Cybersicherheits-Audit: Kennen Sie Ihre tatsächliche Sicherheitslage

Ein Cybersicherheits-Audit ist eine strukturierte, unabhängige Bewertung der Informationssicherheitskontrollen, -richtlinien und technischen Maßnahmen einer Organisation gegen ein definiertes Rahmenwerk — in der Regel ISO 27001:2022, das spanische Nationale Sicherheitsschema (Esquema Nacional de Seguridad, ENS — RD 311/2022) oder die Anforderungen der NIS2-Richtlinie (EU 2022/2555). In Spanien ist das ENS für Einrichtungen des öffentlichen Sektors und ihre Technologieanbieter obligatorisch; NIS2 legt gleichwertige Verpflichtungen für wesentliche und wichtige Einrichtungen in kritischen Sektoren fest. Ein Cybersicherheits-Audit identifiziert die Lücke zwischen aktuellen Kontrollen und erforderlichen Standards und ermöglicht es Organisationen, Sanierungsmaßnahmen zu priorisieren und die Compliance gegenüber Regulierungsbehörden, Kunden und Versicherern nachzuweisen.

Unser Cybersicherheits-Audit-Team kombiniert tiefes regulatorisches Wissen (ENS, ISO 27001, NIS2, DSGVO) mit technischer Expertise in Systembewertung, Netzwerkarchitektur und Identitätsmanagement. Wir führen Audits durch, die über Compliance-Checklisten hinausgehen und die tatsächliche Sicherheitslage der Organisation bewerten.

Diese Dienstleistung ist Teil unserer Rechtsberatungspraxis.

Die Wahrnehmungs-Realitäts-Lücke

Eine der auffälligsten Konstanten in der Audit-Arbeit ist die Distanz zwischen interner Sicherheitswahrnehmung und objektiver Realität. Unternehmen, die glauben, eine solide Sicherheitslage zu haben, entdecken internetexponierte Legacy-Systeme, inaktive Administrator-Konten mit bekannten Zugangsdaten und kritische Prozesse ohne Kontinuitätsmaßnahmen. Das IT-Team, oft nah an den Systemen und dem täglichen operativen Druck, ist selten am besten geeignet, diese Bewertung unabhängig durchzuführen. Diese Unabhängigkeit ist es, die ein externes Audit wertvoll macht.

Scope und Methodik

Unsere Audit-Methodik beginnt mit präziser Scope-Definition: welche Systeme, Prozesse und Standorte einbezogen sind; welche regulatorischen Rahmenwerke gelten; und welcher Grad an technischer Tiefe erforderlich ist. Für Organisationen mit ENS-Verpflichtungen — die für Lieferanten der spanischen öffentlichen Verwaltung gelten, die kategorisierte Informationen verarbeiten — umfasst das Audit eine Bewertung gegen die ENS-Kategorien und die von jeder Kategorie geforderten Sicherheitsmaßnahmen. Dies ist zunehmend relevant, da die ENS-Zertifizierung zu einer Standardanforderung in öffentlichen Ausschreibungen wird.

Drittanbieter-Risiko: Die verborgene Angriffsfläche

Die Drittanbieter-Risikobewertung hat sich von einer optionalen Audit-Komponente zu einer ausdrücklichen NIS2-Anforderung entwickelt. Ein Lohnbuchhaltungssoftware-Anbieter mit Zugang zu Ihren HR-Systemen oder ein Cloud-Anbieter, der Ihre kritischen Anwendungen hostet, bringt Risiken ein, die aktiv bewertet und verwaltet werden müssen. Die digitale Lieferkette ist heute eine der wichtigsten Angriffsflächen, und die schädlichsten Vorfälle der letzten Jahre haben ihren Ursprung in kompromittierten Technologielieferanten. Unser Drittanbieter-Bewertungsprozess evaluiert die Sicherheitspraktiken, Vertragsschutzmaßnahmen und Zugriffskontrollen kritischer Lieferanten — und produziert handlungsorientierte Feststellungen, keine reinen Fragebogenwerte.

