der Tester bekommt viele Informationen, etwa Zugänge, Architekturdetails oder technische Dokumentation. Das ist weniger Show, aber oft deutlich effizienter, wenn Sie tief prüfen wollen.
Greybox liegt dazwischen. Der Tester erhält begrenzte Informationen, etwa einen normalen Benutzerzugang. Für viele KMU ist das ein vernünftiger Mittelweg, weil es realistische Angriffsszenarien mit einem wirtschaftlichen Aufwand verbindet.
Wer den Unterschied zwischen legitimen Sicherheitsprüfern und Angreifern besser einordnen will, findet eine anschauliche Einordnung zu White-Hat-Hackern und ihrer Rolle in der IT-Sicherheit.
Die typischen Testobjekte
Nicht jede Umgebung braucht denselben Pentest. Meist geht es um drei Klassiker:
| Testobjekt | Wofür er gedacht ist | Typischer Startpunkt |
|---|---|---|
| Externes Netzwerk | Öffentliche Angriffsfläche, Internet-Dienste, exponierte Systeme | ab 5.400 € |
| Web-Applikation | Kundenportal, Shop, Buchungssystem, interne Weblösung | ab 6.750 € |
| Internes Netzwerk | Laterale Bewegung, Rechteausweitung, Segmentierung, interne Risiken | ab 8.100 € |
Diese festpreisorientierten Benchmarks für Deutschland nennt die Übersicht zu Penetrationstests nach Scope und Angriffsrichtung.
Ein externer Test beantwortet die Frage: "Was sieht ein Angreifer von draußen?"
Ein interner Test beantwortet die wichtigere Folgefrage: "Was passiert, wenn jemand schon drin ist?"
Welche Art für KMU meist sinnvoll ist
Für die meisten mittelständischen Unternehmen gilt:
- Web-Applikation zuerst, wenn Kunden, Partner oder Mitarbeitende über Browser zugreifen.
- Externes Netzwerk zuerst, wenn Sie Ihre Angriffsfläche von außen überprüfen wollen.
- Internes Netzwerk zusätzlich, wenn Sie sensible Daten, Produktion, Terminalserver, Active Directory oder vernetzte Standorte betreiben.
Wer nur einen Test einkauft, sollte nicht den technisch spannendsten wählen, sondern den mit dem höchsten Geschäftsrisiko. Das ist fast nie eine theoretische Diskussion, sondern hängt direkt an Umsatz, Verfügbarkeit und Nachweispflichten.
Die entscheidenden Faktoren der Penetration Testing Kosten
Ein Geschäftsführer sieht zwei Angebote. Beide versprechen einen Pentest. Eines wirkt günstig, das andere deutlich teurer. Der Unterschied steckt fast nie im PDF, sondern im tatsächlichen Prüfaufwand, in der Erfahrung des Teams und in der Frage, ob Sie am Ende nur eine Liste mit Funden bekommen oder eine belastbare Grundlage für Risikoreduktion, Audit-Nachweise und Priorisierung nach NIS-2 oder ISO 27001.

Scope bestimmt den Preis
Der wichtigste Kostentreiber ist der Scope. Je mehr Angriffsfläche, Rollen, Schnittstellen und Geschäftsprozesse geprüft werden sollen, desto mehr Projektzeit fällt an. Für ein KMU ist das keine technische Nebensache, sondern eine Budgetfrage mit direktem Einfluss auf das Ergebnis.
Prüfen Sie vor jeder Beauftragung vor allem diese Punkte:
Welche Systeme wirklich im Test sind
Dazu zählen nicht nur Hosts und IPs, sondern auch Portale, APIs, Admin-Bereiche, mobile Zugänge, Cloud-Komponenten und externe Anbindungen.Wie tief getestet werden soll
Ein oberflächlicher Check spart kurzfristig Geld, übersieht aber oft Berechtigungsfehler, Logikfehler und angreifbare Prozessketten.Welche Geschäftsrisiken betroffen sind
Fällt bei einem erfolgreichen Angriff Umsatz aus, steht Produktion still oder geraten personenbezogene Daten in Gefahr, muss der Test tiefer und sauber dokumentiert sein.
Gerade bei NIS-2 und ISO 27001 zählt nicht, dass "etwas getestet wurde". Sie müssen nachvollziehbar zeigen können, welche kritischen Bereiche geprüft wurden, wie Befunde priorisiert wurden und welche Maßnahmen daraus folgen.
