Cybersecurity Audit: Was wird geprüft und was kostet es?

Q: Was ist ein Cybersecurity Audit?

See section: Was ist ein Cybersecurity Audit?

Q: Was wird bei einem Cybersecurity Audit geprüft?

See section: Was wird bei einem Cybersecurity Audit geprüft?

Q: Wie läuft ein Cybersecurity Audit ab?

See section: Wie läuft ein Cybersecurity Audit ab?

Q: Was kostet ein Cybersecurity Audit in der Schweiz?

See section: Was kostet ein Cybersecurity Audit in der Schweiz?

Q: Wann braucht ein KMU einen Cybersecurity Audit?

See section: Wann braucht ein KMU einen Cybersecurity Audit?

Cybersecurity Audit: Was Schweizer KMU wissen müssen

Bevor Sie etwas verbessern können, müssen Sie wissen, wo Sie stehen. Ein Cybersecurity Audit liefert genau das: eine strukturierte, dokumentierte Bestandsaufnahme Ihrer IT-Sicherheit. Er zeigt, welche Risiken existieren, welche Massnahmen fehlen und wo Handlungsbedarf besteht.

Doch viele KMU-Verantwortliche stehen vor denselben Fragen: Was genau wird bei einem Audit geprüft? Wie lange dauert es? Was kostet es — und wann reicht ein Audit, wann braucht es einen Penetrationstest oder gar Red Teaming? Dieser Leitfaden beantwortet diese Fragen konkret und praxisnah.

Was ist ein Cybersecurity Audit?

Ein Cybersecurity Audit ist eine systematische Überprüfung der IT-Sicherheitsmassnahmen eines Unternehmens. Er vergleicht den Ist-Zustand mit definierten Soll-Anforderungen — zum Beispiel aus einem anerkannten Rahmenwerk wie ISO 27001 oder dem NIST Cybersecurity Framework.

Im Gegensatz zu einem technischen Test (Penetrationstest) ist ein Audit primär dokumentenbasiert: Es werden Richtlinien geprüft, Prozesse bewertet und Konfigurationen auf Vollständigkeit und Korrektheit untersucht. Ein Audit sagt Ihnen, was vorhanden sein sollte und was fehlt. Er sagt Ihnen nicht zwingend, ob eine bestehende Massnahme auch wirklich funktioniert — das ist die Aufgabe eines Penetrationstests.

Laut einer Studie von Gartner hatten im Jahr 2024 weniger als 35 Prozent der europäischen KMU jemals eine formale Sicherheitsüberprüfung durchgeführt — obwohl 62 Prozent davon in den letzten drei Jahren einen Sicherheitsvorfall erlebt hatten.

Was wird bei einem Cybersecurity Audit geprüft?

Ein gründlicher Cybersecurity Audit deckt typischerweise folgende Bereiche ab:

1. Governance und Richtlinien

Existiert eine IT-Sicherheitsstrategie?
Sind Verantwortlichkeiten klar definiert?
Gibt es schriftliche Richtlinien für Passwörter, Zugriffsrechte, Remote-Arbeit und BYOD?
Werden Richtlinien regelmässig überprüft und aktualisiert?

2. Netzwerksicherheit

Wie ist das Netzwerk segmentiert?
Welche Firewall-Regeln sind konfiguriert?
Gibt es ein zentrales Log-Management?
Wie werden Netzwerkzugriffe überwacht?

3. Zugriffsmanagement und Identitäten

Gibt es ein Konzept für minimale Zugriffsrechte (Least Privilege)?
Ist Multi-Faktor-Authentifizierung implementiert?
Wie werden ausscheidende Mitarbeitende behandelt (Offboarding-Prozess)?
Werden privilegierte Konten (Admin-Accounts) besonders geschützt?

4. Endgerätesicherheit

Welche Endpoint-Protection-Lösungen sind im Einsatz?
Werden Updates und Patches systematisch eingespielt?
Ist Festplattenverschlüsselung aktiviert?

5. Datensicherung und Recovery

Existiert ein Backup-Konzept nach der 3-2-1-Regel?
Werden Backups regelmässig getestet?
Gibt es einen dokumentierten Disaster-Recovery-Plan?

6. Vorfallsmanagement

Gibt es einen Incident-Response-Plan?
Wissen alle Mitarbeitenden, was im Ernstfall zu tun ist?
Werden Sicherheitsvorfälle dokumentiert und analysiert?

7. Drittparteien und Lieferkette

Wie werden externe Dienstleister und Lieferanten geprüft?
Gibt es Sicherheitsklauseln in Verträgen mit Cloud-Anbietern?
Wie wird der Zugang von externen Parteien überwacht?

8. Compliance und regulatorische Anforderungen

Erfüllt das Unternehmen die Anforderungen des Schweizer Datenschutzgesetzes (nDSG)?
Falls zutreffend: Branchenspezifische Vorgaben (z. B. für Finanzdienstleister oder Gesundheitsunternehmen)?

Für die Anforderungen des nDSG im Detail empfehlen wir unsere nDSG-Checkliste für KMU.

