Wie häufig sollte ein Cybersicherheits-Audit durchgeführt werden?

Compliance-Audit: mindestens jährlich (verpflichtend zum Erhalt einer ISO-27001- oder ENS-Zertifizierung). Schwachstellenbewertung: vierteljährlich in dynamischen Umgebungen, halbjährlich in stabilen Umgebungen. Pentesting: jährlich und nach jeder wesentlichen Infrastrukturänderung. Simuliertes Phishing: vierteljährlich. Zusätzlich: nach jedem bestätigten Sicherheitsvorfall.

Cybersicherheits-Audit · Vollständige Bewertung KMU

Q: Was ist ein Cybersicherheits-Audit und wozu dient es?

Es ist eine systematische Bewertung des Sicherheitsniveaus einer Organisation, die Dokumentenprüfung, technische Schwachstellenanalyse, Pentesting und Social Engineering kombiniert. Es dient dazu, die reale Sicherheitslage zu kennen, Investitionen zu priorisieren, regulatorische Pflichten zu erfüllen (ENS, ISO 27001, DSGVO, NIS2) und Zertifizierungen vorzubereiten. Das Ergebnis ist ein Managementbericht mit priorisierten Risiken und Behebungsplan.

Q: Was kostet ein Cybersicherheits-Audit in Spanien?

Für ein KMU mit 10-50 Beschäftigten: 3.000-15.000 € je nach Umfang. Dokumentenaudit ISO 27001/ENS: 3.000-6.000 €. Technische Bewertung mit Scanning: 2.500-5.500 €. Externes Pentesting Black Box: 2.500-6.000 €. Internes Pentesting Grey Box: 4.500-10.000 €. OSINT- und Social-Engineering-Audit mit simuliertem Phishing: 1.800-4.500 €. Integratives Audit-Paket: 8.000-15.000 €.

Q: Was ist OSINT und warum gehört es in ein Audit?

OSINT (Open Source Intelligence) ist das Sammeln öffentlich verfügbarer Informationen über die Organisation: exponierte Domains und Subdomains, in historischen Datenlecks geleakte E-Mail-Adressen, ausnutzbare Profile von Schlüsselpersonen auf LinkedIn, in Foren geleakte Zugangsdaten, Metadaten öffentlicher Dokumente. Es gehört in das Audit, weil es das Erste ist, was ein realer Angreifer vor jeder technischen Aktion tut.

Q: Wie werden Schwachstellen im Bericht priorisiert?

Mittels CVSS v3.1 (Common Vulnerability Scoring System) mit vier Stufen: Kritisch (9,0-10,0), Hoch (7,0-8,9), Mittel (4,0-6,9) und Niedrig (0,1-3,9). Die Priorisierung kombiniert die CVSS-Schwere mit dem Geschäftskontext (betroffenes Asset, Internetexposition, betroffene personenbezogene Daten, Asset-Wert).

Cybersicherheit · Audit

Ein Cybersicherheits-Audit bewertet technische und organisatorische Kontrollen mittels Pentesting, OSINT und Schwachstellenanalyse. KMU-Kosten: 3.000-15.000 €.

Die meisten Unternehmen wissen nicht, wie verwundbar sie sind, bis sie einen Angriff erleiden. Ein Cybersicherheits-Audit liefert Ihnen diese Momentaufnahme, bevor es zu spät ist: Es zeigt Ihnen genau, wo Ihre Schwachstellen liegen, welche ausnutzbar sind, welche Auswirkung ein erfolgreicher Angriff hätte und was Sie zuerst tun müssen, um das Risiko auf ein akzeptables Niveau zu senken. Es ist kein Luxus: Es ist die rentabelste Sicherheitsinvestition, die Sie tätigen können, weil sie Ihre begrenzten Ressourcen dorthin lenkt, wo sie am nötigsten sind. Wenn Sie das gesamte Spektrum der Cybersicherheitsdienste verstehen möchten, lesen Sie den Artikel zur Cybersicherheitsberatung für Unternehmen.

Arten von Cybersicherheits-Audits

Compliance-Audit

Bewertet, ob Ihre Organisation einen normativen Rahmen oder spezifischen Standard erfüllt: ENS (spanisches nationales Sicherheitsrahmenwerk), ISO 27001, DSGVO, NIS2, PCI DSS. Der Auditor prüft Existenz und Wirksamkeit der von der Norm geforderten Kontrollen, identifiziert die Compliance-Lücken und liefert einen Anpassungsplan.

Es ist das geeignetste Audit, wenn Sie eine spezifische regulatorische Pflicht zu erfüllen haben, wenn Sie sich auf eine Zertifizierung vorbereiten oder einem Kunden oder einer Ausschreibung nachweisen müssen, dass Sie bestimmte Sicherheitsanforderungen erfüllen.

Technisches Audit (Schwachstellenbewertung)

Nutzt automatisierte Werkzeuge und manuelle Techniken, um Schwachstellen in Ihren Systemen, Anwendungen, Netzwerken und Konfigurationen zu identifizieren. Es scannt offene Ports, exponierte Dienste, Softwareversionen mit bekannten Schwachstellen, unsichere Konfigurationen und schwache Passwörter.

Die Schwachstellenbewertung liefert ein vollständiges Inventar der technischen Schwächen Ihrer Infrastruktur, priorisiert nach Schwere (kritisch, hoch, mittel, niedrig) gemäß Standards wie CVSS (Common Vulnerability Scoring System).

Penetrationstest (Pentesting)

Das Pentesting geht einen Schritt weiter: Es simuliert einen realen Angriff, um festzustellen, ob die identifizierten Schwachstellen tatsächlich ausnutzbar sind und welche Auswirkung ihre Ausnutzung hätte. Es gibt drei Modalitäten je nach den dem Pentesting-Team zur Verfügung gestellten Informationen.

In der Modalität Black Box kennt der Pentester nur den Firmennamen und die öffentlichen Domains. Er simuliert einen externen Angreifer ohne Insiderwissen. Bei Grey Box werden Teilinformationen wie Standard-Benutzerzugangsdaten, Netzwerkdiagramme oder Anwendungslisten bereitgestellt. White Box bietet vollständigen Zugang zu technischer Dokumentation, Quellcode und privilegierten Zugangsdaten. Sie ist die erschöpfendste Modalität und identifiziert die meisten Schwachstellen.

Die Wahl der Modalität hängt von Ihrem Ziel ab. Black Box, wenn Sie wissen möchten, was ein externer Angreifer mit begrenzten Mitteln tun kann. White Box für eine erschöpfende Bewertung aller möglichen Schwachstellen. Grey Box ist der häufigste Mittelweg für KMU.

Social-Engineering-Audit

Bewertet die Widerstandsfähigkeit Ihrer Organisation gegen Angriffe der menschlichen Manipulation. Es umfasst simulierte Phishing-Kampagnen (Versand von E-Mails, die Mitarbeitende täuschen sollen, damit sie Zugangsdaten preisgeben oder Schadsoftware ausführen), Vishing (simulierte Telefonanrufe zur Erlangung vertraulicher Informationen) und physische Zugangstests (Versuche, über Pretexting in eingeschränkte Räumlichkeiten zu gelangen).

Dieses Audit ist besonders wertvoll, weil der Faktor Mensch laut Berichten von INCIBE und ENISA für 95 % der Sicherheitsvorfälle verantwortlich ist und nicht allein mit Technologie eingegrenzt werden kann.

Was ist OSINT und warum gehört es in ein professionelles Audit?

