Preisgestaltung bei Penetrationstests

Redlings GmbH Penetration Testing: Hands-on Hacking

Die Preiskalkulation im Pentesting folgt selten einer starren Pauschale, sondern ist das Ergebnis einer direkten betriebswirtschaftlichen Kette:

  1. Tagessatz: Der Tagessatz für Pentesting liegt in der DACH-Region üblicherweise zwischen 1.160 € (z. B. Hackeroo) und 2.600 € (z. B. Exfilion). Diese Spanne definiert sich fundamental über den Spezialisierungsgrad und korreliert direkt mit dem Pentester Gehalt, da die Personalkosten den größten Posten darstellen. Während Standard-Infrastrukturen im unteren Segment geprüft werden, erfordern komplexe Szenarien wie Red Teaming oder Hardware-Reverse-Engineering Sätze im Premium-Segment. Deutlich niedrigere Tagessätze sollten kritisch geprüft werden. Häufig ist dann der manuelle Testanteil geringer oder es handelt sich eher um einen automatisierten Schwachstellenscan mit nur manueller Nachbearbeitung.

  2. Zeitlicher Testaufwand durch die Komplexität des Scopes: Der zeitliche Aufwand (Scope) richtet sich maßgeblich nach der technologischen Tiefe und breadth des Prüfobjekts. Er skaliert mit der Anzahl der IP-Adressen, den verschiedenen Rollen- und Rechtekonzepten einer Webapplikation, der Anzahl dynamischer Eingabefelder sowie den gewählten Testmethoden (z. B. Black-Box- vs. White-Box-Ansatz, bei dem auch der Quellcode analysiert wird). Zusammen mit diesem individuell ermittelten Aufwand, der für klassische KMU-Projekte meist bei 5 bis 10 Projekttagen liegt, entstehen so die finalen Pentest Kosten für den Kunden.

Vorfazit zu den Gesamtkosten: Wer einen manuellen, qualitativen Penetrationstest beauftragt, muss verstehen, dass die Gesamtkosten immer das mathematische Produkt aus dem Tagessatz der Experten und der benötigten Zeit sind. Ein realistisches Projekt für ein mittelständisches Unternehmen lässt sich aufgrund des methodischen Aufwands selten in weniger als 3–4 Tagen seriös abwickeln. Angebote, die vermeintlich vollständige Sicherheitsprüfungen für pauschal unter 3.000 € versprechen, decken rein rechnerisch oft nicht einmal zwei Arbeitstage eines qualifizierten Pentesters ab; sie basieren fast immer auf rein automatisierten Tools ohne manuelle Tiefenanalyse. Als grobe Orientierung liegen solide KMU-Projekte häufig zwischen 7.500 € und 15.000 €; bei komplexeren Anwendungen, internen Netzwerken oder mehreren Rollen- und Rechtekonzepten sind auch 15.000 € bis 20.000 € realistisch.

Jahresgehalt Penetrationstester vs. Tagessatz: Die Kalkulationsbrücke

Der Tagessatz eines Pentesters lässt sich nicht direkt mit seinem Gehalt gleichsetzen, er leitet sich jedoch direkt daraus ab. Das Pentester Gehalt bildet lediglich das Fundament einer betriebswirtschaftlichen Umlagekalkulation, da ein Dienstleister weit mehr als nur das reine Bruttogehalt finanzieren muss. Wenn man beispielsweise ein Senior-Basisgehalt von 90.000 € pro Jahr ansetzt, steigt das Arbeitgeber-Brutto inklusive Sozialabgaben schnell auf ca. 108.000 €. Rechnet man eine marktübliche Gemeinkosten-Umlage von rund 100 % für Hardware, teure Security-Softwarelizenzen, Labor-Infrastruktur, kontinuierliche Zertifizierungen sowie Vertrieb und Verwaltung hinzu, entstehen dem Unternehmen Gesamtkosten von etwa 216.000 € pro Analyst.

Aus der Praxis etablierter Dienstleister ergibt sich für die Ermittlung der abrechenbaren Tage folgende realistische Branchenrechnung:

  • Ausgangsbasis: 52 Wochen pro Jahr
  • Abzüge: - 6 Wochen Urlaub und - 2 Wochen kalkulatorische Krankheit verbleiben 44 Wochen (entspricht ca. 220 Arbeitstagen).
  • Produktive Auslastung: Bei einer im professionellen Projektgeschäft realistischen produktiven Auslastung von 75 % (da die restliche Zeit in Forschung, interne Laborpflege, Tool-Entwicklung und Weiterbildung fließt) ergeben sich exakt 165 reale, fakturierbare Projekttage pro Jahr.

Teilt man die operativen Gesamtkosten von 216.000 € durch diese 165 Projekttage, ergibt sich ein notwendiger, rein kostendeckender Mindest-Tagessatz von rund 1.309 € zzgl. MwSt. (vor Gewinnmarge und Puffern). Diese Kalkulation verdeutlicht transparent, why professionelle manuelle Expertenarbeit mit festangestellten Penetrationstestern in Deutschland nicht nachhaltig zu Dumpingpreisen angeboten werden kann.

Das individuelle Pentester Gehalt (bzw. das Jahresgehalt eines Penetration Testers) richtet sich in der Praxis stark nach Vorerfahrung und Kompetenz, da die klassische Einteilung in starre IT-Berufsstufen hier weniger eindeutig ist.

Junior Pentester steigen typischerweise mit einem Gehalt von 45.000 € bis 55.000 € brutto im Jahr ein. Ein Berufseinsteiger kann zwar durchaus technische Schwachstellen finden, ein professioneller Pentest erfordert jedoch mehr als reine Tool-Kenntnisse. Wichtig sind eine strukturierte Methodik, saubere Dokumentation und die Fähigkeit, komplexe Risiken verständlich zu erklären. Viele gute Spezialisten kommen daher nicht direkt von der Universität, sondern bringen praktische Vorerfahrung als Softwareentwickler, Administratoren oder Incident Responder mit.

Senior Pentester bewegen sich in einem realistischen Rahmen von 80.000 € bis 100.000 € brutto im Jahr als Basis (mit einem starken Marktdurchschnitt bei rund 90.000 €). Da Penetration Testing selten die erste berufliche Station ist, bringen diese Experten ein tiefes Systemverständnis aus früheren IT-Rollen mit. Je nach technischem Spezialisierungsgrad (z. B. Red Teaming, ICS/SCADA-Sicherheit) oder der Übernahme von Projekt- und Kundenverantwortung kann die Vergütung im Senior- und Principal-Bereich auch deutlich über diesen Werten liegen.

Was kostet ein Penetrationstest? (Gesamtkosten)

Die gesamten Pentest Kosten für ein Projekt berechnen sich aus dem gewählten Tagessatz multipliziert mit der Anzahl der benötigten Projekttage. Die Dauer hängt maßgeblich von der Komplexität des Ziels (Scope) und dem zu überprüfenden Angriffsvektor ab.

Kürzere Penetrationstests dauern oft nur 3–4 Tage, während die Überprüfung größerer Systeme oder verzweigter Applikationen mehrere Wochen in Anspruch nehmen kann. Normalerweise sind 5–10 Tage ein realistischer Durchschnitt für ein klassisches KMU-Projekt, nach unten und oben offen.

Aus den markttypischen Aufwänden ergeben sich folgende Budgetkorridore:

Projekttyp / Scope Typischer Umfang & Beispiele Aufwand & Kostenrahmen
Kleiner Pentest Prüfung einer einfachen Webpräsenz, einer isolierten API oder einer klar abgegrenzten Standalone-Applikation ohne complexes Logic. 3 - 4 Projekttage
ca. 5.000 € bis 7.500 €
Mittlerer Pentest Analyse eines Standard-Unternehmensnetzwerks (intern/extern) oder einer Core-Applikation inklusive komplexer Rollen- und Rechtekonzepte. 5 - 10 Projekttage
ca. 7.500 € bis 20.000 €
Komplexer Großauftrag Umfassende Prüfung von Kernbanksystemen, weit verzweigten Cloud-Infrastrukturen oder die Durchführung einer langfristigen Angriffssimulation (Red Teaming). Mehrere Wochen
Ab 20.000 € (offen)

Bereichsnavigation

binsec academy GmbH – Professionelles Pentest Training Lab

Die binsec academy GmbH bietet mit ihrem Pentest Training Lab eine hochgradig praxisorientierte Online-Plattform für realistisches Penetration Testing. In isolierten Laborumgebungen simulieren wir komplexe Unternehmensnetzwerke und moderne Angriffsvektoren, um die praktischen Fähigkeiten angehender und professioneller Penetrationstester zu schärfen. Durch das Bestehen unserer anspruchsvollen, rein praktischen Prüfung erlangen Teilnehmer das anerkannte Zertifikat zum Binsec Academy Certified Pentest Professional (BACPP) – der fundierte Nachweis für die Fähigkeit, kritische Sicherheitslücken in IT-Infrastrukturen methodisch zu identifizieren.

Das Pentest Training Lab entdecken

binsec GmbH – Experten für Penetrationstests

Die binsec GmbH ist ein hochspezialisierter Dienstleister für Penetration Testing und der operative Pentesting-Kern der binsec group. Seit 2013 konzentriert sich das Unternehmen ausschließlich auf hochwertige, manuell durchgeführte Penetrationstests (Pentests) und Red-Team-Simulationen. Das Expertenteam verzichtet bewusst auf automatisierte Scans. Die festangestellten, zertifizierten Senior-Pentester liefern tiefgehende Deep-Dive-Analysen für kritische digitale Systeme: von Webanwendungen und APIs über mobile Apps bis hin zu komplexen Netzwerkinfrastrukturen und Cloud-Umgebungen. Als spezialisierter Prüfpartner für stark regulierte Sektoren wie Payment, Banking und Healthcare liefert die binsec GmbH präzise Risikobewertungen und handlungsorientierte Reports zur effektiven Absicherung geschäftskritischer Systeme.

Professionelle manuelle Penetrationstests anfordern

Kontakt

binsec GmbH
Clemensstraße 6-8
60487 Frankfurt am Main
Germany

M

info@binsec.com

T

+49 69 2475607-0

Impressum

Geschäftsführer: Patrick Sauer
Prokurist: Dominik Sauer, Florian Zavatzki
Handelsregister: Frankfurt am Main, HRB97277
Umsatzsteuer-ID: DE290966808

© 2026 Alle Rechte vorbehalten binsec GmbH. Das operative Kernunternehmen der binsec group.

Datenschutzerklärung

© 2026 Alle Rechte vorbehalten binsec GmbH. Das operative Kernunternehmen der binsec group.

Datenschutzerklärung