Audit-Frameworks: ISO 27001, NIST und CIS Controls

Ein Cybersecurity Audit orientiert sich immer an einem Referenzrahmen. Die drei wichtigsten für Schweizer KMU:

ISO 27001

Der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). ISO 27001 ist das Referenzrahmenwerk schlechthin — wer ein Zertifikat anstrebt, muss nach ISO 27001 auditiert werden. Für KMU ist die Zertifizierung oft zu aufwendig, aber die Prüfung nach ISO-27001-Kriterien ist trotzdem wertvoll.

NIST Cybersecurity Framework (CSF)

Das vom US National Institute of Standards and Technology entwickelte Framework ist pragmatisch aufgebaut und gut für KMU geeignet. Es gliedert Sicherheitsmassnahmen in fünf Funktionen: Identify, Protect, Detect, Respond, Recover. Version 2.0 (2024) wurde um die Funktion “Govern” erweitert.

CIS Controls

Die CIS Controls (Center for Internet Security) sind eine priorisierte Liste von 18 Sicherheitsmassnahmen. Besonders die ersten sechs (“Implementation Group 1”) sind auf KMU ausgelegt und bieten einen hervorragenden Einstiegspunkt.

“Ich empfehle KMU, mit den CIS Controls IG1 zu beginnen. Das sind 56 konkrete Sicherheitsmassnahmen, die die häufigsten Angriffsvektoren abdecken. Wer diese vollständig umsetzt, ist deutlich besser geschützt als der Durchschnitt.” — IT-Sicherheitsberater, Basel

Audit vs. Penetrationstest vs. Red Teaming: Die Unterschiede

Diese drei Begriffe werden oft verwechselt oder gleichgesetzt. Sie haben aber unterschiedliche Ziele, Methoden und Aussagekraft.

Cybersecurity Audit

Was: Dokumentenbasierte Überprüfung von Richtlinien, Prozessen und Konfigurationen
Wie: Interviews, Dokumentenprüfung, Konfigurationsreviews
Ergebnis: Compliance-Gap-Report, Handlungsempfehlungen
Aussage: “Was sollte vorhanden sein und was fehlt?”
Kosten: CHF 3’000–15’000 für KMU

Penetrationstest

Was: Technische Angriffssimulation auf definierte Systeme
Wie: Aktives Testen von Schwachstellen in einem abgesteckten Scope
Ergebnis: Liste der gefundenen Schwachstellen mit Risikobewertung
Aussage: “Welche technischen Schwachstellen existieren?”
Kosten: CHF 5’000–25’000 für KMU

Red Teaming

Was: Realistische, vollständige Angriffssimulation ohne vordefinierte Einschränkungen
Wie: Kombination aus technischen Angriffen, Social Engineering und physischen Tests
Ergebnis: Vollständige Angriffskette mit Business-Impact-Analyse
Aussage: “Kann ein realer Angreifer Ihr Unternehmen kompromittieren — und welchen Schaden würde er anrichten?”
Kosten: Ab CHF 11’900

Den detaillierten Vergleich zwischen Penetrationstest und Red Teaming lesen Sie in unserem Artikel Red Teaming vs. Penetrationstest.

Wie läuft ein Cybersecurity Audit ab?

Ein strukturierter Audit-Prozess gliedert sich in fünf Phasen:

Phase 1: Scope-Definition (1–2 Tage)

Was soll geprüft werden? Alle Systeme? Nur bestimmte Abteilungen? Nur bestimmte regulatorische Anforderungen? Die Scope-Definition bestimmt den Aufwand und die Kosten.

Phase 2: Informationssammlung (2–5 Tage)

Der Auditor sammelt Informationen über die bestehende Infrastruktur: Netzwerkpläne, Richtlinien, System-Inventare, Organigramme, Verträge mit Cloud-Anbietern. Interviews mit IT-Verantwortlichen und Fachabteilungen ergänzen die Dokumentenanalyse.

Phase 3: Analyse und Bewertung (3–7 Tage)

Die gesammelten Informationen werden mit den Soll-Anforderungen des gewählten Frameworks abgeglichen. Jede Lücke wird nach Risiko bewertet: kritisch, hoch, mittel oder niedrig.

Phase 4: Berichterstattung (2–3 Tage)

Der Audit-Report enthält:

Executive Summary: Kurze Zusammenfassung für die Geschäftsleitung
Detailbefunde: Jede Lücke beschrieben, bewertet und mit Handlungsempfehlung versehen
Priorisierter Massnahmenplan: Was zuerst, was kann warten?
Compliance-Matrix: Überblick über den Erfüllungsgrad je Framework-Anforderung

Phase 5: Nachbesprechung und Roadmap (1 Tag)

Die Ergebnisse werden mit der Geschäftsleitung und den IT-Verantwortlichen besprochen. Gemeinsam wird ein realistischer Massnahmenplan mit Zeitrahmen und Verantwortlichkeiten definiert.

Was kostet ein Cybersecurity Audit in der Schweiz?

