Wie lange dauert ein Penetrationstest?

Die Dauer eines Penetrationstests hängt vom Umfang ab. Ein fokussierter Web-Application-Test dauert 5 bis 10 Tage, ein umfassender Infrastruktur-Test 5 bis 15 Tage. Dazu kommen jeweils einige Tage für Berichterstellung und Ergebnispräsentation.

Was ist der Unterschied zwischen einem Vulnerability Scan und einem Penetrationstest?

Ein Vulnerability Scan ist ein automatisiertes Tool, das bekannte Schwachstellen erkennt, aber nicht ausnutzt. Ein Penetrationstest wird von erfahrenen Sicherheitsexperten manuell durchgeführt, die Schwachstellen aktiv ausnutzen, Angriffsketten bilden und das tatsächliche Risiko für Ihr Unternehmen bewerten.

Wie oft sollte ein Penetrationstest durchgeführt werden?

Empfohlen wird mindestens ein umfassender Penetrationstest pro Jahr sowie zusätzliche Tests nach grösseren Änderungen an Systemen oder Infrastruktur. Regulierte Branchen wie Finanzdienstleistungen erfordern oft halbjährliche Tests. Alle 2 bis 3 Jahre ist ein vollständiges Red-Teaming-Engagement sinnvoll.

Lohnt sich ein Penetrationstest für KMU?

Absolut. Laut Accenture sind 43 % aller Cyberangriffe auf KMU gerichtet. Die durchschnittlichen Kosten einer Datenpanne in der Schweiz betragen CHF 4,5 Millionen (IBM). Ein jährlicher Penetrationstest für CHF 10.000 bis 20.000 ist damit eine der kosteneffizientesten Sicherheitsinvestitionen für KMU.

Was kostet ein Penetrationstest in der Schweiz? Preise 2026

Q: Was kostet ein Penetrationstest in der Schweiz?

Ein professioneller Penetrationstest in der Schweiz kostet je nach Typ und Umfang zwischen CHF 6.000 und CHF 25.000. Ein Web-Application-Pentest liegt typischerweise bei CHF 8.000 bis 15.000, ein Infrastruktur-Test bei CHF 12.000 bis 25.000 und ein API-Pentest bei CHF 6.000 bis 12.000.

Die kurze Antwort: Ein professioneller Penetrationstest in der Schweiz kostet zwischen CHF 6.000 und CHF 25.000 – je nach Umfang, Komplexität und Testtyp. Ein Standard-Web-Application-Pentest liegt typischerweise bei CHF 8.000 bis 15.000, während umfangreiche Infrastruktur-Tests CHF 12.000 bis 25.000 kosten.

Wer zum ersten Mal einen Penetrationstest beauftragt, steht vor einer unübersichtlichen Preislandschaft. Die Angebote reichen von wenigen Tausend Franken bis hin zu sechsstelligen Beträgen. Dieser Leitfaden erklärt, welche Faktoren den Preis bestimmen, welche Leistungen enthalten sein sollten und warum der günstigste Anbieter selten die beste Wahl ist.

Penetrationstest Kosten nach Testtyp – Übersicht 2026

Die folgende Tabelle zeigt die typischen Preisbereiche für verschiedene Pentest-Typen in der Schweiz. Die Angaben basieren auf Marktdaten und unserer Erfahrung aus über 200 durchgeführten Tests für Schweizer Unternehmen.

Testtyp	Preisbereich (CHF)	Dauer	Typischer Umfang
Web Application	8.000 – 15.000	5 – 10 Tage	1 – 3 Applikationen
Infrastruktur (intern/extern)	12.000 – 25.000	5 – 15 Tage	Netzwerk mit 50 – 500 Hosts
API-Pentest	6.000 – 12.000	3 – 7 Tage	10 – 50 Endpunkte
Mobile App (iOS/Android)	10.000 – 20.000	5 – 10 Tage	1 – 2 Apps inkl. Backend
Red Teaming	30.000 – 80.000+	2 – 6 Wochen	Gesamte Organisation

Wichtig: Diese Zahlen sind Richtwerte. Ein seriöser Anbieter erstellt immer ein individuelles Angebot auf Basis eines Scoping-Gesprächs. Misstrauen Sie pauschalen Festpreisen ohne vorherige Bedarfsanalyse.

