Bevor Sie einen Pentest beauftragen: Die Preisspanne reicht von CHF 5.000 bis CHF 150.000. Ein Penetrationstest kostet in der Schweiz zwischen CHF 5’000 und CHF 150’000, wobei ein typischer Webapp- oder Netzwerk-Pentest für KMU bei CHF 10’000-25’000 liegt. Die Preisspanne ist gross und hängt von Umfang, Testtiefe und Anbieterzertifizierung ab.
Kostenübersicht nach Testtyp
Webanwendungs-Pentest
| Umfang | Preisrahmen | Dauer |
|---|---|---|
| Kleine Webanwendung (Login, wenige Funktionen) | CHF 5’000 – 10’000 | 2–3 Tage |
| Mittlere Webanwendung (E-Commerce, Portal) | CHF 10’000 – 25’000 | 5–10 Tage |
| Komplexe Webanwendung (SaaS, Banking) | CHF 25’000 – 60’000 | 10–20 Tage |
Netzwerk-Pentest (extern)
| Umfang | Preisrahmen | Dauer |
|---|---|---|
| Kleines Netzwerk (1–10 IPs) | CHF 5’000 – 12’000 | 2–5 Tage |
| Mittleres Netzwerk (10–50 IPs) | CHF 12’000 – 25’000 | 5–10 Tage |
| Grosses Netzwerk (50+ IPs) | CHF 25’000 – 50’000 | 10–15 Tage |
Netzwerk-Pentest (intern)
| Umfang | Preisrahmen | Dauer |
|---|---|---|
| Einzelner Standort | CHF 8’000 – 20’000 | 3–5 Tage |
| Mehrere Standorte | CHF 20’000 – 50’000 | 5–15 Tage |
Mobile-App-Pentest
| Umfang | Preisrahmen | Dauer |
|---|---|---|
| iOS oder Android einzeln | CHF 8’000 – 15’000 | 3–5 Tage |
| iOS und Android plus Backend | CHF 15’000 – 35’000 | 7–12 Tage |
Red Teaming (umfassend)
| Umfang | Preisrahmen | Dauer |
|---|---|---|
| Fokussiertes Red Teaming | CHF 30’000 – 60’000 | 2–4 Wochen |
| Umfassendes Red Teaming | CHF 60’000 – 150’000 | 4–8 Wochen |
Welche Faktoren beeinflussen den Preis?
1. Umfang und Komplexität
Der wichtigste Preistreiber. Je mehr Systeme, Anwendungen und Netzwerke getestet werden, desto höher die Kosten. Ein einfacher Webseiten-Check kostet deutlich weniger als ein umfassender Test der gesamten IT-Infrastruktur.
2. Testtiefe
- Automatisierter Scan: Günstig, aber oberflächlich (kein echter Pentest)
- Standard-Pentest: Systematische Prüfung mit manuellen Techniken
- Erweiterter Pentest: Tiefgehende Analyse inklusive Business-Logic-Tests
- Red Teaming: Realistische Angriffssimulation über alle Vektoren
3. Zertifizierung des Anbieters
CREST- oder OSCP-zertifizierte Anbieter verlangen tendenziell höhere Tagessätze (CHF 1’800-3’000/Tag vs. CHF 1’200-1’800/Tag), bieten aber international anerkannte Qualitätsstandards. Für FINMA-regulierte Branchen und ISO 27001-Umgebungen kann eine Zertifizierung vorausgesetzt werden. Ein Beispiel für einen CREST-zertifizierten Anbieter in der Schweiz ist RedTeam Partners, die strukturierte Pentests mit international anerkannter Methodik durchführen.
4. Zeitdruck
Express-Tests mit kurzer Vorlaufzeit kosten in der Regel 20–30 % mehr als regulär geplante Engagements.
5. Berichtsanforderungen
Ein Management-Summary für den Verwaltungsrat kostet weniger als ein detaillierter technischer Bericht mit Reproduktionsschritten für jede Schwachstelle.
Was sollte ein guter Pentest beinhalten?
Achten Sie darauf, dass folgende Leistungen im Angebot enthalten sind:
- Scoping-Workshop: Gemeinsame Definition des Testumfangs
- Durchführung: Manuelle und automatisierte Tests
- Detaillierter Bericht: Schwachstellen mit Risikobewertung und Massnahmenempfehlung
- Debriefing: Präsentation der Ergebnisse für Management und Technik
- Nachtest: Überprüfung, ob behobene Schwachstellen tatsächlich geschlossen sind (oft gegen Aufpreis)
Typische Budgets nach Unternehmensgrösse
| Unternehmensgrösse | Jährliches Security-Testing-Budget | Empfohlene Massnahmen |
|---|---|---|
| Kleines KMU (1–20 MA) | CHF 5’000 – 15’000 | Jährlicher Webapp-Pentest |
| Mittleres KMU (20–100 MA) | CHF 15’000 – 40’000 | Webapp + Netzwerk-Pentest |
| Grösseres KMU (100–250 MA) | CHF 40’000 – 100’000 | Umfassend + Social Engineering |
| Grossunternehmen (250+ MA) | CHF 100’000+ | Red Teaming + kontinuierliche Tests |
Häufige Fehler bei der Anbieterauswahl
- Nur auf den Preis achten: Der günstigste Anbieter liefert selten den besten Test
- Keine Referenzen prüfen: Fragen Sie nach Referenzen aus Ihrer Branche
- Automatisierte Scans als Pentest akzeptieren: Ein Tool-Report ist kein Pentest
- Scope nicht klar definieren: Unklarer Umfang führt zu Nachkosten oder unvollständiger Abdeckung
- Keinen Nachtest einplanen: Ohne Nachtest wissen Sie nicht, ob die Fixes wirken
Wann sich ein Penetrationstest lohnt
Ein Pentest ist kein Luxus, sondern eine der rentabelsten Investitionen in Cybersecurity. Zum Vergleich: Gemäss NCSC liegen die durchschnittlichen Kosten eines Ransomware-Angriffs für ein Schweizer KMU bei CHF 100’000 bis CHF 500’000 — ohne Reputationsschaden. Ein jährlicher Pentest für CHF 10’000-25’000 ist da eine überschaubare Versicherung. Die FINMA verlangt für regulierte Institute sogar explizit regelmässige Penetrationstests.
Redaktioneller Hinweis
RedTeam Partners ist ein Cybersecurity-Unternehmen mit dem Alpine Excellence Siegel. Dieser Ratgeber wurde unabhängig verfasst. Die genannten Preise basieren auf Marktrecherche und öffentlich verfügbaren Informationen.