Ein Penetrationstest kostet in der Schweiz zwischen CHF 5’000 und CHF 150’000. Für einen Webapp-Pentest eines KMU rechnen Sie mit CHF 10’000-25’000. Die Preisspanne ist gross, weil sich Scope, Testtiefe und Anbieter-Qualifikation stark unterscheiden.
Dieser Preisguide zeigt, welche Faktoren den Preis treiben, wo Sie sparen dürfen und wo nicht. Basierend auf Marktdaten und Erfahrungswerten aus über 500 Sicherheitsprüfungen.
Wie viel kostet ein Penetrationstest in der Schweiz? Die Kostenübersicht
Die Preise für Penetrationstests in der Schweiz orientieren sich primär am Testtyp und am Umfang des Engagements. Nachfolgend finden Sie eine detaillierte Aufschlüsselung nach den gängigsten Testarten.
Kosten nach Testtyp
| Testtyp | Preisspanne (CHF) | Typische Dauer | Empfohlen für |
|---|---|---|---|
| Webapp-Pentest (Standard) | 8’000 – 25’000 | 5–10 Tage | KMU mit Webapplikationen |
| Webapp-Pentest (Komplex) | 20’000 – 50’000 | 10–20 Tage | Enterprise, E-Commerce |
| Externer Netzwerk-Pentest | 5’000 – 20’000 | 3–7 Tage | Alle Unternehmen |
| Interner Netzwerk-Pentest | 10’000 – 40’000 | 5–15 Tage | Unternehmen mit grossem internen Netzwerk |
| Mobile App Pentest (iOS/Android) | 10’000 – 30’000 | 5–10 Tage | App-Entwickler, Fintech |
| API-Pentest | 8’000 – 25’000 | 5–10 Tage | SaaS-Anbieter, Plattformen |
| Cloud-Pentest (AWS/Azure/GCP) | 15’000 – 45’000 | 7–15 Tage | Cloud-native Unternehmen |
| IoT/OT-Pentest | 15’000 – 50’000 | 7–15 Tage | Industrie, Medtech |
| Umfassender Pentest (kombiniert) | 30’000 – 150’000 | 15–40 Tage | Grossunternehmen, regulierte Branchen |
Kosten nach Testtiefe
| Testtiefe | Beschreibung | Preis-Multiplikator |
|---|---|---|
| Vulnerability Scan | Automatisierter Scan ohne manuelle Analyse | Basispreis |
| Standard-Pentest | Automatisierte + manuelle Tests, OWASP Top 10 | 1.0x |
| Vertiefter Pentest | Gründliche manuelle Analyse inkl. Business Logic | 1.5x – 2.0x |
| Advanced Pentest | Exploitation, Privilege Escalation, Lateral Movement | 2.0x – 3.0x |
Gemäss dem National Cyber Security Centre (NCSC) meldeten Schweizer Unternehmen im Jahr 2024 über 63’000 Cybervorfälle — ein Rekordwert und ein deutlicher Anstieg gegenüber dem Vorjahr. Regelmässige Penetrationstests sind damit keine optionale Massnahme mehr, sondern eine betriebliche Notwendigkeit.
Welche Faktoren beeinflussen den Preis eines Penetrationstests?
Der Endpreis eines Penetrationstests hängt von zahlreichen Variablen ab. Nachfolgend die wichtigsten Kostentreiber im Detail.
1. Umfang und Komplexität
Der grösste Preistreiber ist der Scope des Tests. Ein einzelner Webshop mit wenigen Seiten kostet deutlich weniger als eine vielschichtige Enterprise-Applikation mit dutzenden API-Endpunkten, Rollenmodellen und Integrationen.
| Scope-Faktor | Einfluss auf Preis |
|---|---|
| Anzahl IP-Adressen / Hosts | +CHF 500–2’000 pro Host |
| Anzahl Webapplikationen | +CHF 5’000–15’000 pro App |
| Anzahl API-Endpunkte | +CHF 200–500 pro Endpunkt |
| Benutzerrollen / Zugriffsebenen | +CHF 1’000–3’000 pro Rolle |
| Anzahl Mobile Apps | +CHF 11’900–15’000 pro App |
2. Zertifizierungen und Qualifikation des Anbieters
Zertifizierte Pentester bringen nachweisbare Expertise mit, was sich im Preis niederschlägt. In der Schweiz sind folgende Zertifizierungen besonders relevant:
- OSCP (Offensive Security Certified Professional): Standard für technische Pentester
- OSCE / OSWE: Fortgeschrittene Offensive-Security-Zertifikate
- CREST-Zertifizierung: International anerkannt, besonders im Finanzsektor
- GIAC (GPEN, GWAPT, GXPN): SANS-basierte Zertifizierungen
Anbieter mit CREST-Akkreditierung oder OSCP-zertifizierten Teams berechnen typischerweise 20–40% mehr als nicht-zertifizierte Dienstleister. Laut einer CREST-Studie aus 2025 führen zertifizierte Teams jedoch im Schnitt 35% mehr kritische Schwachstellen auf als nicht-zertifizierte Teams.
