Pentest-Kosten 2026: Was ein Penetrationstest in Deutschland wirklich kostet
"Was kostet ein Pentest?" - das ist die erste Frage, die jeder IT-Leiter stellt. Die ehrliche Antwort lautet: zwischen EUR 5.000 und EUR 250.000 - je nach Scope, Anbieter und Methodik. Dieser Artikel macht die Preisbildung transparent, liefert konkrete Rechenbeispiele und zeigt, wo Sie sparen koennen, ohne Qualitaet zu verlieren.
Die Kostentreiber auf einen Blick
Fuenf Faktoren bestimmen den Pentest-Preis:
- Scope - wie viele Systeme, IP-Adressen, Anwendungen?
- Tiefe - Black Box, Grey Box oder White Box?
- Methodik - automatisiert, manuell, hybrid?
- Anbieter-Typ - Freelancer, Boutique, Beratung, Plattform?
- Regulatorischer Kontext - reicht ein normaler Pentest oder brauchen Sie TLPT?
Tagessaetze 2026 in Deutschland
| Anbieter-Typ | Tagessatz |
|---|---|
| Freelancer (OSCP+, 5+ Jahre Erfahrung) | EUR 900-1.400 |
| Spezialisierte Pentest-Boutique | EUR 1.200-1.800 |
| IT-Beratung / MSSP | EUR 1.500-2.200 |
| Big-Four-Beratung | EUR 2.000-2.800 |
| TLPT-akkreditierter Provider | EUR 1.800-2.500 |
Zum Vergleich: Ein typischer Senior-IT-Consultant kostet 2026 zwischen EUR 1.100 und EUR 1.500 pro Personentag. Pentester liegen wegen der spezialisierten Qualifikation ueber diesem Niveau.
Projektpreise nach Scope
Externer Perimeter-Pentest (Small Business)
- Scope: 5-15 externe IP-Adressen, ein oder zwei Webseiten
- Dauer: 3-5 Personentage
- Kosten: EUR 4.500-9.000
- Geeignet fuer: Kleine Unternehmen vor einem ersten Audit, DSGVO-Nachweis
Webapplikations-Pentest (mittlere Komplexitaet)
- Scope: Eine Webapp mit Login, 20-40 Endpoints, Standard-APIs
- Dauer: 8-12 Personentage
- Kosten: EUR 10.000-22.000
- Geeignet fuer: Neue SaaS-Produkte, E-Commerce, Kundenportale
Active-Directory-Pentest (intern)
- Scope: Internes Netz mit Zugang zum AD, mittelgrosse Umgebung
- Dauer: 8-12 Personentage
- Kosten: EUR 11.000-20.000
- Geeignet fuer: Jaehrlicher Infrastruktur-Pentest, ISO-27001-Audits
Cloud-Pentest (AWS/Azure/GCP)
- Scope: Cloud-Konten, IAM, Container, Serverless
- Dauer: 12-20 Personentage
- Kosten: EUR 16.000-36.000
- Geeignet fuer: Cloud-first-Unternehmen, Migrationen, CSPM-Validierung
Vollstaendiger Netzwerk-Pentest (gross)
- Scope: Externer + interner Perimeter, AD, Webapps, VPN, WLAN
- Dauer: 20-30 Personentage
- Kosten: EUR 26.000-55.000
- Geeignet fuer: Konzerne, kritische Infrastrukturen, NIS2-Anforderungen
Red-Team-Engagement
- Scope: Realistische Angriffssimulation inkl. Social Engineering, physischer Zutritt
- Dauer: 40-80 Personentage
- Kosten: EUR 55.000-180.000
- Geeignet fuer: Konzerne, Finanzinstitute, Unternehmen mit eigenem SOC
TLPT unter DORA
- Scope: Bedrohungsbasierte Penetrationstests nach TIBER-EU-Standard, akkreditierter Provider
- Dauer: 60-120 Personentage ueber 3-6 Monate
- Kosten: EUR 90.000-280.000
- Geeignet fuer: Banken, Versicherer, bedeutende Finanzinstitute im Sinne DORA Art. 27
Pentest-as-a-Service: die Abo-Alternative
PTaaS-Plattformen stellen die klassische Logik auf den Kopf: statt einmaliger Projekte zahlen Sie einen monatlichen Beitrag und erhalten kontinuierliche Pruefung.
Typische PTaaS-Preise
| Plan | Inhalt | Monatlich |
|---|---|---|
| Starter | Bis 10 externe Assets, wenige Webapps, monatliche Scans | EUR 800-2.000 |
| Professional | Bis 50 Assets, AD-Integration, API-Pentesting, kontinuierliche Scans | EUR 2.000-5.500 |
| Enterprise | Unbegrenzte Assets, Cloud-Pentesting, dedizierter menschlicher Tester, Compliance-Mapping | EUR 5.500-12.000 |
Hochgerechnet auf das Jahr: EUR 10.000-145.000. Klingt nach viel - ist es aber nicht im Vergleich zu zwei klassischen Pentests pro Jahr (oft EUR 40.000-80.000), die Sie dazwischen "blind" lassen.
