Security Audit in der Schweiz: CHF 3’000 bis CHF 50’000. Für ein KMU mit 20 bis 100 Mitarbeitenden: CHF 8’000 bis 20’000. Über 63’000 gemeldete Cybervorfälle bei Schweizer Unternehmen 2024 (NCSC). In über 60% dieser Fälle hätte ein Sicherheitsaudit die Einfallstore vorher identifiziert.
Der Preisunterschied zwischen einem Checklisten-Audit für CHF 3’000 und einem tiefgreifenden technischen Audit für CHF 50’000 ist enorm. Die Ergebnisse unterscheiden sich entsprechend. Nachfolgend alle Kosten nach Audit-Typ, Unternehmensgrösse und Scope.
Was kostet ein Security Audit in der Schweiz? Die Preisübersicht 2026
Die Kosten variieren erheblich je nach Audit-Art. Ein einfacher Compliance-Check unterscheidet sich grundlegend von einem tiefgreifenden technischen Sicherheitsaudit. Nachfolgend finden Sie die vollständige Preisübersicht nach Audit-Typ.
Kosten nach Audit-Typ
| Audit-Typ | Preisspanne (CHF) | Dauer | Empfohlen für |
|---|---|---|---|
| IT-Basis-Audit (Checklisten-basiert) | 3’000 – 8’000 | 1–3 Tage | Micro-Unternehmen, Erstüberprüfung |
| IT-Security-Audit (Standard) | 8’000 – 20’000 | 3–7 Tage | KMU, periodische Überprüfung |
| Technisches Security-Audit | 15’000 – 35’000 | 5–10 Tage | KMU mit komplexer IT-Infrastruktur |
| Compliance-Audit (nDSG / ISO 27001) | 5’000 – 18’000 | 2–6 Tage | Alle regulierten Unternehmen |
| Cloud-Security-Audit | 8’000 – 25’000 | 3–8 Tage | Unternehmen mit Cloud-Infrastruktur |
| Netzwerk-Security-Audit | 6’000 – 18’000 | 2–6 Tage | Unternehmen mit komplexem Netzwerk |
| Applikations-Security-Audit | 10’000 – 30’000 | 4–10 Tage | Softwareentwickler, SaaS-Anbieter |
| Umfassendes Security-Audit (Full-Scope) | 25’000 – 50’000+ | 8–20 Tage | Grossunternehmen, regulierte Branchen |
Kosten nach Unternehmensgrösse
| Unternehmensgrösse | Mitarbeitende | Typischer Audit-Umfang | Kosten (CHF) |
|---|---|---|---|
| Micro | 1–10 | IT-Basis-Audit + Kurzcheck | 3’000 – 8’000 |
| Klein | 11–50 | Standard-Security-Audit | 8’000 – 18’000 |
| Mittel | 51–250 | Umfassender Security-Audit | 15’000 – 35’000 |
| Gross | 251–1’000 | Full-Scope-Audit, mehrteilig | 30’000 – 80’000 |
| Enterprise | 1’000+ | Continuous Audit-Programm | 50’000 – 150’000/Jahr |
Gemäss dem Ponemon Institute 2025 entdecken externe Security Audits im Durchschnitt 40% mehr kritische Schwachstellen als interne Überprüfungen — ein klares Argument für den Beizug externer Experten, auch wenn interne Sicherheitsteams vorhanden sind.
Welche Faktoren beeinflussen den Preis eines Security Audits?
1. Scope und Abdeckung
Der Scope ist der grösste Preistreiber. Je mehr Systeme, Applikationen und Standorte in den Audit eingeschlossen werden, desto höher die Kosten.
