Was kostet ein Pentest in der Schweiz 2026?

Die kurze Antwort

Ein professioneller Penetration Test in der Schweiz kostet 2026 je nach Umfang zwischen CHF 8'000 und CHF 45'000. Die Kosten werden dominiert vom Aufwand in Personentagen (typisch CHF 1'400 – 1'800 netto pro Tag) – nicht vom Prestige des Anbieters. Wer weniger als CHF 6'000 zahlt, bekommt keinen manuellen Pentest, sondern einen automatisierten Scan mit Rechnung.

Die gängigen Pentest-Arten und ihre Preisspanne

Externer Perimeter Pentest

CHF 8'000 – 18'000 · typisch 5–10 Tage

Der Test aller öffentlich erreichbaren Dienste Ihres Unternehmens: Firewalls, VPN-Gateways, Web-Server, Mail-Server, RDP-Gateways. Inklusive OSINT-Phase (was kann ein Angreifer über Sie öffentlich herausfinden) und aktiver Exploitation bei identifizierten Schwachstellen.

Was den Preis treibt: Anzahl der zu prüfenden IPs/Hostnamen, Komplexität der exponierten Applikationen, Nachtestung nach Behebungen.

Web-Application Pentest

CHF 10'000 – 28'000 · typisch 7–15 Tage

Tiefe Prüfung einer konkreten Web-Anwendung – typischerweise eines Kundenportals, E-Commerce-Shops oder einer internen Applikation, die extern erreichbar ist. Gegen OWASP Top 10, Authentisierungs-Flaws, Session Management, Business Logic.

Was den Preis treibt: Anzahl der User-Rollen und Berechtigungsebenen, Komplexität der Geschäftslogik, eingesetzte APIs. Eine klassische E-Commerce-Seite ist günstiger als ein Kunden-Portal mit komplexem Rollenmodell.

Interner Pentest / Assumed Breach

CHF 12'000 – 32'000 · typisch 8–16 Tage

Simuliert den Angreifer, der bereits im internen Netz sitzt – z.B. durch einen erfolgreichen Phishing-Angriff oder einen kompromittierten Lieferanten. Ziel: Active Directory kompromittieren, Daten exfiltrieren, laterale Bewegung zeigen. Die meisten KMU lernen hier am meisten, weil interne Härtung meist schwächer ist als extern sichtbar.

Was den Preis treibt: Grösse der AD-Domäne, Anzahl der Server, erwartete Tiefe (bis Domain Admin? bis zu Kronjuwelen?).

Red Teaming

CHF 35'000 – 80'000 · typisch 15–30 Tage über 6 Wochen

Das Premium-Produkt: realitätsnahe, mehrwöchige Operation mit dem Ziel, definierte Schutzgüter zu erreichen – ohne Einschränkungen bei Angriffsvektor (Phishing, Social Engineering, Physical Access, Zero Days aus kommerziellen Quellen). Inklusive Blue-Team-Interaktion und Detection-Response-Übung.

Nur sinnvoll ab einem gewissen Reifegrad – wenn Sie noch keine SIEM-Lösung haben, holen Sie erst das auf. Sonst finden Sie Ihre Lücken im Inventory, nicht Ihre Fähigkeit, Angriffe zu erkennen.

Was im Preis enthalten sein muss

Folgendes gehört zu jedem ernsthaften Pentest-Angebot:

• Scoping-Workshop vor dem Test (1 Tag), schriftliches Testkonzept
• Manuelle Analyse durch einen Menschen mit OSCP-, OSEP-, OSWE- oder vergleichbarer Zertifizierung
• Exploitation – ein echter Pentester weist Schwachstellen nach, zeigt nicht nur theoretische CVEs
• Dokumentation mit Executive Summary (1–2 Seiten für den Vorstand), technischem Detail-Report (für die IT) und Handlungsempfehlungen mit CVSS-Priorisierung
• Abschlussgespräch inklusive Fragen der IT
• Nachtestung der als «Critical» und «High» klassifizierten Findings (im Preis oder als Option für später)

Rote Flaggen im Angebot

Wenn ein Angebot eines der folgenden Merkmale hat, ist es kein professioneller Pentest:

• Unter CHF 6'000 für mehr als einen Perimeter-Scan
• Pauschalpreis ohne Personentage-Angabe: Der Anbieter hat kein klares Scoping gemacht.
• «Automatisiertes Testing» als Hauptmethode: Das ist ein Vulnerability Scan, nicht ein Pentest. Kostet CHF 500–2'000 und heisst so.
• Sofort lieferbar binnen einer Woche: Qualifizierte Pentester sind 6–10 Wochen ausgebucht. Sofortverfügbarkeit ist ein Indiz für unerfahrenes Personal oder automatisiertes Scanning.
• Bericht als PowerPoint statt PDF mit strukturiertem Layout: kann auf fehlende Standardisierung und schwache Dokumentation hindeuten.

Wie Sie Offerten fair vergleichen

Drei Kennzahlen sollten bei jedem Angebot stehen:

1. Personentage pro Phase (Scoping, Execution, Reporting, Nachtestung)
2. Tagessatz und Seniorität des zugeteilten Testers
3. Fixer Abgabe-Zeitraum des Reports nach Testende

Ein Angebot mit 10 Tagen zu CHF 1'700 brutto ist vergleichbar mit einem mit 12 Tagen zu CHF 1'400 – Sie zahlen dasselbe, bekommen aber möglicherweise einen weniger erfahrenen Tester. Der höhere Tagessatz ist oft das bessere Investment, wenn der Tester vertraute Referenzen aus Ihrer Branche mitbringt.

Was hat das mit Compliance zu tun?

ISO 27001:2022 fordert in Kontrolle 8.29 explizit «regelmässige Tests der Sicherheit». FINMA-Rundschreiben 2023/1 fordert von Finanzdienstleistern Penetrations- und Stresstests. Cyberversicherungen verlangen zunehmend einen aktuellen Pentest-Bericht bei Abschluss oder Erneuerung. NIS2 und DORA (EU) machen Penetrationstests zum expliziten Bestandteil des Risikomanagements.

Für Schweizer KMU ohne diese regulatorischen Treiber ist ein Pentest trotzdem eine der messbarsten Cybersecurity-Investitionen: Sie bekommen ein dokumentiertes Before/After.

Unsere Empfehlung

• KMU <50 Mitarbeitende, geringe regulatorische Exposition: ein externer Perimeter-Pentest alle 12–18 Monate (CHF 10'000 – 15'000) deckt den grössten Hebel ab.
• KMU 50–250 Mitarbeitende, typische Schweizer Branche: zusätzlich ein Web-App-Pentest der kundenrelevanten Applikation und ein interner Assumed-Breach-Test im 24-Monats-Zyklus.
• Unternehmen mit Kundendaten, Finanzberatung, Health, Gesundheitsdaten: jährlich ein externer Pentest plus ein Web-App-Test, plus in 24-Monats-Takt ein interner. Budget: CHF 25'000 – 40'000 p.a.
• Grosskunden / Finanzdienstleister unter FINMA / Unternehmen mit IP-Schutzbedarf: zusätzlich ein alle 24 Monate ein Red Teaming – aber erst, wenn SOC und Awareness bereits etabliert sind.

Ein Pentest ist kein Jahresabschluss – er ist ein Werkzeug, um konkrete, priorisierte Handlungsanweisungen für die nächsten Monate zu bekommen. Ein guter Bericht verändert Ihre Security-Roadmap. Ein schlechter verschwindet in einem Ordner.