Wann reicht ein Pentest für CHF 3'500 und wann braucht man CHF 15'000 oder mehr?

Ein Test ab CHF 3'500 eignet sich für KMU mit wenigen extern erreichbaren Diensten, für eine erste Standortbestimmung oder als erster Nachweis der Sicherheitsbemühungen. Das formelle revDSG-Compliance-Statement ist im Kompakt-Paket (ab CHF 6'900) enthalten. Ab CHF 15'000 wird es relevant, wenn komplexe Webanwendungen, ein internes Netzwerk, sensible Daten oder mehrere Systeme getestet werden müssen oder nach einem Sicherheitsvorfall eine tiefe Analyse nötig ist.

Was kostet ein Pentest in der Schweiz?

Q: Was kostet ein Penetrationstest in der Schweiz?

Ein Penetrationstest in der Schweiz kostet typischerweise zwischen CHF 3'500 und CHF 50'000. Ein fokussierter externer Pentest für ein KMU beginnt bei rund CHF 3'500. Umfassende Tests von Webanwendungen oder internen Netzwerken liegen meist zwischen CHF 8'000 und CHF 25'000. Der Preis hängt primär vom Umfang ab: Anzahl Systeme, Komplexität der Anwendungen und gewünschte Testtiefe.

Ein Penetrationstest in der Schweiz kostet typischerweise zwischen CHF 3'500 und CHF 50'000. Ein fokussierter externer Pentest für ein KMU beginnt bei rund CHF 3'500, umfassende Tests von Webanwendungen oder internen Netzwerken liegen meist zwischen CHF 8'000 und CHF 25'000. Der Preis hängt vor allem vom Umfang ab: Anzahl Systeme, Komplexität der Anwendungen und gewünschte Testtiefe.

Viele Schweizer KMU scheuen die Anfrage, weil sie nicht wissen, was auf sie zukommt. Dieser Leitfaden schafft Transparenz: Sie sehen konkrete Preisspannen, die wichtigsten Kostenfaktoren und was in jeder Preisklasse enthalten ist.

Pentest-Preise nach Umfang im Überblick

Die folgende Tabelle zeigt typische Preisspannen für den Schweizer Markt. Die konkreten Zahlen hängen immer vom individuellen Umfang ab — feste Preise gibt es erst nach einer kurzen Scoping-Abklärung.

Umfang	Typischer Preis	Dauer
Fokussierter externer Pentest (KMU-Basis-Paket)	ab CHF 3'500	2–3 Tage
Externer Pentest + Web-Applikation (KMU-Kompakt-Paket)	ab CHF 6'900	4–6 Tage
Umfassender Web- & API-Pentest	CHF 8'000 – 18'000	1–2 Wochen
Interner Pentest / Netzwerk	CHF 10'000 – 25'000	1–2 Wochen
Red Teaming / Threat Simulation	CHF 25'000 – 50'000+	3–6 Wochen

Welche Faktoren beeinflussen den Preis?

Ein Pentest wird nach Aufwand kalkuliert. Diese Faktoren bestimmen, wie viele Tage ein Test in Anspruch nimmt — und damit den Preis:

Anzahl Systeme und IP-Adressen: Je mehr Server, Dienste und öffentlich erreichbare Endpunkte, desto grösser die Angriffsfläche, die geprüft werden muss.
Anzahl und Komplexität der Webanwendungen: Eine einfache Visitenkarten-Website ist in Stunden geprüft, ein Kundenportal mit Login, Bezahlfunktion und Rollen-Logik benötigt Tage.
API-Endpunkte: Schnittstellen mit vielen Funktionen erhöhen den Testaufwand deutlich.
Testtiefe (Black-, Grey- oder White-Box): Je mehr Informationen und Zugänge Sie bereitstellen, desto gründlicher — und effizienter — kann getestet werden.
Re-Test nach Behebung: Eine erneute Prüfung der behobenen Schwachstellen ist oft sinnvoll und wird separat eingeplant.
Compliance-Anforderungen: Wird ein formelles revDSG-Statement oder ein spezifisches Berichtsformat benötigt, kommt etwas Zusatzaufwand hinzu.

Was ist in jeder Preisklasse enthalten?

Ab CHF 3'500 (Basis): Ein manueller externer Penetrationstest Ihrer öffentlich erreichbaren Systeme, inklusive E-Mail-Security-Check und Darknet-Exposure-Check. Sie erhalten einen verständlichen Ampel-Bericht mit priorisierten Handlungsempfehlungen.

Ab CHF 6'900 (Kompakt): Alles aus dem Basis-Paket plus einen Pentest Ihrer wichtigsten Webanwendung und ein revDSG-Compliance-Statement, das Sie direkt gegenüber Kunden, Partnern oder Behörden verwenden können.

Ab CHF 15'000: Umfassende Engagements — interne Netzwerk-Pentests, mehrere Webanwendungen und APIs, Social Engineering oder Red-Teaming-Szenarien, die das Vorgehen eines echten Angreifers über mehrere Wochen simulieren.

Wann reicht CHF 3'500 — und wann brauchen Sie CHF 15'000+?

Ein Test ab CHF 3'500 ist die richtige Wahl, wenn Sie:

ein KMU mit wenigen extern erreichbaren Diensten sind,
eine erste Standortbestimmung Ihrer Sicherheit wünschen,
einen ersten Nachweis Ihrer Sicherheitsbemühungen für Kunden oder Versicherung benötigen.

Ein Budget ab CHF 15'000 wird relevant, wenn Sie:

komplexe Webanwendungen oder mehrere Systeme betreiben,
Ihr internes Netzwerk auf laterale Bewegung prüfen lassen wollen,
besonders sensible Daten verarbeiten oder regulatorisch unter Druck stehen,
nach einem Sicherheitsvorfall eine tiefe Analyse benötigen.

Warum sich Transparenz lohnt

Seit dem 1. September 2023 verpflichtet das revidierte Datenschutzgesetz (revDSG) Unternehmen, technische Schutzmassnahmen für personenbezogene Daten nachzuweisen. Seit April 2025 gilt zudem für Betreiber kritischer Infrastrukturen eine Meldepflicht für Cybervorfälle an das Bundesamt für Cybersicherheit (BACS). Ein Penetrationstest ist eines der wirksamsten Mittel, um diese Sorgfaltspflicht zu belegen.

Wir arbeiten mit festen Preisen ohne Stundensatz-Risiko: Nach einem kurzen Erstgespräch wissen Sie genau, was Ihr Test kostet und was Sie dafür erhalten.

Den passenden Umfang gemeinsam finden

Sie sind unsicher, welcher Umfang zu Ihrem Unternehmen passt? In einem kostenlosen, 30-minütigen Erstgespräch klären wir gemeinsam, welcher Test sinnvoll ist — ohne technisches Vorwissen Ihrerseits. Sehen Sie sich unsere KMU-Pakete mit festen Preisen an oder fordern Sie eine unverbindliche Offerte an.

A penetration test in Switzerland typically costs between CHF 3,500 and CHF 50,000. A focused external pentest for an SME starts at around CHF 3,500, while comprehensive tests of web applications or internal networks usually range between CHF 8,000 and CHF 25,000. The price depends primarily on scope: the number of systems, the complexity of the applications, and the desired testing depth.

Many Swiss SMEs hesitate to ask because they don't know what to expect. This guide creates transparency: you'll see concrete price ranges, the main cost factors, and what's included at each price point.

Pentest Prices by Scope at a Glance

The following table shows typical price ranges for the Swiss market. The exact figures always depend on the individual scope — fixed prices are only set after a short scoping clarification.

Scope	Typical Price	Duration
Focused external pentest (SME Basis package)	from CHF 3,500	2–3 days
External pentest + web application (SME Compact package)	from CHF 6,900	4–6 days
Comprehensive web & API pentest	CHF 8,000 – 18,000	1–2 weeks
Internal pentest / network	CHF 10,000 – 25,000	1–2 weeks
Red teaming / threat simulation	CHF 25,000 – 50,000+	3–6 weeks

Which Factors Influence the Price?

A pentest is calculated based on effort. These factors determine how many days a test takes — and thus the price:

Number of systems and IP addresses: The more servers, services, and publicly accessible endpoints, the larger the attack surface that must be examined.
Number and complexity of web applications: A simple brochure website is tested in hours; a customer portal with login, payment functionality, and role logic takes days.
API endpoints: Interfaces with many functions significantly increase the testing effort.
Testing depth (black-, grey-, or white-box): The more information and access you provide, the more thorough — and efficient — the testing can be.
Re-test after remediation: A re-check of the fixed vulnerabilities is often worthwhile and is planned separately.
Compliance requirements: If a formal revDSG statement or a specific report format is needed, some additional effort is involved.

What's Included at Each Price Point?

From CHF 3,500 (Basis): A manual external penetration test of your publicly accessible systems, including an email security check and darknet exposure check. You receive an easy-to-understand traffic-light report with prioritized recommendations.

From CHF 6,900 (Compact): Everything from the Basis package plus a pentest of your most important web application and a revDSG compliance statement you can use directly with customers, partners, or authorities.

From CHF 15,000: Comprehensive engagements — internal network pentests, multiple web applications and APIs, social engineering, or red teaming scenarios that simulate a real attacker's approach over several weeks.

When Is CHF 3,500 Enough — and When Do You Need CHF 15,000+?

A test from CHF 3,500 is the right choice if you:

are an SME with few externally accessible services,
want an initial assessment of your security posture,
need initial evidence of your security efforts for customers or insurers.

A budget from CHF 15,000 becomes relevant if you:

operate complex web applications or multiple systems,
want your internal network tested for lateral movement,
process particularly sensitive data or are under regulatory pressure,
need a deep analysis after a security incident.

Why Transparency Pays Off

Since 1 September 2023, the revised Data Protection Act (revDSG) has required companies to demonstrate technical protective measures for personal data. Since April 2025, operators of critical infrastructure are also subject to a reporting obligation for cyber incidents to the Federal Office for Cybersecurity (BACS). A penetration test is one of the most effective ways to demonstrate this duty of care.

We work with fixed prices and no hourly-rate risk: after a short initial call, you know exactly what your test costs and what you get for it.

Finding the Right Scope Together

Unsure which scope fits your company? In a free, 30-minute initial consultation, we clarify together which test makes sense — no technical expertise required on your side. View our SME packages with fixed prices or request a non-binding quote.