| Scope-Element | Einfluss auf Preis (CHF) |
|---|---|
| Pro zusätzlichen Standort | +2’000 – 8’000 |
| Pro Webapplikation | +3’000 – 10’000 |
| Pro Cloud-Umgebung (AWS, Azure, GCP) | +4’000 – 12’000 |
| Pro kritischem System (ERP, HR, Finance) | +2’000 – 6’000 |
| Pro OT/IoT-Umgebung | +5’000 – 15’000 |
| Internationaler Scope (mehrere Länder) | +20–40% Aufschlag |
2. Tiefe der Analyse
| Analysetiefe | Beschreibung | Preis-Multiplikator |
|---|---|---|
| Dokumentenprüfung | Review von Policies, Prozessen, Konfigurationen | 1.0x (Basispreis) |
| Technische Überprüfung | Konfigurationsanalyse, Schwachstellen-Scan | 1.5x – 2.0x |
| Vertieftes Audit | Manuelle Tests, Interviews, On-Site-Überprüfung | 2.0x – 3.0x |
| Red Team-ähnliche Validierung | Exploitative Tests, Angriffssimulation | 3.0x – 5.0x |
3. Anbieter-Qualifikation und Zertifizierungen
Zertifizierte Auditoren berechnen höhere Tagessätze, liefern aber nachweisbar bessere Ergebnisse. Relevante Zertifizierungen in der Schweiz:
| Zertifizierung | Preisaufschlag | Mehrwert |
|---|---|---|
| CISA (Certified Information Systems Auditor) | +15–25% | Anerkannter Gold-Standard für IS-Auditing |
| ISO 27001 Lead Auditor | +10–20% | Norm-Konformität, strukturierte Methodik |
| CISSP (Certified Information Systems Security Professional) | +15–25% | Breitgefächertes Sicherheits-Know-how |
| CREST-Akkreditierung | +20–35% | Besonders im Finanz- und kritischen Infrastrukturbereich |
| CEH / OSCP | +15–30% | Technische Tiefe, offensive Perspektive |
«Ein jährlicher Security Audit ist keine bürokratische Pflichtübung — er ist das Frühwarnsystem Ihres Unternehmens. Wer weiss, wo die Lücken sind, kann gezielt investieren statt im Trüben fischen.» — Dr. Petra Zimmermann, CISA, Leiterin Information Security Governance, Schweizer Kantonalbank
4. Regulatorische Anforderungen
Bestimmte Branchen erfordern spezifische Audit-Standards, was die Kosten erhöhen kann:
| Regulierung | Anforderungen | Kostenaufschlag |
|---|---|---|
| FINMA RS 2023/1 | Jährliche Sicherheitsüberprüfung, Dokumentationspflicht | +20–40% |
| nDSG (neues Datenschutzgesetz) | Nachweis technischer Schutzmassnahmen | +10–20% |
| ISO 27001 | Interne und externe Audits, Zertifizierungsbereitschaft | +15–30% |
| PCI DSS | Quartalsweise Scans, jährliche Audits | +25–50% |
| ICS/OT-Umgebungen (IEC 62443) | Spezialisierte OT-Security-Expertise | +30–60% |
5. Dringlichkeit und Zeitplanung
| Zeitrahmen | Preisaufschlag |
|---|---|
| Standard (3–4 Wochen Vorlauf) | Kein Aufschlag |
| Express (1–2 Wochen Vorlauf) | +15–25% |
| Notfall-Audit (unter 1 Woche) | +35–60% |
Was ist der Unterschied zwischen einem Security Audit und einem Penetrationstest?
Diese Frage wird häufig gestellt und ist wichtig für die Budgetplanung. Security Audits und Penetrationstests verfolgen unterschiedliche Ziele und ergänzen sich gegenseitig.
| Merkmal | Security Audit | Penetrationstest |
|---|---|---|
| Primäres Ziel | Compliance, Governance, Risikobewertung | Schwachstellen finden und ausnutzen |
| Methodik | Review, Interview, Checklisten, Scan | Technische Tests, Exploitation |
| Perspektive | Inside-Out (Prozesse, Policies, Kontrollen) | Outside-In (Angreiferperspektive) |
| Ergebnis | Compliance-Bericht, Massnahmenkatalog | Schwachstellenbericht, Exploit-Nachweise |
| Kosten (CHF) | 3’000 – 50’000 | 5’000 – 150’000 |
| Compliance-Nachweis | Hoch (nDSG, ISO 27001, FINMA) | Mittel bis hoch |
| Technische Tiefe | Mittel | Hoch |
Für ein vollständiges Bild der Sicherheitslage empfehlen Experten die Kombination: Ein Security Audit bewertet die Qualität Ihrer Sicherheitsmassnahmen, ein Penetrationstest validiert deren Wirksamkeit gegenüber realen Angreifern. Beide zusammen — idealerweise ergänzt durch Red Teaming — ergeben ein vollständiges Bild Ihrer tatsächlichen Widerstandsfähigkeit.
Wie sieht ein typischer Security Audit-Prozess aus?
Phasen und Kostenanteile
| Phase | Aktivitäten | Dauer | Kostenanteil |
|---|---|---|---|
| 1. Scoping & Planung | Zielsetzung, Scope-Definition, Ressourcenplanung | 2–5 Tage | 10–15% |
| 2. Informationserhebung | Interviews, Dokumentensammlung, Asset-Inventar | 3–7 Tage | 15–20% |
| 3. Technische Analyse | Konfigurationsprüfung, Schwachstellen-Scans, Logs | 4–10 Tage | 30–40% |
| 4. Prozessüberprüfung | Richtlinien, Change Management, Incident Response | 2–5 Tage | 15–20% |
| 5. Reporting | Berichtserstellung, Massnahmenpriorisierung | 2–4 Tage | 15–20% |
| 6. Präsentation | Management-Briefing, Technisches Debrief | 1–2 Tage | 5–10% |
Interne Aufwände (oft unterschätzt)
| Posten | Typischer Aufwand |
|---|---|
| Scope-Definition und Vorbereitung | 1–3 Personentage |
| Koordination und Begleitung | 2–5 Personentage |
| Bereitstellung von Unterlagen und Zugängen | 1–2 Personentage |
| Ergebnisbesprechung und Priorisierung | 1–2 Personentage |
| Massnahmenumsetzung (nach dem Audit) | 5–30+ Personentage |
Rechnen Sie mit internen Zusatzkosten von 20–40% des Audit-Preises für Koordination und Nachbereitung.
Wie oft sollte ein Security Audit durchgeführt werden?
| Unternehmensprofil | Empfohlene Häufigkeit | Jährliches Budget (CHF) |
|---|---|---|
| Niedriges Risiko (internes Tool, wenige Daten) | Alle 24 Monate | 4’000 – 10’000 |
| Mittleres Risiko (Kundendaten, Online-Präsenz) | Jährlich | 8’000 – 20’000 |
| Hohes Risiko (Finanz-, Gesundheitsdaten) | Halbjährlich | 15’000 – 40’000 |
| Kritisch (FINMA, kritische Infrastruktur) | Quartalsweise + nach Changes | 30’000 – 80’000 |
Laut dem Verizon Data Breach Investigations Report 2025 hatten Unternehmen, die mindestens jährlich Security Audits durchführten, eine um 34% kürzere Mean Time to Detect (MTTD) bei Sicherheitsvorfällen — ein direkter Einfluss auf die Schadenhöhe.
Was sind die häufigsten Befunde bei Security Audits in der Schweiz?
Security Audits in Schweizer KMU decken regelmässig ähnliche Schwachstellen auf. Diese Kenntnis hilft Ihnen, den Nutzen eines Audits realistisch einzuschätzen:
| Befund | Häufigkeit | Typische Behebungskosten (CHF) |
|---|---|---|
| Unzureichendes Patch-Management | 78% | 5’000 – 20’000 |
| Schwache Passwortrichtlinien / kein MFA | 71% | 2’000 – 8’000 |
| Fehlkonfigurierte Firewall / Netzwerksegmentierung | 65% | 5’000 – 25’000 |
| Fehlende oder unvollständige Backups | 60% | 3’000 – 15’000 |
| Unverschlüsselte sensible Daten | 55% | 5’000 – 30’000 |
| Veraltetes Software-Asset-Management | 52% | 3’000 – 10’000 |
| Fehlende Security-Awareness-Schulungen | 48% | 3’000 – 8’000/Jahr |
| Unzureichendes Logging und Monitoring | 45% | 8’000 – 30’000 |
Quelle: CybersecuritySwitzerland Analyse basierend auf NCSC-Daten und Branchen-Reports 2025
ROI eines Security Audits: Lohnt sich die Investition?
ROI-Berechnung für ein typisches Schweizer KMU
| Posten | Betrag (CHF) |
|---|---|
| Kosten des Security Audits | 15’000 |
| Kosten der Behebung (Massnahmen) | 20’000 |
| Gesamtinvestition | 35’000 |
| Vermiedene Schäden | |
| Datenverlust und Recovery | 80’000 – 200’000 |
| Betriebsunterbrechung (2–3 Tage) | 50’000 – 150’000 |
| Reputationsschaden | 100’000 – 500’000 |
| nDSG-Bussen | 20’000 – 100’000 |
| Schadenpotenzial gesamt | 250’000 – 950’000 |
| ROI-Verhältnis | 7:1 bis 27:1 |
«In meiner Praxis sehe ich immer wieder das gleiche Muster: Unternehmen, die in Security Audits investieren, entdecken Schwachstellen vor den Angreifern. Jene, die darauf verzichten, entdecken sie danach — zu einem vielfach höheren Preis.» — Markus Leuthard, CISM, Partner Cybersecurity Advisory, BDO Schweiz
Security Audit vs. Red Teaming: Was brauchen KMU wirklich?