Die Kosten hängen von Scope, Unternehmensgrösse und gewähltem Framework ab.

Audit-Typ	Unternehmensgrösse	Kosten
Basis-Audit (CIS IG1)	10–50 Mitarbeitende	CHF 3’000–6’000
Umfassender Audit (NIST CSF)	10–50 Mitarbeitende	CHF 6’000–12’000
ISO-27001-Gap-Analyse	50–250 Mitarbeitende	CHF 10’000–25’000
ISO-27001-Zertifizierungsaudit	Ab 50 Mitarbeitende	CHF 20’000–60’000+

Empfehlung für KMU: Starten Sie mit einem Basis-Audit nach CIS Controls. Das liefert Ihnen in kurzer Zeit und zu überschaubaren Kosten einen klaren Überblick. Anschliessend können Sie gezielt in Penetrationstests und Red Teaming investieren, um die technische Wirksamkeit Ihrer Massnahmen zu prüfen.

Die Audit-Pentest-Red-Teaming-Progression

Die drei Massnahmen ergänzen sich und bauen aufeinander auf:

Stufe 1 — Audit: “Was haben wir?” Bestandsaufnahme, Compliance-Check, Richtlinienprüfung. Sinnvoll als erster Schritt oder nach grossen Veränderungen (neues Cloud-System, Wachstum, neuer Standort).

Stufe 2 — Penetrationstest: “Was funktioniert nicht?” Technische Überprüfung spezifischer Systeme. Sinnvoll nach der Implementierung neuer Systeme, jährlich für kritische Infrastruktur, nach dem Schliessen von Audit-Lücken.

Stufe 3 — Red Teaming: “Können wir wirklich angegriffen werden?” Realistische Angriffssimulation. Sinnvoll wenn Audit und Pentest bereits abgeschlossen sind und Sie wissen wollen, ob Ihre Abwehr auch unter realen Bedingungen standhält.

Lesen Sie mehr über Red Teaming in unserem Einführungsleitfaden: Was ist Red Teaming?

Wann braucht ein KMU einen Cybersecurity Audit?

Definitiv, wenn:

Sie noch nie eine formale Sicherheitsüberprüfung durchgeführt haben
Sie neue Cloud-Dienste oder Systeme eingeführt haben
Sie gewachsen sind (mehr Mitarbeitende, neue Standorte, mehr Remote-Arbeit)
Sie einen Sicherheitsvorfall hatten und wissen wollen, was noch fehlt
Kunden oder Lieferanten einen Nachweis Ihrer IT-Sicherheit fordern
Sie das nDSG oder andere regulatorische Anforderungen erfüllen müssen

Laut dem NCSC (Nationales Zentrum für Cybersicherheit) haben über 70 Prozent der Schweizer KMU noch keine dokumentierte Sicherheitsüberprüfung vorgenommen — dabei ist ein Audit der erste Schritt zu einer strukturierten Cybersecurity-Strategie.

“Ein Cybersecurity Audit ist kein Luxus, sondern eine Versicherung. Wer nicht weiss, wo seine Schwachstellen sind, kann sie nicht beheben. Und nicht behobene Schwachstellen werden früher oder später ausgenutzt.” — CISO, Industrieunternehmen, Winterthur

Interne Audits vs. externe Audits

Interne Audits können von der eigenen IT-Abteilung oder einem internen Sicherheitsbeauftragten durchgeführt werden. Vorteile: günstig, intimes Systemwissen. Nachteile: fehlende Unabhängigkeit, blinde Flecken, beschränkte Erfahrung mit aktuellen Angriffstechniken.

Externe Audits durch unabhängige Spezialisten bringen eine objektive Aussenperspektive, aktuelle Benchmarks aus anderen Unternehmen und formale Kompetenz (zertifizierte Auditoren). Für die meisten KMU ist ein externer Audit vorzuziehen — gerade wenn das Ergebnis gegenüber Kunden, Behörden oder dem Verwaltungsrat belegt werden muss.

Fazit

Ein Cybersecurity Audit ist der unverzichtbare erste Schritt zu einer fundierten IT-Sicherheitsstrategie. Er zeigt Ihnen, wo Sie stehen, was fehlt und wo Sie zuerst investieren sollten. Doch ein Audit prüft nur, ob Massnahmen vorhanden sind — nicht ob sie einem echten Angriff standhalten.

Wer wirklich wissen will, ob sein Unternehmen sicher ist, braucht den nächsten Schritt: Red Teaming. Dabei simulieren spezialisierte Sicherheitsexperten einen realen Angriff auf Ihr Unternehmen — von der ersten Aufklärung bis zur Kompromittierung kritischer Systeme. So erfahren Sie nicht nur, ob Ihre Richtlinien stimmen, sondern ob Ihre Abwehr auch in der Praxis funktioniert.

Unser Red-Teaming-Angebot für Schweizer KMU startet ab CHF 11’900 und umfasst eine vollständige Angriffssimulation mit detailliertem Bericht und Massnahmenplan.

Jetzt Red Teaming anfragen

Weiterführende Leitfäden: