Was kostet ein Penetrationstest? Preise & Kosten 2026
Was kostet ein Penetrationstest?
Ein Penetrationstest kostet €3.500 bis über €50.000 — je nach Scope, Anwendungstyp und Anbieter. Kleine Web-Apps beginnen bei €3.500–€5.000, mittlere SaaS-Anwendungen oder Unternehmens-Apps liegen typischerweise bei €5.000–€15.000, und Enterprise-Umgebungen mit komplexer Infrastruktur kosten €20.000 oder mehr. Vietnamesische Security-Experten bieten dieselbe Qualität zu bis zu 70 % niedrigeren Kosten als deutsche Anbieter.
| Umfang | Typische Kosten (Deutschland) | Mit DeViLink |
|---|---|---|
| Kleine Web-App (1–40 Endpunkte) | €5.000–€10.000 | ab €3.500 |
| Mittlere SaaS (41–100 Endpunkte) | €10.000–€25.000 | ab €5.775 |
| Große Anwendung (101–300 Endpunkte) | €25.000–€50.000 | ab €10.500 |
| Enterprise / komplexe Infrastruktur | €50.000+ | auf Anfrage |
Sofort-Kalkulation? Kostenloser Pentest-Rechner — Ergebnis in 2 Minuten.
Das Wichtigste in KĂĽrze
Ein Penetrationstest kostet in Deutschland typischerweise €3.500 bis weit über €50.000 — je nach Scope, Methode und Anbieter. Dieser Artikel erklärt transparent, was den Preis wirklich bestimmt, und zeigt, warum deutsche KMUs mit vietnamesischen Security-Experten deutlich günstiger fahren können — ohne Qualitätskompromisse.
Was ist ein Penetrationstest — und wozu brauche ich ihn?
Ein Penetrationstest (kurz: Pentest) ist ein autorisierter, simulierter Cyberangriff auf Ihr IT-System. Ziel ist es, Sicherheitslücken zu finden, bevor echte Angreifer es tun. Anders als automatisierte Schwachstellen-Scanner kombiniert ein professioneller Pentest manuelle Analyse, kreatives Hacking-Denken und strukturierte Testmethoden — und liefert damit ein realistisches Bild Ihrer tatsächlichen Angriffsfläche.
Was geprĂĽft wird
Web- und Mobile-Apps, APIs, Netzwerke, Cloud-Infrastruktur, Authentifizierungssysteme, Zugriffsrechte und Konfigurationsfehler.
Was Sie erhalten
Detaillierten Bericht mit gefundenen Schwachstellen, CVSS-Bewertung, Exploitability, konkreten Handlungsempfehlungen und einer Management-Zusammenfassung.
Was es nicht ist
Kein automatisierter Vulnerability-Scan (der ist billiger, findet aber nur bekannte Muster). Ein echter Pentest denkt wie ein Angreifer — nicht wie ein Tool.
Wer braucht einen Pentest?
Kurz gesagt: Jedes Unternehmen das digitale Systeme betreibt — insbesondere wenn Kunden-, Mitarbeiter- oder Zahlungsdaten verarbeitet werden. Konkret wird ein Pentest zwingend oder dringend empfohlen in diesen Situationen:
NIS2-Richtlinie (seit Oktober 2024)
Unternehmen in kritischen Sektoren (Energie, Transport, Gesundheit, IT, Finanzen u.a.) sind verpflichtet, angemessene Sicherheitsmaßnahmen nachzuweisen — regelmäßige Pentests sind de-facto Standard.
ISO 27001 Zertifizierung
Penetrationstests sind Bestandteil des Information Security Management Systems (ISMS). Ohne Nachweis regelmäßiger Tests ist eine Zertifizierung kaum zu halten.
PCI-DSS (Zahlungsdaten)
Wer Kreditkartendaten verarbeitet, ist gesetzlich verpflichtet, jährliche Penetrationstests durchzuführen. Verstöße können zu Vertragsstrafen von bis zu €100.000/Monat führen.
Neues Produkt oder Feature-Launch
Vor dem Go-Live einer neuen Anwendung oder eines kritischen Features ist ein Pentest die letzte Sicherheitslinie vor dem echten Angriff.
Enterprise-Kunden-Anforderungen
GroĂźe B2B-Kunden fordern zunehmend Pentest-Nachweise von Lieferanten und Dienstleistern als Teil des Vendor-Risk-Managements.
Nach einem Sicherheitsvorfall
Wer einmal gehackt wurde, muss nachweisen, dass die Lücke geschlossen und das System sicher ist — intern wie gegenüber Behörden und Kunden.
Die 7 Faktoren die den Preis bestimmen
Pauschalpreise für Pentests sind unseriös — wer ohne Scope-Analyse einen Festpreis nennt, liefert entweder zu wenig oder versteckt Aufpreise. Das sind die echten Kostentreiber:
Anwendungstyp
Web-Apps, Mobile-Apps, APIs, Desktop-Anwendungen und Cloud-Infrastruktur haben unterschiedliche Angriffsvektoren und erfordern unterschiedlichen Aufwand.
Scope & Größe
Gemessen in Endpunkten (API-Routen, Seiten, Funktionen). Eine kleine App mit 1–40 Endpunkten ist der Basisfall. Ab 100+ Endpunkten steigt der Aufwand signifikant — jeder Endpunkt ist ein potenzieller Angriffsvektor.
Testmethode: Blackbox / Greybox / Whitebox
Je mehr Informationen der Tester erhält, desto tiefer kann er analysieren — und desto höher der Aufwand.
Authentifizierungskomplexität
OAuth/SSO-Integrationen und MFA-Systeme erfordern zusätzlichen Aufwand beim Testen — und erhöhen den Preis entsprechend.
Datensensitivität
Je sensibler die verarbeiteten Daten, desto grĂĽndlicher muss getestet werden. DSGVO-relevante und Zahlungsdaten erfordern mehr Aufwand und Dokumentation.
Compliance-Anforderungen
Bestimmte Frameworks erfordern spezifische Testtiefe und Berichtsdokumentation, was den Aufwand erhöht.
Dringlichkeit / Timeline
Wer schnell einen Pentest braucht, zahlt einen Aufpreis — weil andere Projekte verschoben oder zusätzliche Kapazitäten aktiviert werden müssen.
Penetrationstest Kosten 2026: PreisĂĽbersicht nach Typ
Die folgenden Preise gelten für Standardkonfigurationen ohne Sonderkomplexität (Blackbox-Methode, keine MFA, OWASP-Standard, flexible Timeline). Jeder Aufpreis aus den obigen Faktoren wird on top berechnet.
| Anwendungstyp | Klein | Mittel | GroĂź | Enterprise |
|---|---|---|---|---|
| Web-Anwendung | €3.500 | €5.775 | €10.500 | Auf Anfrage |
| Web-App (Whitebox) | €4.550 | €7.500 | €13.650 | Auf Anfrage |
| API / Microservices | €3.500 | €5.775 | €10.500 | Auf Anfrage |
| Mobile App | €3.500 | €5.775 | €10.000+ | Auf Anfrage |
| Cloud-Infrastruktur | €4.655 | €7.680 | €13.965 | Auf Anfrage |
| Desktop-Anwendung | €3.500 | €5.775 | €10.500 | Auf Anfrage |
Hinweis: Diese Preise basieren auf unserem Kalkulationsmodell. Komplexere Systeme, mehrere User-Rollen, spezifische Compliance-Anforderungen oder kurze Timelines erhöhen den Preis entsprechend. Nutzen Sie unseren Pentest-Kostenrechner für Ihre individuelle Kalkulation.
Einmaltest oder Pentest-as-a-Service (PaaS)?
Beide Modelle haben ihre Berechtigung — die richtige Wahl hängt von Ihren Compliance-Anforderungen und der Dynamik Ihrer Entwicklung ab.
Einmaltest
- âś“Klarer Scope, definierter Zeitraum
- âś“Ideal vor einem Product-Launch
- âś“FĂĽr spezifische Compliance-Nachweise
- âś“Keine laufenden Kosten
Nachteil: Neue Features nach dem Test sind nicht abgedeckt. Einmal-Berichte verlieren schnell an Aktualität.