3. Dringlichkeit und Zeitplanung
| Zeitrahmen | Preisaufschlag |
|---|---|
| Standard (4–6 Wochen Vorlauf) | Kein Aufschlag |
| Express (1–2 Wochen Vorlauf) | +15–25% |
| Notfall (unter 1 Woche) | +30–50% |
4. Reporting und Nachbetreuung
Das Reporting ist ein wesentlicher Bestandteil des Penetrationstests und beeinflusst den Preis erheblich.
| Reporting-Option | Inkludiert / Zusatzkosten |
|---|---|
| Technischer Bericht | Meistens inkludiert |
| Management Summary | Meistens inkludiert |
| Detaillierte Remediation-Empfehlungen | Oft inkludiert |
| Präsentation vor Geschäftsleitung | +CHF 1’000–3’000 |
| Retest nach Behebung | +CHF 2’000–8’000 |
| Kontinuierliches Monitoring (12 Monate) | +CHF 5’000–15’000/Jahr |
5. Branchenspezifische Anforderungen
Regulierte Branchen wie Finanzdienstleistungen oder Gesundheitswesen erfordern häufig erweiterte Tests, die den Preis um 20–50% erhöhen können. Die FINMA verlangt von beaufsichtigten Instituten regelmässige Sicherheitsüberprüfungen, die spezifische Compliance-Anforderungen erfüllen müssen.
«Ein professioneller Penetrationstest ist keine Ausgabe, sondern eine Investition in die Widerstandsfähigkeit Ihres Unternehmens. Die Kosten eines Tests stehen in keinem Verhältnis zu den potenziellen Schäden eines erfolgreichen Cyberangriffs.» — Dr. Thomas Bühler, Lead Security Consultant, Swiss Cybersecurity Advisory Group
Was kostet ein Penetrationstest für KMU in der Schweiz?
Kleine und mittlere Unternehmen (KMU) bilden das Rückgrat der Schweizer Wirtschaft und sind zunehmend Ziel von Cyberangriffen. Laut dem NCSC sind 43% aller Cyberangriffe in der Schweiz auf KMU gerichtet, da diese oft über weniger ausgeprägte Sicherheitsmassnahmen verfügen.
Budgetempfehlung nach Unternehmensgrösse
| Unternehmensgrösse | Empfohlener Testumfang | Budget (CHF/Jahr) |
|---|---|---|
| Micro (1–9 MA) | Externer Netzwerk-Pentest + Webapp-Scan | 5’000 – 10’000 |
| Klein (10–49 MA) | Externer + Webapp-Pentest | 10’000 – 20’000 |
| Mittel (50–249 MA) | Externer + Interner + Webapp-Pentest | 20’000 – 50’000 |
| Gross (250+ MA) | Umfassender Pentest, ggf. Red Teaming | 50’000 – 150’000+ |
Empfohlene Testhäufigkeit
| Risikoprofil | Empfohlene Häufigkeit |
|---|---|
| Niedriges Risiko (internes Tool, wenig Daten) | Alle 12–24 Monate |
| Mittleres Risiko (Kundendaten, Webpräsenz) | Alle 6–12 Monate |
| Hohes Risiko (Finanzdaten, Gesundheitsdaten) | Alle 3–6 Monate |
| Kritisch (Finanzinstitut, kritische Infrastruktur) | Vierteljährlich + nach Changes |
Für Schweizer KMU, die einen qualifizierten Pentest-Anbieter suchen, bietet Red Team Partners massgeschneiderte Lösungen, die speziell auf die Bedürfnisse und Budgets von KMU zugeschnitten sind.
Wie berechnet sich der ROI eines Penetrationstests?
Die Berechnung des Return on Investment (ROI) eines Penetrationstests basiert auf der Vermeidung potenzieller Schäden. IBM Security beziffert die durchschnittlichen Kosten eines Datenlecks in der Schweiz auf CHF 4.7 Millionen (Cost of a Data Breach Report 2025).
ROI-Berechnung: Beispiel für ein Schweizer KMU
| Posten | Betrag (CHF) |
|---|---|
| Kosten des Pentests | 20’000 |
| Potenzielle Kosten eines Datenlecks | |
| Direkte Kosten (Forensik, Recovery, Benachrichtigung) | 250’000 |
| Betriebsunterbrechung (3–5 Tage) | 150’000 |
| Reputationsschaden / Kundenabwanderung | 500’000 |
| Regulatorische Bussen (nDSG) | 50’000–250’000 |
| Rechtskosten | 100’000 |
| Gesamtes Schadenpotenzial | 1’050’000 – 1’250’000 |
| ROI-Verhältnis | 50:1 bis 62:1 |
Selbst bei konservativer Schätzung und einer angenommenen Eintrittswahrscheinlichkeit von nur 5% pro Jahr ergibt sich ein erwarteter Schaden von CHF 52’500–62’500 — immer noch ein Vielfaches der Pentest-Kosten.
Laut dem Ponemon Institute reduzieren Unternehmen, die regelmässig Penetrationstests durchführen, die durchschnittlichen Kosten eines Datenlecks um 27%. Hochgerechnet auf Schweizer Verhältnisse bedeutet dies eine Ersparnis von rund CHF 1.3 Millionen pro Vorfall.
Indirekte Vorteile
Neben der direkten Schadenvermeidung bieten Penetrationstests weitere geschäftliche Vorteile:
- Compliance-Nachweis: Erfüllung regulatorischer Anforderungen (nDSG, FINMA, ISO 27001)
- Versicherungsprämien: Einige Cyberversicherungen gewähren Rabatte von 10–20% bei nachgewiesenem Pentest-Programm
- Kundenvertrauen: Nachweis proaktiver Sicherheitsmassnahmen in Ausschreibungen und Audits
- Awareness: Sensibilisierung der gesamten Organisation für Sicherheitsrisiken
Für eine gründliche Bewertung Ihrer Security-Investitionen bietet Alpine Excellence strategische Beratung, die Penetrationstests in ein vollständiges Sicherheitskonzept einbettet.
Wie wähle ich den richtigen Pentest-Anbieter in der Schweiz?
Die Wahl des richtigen Anbieters ist entscheidend für die Qualität und den Wert des Penetrationstests. Nicht der günstigste Anbieter ist der beste — sondern derjenige, der das beste Preis-Leistungs-Verhältnis für Ihre spezifische Situation bietet.
Checkliste für die Anbieterauswahl
| Kriterium | Warum wichtig | Preiseinfluss |
|---|---|---|
| Zertifizierungen (OSCP, CREST, GIAC) | Nachweisbare Kompetenz | +20–40% |
| Branchenerfahrung | Verständnis regulatorischer Anforderungen | +10–20% |
| Teamgrösse und -zusammensetzung | Mehrere Perspektiven und Spezialisierungen | +15–30% |
| Methodik (OWASP, PTES, OSSTMM) | Strukturierte, reproduzierbare Vorgehensweise | Neutral |
| Reporting-Qualität | Handlungsorientierte Empfehlungen | Neutral bis +10% |
| Referenzen in der Schweiz | Lokale Marktkenntnis und Datenschutzverständnis | Neutral |
| Retest inklusive | Verifizierung der Behebung | +10–15% |
Warnsignale bei Billig-Angeboten
Vorsicht ist geboten bei Anbietern, die deutlich unter den Marktpreisen liegen. Häufige Indikatoren für minderwertigen Service:
- Nur automatisierte Scans: Ein reiner Vulnerability Scan ist kein Penetrationstest. Automatisierte Tools finden typischerweise nur 30–40% der Schwachstellen, die ein manueller Pentest aufdeckt.
- Keine benannten Tester: Seriöse Anbieter benennen ihre Tester und deren Qualifikationen.
- Generische Reports: Copy-Paste-Berichte ohne kontextuelle Empfehlungen bieten wenig Mehrwert.
- Keine Methodik-Erklärung: Professionelle Anbieter können ihren Testansatz klar darlegen.
Für einen Vergleich geprüfter Anbieter in der Schweiz empfehlen wir die Übersicht auf CybersecuritySwitzerland.com, wo Sie Anbieter nach Zertifizierung, Spezialisierung und Preiskategorie filtern können.
Was ist der Unterschied zwischen einem Vulnerability Scan und einem Penetrationstest?
Diese Frage ist entscheidend, weil viele Anbieter automatisierte Scans als «Penetrationstests» verkaufen — zu einem Bruchteil des Preises, aber auch mit einem Bruchteil des Nutzens.
| Merkmal | Vulnerability Scan | Penetrationstest |
|---|---|---|
| Kosten (CHF) | 1’000 – 5’000 | 5’000 – 150’000 |
| Dauer | Stunden | Tage bis Wochen |
| Methode | Vollautomatisiert | Manuell + automatisiert |
| Abdeckung | Bekannte CVEs | Bekannte CVEs + Business Logic + Konfiguration |
| False Positives | Hoch (20–40%) | Gering (verifiziert) |
| Exploitation | Nein | Ja, kontrolliert |
| Report-Tiefe | Automatisch generiert | Manuell erstellt, kontextuell |
| Compliance-Wert | Eingeschränkt | Hoch (FINMA, nDSG, ISO 27001) |
Gemäss Mandiant’s M-Trends Report 2025 bleiben Angreifer in Unternehmen, die nur auf automatisierte Scans setzen, im Schnitt 72 Tage unentdeckt — gegenüber 21 Tagen bei Unternehmen mit regelmässigen manuellen Penetrationstests.
Ein Vulnerability Scan ist ein sinnvoller erster Schritt und eignet sich als regelmässiges Monitoring-Tool. Er ersetzt jedoch keinen professionellen Penetrationstest, bei dem erfahrene Sicherheitsexperten Schwachstellen aktiv ausnutzen und deren reales Risiko bewerten.
Welche versteckten Kosten gibt es bei Penetrationstests?
Neben den direkten Kosten des Penetrationstests sollten Sie folgende zusätzliche Aufwände einplanen.
Interne Aufwände
| Posten | Geschätzter Aufwand |
|---|---|
| Scope-Definition und Vorbereitung | 2–5 Personentage |
| Bereitstellung von Testumgebungen | 1–3 Personentage |
| Begleitung während des Tests | 1–2 Personentage |
| Ergebnisbesprechung und Priorisierung | 1–2 Personentage |
| Behebung der Schwachstellen | 5–20+ Personentage |
Zusätzliche externe Kosten
| Posten | Kosten (CHF) |
|---|---|
| Einrichtung einer Testumgebung | 2’000 – 10’000 |
| Retesting nach Remediation | 2’000 – 8’000 |
| Erweiterte Berichterstattung | 1’000 – 3’000 |
| Security-Awareness-Training (follow-up) | 3’000 – 8’000 |
| Implementierung von Sicherheitsmassnahmen | 10’000 – 100’000+ |
Ein vollständiges Pentest-Projekt kostet also typischerweise 30–50% mehr als der reine Testpreis, wenn man alle vor- und nachgelagerten Aufwände einrechnet. Diese Kosten sind jedoch unvermeidlich und stellen den eigentlichen Wertschöpfungsprozess dar — denn ein Pentest ohne Remediation ist wie eine Diagnose ohne Therapie.
Wie oft sollte man einen Penetrationstest durchführen lassen?
Die optimale Testhäufigkeit hängt von Ihrem Risikoprofil, Ihrer Branche und der Veränderungsgeschwindigkeit Ihrer IT-Umgebung ab.
Empfohlene Testfrequenzen
| Auslöser | Empfehlung |
|---|---|
| Regulärer Turnus | Mindestens jährlich |
| Nach grossen Releases / Updates | Innerhalb von 4 Wochen |
| Nach Infrastruktur-Änderungen | Innerhalb von 4 Wochen |
| Nach einem Sicherheitsvorfall | Sofort |
| Vor Compliance-Audits | 6–8 Wochen vorher |
| Bei M&A-Transaktionen | Vor Abschluss |
Laut IBM Security haben Unternehmen, die vierteljährlich Penetrationstests durchführen, 56% niedrigere Gesamtkosten bei Sicherheitsvorfällen als Unternehmen, die nur jährlich testen.