Welche Faktoren beeinflussen die Kosten eines Penetrationstests?

Der Preis eines Pentests hängt von zahlreichen Variablen ab. Die wichtigsten Kostentreiber im Überblick:

1. Umfang und Komplexität

Der grösste Kostenfaktor ist der Testumfang. Eine einfache Unternehmenswebsite mit statischen Seiten erfordert deutlich weniger Aufwand als eine komplexe SaaS-Plattform mit Dutzenden von API-Endpunkten, rollenbasierter Zugriffskontrolle und Integrationen zu Drittsystemen. Jede zusätzliche Funktionalität – Zahlungsabwicklung, Benutzerverwaltung, Datei-Uploads – erhöht die Angriffsfläche und damit den Testaufwand.

2. Testmethodik

Es gibt verschiedene Ansätze, die sich im Aufwand erheblich unterscheiden:

Black-Box-Test: Der Tester erhält keine Vorabinformationen und simuliert einen externen Angreifer. Erfordert zusätzliche Reconnaissance-Zeit.
Grey-Box-Test: Teilweise Informationen (z.B. Testkonten, Architekturübersicht) werden bereitgestellt. Die effizienteste Methode für die meisten Unternehmen.
White-Box-Test: Vollständiger Zugang zu Quellcode und Dokumentation. Am gründlichsten, aber auch am aufwendigsten.

3. Zertifizierungen des Anbieters

Anbieter mit anerkannten Zertifizierungen wie CREST, OSCP oder OSCE verfügen über nachweislich qualifizierte Tester. Diese Expertise hat ihren Preis – und ihren Wert. CREST-zertifizierte Unternehmen durchlaufen regelmässige Audits und müssen strenge Qualitätsstandards einhalten.

4. Branchenspezifische Anforderungen

Regulierte Branchen wie Finanzdienstleistungen (FINMA), Gesundheitswesen oder kritische Infrastruktur erfordern erweiterte Testszenarien und eine detailliertere Dokumentation. Compliance-Anforderungen nach PCI DSS, ISO 27001 oder dem neuen Schweizer Datenschutzgesetz (nDSG) können den Aufwand um 20 – 40 % erhöhen.

5. Nachtest und Remediation Support

Ein professioneller Pentest endet nicht mit dem Bericht. Qualitätsanbieter bieten einen Nachtest (Retest) an, um die Behebung der gefundenen Schwachstellen zu verifizieren. Dieser Service ist entweder im Preis enthalten oder kostet zusätzlich CHF 1.500 bis 4.000.

Warum die günstigste Option selten die beste ist

Der Schweizer Markt wird zunehmend von Billiganbietern überflutet, die automatisierte Vulnerability Scans als «Penetrationstests» verkaufen. Der Unterschied ist erheblich:

Automatisierter Vulnerability Scan

Erkennt nur bekannte Schwachstellen
Keine Verkettung von Angriffen
Hohe Falsch-Positiv-Rate
Kein Businesskontext
Typisch: CHF 2.000 – 5.000

Professioneller Penetrationstest

Manuelle Exploitation durch Experten
Kreative Angriffsketten wie echte Hacker
Verifizierte, reale Schwachstellen
Risikobewertung im Geschäftskontext
Typisch: CHF 8.000 – 25.000

Ein automatisierter Scan findet möglicherweise eine veraltete Software-Version. Ein erfahrener Penetrationstester zeigt Ihnen, wie ein Angreifer diese Schwachstelle ausnutzt, um auf Ihre Kundendatenbank zuzugreifen, Administratorrechte zu erlangen oder sich lateral durch Ihr Netzwerk zu bewegen.

Was beinhaltet ein professioneller Pentest-Bericht?