Cybersicherheits-Audits in der M&A-Due-Diligence

Die Sicherheits-Audit-Koordination im Kontext der unternehmerischen Due Diligence ist ein häufiger Anwendungsfall. Ein Cybersicherheits-Audit des Zielunternehmens in einer Akquisition deckt Sicherheitsverbindlichkeiten auf, die der Käufer erben wird: ungepatchte Systeme, nicht gemeldete Vorfälle oder Lieferantenverträge mit unzureichenden Sicherheitsklauseln. Die Quantifizierung dieser Verbindlichkeiten vor Abschluss ermöglicht es, sie in Preisverhandlungen oder Kaufvertragsgarantien einzubeziehen. Wir haben Sicherheits-Due-Diligence-Audits für Transaktionen durchgeführt, die von KMU-Akquisitionen bis zu bedeutenden Infrastrukturgeschäften reichten.

Was bei kritischen Feststellungen passiert

Kritische Feststellungen warten nicht auf den Abschlussbericht. Wenn wir während der Bewertung Schwachstellen identifizieren, die unmittelbares Risiko darstellen — ein internetexponiertes System ohne Authentifizierung, aktive kompromittierte Zugangsdaten — benachrichtigen wir das Management sofort, damit Notfallmaßnahmen ergriffen werden können, bevor der vollständige Bericht verfügbar ist. Dieser Echtzeit-Eskalationsprozess ist in allen unseren Audit-Mandaten standard, unabhängig vom Scope.

Regelungsrahmen: ISO 27001:2022, ENS und NIS2-Audit-Anforderungen

ISO/IEC 27001:2022: Die internationale Norm für Informationssicherheits-Managementsysteme verlangt sowohl interne Audits (Abschnitt 9.2) als auch eine externe Zertifizierungsaudit durch eine akkreditierte Zertifizierungsstelle. Interne Audits müssen mindestens jährlich durchgeführt werden und alle relevanten Anforderungen von Abschnitt 4 bis 10 sowie die gewählten Anhang-A-Kontrollen abdecken. Die 2022-Revision hat die Kontrollstruktur von 14 Kontrollkategorien auf 4 Themen (Organisatorische, Personelle, Physische und Technologische Kontrollen) mit 93 Kontrollen umstrukturiert.

Esquema Nacional de Seguridad (ENS — RD 311/2022): Für öffentliche Einrichtungen und ihre Auftragnehmer, die Informationssysteme für öffentliche Verwaltungen bereitstellen, ist das ENS die verpflichtende Zertifizierungsnorm. Das ENS definiert drei Sicherheitskategorien (BAJA, MEDIA, ALTA) mit proportionalen Anforderungen. Die ENS-Zertifizierung erfolgt durch eine vom CCN akkreditierte Prüfstelle (CCNLAB). Für IT-Dienstleister des öffentlichen Sektors ist die ENS-Zertifizierung zunehmend eine Voraussetzung für öffentliche Aufträge.

NIS2-Richtlinie (EU 2022/2555): Artikel 21 NIS2 schreibt technische und organisatorische Sicherheitsmaßnahmen für wesentliche und wichtige Einrichtungen vor. Während NIS2 kein spezifisches Audit-Zertifikat vorschreibt, müssen Unternehmen auf Anfrage der Aufsichtsbehörde (in Spanien INCIBE für private Sektoren, CCN für Verwaltungen) nachweisen können, dass ihre Sicherheitsmaßnahmen dem Stand der Technik entsprechen. Ein dokumentiertes Cybersicherheits-Audit, das gegen ISO 27001 oder ENS benchmarkt, ist der pragmatischste Nachweis.

Artikel 32 DSGVO: Verlangt, dass Verantwortliche und Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten implementieren. Regelmäßige Überprüfungen dieser Maßnahmen (Artikel 32.1.d DSGVO) sind explizit vorgeschrieben. Ein Cybersicherheits-Audit, das den Datenschutz integriert, erfüllt sowohl ISO/ENS/NIS2-Anforderungen als auch Artikel 32 DSGVO.

Praxisbeispiel: Cybersicherheits-Audit für einen IT-Dienstleister vor ENS-Zertifizierung

Ein Madrider IT-Dienstleister mit 85 Mitarbeitern und 12 Mio. EUR Umsatz bietet Cloud-Managed-Services für drei Ministerien und zehn spanische Kommunalverwaltungen an. Neue Ausschreibungsanforderungen verlangen die ENS-Kategorie MEDIA-Zertifizierung innerhalb von 12 Monaten.

Ausgangssituation: Kein bestehendes ISMS; keine formale Dokumentation der Sicherheitskontrollen; keine systematische Vulnerability-Management-Prozesse; Backup-Tests wurden letztmals vor 18 Monaten durchgeführt.

Audit-Umfang: Gap-Analyse gegen ENS MEDIA-Anforderungen (77 Sicherheitsmaßnahmen für MEDIA-Kategorie); Bewertung der technischen Infrastruktur (Netzwerksegmentierung, Zugriffskontrollen, Verschlüsselung, Logging); Überprüfung der Dokumentation und Richtlinien; Drittanbieter-Risikobewertung (4 kritische Cloud-Anbieter).

Kritische Feststellungen: Drei kritische Lücken identifiziert: (1) Keine Netzwerksegmentierung zwischen Kundensystemen (Lateral-Movement-Risiko); (2) Privilegierte Zugänge ohne Multi-Faktor-Authentifizierung; (3) Keine systematische Protokollierung privilegierter Aktivitäten (Logging-Defizit).

Maßnahmenplan und Zeitrahmen:

• Sofortmaßnahmen (Monat 1): MFA für alle privilegierten Zugänge; Aktivierung zentralisierter Log-Verwaltung.
• Kurzfristig (Monat 1–3): Netzwerksegmentierung implementieren; Backup-Tests wiederaufnehmen; Dokumentation der kritischen Kontrollen.
• Mittelfristig (Monat 3–9): ISMS-Dokumentation vollständig erstellen; interne Audits implementieren; ENS-Zertifizierungsaudit durch akkreditierte Stelle begleiten.

Ergebnis: ENS MEDIA-Zertifizierung nach 9 Monaten erlangt. Zwei neue Ausschreibungen gewonnen (Gesamtvolumen 1,8 Mio. EUR), für die die ENS-Zertifizierung Zulassungsvoraussetzung war.

Betroffene Sektoren

Öffentliche IT-Dienstleister: ENS-Zertifizierung ist für viele öffentliche IT-Aufträge obligatorisch. Audit als Vorbereitung auf die ENS-Zertifizierung ist der Standard-Ausgangspunkt.

Finanzdienstleistungen: DORA (ab Januar 2025) schreibt regelmäßige IKT-Risikoaudits für Finanzunternehmen und ihre kritischen IKT-Anbieter vor. DORA-konforme Audits müssen spezifische operative Resilienzaspekte abdecken.

Gesundheit: Krankenhäuser und Gesundheitseinrichtungen sind häufige Ransomware-Ziele und unterliegen NIS2 als wesentliche Einrichtungen. Cybersicherheits-Audits sind im Gesundheitsbereich eine regulatorische Anforderung.

M&A und Private Equity: Cybersicherheits-Due-Diligence ist bei der Akquisition von Technologieunternehmen oder stark digitalisierten Unternehmen Standard. Sicherheitsverbindlichkeiten müssen vor Closing quantifiziert werden.

Unternehmensgrößen-Segmentierung

KMU (20–100 Mitarbeiter): Fokus-Audit auf die wichtigsten Risikobereiche: Zugriffskontrolle, Backup, Patch-Management, E-Mail-Sicherheit. Kosten: 5.000–12.000 EUR (einmalig). Typische Dauer: 4–6 Wochen.

Mittlere Unternehmen (100–500 Mitarbeiter): Vollständiges ISO 27001-Gap-Audit oder ENS-Audit mit technischer Tiefe. Kosten: 12.000–25.000 EUR. Typische Dauer: 6–10 Wochen.

Große Unternehmen und Konzerne: Komplexe Audits mit mehreren Standorten, Drittanbieter-Bewertung und Integration in das Enterprise-Risk-Management. Kosten: 25.000–80.000 EUR+. Pentest-Komponente wird typischerweise hinzugefügt.

Häufige Feststellungen in Cybersicherheits-Audits

1. Fehlende oder unvollständige Asset-Inventarisierung: Man kann nicht schützen, was man nicht kennt. Die überwältigende Mehrheit der Audit-Mandanten haben kein vollständiges, aktuelles Inventar ihrer IT-Assets. Unbekannte Assets sind die gefährlichsten — sie werden nicht gepatcht, nicht überwacht und sind oft die Einstiegspunkte für Angreifer.

2. Privilegierte Zugänge ohne MFA: Administratorzugang zu kritischen Systemen ohne Multi-Faktor-Authentifizierung ist eine der häufigsten und gefährlichsten Schwachstellen. Kompromittierte Administrator-Credentials sind der Einstiegspunkt für den größten Teil der Ransomware-Angriffe.

3. Software-Patches nicht zeitnah angewendet: Exploit-Code für bekannte Schwachstellen ist typischerweise innerhalb von Tagen nach Veröffentlichung der Patches verfügbar. Systeme, die nicht innerhalb von 30 Tagen gepatcht werden, sind exponiert.

4. Backup-Strategien nicht regelmäßig getestet: Ein Backup, das nie getestet wurde, ist kein Backup — es ist ein Dokument, das vorgibt, eines zu sein. Im Ransomware-Worst-Case ist der Backup-Test die einzige Grundlage für eine Wiederherstellung.

5. Keine Netzwerksegmentierung: Flache Netzwerke, in denen ein kompromittiertes System laterale Bewegung zu allen anderen Systemen ermöglicht, sind der Betriebsmodell für Ransomware-Gruppen. Segmentierung begrenzt den Blast-Radius eines Angriffs erheblich.

Nächste Schritte

Kontaktieren Sie unser Cybersicherheits-Audit-Team für eine kostenlose Scope-Definition und Honorarschätzung. Wir definieren den optimalen Audit-Umfang für Ihre Situation und regulatorischen Anforderungen. Erstkontakt über unser Madrider Büro.

Penetration Testing als ergänzende Audit-Komponente

Ein technisches Cybersicherheits-Audit bewertet Kontrollen und Dokumentation; ein Penetrationstest (Pentest) verifiziert, ob diese Kontrollen in der Praxis tatsächlich wirksam sind. Beides gemeinsam gibt das vollständigste Bild der tatsächlichen Sicherheitslage.

Black-Box-Pentest: Der Tester beginnt ohne Vorkenntnisse des Systems — simuliert die Perspektive eines externen Angreifers ohne Insider-Informationen. Geeignet für: Bewertung der Wirksamkeit des Perimeter-Schutzes, Identifizierung öffentlich exponierter Schwachstellen.

Grey-Box-Pentest: Der Tester hat begrenzte Informationen (z.B. Netzwerkdokumentation, aber keine Zugangsdaten). Simuliert einen Angreifer mit teilweisen Insider-Kenntnissen — zum Beispiel einen Mitarbeiter mit regulärem Benutzerzugang.

White-Box-Pentest: Der Tester hat vollständige Informationen (Code, Architektur, Zugangsdaten). Maximale Tiefe; geeignet für Softwareentwickler und Unternehmen, die spezifische interne Systeme auf Schwachstellen prüfen möchten.

Wir koordinieren Pentests mit unseren Netzwerk von zertifizierten Penetrationstestern (OSCP, CEH, GPEN) und integrieren die Ergebnisse in den Gesamtauditbericht mit einer einheitlichen Risikopriorisierung.

Continuous Compliance Monitoring: Jenseits des Punkt-Audits

Ein traditioneller Punkt-Audit — einmal jährlich durchgeführt — gibt eine Momentaufnahme der Sicherheitslage. In einem Umfeld, in dem neue Schwachstellen täglich entdeckt werden und Konfigurationsänderungen die Sicherheitslage kontinuierlich verändern, reicht eine Jahresmomentaufnahme nicht aus.

Für Kunden, die eine höhere Sicherungstiefe wünschen, bieten wir Continuous-Compliance-Monitoring:

Kontinuierliches Schwachstellen-Scanning: Automatisiertes Scanning der exponierten Angriffsfläche (externe IPs, Domänen) auf bekannte Schwachstellen — täglich oder wöchentlich.

Konfigurationsüberwachung: Automatisiertes Monitoring kritischer Sicherheitskonfigurationen (Firewall-Regeln, Zugriffsberechtigungen, Zertifikatsgültigkeiten) auf Abweichungen vom konfigurierten Baseline-Zustand.

Vierteljährliche Review-Calls: Mit dem vCISO oder einem designierten Sicherheitsberater, der die Entwicklung der Sicherheitslage, neue Bedrohungen und anstehende regulatorische Anforderungen bespricht.

Audit-Bericht: Was wir liefern

Der Abschlussbericht eines Cybersicherheits-Audits von BMC enthält:

Executive Summary: Für Vorstand und Geschäftsführung konzipiert. Zusammenfassung der wichtigsten Feststellungen, Gesamtrisikoeinschätzung (Hoch/Mittel/Niedrig), Top-5-Prioritäten. Kein technischer Jargon.

Technischer Detailbericht: Für IT-Team und technische Ansprechpartner. Vollständige Dokumentation aller Feststellungen mit CVSS-Scores, betroffenen Systemen und konkreten Sanierungsmaßnahmen.

Compliance-Gap-Matrix: Für Compliance- und Rechtsabteilungen. Klare Übersicht, welche Anforderungen von ISO 27001/ENS/NIS2 erfüllt, teilweise erfüllt oder nicht erfüllt sind — mit Zeitlinien für die Schließung offener Punkte.

Maßnahmenplan: Priorisierte, umsetzbare Empfehlungen mit Zeitplanung (sofort/kurzfristig/mittelfristig), Verantwortlichkeit und Kostenschätzungen. Kein akademischer Bericht ohne Handlungsanleitung.

Begleitende Rechtsberatung bei Audit-Feststellungen

Wenn ein Audit Compliance-Verstöße mit rechtlichen Implikationen aufdeckt — beispielsweise eine Datenpanne, die hätte gemeldet werden müssen, oder Sicherheitslücken, die den NIS2-Mindestanforderungen nicht entsprechen — begleitet unser Rechtsteam die Reaktion:

• AEPD-Meldung einer Datenpanne (Artikel 33 DSGVO): Wir koordinieren Meldung und Kommunikation mit der Behörde.
• INCIBE-Meldung für NIS2-pflichtige Sicherheitsvorfälle: Meldeprozess und Fristmanagement.
• Verteidigung gegenüber Regulatoren: Wenn Behörden auf einen gemeldeten Vorfall oder eine Beschwerde reagieren, begleiten wir die Antwort.

Diese Integration von technischem Audit und Rechtsbegleitung ist ein wesentlicher Mehrwert gegenüber reinen Cybersicherheits-Dienstleistern ohne juristische Kompetenz.

Cybersicherheits-Audit für Cloud-Umgebungen

Die Migration zu Cloud-Infrastrukturen hat die Angriffsfläche von Unternehmen fundamental verändert. Traditionelle Sicherheitsansätze, die auf Perimeter-Schutz fokussieren, greifen in Cloud-Umgebungen nicht mehr. Ein Cloud-Sicherheits-Audit bewertet:

Identity and Access Management (IAM): Wer hat Zugang zu welchen Cloud-Ressourcen? Sind privilegierte Zugänge zeitlich begrenzt (Just-in-Time-Access)? Werden alle Cloud-Aktionen protokolliert (CloudTrail für AWS, Activity Log für Azure)?

Konfigurationssicherheit: Cloud-Fehlkonfigurationen sind die häufigste Ursache für Cloud-Datenpannen. Öffentlich zugängliche S3-Buckets (AWS), ungeschützte Azure-Speicherlösungen und falsch konfigurierte Firewall-Regeln sind klassische Fehlkonfigurationen. Wir verwenden automatisierte Cloud-Sicherheits-Posture-Management-(CSPM)-Tools zur systematischen Erkennung.

Netzwerksicherheit in der Cloud: Virtuelles Netzwerk-Design, Security-Group-Regeln, Datenflüsse zwischen Services. VPCs (Virtual Private Clouds) müssen korrekt segmentiert sein; öffentliche Endpunkte müssen auf das Notwendigste reduziert werden.

Shared-Responsibility-Modell: Cloud-Anbieter sind für die Sicherheit der Infrastruktur verantwortlich; der Kunde ist für die Sicherheit in der Cloud verantwortlich. Viele Unternehmen verstehen die Grenze dieses Modells nicht vollständig und verlassen sich fälschlicherweise darauf, dass der Cloud-Anbieter alle Sicherheitsaspekte abdeckt.

Audit-Frequenz und regulatorische Anforderungen

Jährlicher Audit als Minimum: ISO 27001 verlangt mindestens einen vollständigen internen Audit-Zyklus pro Jahr. NIS2 verlangt regelmäßige Sicherheitsbewertungen ohne spezifische Frequenz zu definieren — in der Praxis ist jährlich die Mindesterwartung der Regulatoren.

Ereignisgetriggerte Audits: Bestimmte Ereignisse sollten immer einen Sicherheits-Audit auslösen, unabhängig vom regulären Zyklus: signifikante IT-Infrastrukturveränderungen (neue Cloud-Migration, neue Unternehmensanwendungen), Unternehmenstransaktionen (Akquisition, Fusion), signifikante Sicherheitsvorfälle und Veränderungen im regulatorischen Rahmen.

Post-Incident-Audit: Nach einem schwerwiegenden Sicherheitsvorfall (Ransomware, Datenpanne) ist ein umfassendes Post-Incident-Audit obligatorisch, um die Root Cause zu identifizieren, Kontrollschwächen zu beseitigen und die Lessons-Learned zu dokumentieren. AEPD und INCIBE können im Rahmen ihrer Aufsicht eigene Sicherheitsbewertungen durchführen — eine solide Post-Incident-Audit-Dokumentation schützt das Unternehmen in diesen Verfahren.

Verhältnis zwischen Audit und Versicherung

Cyber-Versicherungen sind zunehmend von einem proaktiven Sicherheits-Audit abhängig. Versicherer verlangen detaillierte Fragebogen zur Sicherheitslage des Unternehmens — und falsche oder unvollständige Angaben können im Schadensfall zur Deckungsablehnung führen.

Ein dokumentiertes Cybersicherheits-Audit dient mehreren Zwecken im Versicherungskontext: Es liefert die Daten für den Versicherungsfragebogen (vollständig und akkurat); es belegt dem Versicherer gegenüber das Sicherheitsniveau des Unternehmens (kann die Prämie reduzieren); und es ist im Schadensfall ein Nachweis, dass das Unternehmen angemessene Sorgfalt walten ließ (relevant für Deckungsfragen).

Wir koordinieren Cybersicherheits-Audits auch im Kontext von Cyber-Versicherungsverhandlungen und helfen Unternehmen, die Informationen bereitzustellen, die Versicherer für eine solide Deckungsbeurteilung benötigen.

Geografische Abdeckung des Audit-Service

Unser Cybersicherheits-Audit-Service wird für Unternehmen mit Sitz in ganz Spanien durchgeführt — typischerweise mit einer Kombination aus Remote-Arbeit (Dokumentenanalyse, Remote-Zugang zu Systemen für technische Tests) und Vor-Ort-Besuchen (für physische Sicherheitsbewertungen, Mitarbeiterinterviews und kritische System-Reviews). Für Unternehmen mit mehreren Standorten erstellen wir einen koordinierten Audit-Plan, der alle relevanten Standorte einbezieht.

Kontaktieren Sie unser Team für eine kostenlose Scope-Beratung und Honorarschätzung.

Cybersicherheits-Audit für OT- und industrielle Systeme

Für Industrieunternehmen, Energieversorger und kritische Infrastrukturen sind Operational Technology (OT)-Systeme — Steuerungssysteme für physische Prozesse (SCADA, ICS, DCS) — ein besonderes Sicherheitsthema. OT-Systeme wurden historisch ohne Sicherheitsfokus entwickelt (Verfügbarkeit hatte Priorität vor Vertraulichkeit und Integrität) und sind heute zunehmend mit IT-Netzen verbunden.

Ein OT-Cybersicherheits-Audit bewertet: Netzwerksegmentierung zwischen IT und OT (ein physisch getrenntes oder logisch segmentiertes OT-Netz ist der Standard); Fernzugang zu OT-Systemen (häufig der Einstiegspunkt für Angreifer); Patch-Management für OT-Geräte (oft mit langen Lebenszyklen und fehlender Update-Möglichkeit); physischer Zugang zu Steuerungsanlagen; und Incident-Response-Pläne, die speziell OT-Szenarien abdecken.

NIS2 gilt für Betreiber kritischer Infrastrukturen in Spanien — Energie, Wasser, Transport, Gesundheit. Diese Unternehmen sind verpflichtet, ihre OT-Sicherheit auf einem Standard zu halten, der dem NIS2 Art. 21-Standard entspricht. Wir führen OT-Sicherheitsaudits in Koordination mit spezialisierten ICS/SCADA-Sicherheitsexperten durch.

Langfristige Partnerschaft: Kontinuierliche Verbesserung der Sicherheitslage

Ein Cybersicherheits-Audit ist kein einmaliges Projekt, sondern der Beginn eines kontinuierlichen Verbesserungsprozesses. Unsere langfristigen Mandanten erfahren, wie sich ihre Sicherheitslage über die Jahre verbessert: Die erste Prüfung identifiziert fundamentale Schwachstellen, die zweite zeigt die Wirksamkeit der Sanierungsmaßnahmen, und die dritte und folgende Prüfungen konzentrieren sich auf die Optimierung und neue Bedrohungsvektoren.

Diese Kontinuität ist auch für ISO 27001-Zertifizierungen kritisch: Die Zertifizierungsstelle prüft nicht nur beim ersten Zertifizierungsaudit, sondern führt jährliche Überwachungsaudits (Surveillance Audits) und alle 3 Jahre einen vollständigen Rezertifizierungsaudit durch. Eine kontinuierliche Audit-Partnerschaft stellt sicher, dass das Unternehmen diese Audits nicht jedes Mal von Grund auf vorbereiten muss.

Unternehmensgrößen-Segmentierung: Maßgeschneiderte Audit-Tiefe

Kleinstunternehmen und Startups (bis 20 Mitarbeiter): Ein schlankes Basis-Audit deckt die wichtigsten Sicherheitsrisiken ab — Zugangskontrolle, E-Mail-Sicherheit, Backup, Grundsicherheit der Web-Anwendungen. Typische Kosten: 3.500–8.000 EUR. Für Unternehmen ohne eigenes IT-Personal empfehlen wir kombinierte Audit- und Beratungspakete, die konkrete Abhilfemaßnahmen mit Schritt-für-Schritt-Anleitungen beinhalten.

Mittelständische Unternehmen (20–200 Mitarbeiter): Ein vollständiger Sicherheits-Audit umfasst Netzwerkarchitektur, privilegierte Zugänge, Endgeräte-Management, Anwendungssicherheit, Lieferantenrisiken und Business-Continuity-Planung. Typische Kosten: 12.000–35.000 EUR. Bei regulatorischen Anforderungen (NIS2, ENS, DSGVO) wird das Audit auf den spezifischen Compliance-Rahmen ausgerichtet.

Große Unternehmen (200+ Mitarbeiter): Umfassendes Sicherheits-Audit mit vollständigem Scope: alle IT-Systeme, OT-Systeme wo vorhanden, Red-Team-Übungen, Social-Engineering-Tests, umfassendes Penetration Testing und Incident-Response-Simulation. Typische Kosten: 40.000–80.000 EUR. Für börsennotierte Unternehmen oder Unternehmen unter erhöhter regulatorischer Kontrolle empfehlen wir externe Zertifizierungen (ISO 27001, ENS) als Ergebnis des Audits.

Kostentransparenz: Honorarstruktur für Cybersicherheits-Audits

Cybersicherheits-Audits sind in ihrer Komplexität schwer pauschal zu bepreisen — entscheidend sind Scope, Systeme und regulatorische Anforderungen. Typische Orientierungspunkte:

Basis-Compliance-Check (DSGVO Art. 32 / NIS2-Basis): 4.000–8.000 EUR. Dokumentenanalyse, Policy-Review, Interview-basierte Bewertung. Kein technisches Testing. Geeignet für KMU ohne eigene IT-Abteilung, die eine schnelle Compliance-Standortbestimmung benötigen.

Standard Cybersicherheits-Audit (KMU, vollständig): 10.000–25.000 EUR. Umfasst technische Tests, Schwachstellen-Scanning, Penetrationstest und vollständigen Compliance-Gap-Report.

Enterprise Security Audit: 30.000–80.000 EUR. Vollständiger Scope, Red Team, OT-Komponenten, mehrere Standorte. Typisch für kritische Infrastrukturen und börsennotierte Gesellschaften.

Kontinuierliches Monitoring-Retainer: 800–2.500 EUR/Monat. Schwachstellen-Scanning, vierteljährliche Reviews, Incident-Response-Bereitschaft und regulatorische Update-Briefings.