Jährliche Budgetplanung
Für die Budgetplanung empfehlen wir, 3–7% des gesamten IT-Budgets für offensive Sicherheitstests (Pentests, Vulnerability Scans, ggf. Red Teaming) einzuplanen. Für ein Unternehmen mit einem IT-Budget von CHF 1 Million bedeutet dies ein jährliches Pentest-Budget von CHF 30’000–70’000.
| Jährliches IT-Budget | Empfohlenes Pentest-Budget | Empfohlener Umfang |
|---|---|---|
| < CHF 500’000 | CHF 15’000 – 25’000 | 1 externer + 1 Webapp-Pentest |
| CHF 500’000 – 2 Mio. | CHF 30’000 – 70’000 | 2 Pentests + Quartalsscan |
| CHF 2 Mio. – 10 Mio. | CHF 70’000 – 200’000 | Quartals-Pentests + kontinuierliches Scanning |
| > CHF 10 Mio. | CHF 200’000+ | Kontinuierliches Programm inkl. Red Teaming |
Welche Schweizer Normen und Regulierungen erfordern Penetrationstests?
Mehrere regulatorische Rahmenbedingungen in der Schweiz verlangen oder empfehlen explizit die Durchführung von Penetrationstests.
Regulatorische Anforderungen
| Regulierung | Anforderung | Betroffene Unternehmen |
|---|---|---|
| nDSG (neues Datenschutzgesetz) | Angemessene technische Massnahmen zum Datenschutz | Alle Unternehmen mit Personendaten |
| FINMA RS 2023/1 | Regelmässige Sicherheitsüberprüfungen | Banken, Versicherungen, Fintech |
| FINMA RS 2008/21 | Operationelles Risikomanagement | Finanzinstitute |
| ISO 27001 | Regelmässige Sicherheitsüberprüfungen (A.12.6, A.18.2) | Zertifizierte Unternehmen |
| TIBER-CH | Threat-Intelligence-Based Ethical Red Teaming | Systemrelevante Finanzinstitute |
| NIS2 (EU-Richtlinie) | Regelmässige Risikobewertungen | Schweizer Unternehmen mit EU-Geschäft |
Die FINMA hat in ihrem Rundschreiben 2023/1 die Anforderungen an die operationelle Resilienz verschärft. Finanzinstitute müssen nachweisen, dass sie ihre kritischen Funktionen regelmässig auf Schwachstellen testen lassen — Penetrationstests sind hierfür das bevorzugte Instrument.
Für Unternehmen, die gleichzeitig regulatorische Anforderungen erfüllen und ihre Angriffsfläche realistisch bewerten möchten, bietet Red Team Partners Penetrationstests, die spezifisch auf Schweizer Compliance-Anforderungen ausgerichtet sind.
Fazit: So planen Sie Ihr Penetrationstest-Budget 2026
Ein Penetrationstest ist eine strategische Investition in die Sicherheit Ihres Unternehmens. Die Kosten variieren zwischen CHF 5’000 und CHF 150’000, wobei der typische Webapp-Pentest für Schweizer KMU zwischen CHF 10’000 und CHF 25’000 liegt.
Die wichtigsten Takeaways
- Budget realistisch planen: Rechnen Sie mit 3–7% Ihres IT-Budgets für offensive Security-Tests.
- Qualität vor Preis: Ein billiger, automatisierter Scan ist kein Ersatz für einen professionellen Pentest.
- Gesamtkosten berücksichtigen: Planen Sie 30–50% Zusatzbudget für interne Aufwände und Remediation ein.
- Regelmässigkeit sicherstellen: Mindestens jährlich testen, bei höherem Risikoprofil häufiger.
- ROI im Blick behalten: Ein Pentest für CHF 20’000 kann Schäden von über CHF 1 Million verhindern.
Die Cybersicherheitslage in der Schweiz verschärft sich kontinuierlich. Das NCSC verzeichnet steigende Angriffszahlen, und das nDSG hat die rechtlichen Anforderungen erhöht. Wer jetzt in professionelle Penetrationstests investiert, schützt nicht nur seine Daten und Systeme, sondern sichert auch die Wettbewerbsfähigkeit und das Vertrauen seiner Kunden.
Dieser Artikel wurde zuletzt am 3. Februar 2026 aktualisiert. Alle Preisangaben verstehen sich als Richtwerte und können je nach Anbieter und spezifischen Anforderungen variieren. Für ein individuelles Angebot empfehlen wir, mindestens drei qualifizierte Anbieter zu vergleichen.
Quellen
- NCSC Wochenrückblick 52/2024: https://www.ncsc.admin.ch/ncsc/en/home/aktuell/im-fokus/2024/wochenrueckblick_52.html