Testansatz und Nachweisqualität kosten Zeit
Blackbox, Greybox oder Whitebox sind keine akademischen Etiketten. Sie beeinflussen den Aufwand direkt. Ein realistischer Greybox-Ansatz ist für viele mittelständische Unternehmen die beste Wahl, weil er echte Benutzerpfade, typische Rechte und interne Fehlkonfigurationen besser abbildet als ein reiner Außensicht-Test.
Viele Angebote rechnen nur die eigentliche Testzeit attraktiv klein. Das ist ein Fehler. Ein brauchbarer Pentest umfasst auch Vorbereitung, Abstimmung, saubere Befundbeschreibung, Management Summary, technische Reproduzierbarkeit und auf Wunsch einen Retest nach der Behebung.
Genau dort entsteht der geschäftliche Nutzen. Ihr internes IT-Team oder externer Dienstleister braucht klare Prioritäten statt unscharfer Scanner-Ausgaben.
Erfahrung des Testers senkt Folgekosten
Erfahrene Pentester kosten mehr pro Tag. Das ist wirtschaftlich sinnvoll. Sie bezahlen für bessere Angriffspfade, weniger Fehlalarme, klarere Priorisierung und einen Bericht, der auch vor Auditoren und Kundenfragen Bestand hat.
Die Einordnung zu Kosten und Tagessätzen im Pentesting-Markt zeigt, warum spezialisierte Fachkräfte im höheren Tagessatz liegen. Für KMU ist das meist die bessere Entscheidung, weil Nachtests, interne Rückfragen und falsch gewichtete Befunde deutlich teurer werden können als ein sauber durchgeführter Ersttest.
Wer Angebote richtig vergleichen will, sollte außerdem den Unterschied zwischen Pentest und klassischer Schwachstellenanalyse in der IT sauber trennen. Eine Schwachstellenanalyse findet bekannte Lücken in der Breite. Ein Pentest prüft, ob und wie sich daraus reale Angriffspfade mit echtem Geschäftsschaden ergeben.
Ein billiger Pentest, der kritische Schwachstellen übersieht, verursacht am Ende die höchsten Kosten.
Realistische Preisbeispiele für verschiedene Unternehmensgrößen
Freitagmittag. Ihr IT-Dienstleister meldet eine kritische Weblücke, am Montag steht ein Kundentermin mit Security-Fragebogen an. Spätestens dann wird aus der Frage nach Pentest-Kosten eine Geschäftsentscheidung.

Preisbeispiele helfen nur, wenn sie zu Ihrer realen IT passen. Für KMU ist deshalb nicht die Mitarbeiterzahl der beste Anhaltspunkt, sondern die Frage: Welche Systeme sind geschäftskritisch, extern erreichbar oder für Audits relevant?
Kleines Unternehmen mit Website und Kundenformular
Ein Handwerksbetrieb, eine Praxis oder ein B2B-Dienstleister mit Website, Kontaktformular und kleiner Kundenfunktion braucht meist keinen großen Rundumschlag. Sinnvoll ist ein klar begrenzter Webanwendungstest mit sauber definiertem Scope.
Für solche Projekte liegt ein realistischer Einstieg oft bei 5.000 € bis 10.000 €. Das passt, wenn Sie einen belastbaren Ersttest wollen und keine stark verzahnte Anwendungslandschaft betreiben. Entscheidend ist hier weniger die reine Prüfzeit als die Frage, ob der Bericht für Ihre IT und für spätere Nachweise tatsächlich verwendbar ist.
Mittelständler mit Shop, Portal und internem Netzwerk
Sobald ein Onlineshop, ein Kundenportal, VPN-Zugänge, Microsoft 365, zentrale Benutzerverwaltung oder mehrere Standorte dazukommen, steigt der Aufwand spürbar. Dann prüfen Sie nicht mehr nur eine Oberfläche, sondern mehrere mögliche Angriffspfade.
Für diesen Rahmen liegen viele Projekte bei 7.500 € bis 15.000 €. Wenn interne Netzwerke, Berechtigungsketten oder komplexe Schnittstellen Teil des Scopes sind, sind auch 10.000 € bis 40.000 € realistisch. Für den Mittelstand ist das oft die wirtschaftlich richtige Größenordnung, weil ein oberflächlicher Test an den eigentlichen Risiken vorbeigeht.
