Pentest Kosten 2026 — Was zahlt man wirklich?

„Was kostet ein Penetrationstest?" ist die häufigste Frage in unseren Erst-Gesprächen — und die unbefriedigendste, wenn die Antwort lautet „kommt drauf an". Dieser Artikel liefert konkrete Zahlen für 2026, gegliedert nach Pentest-Typ und Mittelstands-Szenario. Sie erfahren, was den Preis treibt, welche versteckten Kosten in Angeboten lauern und wie ein realistisches Budget für Ihre Situation aussieht. Den breiteren Rahmen rund um Cybersecurity-Strategie, Compliance und Anbieter-Auswahl behandeln wir im Cybersecurity-Pillar für den Mittelstand.

Vorab eine Einordnung: alle hier genannten Preise sind Markt-Durchschnitte für DACH-Anbieter mit zertifiziertem Personal, eigener Berufshaftpflicht und PTES- oder OSSTMM-konformer Methodik. Auffallend günstigere Angebote sind in der Regel automatisierte Vulnerability-Scans mit kosmetischem Report — kein vergleichbares Produkt. Auffallend teurere Angebote rechtfertigen den Aufpreis meist mit spezialisierter Expertise (etwa SCADA, Medizingeräte, Hochsicherheits-Zertifizierungen).

Preis-Spektrum auf einen Blick

Pentest-Typ	Typischer Preis	Aufwand
Web-Application-Pentest	6.000 – 25.000 €	5–15 Personentage
API-Pentest (REST/GraphQL)	4.000 – 12.000 €	3–10 Personentage
Mobile-App-Pentest (iOS+Android)	8.000 – 18.000 €	6–12 Personentage
Externe Infrastruktur	3.000 – 15.000 €	2–8 Personentage
Interne Infrastruktur	8.000 – 30.000 €	5–15 Personentage
Active-Directory-Audit	8.000 – 20.000 €	5–12 Personentage
Cloud-Audit (AWS/Azure/GCP)	6.000 – 18.000 €	4–10 Personentage
Red-Team-Engagement	25.000 – 80.000 €	4–8 Wochen
Continuous Validation (monatlich)	1.500 – 5.000 €/mo	laufend

Was treibt den Preis?

Sechs Faktoren bestimmen den konkreten Preis. Wer sie versteht, kann Angebote besser vergleichen und Verhandlungs-Spielraum erkennen.

Scope-Größe und -Komplexität. Die mit Abstand wichtigste Variable. Eine Anwendung mit 30 Funktionen, drei Rollen und einer Datenbank ist in fünf Personentagen audierbar. Dieselbe Anwendung mit Multi-Tenant-Mandanten, sechs Rollen, OAuth-SSO und einem Microservice-Backend braucht zwölf bis fünfzehn Tage — bei gleicher Audit-Tiefe.

Test-Tiefe. Ein Black-Box-Test ohne Zugangs-Daten erreicht weniger als ein Grey-Box-Test mit Standardnutzer-Accounts. Ein vollständiger White-Box-Audit mit Quellcode-Review noch mehr. Jede Stufe verdoppelt grob den Wert — und den Preis.

Methodische Anforderungen. Standard-Methodik (PTES, OWASP) ist im Basis-Preis enthalten. Spezifische Compliance-Frameworks wie PCI-DSS, BSI-IT-Grundschutz oder branchen-spezifische Standards (TISAX für Automotive, MDR für Medizintechnik) erhöhen den Aufwand für Dokumentation und Nachweis-Führung um 30 bis 60 Prozent.

Reporting-Tiefe. Ein Standard-Report mit Executive Summary, Befunde-Katalog und Maßnahmen-Empfehlungen ist Markt-Standard. Erweiterte Optionen: ausführliche Reproduktions-Anleitungen für die Entwicklung, Compliance-Mapping-Tabellen für Prüfer, externe Präsentation für Geschäftsleitung oder Aufsichtsräte, mehrsprachige Versionen — jede dieser Optionen schlägt mit 500 bis 3.000 Euro zu Buche.

