Was kostet ein Penetrationstest?

Wie die Preisgestaltung für einen Penetrationstest funktioniert: Tagessatz, Timebox und die Faktoren hinter dem Endpreis

This page is also available in English.


„Was kostet ein Pentest?“ ist die Frage, die ich am häufigsten höre, und die ehrliche Antwort ist immer „das kommt drauf an“. Das ist keine Ausrede. Ein Pentest wird nach Aufwand abgerechnet, nicht als fertiges Produkt verkauft, also lautet die eigentliche Frage dahinter: Was entscheidet darüber, wie viel Aufwand ein konkretes Projekt tatsächlich braucht? Genau das erklärt dieser Beitrag.

„Das kommt drauf an“ ist die ehrliche Antwort, keine Ausrede

Jeder Anbieter, der dir einen Fixpreis nennt, bevor er dein Umfeld überhaupt kennt, nimmt die Sache nicht ernst. Ein Penetrationstest ist eine Dienstleistung, kein Produkt von der Stange, und der Preis muss den tatsächlichen Aufwand für ein konkretes Ziel widerspiegeln.

Das heißt aber nicht, dass die Preisgestaltung vage sein muss. Es bedeutet, dass sich der Preis aus einer überschaubaren Anzahl konkreter Faktoren ergibt. Kennst du diese Faktoren, kannst du deine eigene grobe Hausnummer schätzen, noch bevor du überhaupt ein Gespräch führst.


Ein Pentest ist eine Timebox, keine Garantie

So funktioniert das Modell: Du kaufst eine fixe Menge an Testerzeit, keine Garantie, dass jede Schwachstelle gefunden wird. Innerhalb dieser Zeit arbeitet der Tester daran, möglichst viele ausnutzbare Schwachstellen aufzudecken und zu belegen, beginnend mit den wichtigsten.

Deshalb sind Preis und Zeit in diesem Modell direkt dasselbe. Mehr Budget bedeutet nicht denselben Test mit Aufschlag. Es bedeutet mehr tatsächlich investierte Stunden, und damit mehr Abdeckung und mehr Tiefe.


Die eigentliche Rechnung: Tagessatz mal Tage

VidraSec kalkuliert jedes Engagement mit einem Tagessatz und einer geplanten Anzahl an Testtagen, multipliziert zu einer fixen Gesamtsumme. Diese Summe steht im Vertrag, und sie steht auf der Rechnung.

Der genannte Preis ist der berechnete Preis, in beide Richtungen. Läuft die Arbeit ein wenig länger, ein paar Stunden hier oder dort, wird das absorbiert, statt daraus eine Nachforderung zu machen. Zeichnet sich früh ab, dass ein Projekt deutlich länger dauern würde als geplant, wird der Scope an das ursprüngliche Budget angepasst, statt dass der Preis im Nachhinein steigt. Die finale Rechnung sollte dich in keine Richtung überraschen.


Was die Anzahl der Tage tatsächlich bestimmt

Drei Faktoren legen das Zeitbudget fest, ungefähr in der Reihenfolge, in der ich sie gewichte:

  1. Security-Reife des Ziels. Das überrascht viele: Ein Unternehmen, das noch nie einen Pentest hatte, braucht meist weniger Zeit, nicht mehr. Ein unmanaged Umfeld zum ersten Mal zu testen, fördert meist schnell ernste Probleme zutage. Eine gereifte Organisation, die die offensichtlichen Probleme bereits behoben hat, braucht einen Tester, der deutlich tiefer graben muss, um noch etwas Relevantes zu finden, und das kostet mehr Tage.
  2. Anzahl und Komplexität der Systeme. Eine Handvoll aus dem Internet erreichbarer Dienste wird ganz anders eingeschätzt als eine ausufernde Applikationslandschaft mit Dutzenden Komponenten. Mehr Angriffsfläche bedeutet mehr Tage.
  3. Was du eigentlich herausfinden willst. Ein breiter Check, ob grundsätzlich etwas Ernstes im Argen liegt, braucht weniger Tiefe als eine fokussierte Untersuchung einer einzelnen, kritischen Komponente. Nenn mir das Ziel, und die Anzahl der Tage ergibt sich daraus.

