Warum es keinen Pauschalpreis gibt
Ein Penetrationstest ist keine standardisierte Dienstleistung wie ein Ölwechsel beim Auto. Die Kosten hängen direkt davon ab, was genau geprüft werden soll, wie groß die Angriffsfläche ist und wie tief der Test gehen muss. Ein externer Pentest eines kleinen Webshops ist strukturell ein anderes Projekt als ein internes Active-Directory-Assessment eines mittelständischen Industrieunternehmens mit 500 Mitarbeitern.
Anbieter, die pauschal „ab 500 €" kommunizieren, führen entweder automatisierte Scans durch – die kein echter Penetrationstest sind – oder kalkulieren so knapp, dass die Tiefe der Analyse leidet. Beides hilft Ihnen im Ernstfall nicht weiter. Eine Ausnahme: Für sehr kleine Unternehmen kann ein Pauschalpreis sinnvoll sein, wenn eine klassische Aufschlüsselung nach Personentagen mehr Verwirrung als Klarheit schafft – das klären wir im Erstgespräch gemeinsam.
Die sechs Faktoren die den Preis bestimmen
Art des Tests
Extern, intern, Webanwendung, Active Directory, Cloud – jeder Testtyp hat unterschiedlichen Aufwand und erfordert andere Expertise.
Scope & Umfang
Wie viele IPs, Subdomains, Anwendungen oder Systeme sollen geprüft werden? Ein klar definierter Scope spart Zeit und Kosten.
Testtiefe (Black/Grey/Whitebox)
Ohne Vorinformationen (Blackbox) dauert Reconnaissance länger. Mit Zugangsdaten und Dokumentation (Whitebox) ist der Test effizienter.
Größe & Komplexität
Ein KMU mit 50 Mitarbeitern hat eine andere Infrastruktur als ein Unternehmen mit 500. Mehr Systeme bedeuten mehr Aufwand.
Reporting-Anforderungen
Brauchen Sie nur einen technischen Bericht oder zusätzlich eine Management Summary für die Geschäftsführung? Beide Formate kosten Aufwand.
Nachbesprechung & Retest
Ist eine persönliche Nachbesprechung inkludiert? Wird nach Behebung der Schwachstellen ein Retest durchgeführt? Das beeinflusst den Gesamtpreis.
Orientierungsrahmen: Typische Preisspannen in Österreich
Die folgenden Werte sind Richtwerte für manuelle, professionell durchgeführte Penetrationstests in Österreich – keine automatisierten Scans. Die tatsächlichen Kosten können je nach Scope und Anbieter abweichen.
| Testtyp | Typische Preisspanne | Hinweis |
|---|---|---|
| Externer Pentest öffentlich erreichbare Systeme, VPN, Mailserver |
ab ca. 2.500 €je nach Scope | Einstiegspunkt für viele KMUs. Deckt die häufigsten Angriffsvektoren ab. |
| Interner Pentest Simulation kompromittierter Mitarbeiter/Gerät |
ab ca. 3.500 €je nach Netzwerkgröße | Aufwändiger als extern – Lateral Movement und AD-Analyse erfordern mehr Zeit. |
| Active Directory Assessment Tiefenanalyse der Windows-Domäne |
ab ca. 3.000 €je nach Domänengröße | Deckt Angriffspfade, Berechtigungsfehler und Privilegieneskalationen auf. |
| Webanwendungs-/API-Pentest OWASP Top 10, Logikfehler, Auth |
ab ca. 2.000 €je nach Anwendungskomplexität | Stark abhängig von Anzahl der Endpunkte und Auth-Mechanismen. |
| Azure / M365 Assessment Cloud-Identitäten, Conditional Access, Apps |
ab ca. 2.500 €je nach Tenant-Größe | Relevant für alle Unternehmen die Microsoft 365 produktiv nutzen. |
| Red Teaming vollständige Angriffssimulation, MITRE ATT&CK |
ab ca. 15.000 €mehrtägige Projekte | Für Unternehmen die bereits regelmäßig Pentests durchführen und ihre Detection testen wollen. |
Sehr günstige Angebote unter 1.000 € für einen „Penetrationstest" sind in der Regel automatisierte Vulnerability-Scans. Diese identifizieren bekannte CVEs, finden aber keine logischen Schwachstellen, Berechtigungsfehler oder reale Angriffspfade. Für Compliance-Nachweise und echte Sicherheitsaussagen sind manuelle Tests erforderlich.