Security Audits und Red Teaming sind keine Konkurrenten, sondern verschiedene Reifegrade derselben Sicherheitsstrategie.
| Kriterium | Security Audit | Red Teaming |
|---|---|---|
| Kosten (CHF) | 3’000 – 50’000 | ab CHF 11’900 (Einstieg) |
| Perspektive | Prüfer-Perspektive | Angreifer-Perspektive |
| Abdeckung | Policies, Prozesse, Konfigurationen | Gesamte Angriffsfläche |
| Erkenntnistiefe | Compliance-Lücken | Reale Angriffspfade |
| Empfohlen für | Alle Unternehmen als Basis | KMU mit bestehendem Sicherheitsprogramm |
| Ergebnis | Compliance-Bericht, Prioritätenliste | Angriffspfade, Blue Team-Validierung |
Empfohlene Reihenfolge für KMU:
- Security Audit — Basis schaffen, grobe Lücken identifizieren
- Penetrationstest — Technische Schwachstellen validieren (siehe Penetrationstest-Kosten Schweiz)
- Red Teaming — Gesamte Verteidigung unter realistischen Bedingungen testen
Für KMU, die bereits einen Security Audit durchgeführt haben und den nächsten Schritt suchen, bietet Red Teaming ab CHF 11’900 einen unschlagbaren Erkenntnisgewinn: Sie erfahren nicht nur, wo Lücken bestehen, sondern wie ein echter Angreifer diese verknüpfen würde.
Wie wähle ich den richtigen Security Audit-Anbieter in der Schweiz?
Auswahlkriterien
| Kriterium | Mindestanforderung | Qualitätsmerkmal |
|---|---|---|
| Zertifizierungen | CISA oder ISO 27001 LA | CISSP + CISA + branchenspezifisch |
| Erfahrung | 3+ Jahre Security-Auditing | 7+ Jahre, nachweisbare KMU-Referenzen |
| Methodik | Anerkanntes Framework (COBIT, ISO 27001) | Massgeschneiderter Ansatz, MITRE-basiert |
| Schweizer Marktkenntnis | Deutsch-sprachig, nDSG-Expertise | FINMA-Erfahrung, lokale Referenzen |
| Reporting | Klarer Bericht mit Priorisierung | Management + Tech-Report + Remediation-Roadmap |
| Retest | Optional buchbar | Inklusive im Paket |
Warnsignale bei Anbietern
- Rein automatisierte Scans als «Security Audit» deklariert (ohne manuelle Überprüfung)
- Kein Nachweis relevanter Zertifizierungen
- Generische Berichte ohne Bezug zu Ihrem spezifischen Umfeld
- Kein On-Site-Anteil bei umfassenderen Audits
- Zu günstige Angebote unter CHF 2’500 für angeblich gründliche Audits
Für eine Übersicht qualifizierter Anbieter in der Schweiz, die sowohl Security Audits als auch weiterführende Red Team-Engagements anbieten, empfehlen wir unsere Anbieterdatenbank.
Welche Regulierungen erfordern Security Audits in der Schweiz?
| Regulierung | Audit-Anforderung | Betroffene Unternehmen |
|---|---|---|
| nDSG | Nachweis angemessener technischer Massnahmen | Alle Unternehmen mit Personendaten |
| FINMA RS 2023/1 | Jährliche IS-Überprüfung, Drittpartei-Audits | Finanzinstitute, Versicherungen |
| ISO 27001 | Jährliche interne + externe Audits | Zertifizierte Organisationen |
| PCI DSS | Quartalsweise Scans, jährliche QSA-Audits | Kartenverarbeitende Unternehmen |
| IEC 62443 | Periodische OT-Security-Assessments | Industrie, Energiesektor |
| NIS2 (EU-relevant) | Regelmässige Risikoprüfungen | Schweizer Unternehmen mit EU-Tätigkeit |
Die ISO 27001 Zertifizierung baut auf regelmässigen Security Audits auf und bietet einen strukturierten Rahmen für kontinuierliche Sicherheitsüberprüfungen. Unternehmen, die eine ISO 27001-Zertifizierung anstreben, müssen obligatorisch interne und externe Audits durchführen.