OSINT (Open Source Intelligence) ist die Disziplin, Informationen über das Ziel aus offenen Quellen zu sammeln: dieselbe Aufklärungsarbeit, die ein realer Angreifer vor der technischen Phase leistet. Ein seriöses Audit umfasst eine OSINT-Phase als Schritt 0, denn ohne diese Karte greift das technische Pentesting zu kurz. Die kritischsten OSINT-Befunde in spanischen KMU sind üblicherweise:

Geleakte Zugangsdaten: Unternehmens-E-Mails mit in historischen Datenlecks (Collection #1, RockYou2024 u. a.) exponierten Passwörtern, abrufbar über Have I Been Pwned oder Dehashed.
Vergessene Subdomains: alte Panels, Testserver, veraltete Installationen, indexiert über Google Dorks, Shodan oder Censys.
Metadaten öffentlicher Dokumente: auf der Unternehmenswebsite hochgeladene PDF- und Office-Dateien, die Benutzernamen, interne Pfade, Software und Versionen preisgeben.
Ausnutzbare LinkedIn-Profile: Finanzleitung, IT-Verantwortliche, Vertriebspersonal mit ausreichenden Daten für ein glaubwürdiges Spear-Phishing.
Exponierte Dienste: RDP, SMB, Datenbanken ohne Authentifizierung, aus dem Internet erreichbare Administrationspanels.

Der OSINT-Bericht liefert konkrete Evidenz (Screenshots, URLs, Daten) und ermöglicht es, den Großteil der Angriffsfläche zu schließen, bevor teurere technische Kontrollen folgen.

Ablauf eines professionellen Cybersicherheits-Audits

Phase Scoping und Planung

Vor Beginn des Audits werden der Anwendungsbereich (welche Systeme, Netzwerke, Anwendungen und Standorte einbezogen werden), die Modalität (Compliance, technisch, Pentesting oder kombiniert), die Regeln des Engagements (was während der Tests erlaubt ist und was nicht), der Zeitplan (Daten, Zeiten, Dauer) und die Notfallkontakte (falls die Tests einen Vorfall auslösen) festgelegt.

Diese Phase ist entscheidend, um Überraschungen zu vermeiden. Ein Pentesting ohne klare Engagement-Regeln kann ungewollte Dienstausfälle auslösen.

Ausführungsphase

Das Audit-Team führt die Tests gemäß dem vereinbarten Plan durch. Während der Ausführung hält es Kontakt zum benannten Ansprechpartner des Unternehmens, um über kritische Befunde zu informieren, die sofortiges Handeln erfordern. Wird eine Schwachstelle entdeckt, die von einem realen Angreifer aktiv ausgenutzt wird, wird dies unverzüglich gemeldet.

Analyse- und Reporting-Phase

Das Team erstellt einen Bericht mit einer Executive Summary für die Geschäftsleitung (Gesamtrisiko, potenzielle Auswirkung, Hauptempfehlungen), einem detaillierten technischen Bericht zu jeder gefundenen Schwachstelle (Beschreibung, Schwere, Evidenz, Behebungsempfehlung), einer risikobasierten Priorisierung und einem Behebungsplan mit Maßnahmen, Verantwortlichen und vorgeschlagenen Fristen.

Nachverfolgungsphase

Ein gutes Audit umfasst eine spätere Überprüfung (Re-Test), um zu bestätigen, dass die kritischen und hohen Schwachstellen behoben wurden. Diese Überprüfung erfolgt üblicherweise 30 bis 90 Tage nach Übergabe des Berichts.

Wie häufig sind Audits durchzuführen?

Die Häufigkeit hängt vom Risikoniveau Ihrer Organisation und von den regulatorischen Pflichten ab. Als allgemeine Referenz sollte das Compliance-Audit mindestens jährlich durchgeführt werden (und stets vor den Zertifizierungsaudits ISO 27001 oder ENS). Die Schwachstellenbewertung sollte mindestens vierteljährlich für dynamische Umgebungen und halbjährlich für stabile Umgebungen erfolgen. Das Pentesting sollte jährlich und stets nach wesentlichen Infrastrukturänderungen durchgeführt werden. Und simulierte Phishing-Kampagnen sollten mindestens vierteljährlich erfolgen, um die Wachsamkeit des Teams aufrechtzuerhalten.

Preistabelle 2026 · Cybersicherheits-Audit für KMU

Audit-Typ	KMU 10-30 Besch.	KMU 30-60 Besch.	Dauer
Dokumentenaudit ISO 27001 / ENS	3.000-4.500 €	4.500-6.000 €	2-4 Wochen
Technische Schwachstellenbewertung	2.500-4.000 €	4.000-5.500 €	1-3 Wochen
Unternehmens-OSINT	1.200-2.000 €	2.000-3.500 €	1-2 Wochen
Externes Pentesting (Black Box)	2.500-4.500 €	4.500-6.000 €	2-4 Wochen
Internes Pentesting (Grey Box)	4.500-7.500 €	7.500-10.000 €	3-5 Wochen
Social-Engineering-Audit + simuliertes Phishing	1.800-3.000 €	3.000-4.500 €	3-4 Wochen
Integratives Paket (OSINT + technisch + Pentest + Social Engineering)	8.000-12.000 €	12.000-15.000 €	6-8 Wochen
Nachfolgender Re-Test (Behebungsprüfung)	600-1.000 €	1.000-1.800 €	3-5 Tage

Kosten und Finanzierung des Audits

Ein vollständiges Cybersicherheits-Audit (Compliance + technische Bewertung + Basis-Pentesting) für ein KMU mit 10 bis 50 Beschäftigten liegt zwischen 4.000 und 12.000 Euro, abhängig von der Komplexität der Umgebung und der Testtiefe. Diese Kosten können über das Kit Consulting in der Kategorie Cybersicherheit (die Sicherheitsdiagnose ist ein gefordertes Ergebnis) oder über regionale Förderungen wie DigitalICE in Castilla y León (ARGOS-Linie für Cybersicherheit) oder die Innobonos auf den Kanaren finanziert werden.

Lesen Sie den Artikel zum Cybersicherheitsplan für KMU für die Maßnahmen, die Sie nach dem Audit umsetzen sollten.

Reales Beispiel: integratives Audit in einem Automobilzulieferer in Burgos

Ein Industrieunternehmen der Automobilbranche mit 60 Beschäftigten und Produktionswerk in Burgos beauftragte ein integratives Audit, bevor es einen Tier-2-Vertrag mit einem europäischen Hersteller unterzeichnete, der Nachweise zur Cybersicherheitsreife verlangte. Das Werk verfügte über ein OT-Netz (Operational Technology) mit 12 Jahre alten SPS, Büros im Windows-Unternehmensnetz, ohne Segmentierung zwischen beiden.

Projekt durchgeführt in 8 Wochen mit einem Gesamtbudget von 8.500 € (OSINT 1.500 € + technische Bewertung 2.200 € + internes Pentesting Grey Box 3.500 € + simuliertes Phishing an 60 Beschäftigte 1.300 €). Ergebnisse:

17 entdeckte Schwachstellen, verteilt auf: 3 Kritische, 6 Hohe, 7 Mittlere und 1 Niedrige (CVSS-v3.1-Klassifizierung).
Kritischer Befund #1: SCADA-Verwaltungspanel aus dem Büronetz ohne zusätzliche Authentifizierung erreichbar (CVSS 9,6).
Kritischer Befund #2: SMBv1 auf 8 Dateiservern aktiv (anfällig für EternalBlue, CVSS 9,3).
Kritischer Befund #3: Zugangsdaten der Finanzleitung in einem LinkedIn-Datenleck 2021 ohne Rotation geleakt (CVSS 9,1).
Simuliertes Phishing: 22 % Klickrate, 9 % preisgegebene Zugangsdaten (von 60 Beschäftigten).
OSINT entdeckte 4 vergessene Subdomains, eine mit ungepatchtem Magento-Administrationspanel von 2019.

Auf 90 Tage priorisierter Behebungsplan: VLAN-Segmentierung OT/IT mit Industrial Firewall Stormshield, Deaktivierung von SMBv1 und Aktualisierung auf SMBv3, Rotation der Zugangsdaten mit Unternehmens-Passwortmanager und verpflichtender MFA, Entfernung veralteter Subdomains und vierteljährliche Anti-Phishing-Schulung. Der direkte ROI wurde über die Vermeidung eines Vorfalls berechnet: Die geschätzten Kosten eines 5-tägigen Produktionsstillstands durch Ransomware wurden auf 250.000 € beziffert, gegenüber einer Investition von 8.500 € in das Audit plus 18.000 € in die Behebung. ROI durch Vermeidung: 8,3x.