Unternehmen mit Audit- oder Compliance-Druck
Hier zählt nicht nur, ob Schwachstellen gefunden werden. Sie müssen belegen können, warum genau diese Systeme getestet wurden, wie die Ergebnisse bewertet wurden und welche Maßnahmen daraus folgen. Das ist für NIS-2, ISO 27001, Kundenprüfungen und auch für sauberes Compliance-Reporting in der IT-Sicherheit relevant.
Typisch in diesem Szenario sind drei Anforderungen:
Kritische Systeme im Scope
Anwendungen und Infrastrukturen mit Bezug zu Umsatz, Verfügbarkeit, sensiblen Daten oder zentralen Betriebsabläufen.Berichte, die intern und extern bestehen
Geschäftsführung, Auditoren und IT-Betrieb brauchen nachvollziehbare Prioritäten statt Rohdaten.Retest nach der Behebung
Offene Maßnahmen ohne Nachweis helfen weder bei Audits noch bei Kundenrückfragen.
Tests für Compliance-Zwecke liefern belastbare Entscheidungsgrundlagen für Geschäftsführung, Audit und IT-Betrieb, die über eine reine Technikprüfung hinausgehen.
Viele KMU sparen an der falschen Stelle. Ein zu kleiner Scope wirkt im Angebot attraktiv, lässt aber genau die Systeme außen vor, die bei NIS-2, ISO 27001 oder in Kunden-Audits später diskutiert werden. Dann bezahlen Sie erst für den unvollständigen Test und kurz darauf noch einmal für Nachbesserung, Retest und interne Abstimmung.
ROI und Compliance als Werttreiber verstehen
Wer einen Pentest nur als Kostenstelle betrachtet, bewertet ihn falsch. Das Geld fließt nicht in ein Dokument, sondern in Risikoreduktion, Handlungspriorisierung und Nachweisfähigkeit.
Gerade bei NIS-2 ist das relevant. Die Richtlinie erhöht den Druck auf Unternehmen, Sicherheitsmaßnahmen nicht nur zu behaupten, sondern organisatorisch und technisch nachvollziehbar umzusetzen. Ein Pentest ist dafür kein Allheilmittel, aber oft ein sehr starkes Signal: Sie prüfen aktiv, ob Ihre Schutzmaßnahmen in der Praxis tragen.
Warum sich das wirtschaftlich rechnet
Die Alternative zum Pentest ist nicht "kein Aufwand". Die Alternative ist meist: Unsicherheit, blinde Flecken und ein Sicherheitsgefühl ohne Beleg. Das ist für ein digitalisiertes KMU betriebswirtschaftlich schwach.
Ein guter Test schafft drei konkrete Werte:
Er reduziert Fehlprioritäten
Ihr Team weiss, welche Schwachstellen real ausnutzbar sind und welche nur theoretisch unschön wirken.Er verbessert die Compliance-Lage
Für NIS-2, ISO 27001 und Kundenprüfungen brauchen Sie technische Evidenz, nicht nur Richtlinien auf Papier.Er schützt Geschäftsprozesse
Wenn Vertrieb, Service, Produktion oder Buchhaltung digital laufen, ist Ausfall heute ein Geschäftsrisiko, kein IT-Problem am Rand.
Compliance braucht prüfbare Nachweise
NIS-2 und ISO 27001 belohnen keine Symbolpolitik. Was zählt, ist ein nachvollziehbarer Sicherheitsprozess. Dazu gehören Risikoanalyse, technische Prüfungen, Maßnahmenplanung und Reporting. Wer das Thema strukturiert aufsetzen will, sollte auch die Anforderungen an Compliance Reporting und belastbare Sicherheitsnachweise im Blick behalten.
Eine klare Haltung dazu: Kaufen Sie keinen Pentest, um einen Haken zu setzen. Kaufen Sie ihn, um Entscheidungen abzusichern. Dann entsteht der ROI nicht nur durch vermiedene Vorfälle, sondern auch durch bessere Priorisierung, schnellere Audits und weniger Diskussionen mit Kunden und Prüfern.
Checkliste zur Auswahl des richtigen Pentest-Anbieters
Die Preisfrage ist wichtig. Die Anbieterfrage ist wichtiger. Ein günstiger Test mit schwachem Scope oder schlechtem Bericht hilft Ihnen weder technisch noch regulatorisch weiter.