Wie kombiniere ich Security Audit, Pentest und Red Teaming optimal?
Ein effektives Sicherheitsprogramm kombiniert verschiedene Testmethoden. Nachfolgend finden Sie die empfohlene Kombination nach Unternehmensprofil:
| Unternehmensprofil | Empfohlene Kombination | Jährliches Budget (CHF) |
|---|---|---|
| KMU, Einstieg in Cybersecurity | Jährlicher Security Audit | 8’000 – 15’000 |
| KMU, wachsendes Sicherheitsprogramm | Audit + Penetrationstest | 20’000 – 40’000 |
| KMU, fortgeschritten | Audit + Pentest + Red Teaming | 35’000 – 70’000 |
| Mittelstand mit SOC | Kontinuierliche Audits + Red Teaming | 60’000 – 120’000 |
| Regulierte Unternehmen | Compliance-Audit + Full-Scope Tests | 80’000 – 200’000 |
Lesen Sie unseren detaillierten Vergleich Red Teaming vs. Penetrationstest, um zu verstehen, wann welcher Test-Typ den grössten Mehrwert bietet.
Checkliste: Was sollte ein Security Audit-Bericht enthalten?
Ein qualitativ hochwertiger Security Audit-Bericht umfasst mindestens:
- Executive Summary: Übersicht für die Geschäftsleitung in nicht-technischer Sprache
- Risikobewertung: Priorisierte Darstellung aller Befunde nach Schweregrad
- Technische Details: Nachvollziehbare Beschreibung jeder Schwachstelle
- Compliance-Mapping: Zuordnung der Befunde zu relevanten Normen (ISO 27001, nDSG)
- Remediation-Roadmap: Konkrete Massnahmen mit Zeitplan und Verantwortlichkeiten
- Kosten-Nutzen-Bewertung: Priorisierung nach Aufwand und Risikominderung
- Metriken: Messbare KPIs zur Erfolgskontrolle der Massnahmen
Fazit: Security Audit als Pflichtbaustein jeder KMU-Sicherheitsstrategie
Ein Security Audit kostet in der Schweiz zwischen CHF 3’000 und CHF 50’000 — und ist damit die kosteneffizienteste Möglichkeit, einen systematischen Überblick über Ihre Sicherheitslage zu erhalten. Für ein KMU mit 20–100 Mitarbeitenden liegt der empfohlene Einstieg bei CHF 8’000–15’000 für einen Standard-Security-Audit.
Die wichtigsten Takeaways:
- Basis schaffen: Ein jährlicher Security Audit ist der erste Schritt jeder ernsthaften Cybersicherheitsstrategie.
- Audit-Typ wählen: Nicht jeder Audit ist gleich — wählen Sie den Typ, der Ihrer Branche und Ihrem Risikoprofil entspricht.
- Kombinieren: Security Audits allein reichen nicht — ergänzen Sie sie mit technischen Tests.
- Umsetzung sicherstellen: Ein Audit ohne Massnahmenplan ist wertlos. Planen Sie Remediation-Budget ein.
- Regelmässigkeit: Einmalige Audits haben begrenzte Wirkung — planen Sie ein jährliches Programm.
Wenn Ihr Unternehmen bereits einen oder mehrere Security Audits durchgeführt hat und wissen möchte, ob Ihre Sicherheitsmassnahmen einem echten Angriff standhalten, ist Red Teaming der logische nächste Schritt. Ab CHF 11’900 erhalten Sie eine realistische Simulation eines gezielten Angriffs — und erfahren, was ein echter Angreifer mit den von Ihrem Audit identifizierten Schwachstellen tun würde. Ergänzende Informationen finden Sie in unserem Cybersecurity-Leitfaden für KMU.
Dieser Artikel wurde am 1. März 2026 veröffentlicht. Alle Preisangaben sind Richtwerte und können je nach Anbieter und spezifischen Anforderungen variieren. Für ein individuelles Angebot empfehlen wir, mindestens drei qualifizierte Anbieter zu vergleichen.
Quellen
- NCSC Wochenrückblick 52/2024: https://www.ncsc.admin.ch/ncsc/en/home/aktuell/im-fokus/2024/wochenrueckblick_52.html