Tester-Erfahrung. Junior-Auditoren mit OSCP arbeiten bei etwa 800 Euro pro Tag, Senior-Auditoren mit OSCE oder OSEP bei 1.200 bis 1.800 Euro pro Tag. Spezialisten für AD, ICS/OT oder Cloud-Tiefe können 2.000 Euro und mehr pro Tag aufrufen. Für Standard-Webapp-Tests reicht das Senior-Level, für spezialisierte Audits zahlt sich der Senior-Aufschlag aus.

Zeitdruck. Ein Pentest mit Start in vier Wochen ist Standard-Konditionen. Ein Auftrag mit Start „nächste Woche" (etwa weil ein Kunde plötzlich den Nachweis verlangt oder eine Versicherung nicht erneuert wird) kostet typischerweise 20 bis 30 Prozent Aufschlag — wir müssen ein anderes Engagement verschieben oder Senior-Kapazität priorisieren.

Beispiel-Kalkulationen für drei Mittelstands-Szenarien

Personentage-Logik verstehen

Die meisten seriösen Anbieter kalkulieren auf Personentage-Basis, nicht über Pauschalen. Ein Personentag entspricht acht Stunden aktiver Audit-Arbeit durch einen zertifizierten Tester. Der Tagessatz im DACH-Markt liegt 2026 zwischen 900 und 1.800 Euro netto, abhängig von Erfahrungsstufe und Spezialisierung.

Bei einem Web-App-Pentest mit acht Personentagen und einem Tagessatz von 1.300 Euro ergeben sich 10.400 Euro reine Test-Zeit plus typischerweise zwei Tage Reporting (2.600 Euro) = 13.000 Euro Gesamtpreis. Wer Ihnen einen Web-App-Pentest für 4.000 Euro anbietet, kann objektiv nicht mehr als drei Personentage einsetzen — was für eine echte manuelle Prüfung schlicht zu wenig ist.

Auch der detaillierte Phasen-Ablauf des Pentests ist ein wichtiger Kontext zum Preis-Verständnis. Wir beschreiben ihn ausführlich im Artikel Penetrationstest Ablauf — Sieben Phasen im Detail.

Preis vs. Qualität — was sagt der Preis aus?

Höherer Preis ist nicht automatisch bessere Qualität — aber sehr niedriger Preis ist fast immer schlechtere Qualität. Drei Warnsignale für Discount-Angebote, die meist enttäuschen:

Pauschalpreis ohne Scope-Klärung. Wer Ihnen einen Webapp-Pentest für 2.500 Euro ohne Sichtung der Anwendung anbietet, kann diesen Preis nur halten, wenn er einen Standard-Scanner über die URL laufen lässt. Echte Audits brauchen vorher eine Scope-Definition.

Keine namentlich genannten Tester. Wer Ihnen sagt „unser Team führt das durch" und keine konkreten Personen mit Zertifizierungen benennt, hat möglicherweise Subunternehmer im Ausland — was Datenschutz-rechtlich problematisch sein kann und qualitativ nicht überprüfbar.

Beispiel-Report aus 2019. Wer Ihnen einen anonymisierten Beispiel-Report aus alten Zeiten zeigt, hat möglicherweise seitdem nichts mehr Vergleichbares geliefert. Aktuelle Beispiele aus den letzten zwölf Monaten sollten verfügbar sein.

Umgekehrt rechtfertigt nicht jeder Premium-Preis sich automatisch. Wenn ein Anbieter 30.000 Euro für etwas verlangt, das andere für 12.000 Euro bieten — bei vergleichbarer Tester-Qualifikation und Methodik — fragen Sie nach dem konkreten Mehrwert. Berufshaftpflicht-Höhe, Spezial-Zertifizierungen, eingebundene Tools oder besondere Branchen-Expertise können Mehr-Preise rechtfertigen, aber sie müssen begründbar sein.