Was ein seriöses Angebot beinhalten sollte
Bevor Sie Angebote vergleichen, achten Sie darauf was genau im Scope enthalten ist. Diese Punkte sollte jedes professionelle Angebot klar definieren:
- Klare Abgrenzung was getestet wird (Scope) und was explizit ausgeschlossen ist
- Angabe ob es sich um einen manuellen Test oder einen automatisierten Scan handelt
- Qualifikationen des durchführenden Testers (z. B. OSCP, CRTE, CRTP)
- Detaillierter technischer Bericht mit Proof-of-Concept, Reproduktionsschritten und konkreten Handlungsempfehlungen je Schwachstelle
- Priorisierung der Findings nach Risiko – damit klar ist, was zuerst behoben werden muss
- Management Summary für Geschäftsführung und IT-Verantwortliche in verständlicher Sprache
- Persönliche Nachbesprechung der Ergebnisse inklusive
- Klare Regelung zur Vertraulichkeit und DSGVO-konformer Datenverarbeitung
Wann lohnt sich ein Pentest – und welcher?
Eine grobe Orientierung für die häufigsten Situationen in österreichischen Unternehmen:
Sie haben noch nie einen Pentest durchgeführt
Beginnen Sie mit einer Kombination aus externem und internem Penetrationstest. Der externe Test deckt Ihre öffentlich erreichbaren Systeme ab – VPN-Gateways, Mailserver, Webdienste. Der interne Test simuliert, was passiert wenn ein Angreifer bereits im Netzwerk ist: z. B. nach einem erfolgreichen Phishing-Angriff oder dem Diebstahl eines Laptops. Erfahrungsgemäß finden sich in beiden Bereichen in fast jedem Unternehmen kritische oder hochriskante Schwachstellen.
Sie nutzen Microsoft 365 / Azure produktiv
Ein Azure / M365 Assessment ist sinnvoll, wenn Ihre Mitarbeitenden täglich mit Teams, SharePoint und Exchange arbeiten. Fehlkonfigurierte Conditional-Access-Richtlinien oder übermäßige App-Berechtigungen sind in der Praxis weit verbreitet.
Sie haben eine Windows-Domäne im Einsatz
Active Directory ist in den meisten Unternehmen das zentrale Nervensystem – und gleichzeitig das häufigste Angriffsziel bei internen Kompromittierungen. Ein Active Directory Assessment deckt auf, welche Angriffspfade von einem normalen Domänenbenutzer bis zu Domain-Admin führen.
Für die meisten KMUs in Österreich empfehlen wir als Einstieg eine Kombination aus externem und internem Penetrationstest. Das deckt die realistischste Angriffskette ab: externer Zugriff → Erstzugang ins Netzwerk → interne Ausbreitung und Domänenkompromittierung.
Was der Pentest nicht kostet: Die Alternative
Der häufigste Einwand gegen einen Pentest ist der Preis. Die Gegenfrage lautet: Was kostet ein erfolgreicher Ransomware-Angriff? Laut einer aktuellen Studie des Kuratoriums Sicheres Österreich (KSÖ) liegt der durchschnittliche Schaden eines Cyberangriffs auf ein österreichisches KMU bei über 50.000 Euro – inklusive Ausfallzeiten, Wiederherstellungskosten und Reputationsschäden. Ein präventiver Pentest ist gemessen daran eine Investition mit sehr klarem ROI.
Fazit: Pauschalpreise sind ein Warnsignal
Ein seriöser Pentest-Anbieter wird Ihnen immer ein individuelles Angebot machen – nach einem kurzen Gespräch über Ihre Infrastruktur, Ihre Schutzziele und Ihren Scope. Pauschalpakete ohne vorherige Bedarfsabklärung sind ein Indiz dafür, dass kein echter manueller Test geplant ist.
Bei DAVISEC beginnt jedes Engagement mit einem kostenlosen, unverbindlichen Erstgespräch von 15–20 Minuten. Danach erhalten Sie ein transparentes Angebot das Aufwand, Scope und Mehrwert klar aufschlüsselt.
Kostenloses Erstgespräch vereinbaren
15 Minuten reichen, um einzuschätzen welcher Test für Ihr Unternehmen sinnvoll ist – und was er kosten wird.
Jetzt unverbindlich anfragen