Penetrationstest Kosten: Echte Preisspannen 2026 (kein 'Angebot anfordern')

Nahezu jeder Pentest-Anbieter versteckt seine Preise hinter einem 'Angebot anfordern'-Formular. Wir nicht. Diese Seite veröffentlicht die echten Marktspannen 2026 für jede Art von Penetrationstest, erklärt genau, was den Preis nach oben oder unten treibt, und zeigt, wie Matproof Sentinel einen audit-tauglichen Bericht — Proof-of-Exploit pro Befund, gemappt auf ISO 27001, SOC 2, NIS2 und DORA — ab €149 statt £4.000+ liefert. Führen Sie zuerst einen kostenlosen 3-Minuten-Scan durch, um Ihre Angriffsfläche kostenlos zu sehen.

Kostenlosen Scan starten

Geschrieben von Malte Wagenbach

Gründer von Matproof Security. Spezialisiert auf KI-gestützte Penetrationstests und EU-Compliance (DORA, NIS2, BSI Grundschutz, ISO 27001).

Zuletzt überprüft: 17. Mai 2026

Was ein Penetrationstest tatsächlich kostet (2026)

Klassische Penetrationstests von Beratungshäusern werden nach Tagessatz und Umfang bepreist, sodass die Schlagzeilen-Zahl stark damit schwankt, wie viel es zu testen gibt und wie senior die Tester sind. Als Benchmark 2026 (UK-Markt): ein Web Application Pentest kostet typischerweise £4.000–£12.000; ein externer Netzwerk-Pentest £2.000–£6.000; ein eigenständiger API-Test liegt je nach Endpunktanzahl in einer ähnlichen Spanne wie Webanwendungen; ein internes oder Assumed-Breach-Engagement startet um £5.000 und steigt mit der Infrastrukturgröße schnell an; und ein Engagement mit vollem Umfang (extern + intern + Web + API) liegt üblicherweise bei £15.000–£50.000+. Achten Sie zusätzlich zum Schlagzeilen-Preis auf drei Dinge, die die echten Kosten still in die Höhe treiben: Re-Tests nach Behebung der Befunde werden häufig separat berechnet; Vorlaufzeiten von 2–4 Wochen bis zum bloßen Start bedeuten, dass der Bericht bei Lieferung bereits Wochen veraltet ist; und das Ergebnis ist ein Point-in-Time-PDF, das nichts über den Code aussagt, den Sie nächsten Monat ausliefern. Das Tagessatz-Modell bedeutet zudem, dass Sie denselben Aufschlag zahlen, ob der Test zehn kritische Befunde findet oder keinen. Die Wertfrage lautet daher nicht nur 'wie hoch ist der Tagessatz', sondern 'was kostet eine aktuelle, audit-taugliche Antwort pro Jahr' — und genau hier verändert kontinuierliches, produktisiertes Testing die Rechnung.

Der Umfang ist der größte Treiber: Anzahl der Anwendungen, API-Endpunkte, IP-Bereiche und Hosts im Scope — eine einzelne Webanwendung ist weit günstiger als ein Engagement über die gesamte Infrastruktur.
Testtiefe: ein nicht authentifizierter Black-Box-Test ist günstiger als authentifiziertes/White-Box-Testing mit Quellcode-Review, das mehr findet, aber mehr kostet.
Seniorität und Zertifizierungen der Tester (CREST, OSCP) treiben Tagessätze nach oben — und der Großteil der Kosten eines klassischen Pentests ist menschliche Zeit, nicht Tooling.
Versteckte Kosten zum Prüfen: separat berechnete Re-Tests nach Behebung, 2–4 Wochen Vorlauf und 'out of scope'-Befunde, die ein neues Engagement erfordern.
Frequenz multipliziert die Kosten: wenn Compliance oder Kunden aktuelle Evidenz verlangen, wird aus einem jährlichen £8.000-Engagement £8.000 jedes Jahr — und es ist zwischen den Tests trotzdem veraltet.
Kontinuierliches, produktisiertes Testing (z.B. Matproof Sentinel ab €149 pro Lauf oder €299/Monat unbegrenzt) verändert die Stückkostenrechnung: stets aktuelle Evidenz für weniger als ein einziges klassisches Engagement.

Penetrationstest-Preis nach Umfang (2026-Spannen vs Matproof Sentinel)

Web Application Pentest — klassisch £4.000–£12.000 · Matproof Sentinel ab €149 (Bericht) oder €299/Mon. kontinuierlich
Externer Netzwerk-Pentest — klassisch £2.000–£6.000 · Matproof Sentinel ab €149 oder €299/Mon. kontinuierlich
API-Penetrationstest — klassisch £4.000–£12.000 · bei Matproof Sentinel ab €149 enthalten
Intern / Assumed-Breach — klassisch £5.000–£20.000+ · Matproof Sentinel Growth €799/Mon.
Voller Umfang (extern + intern + Web + API) — klassisch £15.000–£50.000+ · Matproof Sentinel Growth €799/Mon.
Re-Test nach Behebung — klassisch oft £500–£2.000 extra · bei Matproof Sentinel kostenlos enthalten
Kontinuierliches / Pro-Deploy-Testing — klassisch nicht angeboten (Jahresmodell) · Matproof Sentinel €299/Mon. unbegrenzt (bis 3 Domains)
Audit-taugliches Compliance-Mapping (ISO 27001 / SOC 2 / NIS2 / DORA) — klassisch manuell oder Zusatz · bei jedem Matproof-Sentinel-Bericht enthalten

Beispiel-Befund

Info

Die echte Kostenfrage: Preis pro Engagement vs Kosten eines Breaches

Ein einzelner kritischer Web-Application-Befund — etwa ein Broken-Authorization-Fehler, der Kundendaten offenlegt — der bis zur Ausnutzung unentdeckt bleibt, trägt Kosten in sich, die sich in Bußgeldern, Breach-Benachrichtigungen, verlorenen Enterprise-Verträgen und Behebung bemessen, typischerweise um Größenordnungen über jedem Pentest-Preis. Der Sinn, echte Preise zu veröffentlichen, ist, die Friktion zu beseitigen, die Teams überhaupt vom Testen abhält: der teuerste Penetrationstest ist der, den Sie nicht durchgeführt haben, weil Sie ohne Verkaufsgespräch keinen Preis bekamen. Ein €149-Scan, der ein solches Problem abfängt, hat sich bereits vielfach amortisiert — und kontinuierliches Testing bedeutet, dass das nächste auf dem Deploy abgefangen wird, der es einführt, nicht ein Jahr später.

Behebung: Passen Sie die Testfrequenz an, wie oft Sie ausliefern. Wenn Sie wöchentlich deployen, lässt ein jährlicher Point-in-Time-Test 51 Wochen ungetestet — kontinuierliches Testing schließt diese Lücke für weniger als ein klassisches Engagement pro Jahr. Nutzen Sie einen kostenlosen Scan, um Ihre Angriffsfläche kostenlos zu baselinen, scopen Sie einen Einzel-Bericht (€149) für eine bestimmte Anwendung oder eine Compliance-Deadline und wechseln Sie auf kontinuierlich (€299/Monat), sobald Testing Teil Ihres Release-Prozesses ist.

Referenz: Marktspannen zusammengestellt aus veröffentlichten 2026-Pentest-Anbieterpreisen und Branchen-Tagessatz-Benchmarks · Matproof Sentinel Preise: matproof.com/pricing

Penetrationstest Kosten: kostenloser Scan vs Matproof Sentinel vs klassische Beratung

—	Kostenloser Scan	Matproof Sentinel	Klassische Beratung
Automatisierte Scan-Engine	✓ (3-min Vorschau)	✓ Vollständiger Scan	✗ Nur manuell
OWASP Top 10 Abdeckung	Partiell	✓ Vollständig	✓ Vollständig
Proof-of-Exploit-Evidenz	✗	✓ Pro Befund	✓ Pro Befund
Regulatorisches Mapping (DORA/NIS2/ISO 27001)	✗	✓ Automatisiert	✓ Manuell
Audit-tauglicher PDF-Bericht	✗	✓ Sofort	✓ 2–4 Wochen Lieferzeit
Kontinuierliche / wiederkehrende Scans	✗	✓ Pro Deploy	✗ Jährliches Engagement
Zeit bis zum ersten Ergebnis	~3 Min.	~30 Min. Vollscan	2–4 Wochen
Preis	€0	Ab €149	€8.000–€25.000
Quellcode-Review (SAST)	✗	✓ Im Growth-Plan	✓ Im Scope
API-Testing (REST/GraphQL)	✗	✓ Automatisiert	✓ Manuell

Matproof Sentinel Penetrationstest-Preise (öffentlich, kein Angebot erforderlich)

Einzel-Scan

€149 einmalig

1 vollständiger Pentest-Scan
KI-priorisierte Befunde mit CVSS 3.1
Proof-of-Exploit für jedes Finding
PDF-Bericht (audit-tauglich)
Regulatorisches Mapping (DORA, NIS2, BSI)

Einzel-Scan kaufen →

Häufige Fragen zu den Penetrationstest-Kosten

Was kostet ein Penetrationstest?