Für reine Cloud-Infrastruktur-Pentests, etwa auf IONOS, sind belastbare Preisdaten rar. Viele Quellen nennen nur breite nationale Durchschnittswerte. Genau deshalb brauchen Unternehmen mit spezifischen Cloud-Architekturen individuelle Angebote statt Standardpakete, wie die Einordnung zu Cloud-spezifischen Pentest-Kosten und IONOS-Kontext klar macht.

Worauf Sie konkret achten sollten
Sauberes Scoping
Der Anbieter muss präzise fragen. Welche Systeme, welche Rollen, welche Schnittstellen, welche Ziele? Wer zu schnell ein Festpreisangebot schickt, hat oft nicht sauber verstanden, was geprüft werden soll.Beispielberichte prüfen
Verlangen Sie einen anonymisierten Musterbericht. Sie müssen sehen können, ob Management Summary, Risiko-Einstufung, technische Reproduzierbarkeit und Handlungsempfehlungen brauchbar sind.Methodik offenlegen lassen
Fragen Sie, ob der Anbieter Blackbox, Greybox oder Whitebox empfiehlt und warum. Eine Methode ohne Begründung ist kein Qualitätsmerkmal.Nachtest und Follow-up klären
Was passiert nach dem Bericht? Gibt es Rückfragen, Fix-Validierung oder eine erneute Prüfung der behobenen Punkte?Cloud-Kompetenz gesondert abfragen
Wer Web und Netzwerk testet, kann nicht automatisch komplexe Cloud-Berechtigungen, Mandantenstrukturen und Plattformabhängigkeiten sauber bewerten.
Woran Sie Billigangebote erkennen
Ein paar Warnzeichen sollten Sie ernst nehmen:
Wichtiger Prüfpunkt: Wenn ein Anbieter nur mit Startpreisen wirbt, aber weder Scope noch Berichtstiefe sauber beschreibt, kaufen Sie sehr wahrscheinlich Unsicherheit statt Sicherheit.
Kurze Laufzeiten, unklare Abgrenzungen, kaum Rückfragen und ein Fokus auf Scanner-Ausgabe statt manuelle Prüfung sind schlechte Zeichen. Für NIS-2-nahe Umgebungen ist das besonders riskant, weil am Ende nicht nur Technik, sondern auch Nachweisqualität zählt.
Häufige Fragen und nächste Schritte zur IT-Sicherheit
Wie oft sollte ein Pentest durchgeführt werden
Immer dann, wenn sich das Risiko verändert. Typische Auslöser sind neue Webanwendungen, größere Releases, Infrastrukturumbauten, Cloud-Migrationen, neue Kundenvorgaben oder geänderte Compliance-Anforderungen. Wer stark digital arbeitet, sollte Pentests nicht als einmalige Aktion behandeln, sondern als wiederkehrenden Kontrollpunkt.
Reicht ein automatisierter Schwachstellenscan nicht aus
Nein. Ein Scan ist nützlich, aber er ersetzt keinen Pentest. Scanner finden bekannte Schwachstellen und Fehlkonfigurationen. Ein Pentest prüft zusätzlich, ob und wie sich diese Schwächen tatsächlich ausnutzen lassen, ob Berechtigungen umgangen werden können und welche Angriffsketten praktisch möglich sind.
Was passiert nach dem Pentest
Dann beginnt die eigentliche Wertschöpfung. Die Befunde werden priorisiert, Verantwortlichkeiten verteilt und Maßnahmen umgesetzt. Erst danach folgt idealerweise eine Nachkontrolle, damit Sie nicht nur wissen, was falsch war, sondern belegen können, dass es behoben wurde.
Für Geschäftsführer und IT-Leiter ist der nächste Schritt simpel: Nicht zuerst den billigsten Anbieter suchen, sondern den Scope sauber definieren. Wenn Sie wissen, welche Systeme kritisch sind, welche Anforderungen NIS-2 oder ISO 27001 auslösen und welche Nachweise Sie brauchen, lässt sich ein seriöses Angebot schnell bewerten.
Wenn Sie eine realistische Einschätzung für Ihre Umgebung brauchen, unterstützt Deeken.Technology GmbH bei der Einordnung von Scope, Risiko und Compliance-Anforderungen. Gerade für KMU mit NIS-2-Druck, Audit-Pflichten oder Cloud-Infrastruktur lohnt sich ein unverbindliches Erstgespräch, bevor Budget in den falschen Test fließt.