Der Bericht ist das zentrale Ergebnis jedes Penetrationstests. Ein qualitativ hochwertiger Bericht enthält:

Executive Summary: Nicht-technische Zusammenfassung für die Geschäftsleitung mit Risikobewertung und strategischen Empfehlungen.
Technische Details: Jede Schwachstelle mit Beschreibung, Reproduktionsschritten, Screenshots und Proof-of-Concept-Code.
Risiko-Klassifizierung: Bewertung nach CVSS-Score und tatsächlichem Business Impact.
Priorisierte Massnahmen: Konkrete Handlungsempfehlungen, sortiert nach Dringlichkeit und Aufwand.
Nachtest-Möglichkeit: Verifizierung der umgesetzten Massnahmen innerhalb eines definierten Zeitraums.

ROI eines Penetrationstests

Laut dem IBM Cost of a Data Breach Report 2024 belaufen sich die durchschnittlichen Kosten einer Datenpanne in der Schweiz auf CHF 4,5 Millionen. Unternehmen, die regelmässig Penetrationstests durchführen, reduzieren diese Kosten um durchschnittlich 23,4 %. Ein jährlicher Pentest für CHF 15.000 ist damit eine der kosteneffizientesten Sicherheitsinvestitionen überhaupt.

Wie Sie Ihr Pentest-Budget sinnvoll planen

Cybersecurity-Experten empfehlen, 5 – 10 % des IT-Sicherheitsbudgets für regelmässige Sicherheitstests einzuplanen. Für die meisten mittelständischen Schweizer Unternehmen bedeutet das:

Empfohlener Testrhythmus

Jährlich: Umfassender Penetrationstest der kritischen Systeme (CHF 12.000 – 20.000)
Halbjährlich: Gezielter Retest und Test neuer Funktionalitäten (CHF 5.000 – 10.000)
Bei Änderungen: Fokussierter Test nach grösseren Releases oder Infrastrukturänderungen (CHF 4.000 – 8.000)
Alle 2 – 3 Jahre: Vollständiges Red-Teaming-Engagement (CHF 30.000 – 80.000)

Damit ergibt sich ein jährliches Budget von CHF 20.000 bis 40.000 für ein mittelständisches Unternehmen – ein Bruchteil der potenziellen Schadenssumme bei einem erfolgreichen Cyberangriff.

So finden Sie den richtigen Pentest-Anbieter

Achten Sie bei der Auswahl eines Anbieters auf folgende Kriterien:

Akkreditierungen: CREST, CHECK oder vergleichbare Zertifizierungen gewährleisten Qualitätsstandards.
Transparentes Scoping: Ein seriöser Anbieter führt ein ausführliches Scoping-Gespräch, bevor er ein Angebot erstellt.
Erfahrung in Ihrer Branche: Branchenkenntnisse sind entscheidend, besonders in regulierten Sektoren.
Referenzen und Fallstudien: Fragen Sie nach konkreten Beispielen ähnlicher Projekte.
Nachtest inklusive: Der Retest sollte im Angebot enthalten sein.

Schweizer Kontext

Gemäss einer Studie von Accenture Security verzeichnen 43 % der Cyberangriffe weltweit KMU als Ziel, doch nur 14 % sind darauf vorbereitet. In der Schweiz ist die Situation laut BACS (ehemals NCSC) ähnlich: Viele Unternehmen unterschätzen das Risiko und verzichten auf professionelle Sicherheitstests.

Nächste Schritte

Ein Penetrationstest ist keine Ausgabe – er ist eine Investition in die Widerstandsfähigkeit Ihres Unternehmens. RedTeam Partners bietet CREST-zertifizierte Penetrationstests für Schweizer Unternehmen aller Grössen an.

Sie möchten wissen, was ein Pentest für Ihr Unternehmen kosten würde? Fordern Sie eine kostenlose Bedrohungsanalyse an – innerhalb von 24 Stunden erhalten Sie eine Ersteinschätzung inkl. Budgetrahmen. Oder erfahren Sie mehr über unseren Penetrationstest-Ansatz.

🏔️ Weiterführende Ressourcen

RedTeam Partners ist stolzer Träger des Alpine-Excellence-Siegels für herausragende Schweizer Cybersicherheit.

Article disponible en allemand