Als Benchmark 2026: ein Web Application Pentest kostet typischerweise £4.000–£12.000; ein externer Netzwerk-Test £2.000–£6.000; ein API-Test eine ähnliche Spanne wie Webanwendungen; ein internes/Assumed-Breach-Engagement ab etwa £5.000; und ein Engagement mit vollem Umfang £15.000–£50.000+. Der Preis wird vor allem von Umfang (wie viel getestet wird) und Tiefe (Black-Box vs authentifiziert/White-Box) getrieben. Matproof Sentinel liefert einen audit-tauglichen Bericht ab €149 (Einzel-Scan) oder €299/Monat für kontinuierliches Testing.

Warum verstecken die meisten Anbieter ihre Penetrationstest-Preise?

Weil klassische Pentests pro Tag gegen einen individuellen Umfang bepreist werden, leiten Anbieter alles über ein Verkaufsgespräch, um individuell scopen und kalkulieren zu können. Der Nachteil für Käufer ist Friktion und Intransparenz — Sie können ohne mehrere Gespräche weder vergleichen noch budgetieren. Matproof veröffentlicht seine Preise offen, weil das Testing produktisiert ist: €149 pro Lauf, €299/Monat, €799/Monat, auf matproof.com/pricing.

Was macht einen Penetrationstest teurer?

Fünf Faktoren: (1) Umfang — mehr Anwendungen, Endpunkte, IPs und Hosts kosten mehr; (2) Tiefe — authentifiziertes/White-Box-Testing mit Quellcode-Review kostet mehr als Black-Box; (3) Seniorität und Zertifizierungen der Tester (CREST, OSCP); (4) Frequenz — aktuelle Evidenz bedeutet, jedes Jahr zu zahlen; und (5) versteckte Zusätze wie separat berechnete Re-Tests und lange Vorlaufzeiten. Produktisiertes kontinuierliches Testing reduziert die meisten davon, weil die Grenzkosten eines weiteren Scans nahe null liegen.

Ist ein günstigerer automatisierter Test so gut wie ein manueller Pentest?

Das hängt davon ab, was Sie brauchen. Für die meisten Webanwendungen und APIs deckt KI-gestütztes Testing, das Befunde mit Proof-of-Exploit bestätigt (nicht nur Scanner-Alerts), die OWASP Top 10 und API Top 10 in dem Maße ab, das Auditoren und Enterprise-Käufer erwarten — zu einem Bruchteil der Kosten und mit kontinuierlicher Abdeckung. Für hochgradig maßgeschneiderte Umgebungen (komplexe interne Netzwerke, OT/SCADA, physische Sicherheit im Scope) ist ein tieferes, menschengeführtes Engagement weiterhin gerechtfertigt. Matproof Sentinel kombiniert automatisierte Breite mit KI-gestützter Exploitation und scopt komplexe interne Arbeit im Growth-Plan.

Wie oft muss ich für einen Penetrationstest zahlen?

Compliance-Frameworks erwarten generell mindestens jährliches Testing, aber Anwendungen ändern sich mit jedem Deploy, sodass jährliches Testing lange Fenster ungetestet lässt. Wenn Sie aktuelle Evidenz benötigen (für ISO-27001-Überwachungsaudits, SOC 2 oder Enterprise-Beschaffung), kostet kontinuierliches Testing meist weniger pro Jahr als wiederholte jährliche Engagements und hält Ihre Evidenz stets aktuell. Der €299/Monat-Plan von Matproof Sentinel bietet unbegrenzte kontinuierliche Scans über bis zu drei Domains.

Vertiefen — verwandte Artikel aus unserem Blog

Sehen Sie Ihre Angriffsfläche kostenlos — dann wählen Sie Ihren Plan

Führen Sie einen kostenlosen 3-Minuten-Scan durch, um Ihre Angriffsfläche kostenlos zu baselinen. Erhalten Sie einen vollständigen audit-tauglichen Bericht ab €149 oder kontinuierliches Testing ab €299/Monat. Öffentliche Preise, kein Verkaufsgespräch erforderlich.