Pentest-as-a-Service (PaaS)
- âś“Kontinuierliche SicherheitsĂĽberprĂĽfung
- âś“Ideal fĂĽr NIS2- und ISO-27001-Compliance
- âś“Neue Features werden laufend geprĂĽft
- âś“Monatliche Rate ca. +30% auf Einmalpreis (pro Jahr)
Empfehlung fĂĽr: Unternehmen mit aktiver Softwareentwicklung, die Compliance dauerhaft nachweisen mĂĽssen.
Wer braucht was? Argumente nach Rolle
Die richtige Pentest-Strategie hängt davon ab, welche Fragen Sie in Ihrer Rolle beantworten müssen:
CEO / Geschäftsführer
Kernfrage: „Sind wir compliant? Welches Haftungsrisiko tragen wir?"
NIS2, DSGVO und ISO 27001 machen Sicherheitsnachweise zur Chefsache. Bei einem Sicherheitsvorfall ohne Nachweis regelmäßiger Tests drohen Bußgelder bis zu €10 Mio. oder 2% des Jahresumsatzes. Regelmäßige Pentests sind günstiger als jedes Bußgeld — und schützen die persönliche Haftung der Geschäftsführung.
CTO / Technischer Leiter
Kernfrage: „Wie sicher ist unsere Architektur? Was haben wir übersehen?"
Für CTOs ist ein Whitebox-Test häufig sinnvoller — der Tester bekommt Codezugang und kann tiefgreifende Architektur-Schwachstellen aufdecken, die ein Blackbox-Test nicht findet. Besonders wertvoll vor Releases, nach größeren Refactorings oder bei der Einführung neuer Infrastruktur.
IT-Leiter / Abteilungsleiter
Kernfrage: „Was müssen wir regelmäßig prüfen? Wie behalte ich den Überblick?"
IT-Leiter profitieren am meisten vom PaaS-Modell: laufende Tests, strukturierte Berichte, klare Prioritäten für das Entwicklungsteam. Das gibt eine kontinuierliche Sicherheitsperspektive ohne ad-hoc Panikbeauftragungen.
Produktentwicklung / Product Manager
Kernfrage: „Können wir sicher launchen? Was blockiert die Go-Live-Freigabe?"
Ein Pentest vor dem Launch ist kein Bremser — er ist der letzte Gate-Check vor dem echten Angriff. Gefundene Schwachstellen lassen sich vor der Öffentlichkeit beheben, statt danach. Der Pentest-Bericht wird auch intern als Qualitätsmerkmal akzeptiert und schafft Vertrauen im Stakeholder-Reporting.
Vertrieb / Sales
Kernfrage: „Wie gewinnen wir Enterprise-Kunden, die Sicherheitsnachweise fordern?"
Große B2B-Kunden — insbesondere aus Finanz, Pharma, Industrie und dem öffentlichen Sektor — fragen im Vendor-Risk-Prozess regelmäßig nach Pentest-Zertifikaten oder ISMS-Nachweisen. Ein aktueller Pentest-Bericht kann ein Deal-Blocker-Killer sein: Er signalisiert Professionalität, Compliance-Reife und Verantwortungsbewusstsein.
Marketing / Brand
Kernfrage: „Wie schützen wir unsere Marke vor einem öffentlichen Sicherheitsvorfall?"
Ein Datenleck oder Hack ist heute ein Reputations-Desaster: Medienberichte, Kundenstornierungen, Social-Media-Shitstorms. Marketing-Teams unterschätzen oft, dass Sicherheit direkt die Markenwahrnehmung beeinflusst. Ein „geprüfte Sicherheit"-Siegel oder die Kommunikation regelmäßiger Sicherheitsaudits wird im B2B immer mehr zum Differenzierungsmerkmal.
Warum billige Pentests gefährlich sein können
Ein Pentest unter €1.500 ist in der Regel kein Pentest — es ist ein automatisierter Scan. Der Unterschied ist entscheidend:
❌ Was günstige Anbieter typischerweise liefern
- •Automatisierter Vulnerability-Scan (Nessus, OpenVAS)
- •Kein manuelles Testing, kein kreativer Angriffsansatz
- •Standardisierter PDF-Report ohne Kontext
- •Keine Business-Logic-Tests
- •Keine Prüfung von Authentifizierungs-Flows
âś… Was ein echter Pentest umfasst
- âś“Manuelle Analyse durch erfahrene Security-Experten
- âś“Kreative Angriffssimulation (wie echte Hacker denken)
- âś“Business-Logic-Tests (ZahlungsflĂĽsse, Zugriffsrechte)
- ✓CVSS-Bewertung mit Exploitability-Einschätzung
- âś“Management-Report + technischer Detailbericht
Red Flag: Anbieter die innerhalb von 24 Stunden einen Festpreis ohne Scope-Analyse nennen, liefern fast immer nur automatisierte Scans. Ein seriöser Pentest beginnt immer mit einem Discovery-Call und einer strukturierten Scope-Definition.
Warum Vietnam eine ausgezeichnete Wahl fĂĽr Penetrationstests ist
Viele deutsche Unternehmen sind überrascht: Für Pentests ist die geografische Nähe des Testers vollständig irrelevant — Security-Expertise ist nicht standortgebunden. Was zählt, sind Methodenkompetenz, Zertifizierungen und Kommunikationsqualität. Vietnam liefert hier auf höchstem Niveau — zu einem Bruchteil der deutschen Kosten.
Starke Security-Ausbildung
Vietnamesische Top-Universitäten (HUST, VNU, FPT University) legen besonderen Fokus auf Cybersecurity. Vietnam gehört zu den aktivsten Teilnehmern weltweiter CTF-Wettbewerbe (Capture the Flag) — die olympische Disziplin der Hacker.
International zertifizierte Experten
Unsere Security-Experten halten OSCP, CEH und OWASP-Zertifizierungen. Diese internationalen Standards gelten weltweit — unabhängig davon, wo der Tester sitzt.
Bis zu 70% Kostenersparnis
Deutsche Pentest-Anbieter berechnen Tagessätze von €1.000–2.000 für Senior Security Engineers. Unsere vietnamesischen Experten liefern dieselbe Qualität für €300–600/Tag — ohne Overhead durch teure Bürostandorte.
DSGVO-konform & NDA-gesichert
Alle Tests laufen über unsere deutsche GmbH. Datenschutzverträge, AVV und NDAs nach deutschem Recht — keine rechtlichen Lücken durch den Vietnam-Bezug.
Hohes Engagement & Motivation
Vietnamesische Security-Experten gelten in der internationalen Community fĂĽr ihre GrĂĽndlichkeit und ihren Ehrgeiz. Wer in Saigon oder Hanoi Security-Consulting betreibt, ist unter erheblichem WettbewerbsÂdruck — das merkt man an der Qualität.
Deutsche Projektleitung als BrĂĽcke
Der gesamte Kundenkontakt — Briefing, Rückfragen, Report-Präsentation — läuft über deutschsprachige Projektleitung in Deutschland. Kein Sprachbarrier-Risiko, keine Kulturmissverständnisse.
Marktpreisvergleich: Deutschland vs. DeViLink
| Leistung | Deutsche Anbieter | DeViLink | Ersparnis |
|---|---|---|---|
| Web App Pentest (klein, Blackbox) | €8.000–12.000 | ab €3.500 | bis 70% |
| Web App Pentest (mittel, Greybox) | €15.000–25.000 | ab €5.775 | bis 70% |
| API / Microservices Pentest | €10.000–18.000 | ab €3.500 | bis 65% |
| Cloud-Infrastruktur Pentest | €20.000–40.000 | ab €4.655 | bis 75% |
| Pentest-as-a-Service (monatlich) | €3.000–6.000/Mo | ab €800/Mo | bis 70% |
Was kostet Ihr Penetrationstest?
Nutzen Sie unseren kostenlosen Pentest-Kostenrechner — in 2 Minuten erhalten Sie eine transparente Preisschätzung für Ihren individuellen Scope.
Kostenlos · Unverbindlich · Antwort innerhalb von 24 Stunden
