Ein manueller Penetrationstest für eine Webanwendung kostet in Deutschland 2026 zwischen 5.000 € und 25.000 €. Autonome Pentest-Plattformen verschieben diese Spanne deutlich nach unten: Bei DeepMantis beginnt ein fokussierter Pentest bei 890 €, ein tiefer Multi-Vektor-Test kostet 7.500 € — mit Proof of Concept für jedes Finding. Dieser Artikel schlüsselt auf, woraus sich die Preise zusammensetzen, welche Faktoren sie treiben und wann sich welcher Ansatz rechnet.
Was kostet ein Pentest 2026 konkret?
Manuelle Penetrationstests werden in Deutschland nach Aufwand kalkuliert, und die veröffentlichten Preisspannen der Anbieter liegen erstaunlich nah beieinander. Die folgende Übersicht basiert auf den öffentlichen Preisübersichten von Yekta IT und Reepa Solutions und deckt die gängigen Testarten ab.
| Testart | Marktpreis (manuell) | Aufwand |
|---|---|---|
| Einfache Webanwendung | 5.000–10.000 € | 5–8 Personentage |
| Komplexe Webanwendung | 10.000–25.000 € | 8–15 Personentage |
| Externe Infrastruktur | 3.000–15.000 € | 2–8 Personentage |
| Mobile App (iOS + Android) | 7.000–14.000 € | 5–10 Personentage |
| Red Team Engagement | 25.000–80.000 € | 4–8 Wochen |
Der Tagessatz für zertifizierte Pentester liegt laut Reepa Solutions bei 900–1.800 € netto, abhängig von Erfahrung und Spezialisierung. Ein Standard-Pentest für Mittelständler kostet damit 4.000–10.000 € pro Test.
Autonome Plattformen rechnen nicht nach Personentagen ab. Die öffentliche DeepMantis-Preisliste nennt drei Stufen: 890 € für eine Single-Surface-Anwendung (Tiefe eines einwöchigen manuellen Tests), 3.800 € für ein verbundenes Produkt mit sensiblen Daten (Tiefe von 2–4 Wochen manuell) und 7.500 € für ein verteiltes System mit regulierten Daten (Tiefe von 4 Wochen manuell). Jedes Finding wird mit einem reproduzierbaren Proof of Concept belegt.
Welche Faktoren treiben den Preis?
Vier Faktoren erklären fast die gesamte Preisspanne eines Penetrationstests: der Scope, die Testtiefe, die gewählte Methodik und der Reporting-Aufwand. Wer ein Angebot bewertet, sollte jede dieser vier Stellschrauben einzeln prüfen — denn dort entstehen die Unterschiede zwischen einem 5.000-€- und einem 25.000-€-Angebot für dieselbe Anwendung.
Scope ist der größte Hebel. Eine Anwendung mit Login, Rollensystem und 20 Funktionen ist in 5 Personentagen testbar. Eine Multi-Tenant-Plattform mit APIs, Admin-Konsole und Drittanbieter-Integrationen braucht das Dreifache.
Testtiefe entscheidet, ob Schwachstellen nur identifiziert oder mit Exploit belegt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in seinem Praxis-Leitfaden für IS-Penetrationstests eine moderate Angriffsstärke.
„Ein IS-Penetrationstest soll dafür so dimensioniert werden, dass Schwachstellen zwar nachgewiesen, aber nur aktiv ausgenutzt werden, wenn es nicht vermeidbar ist und die Exploits ausreichend getestet wurden."
— BSI, Praxis-Leitfaden für IS-Penetrationstests (Stand: November 2016)
Methodik — Blackbox, Greybox oder Whitebox — beeinflusst den Aufwand erheblich. Das BSI ist hier eindeutig. Es empfiehlt, „grundsätzlich Whitebox-Tests durchzuführen, da bei einem Blackbox-Test aufgrund nicht vorliegender Informationen Schwachstellen übersehen werden können". Blackbox-Tests sind zudem aufwendiger und damit teurer — bei geringerer Abdeckung.
Reporting wird oft unterschätzt. Ein Report, der als Audit-Nachweis für SOC 2, ISO 27001 oder BSI C5 taugt, kostet bei manuellen Anbietern 1–3 zusätzliche Personentage. Bei DeepMantis ist der audit-taugliche PDF-Report in jedem Tier enthalten.
Warum ist das Personentage-Modell so teuer?
Das Abrechnungsmodell ist der strukturelle Kostentreiber eines Penetrationstests — nicht die eingesetzte Technik. Ein Personentag entspricht acht Stunden Arbeit eines zertifizierten Testers, und jede Stunde davon steht auf der Rechnung. Bei 900–1.800 € pro Tag und 5–15 Tagen pro Test ergibt sich die bekannte Spanne von 5.000–25.000 € fast zwangsläufig.
Die Rechnung skaliert linear mit der Anzahl der Anwendungen. Wer 5 Produkte jährlich testen lässt und pro Test 10.000 € zahlt, liegt bei 50.000 € pro Jahr — für jeweils einen Snapshot pro Produkt. Veröffentlichte Vergleiche kalkulieren für 50 Anwendungen bei 20.000 € pro manuellem Test rund 1 Million € jährlich (freeCodeCamp, 2026).
Autonome Plattformen entkoppeln den Preis von der menschlichen Arbeitszeit. DeepMantis führt Recon, Fingerprinting, Attack-Chain-Analyse und Exploit-Verifikation autonom durch; die Verifikation läuft in isolierten Browser-Instanzen pro Finding. Deshalb kostet ein Engagement mit der Tiefe eines 4-Wochen-Tests 7.500 € statt 20.000–25.000 € — und ist in 7–10 Werktagen abgeschlossen statt in 4–6 Wochen.
Wann lohnt sich ein manueller Pentest trotzdem?
Autonome Tests decken Webanwendungen und APIs ab — nicht jeden denkbaren Scope. Wer die Grenzen kennt, kauft das richtige Werkzeug für das richtige Ziel und zahlt den Premium-Tagessatz nur dort, wo er tatsächlich Mehrwert liefert.
Manuelle Tester sind die richtige Wahl für Binary Exploitation, Mobile-Pentests, Social Engineering, physische Zugangstests und destruktive Szenarien. DeepMantis führt diese Testarten bewusst nicht durch. Ein Red Team Engagement mit 25.000–80.000 € Budget bleibt die richtige Antwort, wenn das Ziel die Gesamtorganisation ist — inklusive Mitarbeitenden und Prozessen.
Auch das BSI betont die Unabhängigkeit der Prüfenden als Qualitätskriterium.
„IS-Penetrationstests müssen immer von fachlich qualifizierten Personen durchgeführt werden, die unabhängig von den untersuchten Bereichen sind und die nicht bei Konzeption, Aufbau oder Betrieb des untersuchten Informationsverbundes mitgewirkt haben."
— BSI, Praxis-Leitfaden für IS-Penetrationstests (Stand: November 2016)
Das gilt für Menschen wie für Plattformen: Ein externer, unabhängiger Test — egal ob manuell oder autonom — liefert verwertbarere Ergebnisse als jede interne Prüfung.
Wie planst du Frequenz und laufende Kosten?
Ein einzelner Pentest ist ein Snapshot, und jedes Deployment danach kann neue Schwachstellen einführen. Das BSI weist im selben Leitfaden darauf hin, dass nach jeder Änderung eines IT-Systems erneut geprüft werden sollte, ob die erforderliche Qualität und Sicherheit erreicht ist. Für Teams, die wöchentlich shippen, hat sich deshalb kontinuierliches Testen etabliert.
Pentest-as-a-Service-Angebote liegen laut Reepa Solutions bei 1.500–5.000 € pro Monat plus 4.000–12.000 € Setup. DeepMantis bietet monatliche Pentests ab 99 € pro Monat (jährliche Abrechnung) — möglich, weil keine Personentage pro Durchlauf anfallen.
So planst du das Budget in drei Schritten:
- Einmaliger Bedarf — etwa vor einem Audit oder Vendor-Review: On-Demand-Test buchen, 890–7.500 € je nach Scope.
- Laufende Entwicklung mit sensiblen Daten: monatliche Tests einplanen, 99–999 € pro Monat je nach Tier.
- Gesamtorganisation inklusive Social Engineering: manuelles Red Team budgetieren, ab 25.000 € pro Engagement.
Häufige Fragen zu Pentest-Kosten
Warum nennen so wenige Anbieter ihre Preise öffentlich?
Weil Personentage-Kalkulationen pro Engagement variieren und Verhandlungsspielraum lassen. Wer den Aufwand erst nach einem Scoping-Call kennt, kann vorher keinen Preis nennen. Plattform-Preise sind dagegen standardisierbar — deshalb stehen die DeepMantis-Preise öffentlich auf der Preisseite.
Sind günstige Pentests automatisch schlechter?
Nein — entscheidend ist, was geliefert wird. Prüfe drei Dinge: Wird jedes Finding mit einem Proof of Concept belegt? Taugt der Report als Audit-Nachweis? Gibt es Re-Tests nach der Remediation? Ein 890-€-Test mit Exploit-Beleg ist verwertbarer als ein 5.000-€-Scan-Report ohne Verifikation.
Was ist mit versteckten Kosten?
Die häufigsten Nachträge bei manuellen Anbietern sind Re-Tests nach der Remediation (oft 10–20 % des Testpreises), Express-Zuschläge bei kurzfristigen Terminen und kostenpflichtige Reporting-Extras. Bei DeepMantis sind 1–3 Re-Tests je nach Tier bereits im Preis enthalten.
Reicht ein automatisierter Schwachstellenscan statt eines Pentests?
Nein. Ein Scanner findet bekannte Muster, verifiziert aber nicht. Das BSI ordnet automatisierte Scans als ergänzendes Mittel ein — ein Penetrationstest geht gezielt „einen Schritt weiter" und sucht nach Wegen, „die eingesetzten Sicherheitsmaßnahmen zu umgehen". Entscheidend ist der Exploit-Beleg: Erst die nachgewiesene Ausnutzbarkeit macht aus einem Alert ein Finding.
Preisangaben: Stand Juni 2026. DeepMantis-Preise laut öffentlicher Preisliste; Marktspannen laut den verlinkten Quellen. Methodik und Scope-Grenzen von DeepMantis sind auf der Security-Seite dokumentiert.