osterheider.ioKontakt
← Alle Artikel

Was kostet ein Security-Audit? Pentest-Preise für KMU realistisch erklärt

Was kostet ein Security-Audit oder Penetrationstest für ein KMU? Realistische Preisspannen, die Kostentreiber und der Unterschied zwischen Schwachstellen-Scan, Audit und Pentest – ohne Agentur-Nebel.

„Was kostet ein Security-Audit?" ist eine der häufigsten Fragen, die mir Mittelständler stellen – und eine der am schwersten pauschal zu beantwortenden. Trotzdem lässt sich Orientierung geben, wenn man versteht, was den Preis treibt. Dieser Artikel macht die Kalkulation transparent.

Erst die Begriffe: Scan, Audit, Pentest

Die drei Begriffe werden oft synonym verwendet, meinen aber sehr unterschiedlichen Aufwand:

  • Schwachstellen-Scan: Ein automatisiertes Tool durchsucht Systeme nach bekannten Lücken. Schnell und günstig – aber es findet nur, was Tools eben finden, und produziert viele Fehlalarme.
  • Security-Audit: Zusätzlich zur Tool-Analyse bewertet ein Mensch Architektur, Konfiguration, Zugriffskonzepte und Prozesse. Hier entsteht der eigentliche Erkenntnisgewinn.
  • Penetrationstest: Es wird aktiv versucht, in Systeme einzudringen – wie ein echter Angreifer. Das ist die aussagekräftigste, aber auch aufwendigste Variante.

Welche Tiefe Sie brauchen, hängt vom Risiko ab. Für viele KMU ist ein fokussierter Audit der beste Startpunkt: genug Tiefe, um die echten Risiken zu finden, ohne Pentest-Budget.

Die fünf Kostentreiber

Der Preis ergibt sich fast vollständig aus dem Aufwand. Diese Faktoren bestimmen ihn:

  1. Anzahl der Systeme – eine einzelne Webanwendung ist schneller geprüft als eine verteilte Infrastruktur mit vielen Servern und Diensten.
  2. Prüftiefe – Scan, Audit oder echter Pentest (siehe oben).
  3. Komplexität – viele Benutzerrollen, Schnittstellen, Zahlungsflüsse oder Individualsoftware erhöhen den Aufwand.
  4. Wiederholung – ein Re-Test nach der Behebung von Lücken kostet weniger als die Erstprüfung.
  5. Dokumentation – ein verständlicher, priorisierter Bericht ist Teil eines guten Audits; manche Branchen brauchen zusätzlich formale Nachweise.

Was Sie für Ihr Geld bekommen sollten

Ein gutes Audit endet nicht mit einer 80-seitigen Tool-Ausgabe, die niemand liest. Sie sollten bekommen:

  • eine nach tatsächlichem Risiko priorisierte Liste der Schwachstellen,
  • konkrete, umsetzbare Maßnahmen statt generischer Empfehlungen,
  • eine Einordnung, was sofort dringend ist und was warten kann,
  • und idealerweise die Möglichkeit, die wichtigsten Punkte direkt umsetzen zu lassen.

Genau so läuft mein Security-Audit für KMU: Bestandsaufnahme, gezielte Prüfung, verständlicher Bericht – und auf Wunsch die anschließende Härtung. Wenn Sie ohnehin gerade NIS2 oder den BSI IT-Grundschutz prüfen, deckt ein Audit einen großen Teil der dort geforderten Maßnahmen gleich mit ab.

Lohnt sich das überhaupt?

Die ehrliche Rechnung: Ein einzelner erfolgreicher Ransomware-Angriff kostet ein KMU schnell ein Vielfaches eines Audits – durch Betriebsausfall, Wiederherstellung und Reputationsschaden. Ein Audit ist keine Ausgabe gegen ein abstraktes Risiko, sondern eine der wenigen IT-Investitionen mit einem klar kalkulierbaren Gegenwert.

Sie wollen wissen, wo Ihr Unternehmen steht? Ein kostenloses Erstgespräch klärt Umfang und Rahmen – unverbindlich und konkret.

Sie planen eine eigene App, eine Webseite oder mehr Sichtbarkeit bei Google? Erzählen Sie mir von Ihrem Vorhaben – Sie bekommen innerhalb eines Werktags eine ehrliche Einschätzung.

Projekt besprechen

Häufige Fragen

Was kostet ein Security-Audit für ein KMU?+
Ein kompakter, risikoorientierter Security-Check für ein kleineres Unternehmen startet typischerweise im niedrigen vierstelligen Bereich. Ein umfassender Penetrationstest einer komplexeren Webanwendung oder Infrastruktur liegt je nach Umfang deutlich höher. Den genauen Rahmen klärt ein kurzes Erstgespräch – der Aufwand hängt vor allem an der Anzahl der Systeme und der Tiefe der Prüfung.
Was ist der Unterschied zwischen Schwachstellen-Scan, Audit und Pentest?+
Ein Schwachstellen-Scan ist automatisiert und findet bekannte Lücken – günstig, aber oberflächlich. Ein Security-Audit bewertet Architektur, Konfiguration und Prozesse zusätzlich manuell. Ein Penetrationstest geht am weitesten: Hier wird wie ein echter Angreifer aktiv versucht, in Systeme einzudringen. Mehr Tiefe bedeutet mehr Aufwand – und mehr Aussagekraft.
Wie oft sollte ich prüfen lassen?+
Eine grobe Faustregel: einmal jährlich sowie nach größeren Änderungen – etwa einem Relaunch, einer neuen Anwendung oder einer Migration. Sicherheit ist kein einmaliges Projekt, sondern ein wiederkehrender Check, ähnlich wie der TÜV beim Auto.