Mini-Glossar zum Cybersicherheits-Audit

CVSS v3.1: Common Vulnerability Scoring System · Standard mit Skala 0-10 zur Klassifizierung der Schwachstellenschwere.
CVE: Common Vulnerabilities and Exposures · weltweit eindeutiger Bezeichner jeder bekannten Schwachstelle.
OSINT: Open Source Intelligence · aus öffentlichen Quellen gewonnene Erkenntnisse.
Pentest: Penetration Test · Test, der einen realen Angriff simuliert, um die Ausnutzbarkeit zu validieren.
Black / Grey / White Box: Stufen der dem Auditor zur Verfügung gestellten Informationen (keine / teilweise / vollständig).
OT / IT: Operational Technology / Information Technology · Produktions- vs. Büronetze.
Re-Test: Überprüfung nach der Behebung zur Bestätigung des Schwachstellen-Schlusses.
OWASP Top 10: Top 10 der Web-Schwachstellen, gepflegt von der OWASP-Stiftung.

Möchten Sie das reale Sicherheitsniveau Ihres Unternehmens kennen? Sprechen wir über ein vollständiges Cybersicherheits-Audit, das Ihnen genau zeigt, wo Ihre Schwachstellen liegen und was zu tun ist.

Autor: Ángel Ortega Castro · unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU mit Sitz in Aranda de Duero (Burgos).

Häufig gestellte Fragen

Was ist ein Cybersicherheits-Audit und wozu dient es?

Systematische Bewertung, die Dokumentenprüfung, technische Analyse, Pentesting und Social Engineering kombiniert. Sie dient dazu, die reale Sicherheitslage zu kennen, Investitionen zu priorisieren und regulatorische Pflichten zu erfüllen (ENS, ISO 27001, DSGVO, NIS2).

Was kostet ein Cybersicherheits-Audit in Spanien?

KMU 10-50 Beschäftigte: 3.000-15.000 €. Dokumentenaudit 3.000-6.000 €. Technisch 2.500-5.500 €. Externes Pentest 2.500-6.000 €. Internes Pentest 4.500-10.000 €. Integratives Paket 8.000-15.000 €.

Was unterscheidet Compliance-Audit, Schwachstellenbewertung und Pentesting?

Das Compliance-Audit prüft formale Kontrollen gegen eine Norm. Die Schwachstellenbewertung scannt mit Werkzeugen, um Schwächen aufzulisten. Das Pentesting simuliert einen realen Angriff und nutzt Schwachstellen aus, um die Auswirkung zu zeigen. Die drei ergänzen sich.

Wie häufig sollte es durchgeführt werden?

Compliance jährlich. Schwachstellenbewertung viertel- oder halbjährlich. Pentesting jährlich und nach wesentlichen Änderungen. Simuliertes Phishing vierteljährlich. Zusätzlich nach jedem bestätigten Vorfall.

Was ist OSINT und warum gehört es in ein Audit?

Sammeln öffentlicher Informationen über die Organisation: vergessene Subdomains, in Datenlecks geleakte Zugangsdaten, Dokumentenmetadaten, ausnutzbare Profile. Es ist das Erste, was ein realer Angreifer vor der technischen Phase tut.

Wie werden Schwachstellen im Bericht priorisiert?

Mittels CVSS v3.1 (Kritisch 9,0-10,0, Hoch 7,0-8,9, Mittel 4,0-6,9, Niedrig 0,1-3,9) kombiniert mit dem Geschäftskontext (Exposition, Kritikalität des Assets, personenbezogene Daten).

Brauchen Sie Unterstützung dabei?

Arbeiten Sie mit mir am Audit und Cybersicherheitsplan

Integratives Audit OSINT + technisch + Pentesting + Social Engineering für KMU. Erstgespräch kostenfrei.

Termin vereinbaren →

Cybersicherheits-Audit · Vollständige Bewertung