Wann PTaaS guenstiger ist
Ein typischer Vergleich fuer einen Mittelstaendler mit 200 Mitarbeitern und moderat komplexer IT:
| Variante | Leistung | Jahreskosten |
|---|---|---|
| Zwei klassische Pentests/Jahr | 2 × 10 PT externer Pentest + 1 × interner Pentest | EUR 50.000-70.000 |
| PTaaS Professional + 1 manueller Pentest/Jahr | Kontinuierliche Scans + jaehrliches Deep-Dive | EUR 40.000-55.000 |
Das PTaaS-Modell ist meist 15-30 % guenstiger und liefert trotzdem taeglich frische Befunde statt zwei Snapshots pro Jahr.
Rechenbeispiele nach Regulierung
Beispiel 1: NIS2-pflichtiger Mittelstaendler (Industrie, 500 MA)
- 1 × externer Perimeter-Pentest: EUR 8.000
- 1 × Webapp-Pentest (Kundenportal): EUR 16.000
- 1 × AD-/interner Pentest: EUR 15.000
- Jaehrliche Re-Tests inklusive
- Summe: EUR 39.000/Jahr (klassisches Modell)
- PTaaS-Alternative: EUR 30.000-42.000/Jahr - mit kontinuierlicher Abdeckung
Beispiel 2: ISO-27001-Rezertifizierung (IT-Dienstleister, 150 MA)
- 1 × externer + interner Pentest vor Audit: EUR 22.000
- 1 × Webapp-Pentest der Kundenplattform: EUR 14.000
- Summe: EUR 36.000 im Auditjahr
- In Jahren ohne Rezertifizierung: EUR 15.000-20.000 (nur Webapp + externer Scan)
Beispiel 3: DORA-pflichtige Bank (bedeutendes Institut)
- Laufende Schwachstellenanalyse + jaehrlicher klassischer Pentest: EUR 80.000-120.000
- Alle 3 Jahre TLPT: amortisiert EUR 40.000-80.000/Jahr
- Gesamtaufwand Cybersicherheitstests: EUR 120.000-200.000/Jahr
Wo Sie sparen koennen - und wo nicht
Sinnvolle Einsparungen
- Scope scharf schneiden - pruefen Sie nicht alle 2.000 Endpoints, sondern die 50 kritischen
- Grey Box statt Black Box - 20-30 % guenstiger, oft aussagekraeftiger
- PTaaS statt zwei klassischer Pentests - selbes Budget, deutlich bessere Abdeckung
- Re-Tests im Preis verhandeln - kostenfreie Re-Tests fuer 3-6 Monate sind Standard bei guten Anbietern
Nicht sparen bei
- Qualifikationen des Teams - OSCP+ oder CREST-CRT ist Pflicht bei Boutique-Anbietern
- Haftung und Versicherung - mindestens EUR 5 Mio. Betriebshaftpflicht
- Reporting-Qualitaet - ein schlechter Bericht zwingt Sie zu teurem Rework
- TLPT bei DORA-Pflicht - akkreditierte Provider sind teurer, aber Pflicht
Kostenrechner und naechste Schritte
Matproof bietet einen interaktiven Pentest-Kostenrechner, der auf Basis von Unternehmensgroesse, Branche und Scope eine belastbare Preisspanne und einen passenden Plan vorschlaegt.
Alternativ koennen Sie direkt einen kostenlosen Pentest-Check starten, der Ihre externe Angriffsoberflaeche in unter 30 Minuten abschaetzt - und daraus eine konkrete Empfehlung zum passenden Testumfang ableitet.
Fazit
Pentest-Kosten in Deutschland bewegen sich zwischen EUR 5.000 fuer einen kleinen Perimeter-Test und EUR 250.000 fuer ein volles TLPT. Fuer die Mehrheit mittelstaendischer Unternehmen liegt der jaehrliche Pentest-Budget-Rahmen realistisch zwischen EUR 25.000 und EUR 60.000.
Der wichtigste Hebel ist nicht der Tagessatz, sondern die Wahl des Modells. Ein kontinuierliches PTaaS-Abo plus ein jaehrlicher manueller Pentest liefert in nahezu allen Faellen mehr Sicherheit pro Euro als zwei klassische Pentest-Projekte.
Mehr zum Thema: Pentest-Anbieter-Vergleich 2026 | Pentest-as-a-Service Leitfaden | Der vollstaendige Pentest-Guide fuer Deutschland