Versteckte Kosten und was im Angebot fehlen darf

Vergleichen Sie Angebote nicht nur über die Endsumme, sondern über den Leistungsumfang. Typische Positionen, die in Discount-Angeboten gerne weggelassen werden:

• Re-Test einzelner Befunde — nach Behebung der Lücken sollte ein verifizierender Re-Test der wichtigsten Befunde im Preis enthalten sein. Wenn nicht, fallen schnell 1.500 bis 3.000 Euro zusätzlich an.
• Abschluss-Präsentation — eine ein- bis zweistündige Präsentation der Ergebnisse vor Ihrer IT-Leitung sollte Standard sein, nicht „Extra-Leistung".
• Notfall-Kontakte und Eskalation — bei kritischen Funden während des Tests sofortige Information statt Aufnahme erst in den finalen Report.
• PGP-verschlüsselter Report-Versand — bei sensiblen Befunden essentiell, sollte selbstverständlich sein.
• Methodik-Dokumentation — der Report sollte erklären, wie getestet wurde, nicht nur was gefunden wurde.

Umgekehrt sind Positionen, die seriös als Zusatz-Leistung berechnet werden: ausführliche Remediation-Begleitung durch Pair-Programming mit Ihrem Entwicklungs-Team, mehrsprachige Reports, Schulungen für Ihre Mitarbeiter zu den gefundenen Schwachstellen-Klassen, oder die Implementierung kontinuierlicher Validierung als Nachfolge-Service.

ROI: Zahlt sich ein Pentest aus?

Aus reiner Risiko-Rechnung: ja, fast immer. Ein durchschnittlicher Ransomware-Vorfall in einem deutschen Mittelständler kostet 2026 zwischen 150.000 und 800.000 Euro — Lösegeld, Betriebsausfall, Forensik, Wiederherstellung, Reputations-Schaden, mögliche Bußgelder. Ein Pentest, der einen solchen Vorfall verhindert, refinanziert sich um das Zehnfache.

Konkret: ein 15.000-Euro-Pentest, der drei verwertbare Schwachstellen findet, von denen mindestens eine im Folge-Jahr Ziel eines Angriffs geworden wäre, ist rein finanziell ein extrem gutes Investment. Das Problem: Sie wissen vorher nicht, ob die gefundenen Schwachstellen tatsächlich ausgenutzt worden wären. Die Risiko-Mathematik ist statistisch — Sie investieren in die Reduktion der Wahrscheinlichkeit, nicht in einen garantierten Schaden-Verhinderer.

Indirekt zahlt sich der Pentest weiter aus: Cyber-Versicherungen verlangen ab 2024 zunehmend Pentest-Nachweise. Ohne aktuellen Pentest werden Policen entweder nicht erneuert, mit dramatischen Prämien-Aufschlägen versehen oder im Schadensfall mit Leistungs-Kürzungen wegen „mangelnder Mitwirkungs-Pflicht" beantwortet. Ein 12.000-Euro-Pentest, der eine Prämien-Erhöhung von 8.000 Euro pro Jahr abwendet, refinanziert sich in zwei Jahren über die Versicherungs-Ersparnis allein. Diese Strategie-Überlegungen vertiefen wir im Cybersecurity-Pillar.

Continuous Validation als Alternative

Das klassische Modell „einmal jährlich ein Pentest" hat zwei strukturelle Schwächen: zwischen den Audits bleiben elf Monate ungetestet, und jeder Audit ist eine Punkt-Aufnahme — neue Schwachstellen durch Updates, neue Anwendungen oder Konfigurations-Änderungen bleiben bis zum nächsten Jahr unentdeckt.

Mit unserer Reepa-Security-Plattform bieten wir kontinuierliche Validierung als Alternative oder Ergänzung. Statt einmal pro Jahr läuft die Audit-Engine monatlich oder wöchentlich gegen Ihre Infrastruktur. Neue Schwachstellen werden binnen Tagen erkannt, behobene Lücken validiert, Compliance-Status fortgeschrieben.

Preislich: ab 1.500 Euro pro Monat für Basis-Coverage einer mittleren Umgebung (Web, externe Infrastruktur, AWS oder Azure), bis 5.000 Euro pro Monat für umfassende Coverage mit AD, Multi-Cloud und ICS-Detektoren. Setup-einmalig zwischen 4.000 und 12.000 Euro je nach Komplexität. Über drei Jahre gerechnet ist dieses Modell typischerweise kosten-neutral zu jährlichen Pentests, liefert aber deutlich mehr Sicherheits-Wert durch die kontinuierliche Sichtbarkeit.

Häufige Fragen