Hier gibt es echten Spielraum. Hast du ein fixes Budget, können wir den Scope daran anpassen, statt das Gespräch abzubrechen. Was ich nicht mache: eine Anzahl an Tagen anbieten, die nicht zum genannten Ziel passt.


Blackbox vs. Greybox: gleiche Tage, mehr Nutzen

Bei einem klassischen Penetrationstest ist der Tester kein echter Angreifer. Er ist ein Berater, der innerhalb einer fixen Timebox arbeitet. Ein echter Angreifer hat unbegrenzt Zeit und, hoffentlich, keinerlei Unterstützung von der internen IT. Ein Pentester soll das Gegenteil bekommen: Zugänge, wo sinnvoll, Informationen über interne Systeme, eine Firewallfreischaltung, wenn sie legitimes Testen blockiert. Das ist Zeit, die in echte Sicherheitsprobleme fließt, statt darin, herauszufinden, unter welcher URL die Applikation überhaupt erreichbar ist.

Deshalb empfehle ich, außer in Spezialfällen, keine Blackbox-Tests (keine Zugänge, keine Informationen, einfach aus dem Internet). Diese Testart klingt nach der realistischsten Simulation eines Angriffs, ist es in der Praxis aber selten. Fast jeder echte Einbruch startet mit einem übernommenen Account oder einem kompromittierten Gerät, also genau dort, wo ein Greybox-Test ansetzt. Greybox ist näher an der Realität und liefert mehr verwertbare Schwachstellen für dieselbe Anzahl an Tagen, und genau das ist die eigentliche Definition eines guten Preis-Leistungs-Verhältnisses. Der Penetrationstest-Käuferratgeber geht auf Blackbox, Greybox und Whitebox im Detail ein, falls du das große Bild willst.

Diese Logik gilt speziell für einen klassischen Pentest. Eine Simulation von Cyberangriffen oder ein Red-Team-Engagement funktioniert bewusst nach dem umgekehrten Prinzip: Der Zweck ist, zu testen, ob dein Team einen Angreifer erkennt und darauf reagiert, den es nicht kommen sieht. Kooperation oder Zugänge im Voraus würden die Übung genau deshalb entwerten. Das ist eine andere Dienstleistung mit einer eigenen Preislogik, keine Variante dieser hier.


Was das konkret kostet

Konkrete Zahlen, basierend darauf, wie VidraSec reale Projekte scoped:

  • Ein enger Scope, etwa eine Handvoll aus dem Internet erreichbarer Systeme, kann bei etwa 4.200 € starten.
  • Ein Pentest, der breit genug ist, um wirklich nützlich zu sein, beginnt meist eher bei 6.000 €, und das ist eine brauchbare Richtgröße für den sinnvollen Mindestpreis.
  • Die meisten Projekte liegen zwischen 6.000 € und 15.000 €.
  • Größere Engagements, inklusive Red-Team-Simulationen, können darüber liegen.

Nach oben gibt es keine harte Grenze, aber mehr Tage machen nur so lange Sinn, wie sie noch echten Mehrwert bringen. Ein gutes Scoping-Gespräch deckelt ein Projekt dort, wo ein weiterer Tag den Aufwand nicht mehr wert ist, nicht dort, wo die Rechnung groß genug wirkt.


Eine echte Zahl statt einer Schätzung

Der schnellste Weg zu einer konkreten Zahl für dein Umfeld ist ein kurzes Scoping-Gespräch, kein Formular, das automatisch ein Angebot ausspuckt. Wenn du gerade Anbieter allgemein vergleichst, findest du in der Pentest-Anbieter-Checkliste die Fragen, die über den Preis hinaus wichtig sind.

Willst du eine echte Zahl für dein Umfeld? Nimm Kontakt auf.

Zugehörige Dienstleistungen

Zugehörige Blog Posts

martin​@​vidrasec.com

+43 670 3081275

+43 670 3081275

Termin auswählen