← Zurück zu Ressourcen Red Teaming

Was kostet ein Penetrationstest? Tagessätze, Kostenfaktoren und realistische Spannen

Von Dennis Kionga 18. April 2023 6 MIN Aktualisiert: 14. Juni 2026

„Was kostet ein Penetrationstest?” lässt sich nicht mit einer Zahl beantworten — aber mit nachvollziehbaren Faktoren. Der Preis variiert erheblich mit Umfang und Komplexität. Gemessen an den Kosten eines erfolgreichen Angriffs ist ein Pentest dennoch fast immer die günstigere Investition.

Pentest vs. Schwachstellenscan

Vorab die wichtigste Abgrenzung: Ein Penetrationstest besteht aus zahlreichen manuellen Schritten durch erfahrene Tester — anders als ein automatisierter Scan. Genau das treibt den Preis, und genau hier lauert die häufigste Mogelpackung: Ein verdächtig günstiger „Pentest” ist oft nur ein umetikettierter Schwachstellenscan.

Die Kostenfaktoren

  • Größe und Komplexität des Testobjekts
  • Informationsbasis (Black-, Grey-, White-Box) und Aggressivität des Tests
  • Kritikalität der Systeme und Compliance-Anforderungen
  • Sonderwünsche — Präsentationen vor Ort, Tests außerhalb der Geschäftszeiten
  • Qualifikation und Erfahrung der eingesetzten Tester

Realistische Spannen

Als Orientierung: Tagessätze beginnen bei rund 1.000 € und steigen mit Spezialisierung und Erfahrung. Ein umfangreicherer Test braucht in der Praxis oft etwa fünf Testtage, woraus sich Kosten von mindestens rund 5.000 € ergeben. Komplexe Webanwendungen, große Infrastrukturen oder Red-Team-nahe Szenarien liegen entsprechend höher.

Diese Zahlen sind Anhaltspunkte, keine Festpreise — der seriöse Weg führt immer über eine Scope-Definition, aus der sich der Aufwand ableitet.

Wie Sie Kosten sinnvoll steuern

  • Scope schärfen: Nicht alles muss jedes Jahr getestet werden — priorisieren Sie nach Risiko.
  • Kontinuierlich statt nur periodisch: Wo es passt, ergänzt Continuous Threat Exposure Management den punktuellen Test und verteilt den Aufwand sinnvoller.
  • Qualität vor Preis: Der billigste Anbieter liefert oft den wertlosesten Report.

Wie Cloud Cape unterstützt

Wir definieren den Scope ehrlich, nennen den Aufwand transparent und liefern exploit-verifizierte Befunde mit vorstandstauglichem Report — keine umetikettierten Scans. Wo kontinuierliche Validierung mehr Wert schafft als der Jahrestest, verbinden wir beides über unser Continuous Threat Exposure Management.

Sprechen Sie mit uns über Pentesting & Red Teaming — wir machen aus Ihrem Budget den größtmöglichen Erkenntnisgewinn.