Penetrationstest oder Security Audit: Was braucht Ihr Unternehmen wirklich?
Pentest oder Audit? Viele Unternehmen in der Schweiz und DACH stehen vor dieser Entscheidung. Dieser Artikel klärt den Unterschied, zeigt wann welche Prüfung sinnvoll ist und gibt konkrete Szenarien für verschiedene Branchen — inklusive Kostenvergleich.
IT-Sicherheit ist kein Luxus mehr, sondern eine Überlebensfrage. Doch bevor Unternehmen in Sicherheitsprüfungen investieren, stellen sie sich eine fundamentale Frage: Brauchen wir einen Penetrationstest oder ein Security Audit? Die Antwort ist entscheidend für Budget, Ergebnis und regulatorische Konformität. Denn Pentest und Audit sind nicht dasselbe — sie ergänzen sich, aber sie haben unterschiedliche Ziele, Methoden und Ergebnisse.
Was ist ein Penetrationstest?
Ein Penetrationstest (Pentest) ist eine technische, simulierte Cyberattacke auf Ihre IT-Systeme. Ein Pentester (Ethical Hacker) versucht, Schwachstellen auszunutzen, Zugriff zu erlangen und Daten zu stehlen — genau wie ein echter Angreifer. Das Ziel ist nicht nur, Schwachstellen zu finden, sondern zu beweisen, dass sie ausnutzbar sind.
Typische Pentest-Arten sind:
- Web-Application-Pentest: Prüfung von Webanwendungen auf OWASP Top 10, Injection, XSS, Broken Authentication.
- Netzwerk-Pentest: Prüfung von Firewalls, Servern, Active Directory, internen Netzwerken.
- API-Pentest: Sicherheitsprüfung von REST, GraphQL und SOAP-Schnittstellen.
- Social Engineering: Phishing-Simulationen, Vishing-Anrufe, physische Penetrationstests.
- Mobile-App-Pentest: Prüfung von iOS- und Android-Apps auf Datenschutz und Sicherheit.
- Red Teaming: Komplexe, mehrwöchige Angriffssimulation mit dem Ziel, spezifische Objekte zu erreichen.
Ein Pentest dauert typischerweise 3-15 Tage, abhängig vom Scope und der Komplexität. Das Ergebnis ist ein technischer Bericht mit nachweisbaren Schwachstellen, Exploit-Beweisen und konkreten Empfehlungen.
Was ist ein Security Audit?
Ein Security Audit ist eine systematische, unabhängige und dokumentierte Untersuchung Ihres Information Security Management Systems (ISMS). Es prüft Prozesse, Organisation, Dokumentation und Compliance — nicht primär die Technik. Auditoren fragen nach Verfahren, nicht nach Exploits.
Typische Audit-Arten sind:
- ISO 27001 Audit: Prüfung des ISMS gegen den internationalen Standard.
- ISMS-Audit (generisch): Status-Prüfung des Informationssicherheits-Managements unabhängig vom Standard.
- Datenschutz-Audit (nDSG/DSGVO): Prüfung von Verarbeitungsverzeichnis, TOMs, Datenschutzfolgenabschätzung.
- NIS2 / KRITIS Audit: Regulatorische Compliance-Prüfung für kritische Infrastrukturen.
- BSI IT-Grundschutz Audit: Baustein-basierte Prüfung nach deutschem Standard.
- FINMA / VAIT Audit: Branchenspezifische Prüfung für Finanzdienstleister.
Ein Audit dauert typischerweise 1-5 Tage, abhängig vom Scope. Das Ergebnis ist ein Management-Bericht mit Compliance-Status, Lücken, Risiken und Massnahmenplan.
Der entscheidende Unterschied: Technik vs. Prozess
| Kriterium | Penetrationstest | Security Audit |
|---|---|---|
| Ziel | Technische Schwachstellen finden und ausnutzen | Prozesse, Organisation und Compliance prüfen |
| Methode | Simulierter Angriff (aktiv) | Dokumentenprüfung, Interviews, Stichproben (passiv) |
| Ergebnis | Exploit-Bericht mit technischen Details | Compliance-Bericht mit Massnahmenplan |
| Zielgruppe | IT-Teams, CISO, Entwickler | Management, Aufsichtsrat, Regulatoren |
| Preis (CH) | CHF 1'800 – 15'000 | CHF 1'400 – 3'200 |
| Häufigkeit | 1-2x pro Jahr | 1x pro Jahr (Surveillance) |
| Regulatorik | Oft empfohlen, selten verpflichtend | Oft verpflichtend (ISO 27001, FINMA, NIS2) |
Der entscheidende Unterschied lässt sich auf einen Satz reduzieren: Ein Pentest zeigt, dass Ihre Türen aufgebrochen werden können. Ein Audit zeigt, dass Sie kein Schloss-Wechsel-Verfahren haben.
Entscheidungsmatrix: Was braucht mein Unternehmen?
Die Wahl zwischen Pentest und Audit hängt von vier Faktoren ab: Ihrer Branche, Ihrem Reifegrad, Ihren regulatorischen Pflichten und Ihren technischen Risiken. Hier ist eine Entscheidungsmatrix:
| Situation | Empfohlene Prüfung | Priorität |
|---|---|---|
| Sie haben keine ISO 27001, kein ISMS | ISMS-Gap-Analyse + Pentest | Hoch |
| Sie wollen ISO 27001 zertifizieren | ISO 27001 Gap + internes Audit | Hoch |
| Sie haben verdächtige Aktivitäten im Netzwerk | Incident Response + Pentest | Sehr hoch |
| Sie müssen FINMA-konform sein | FINMA-Audit + Netzwerk-Pentest | Hoch |
| Sie entwickeln Webanwendungen für Kunden | Web-App-Pentest + ISMS-Audit | Hoch |
| Sie verarbeiten Kreditkartendaten | PCI DSS Audit + Pentest | Sehr hoch |
| Sie sind unter NIS2 / KRITIS fallend | NIS2-Audit + Pentest | Sehr hoch |
| Sie wollen Cyber-Versicherung abschliessen | Pentest + ISMS-Audit | Mittel |
Szenario A: SaaS-Startup (20 Mitarbeiter, CH-basiert)
Ausgangslage: Ein Schweizer SaaS-Startup bietet eine Projektmanagement-Software für europäische Kunden an. Die Kunden sind grössere Unternehmen, die bei Onboarding Sicherheitsfragebögen ausfüllen müssen.
Empfohlene Prüfung:
- Web-Application-Pentest (CHF 2'500-4'000): Die Kunden vertrauen der Plattform ihre Projektdaten an. Ein Pentest beweist, dass die Anwendung sicher ist — das verkürzt den Sales-Cycle um Wochen.
- ISO 27001 Gap-Analyse (CHF 1'400): Enterprise-Kunden verlangen zunehmend ISO 27001. Die Gap-Analyse zeigt, was fehlt, ohne dass das Startup sofort in eine teure Zertifizierung investieren muss.
- API-Pentest (CHF 2'000-3'500): Wenn die Plattform öffentliche APIs anbietet, ist dies essenziell.
Ergebnis: Das Startup kann den Sicherheitsfragebogen mit Pentest-Bericht und Gap-Analyse beantworten, gewinnt Kunden schneller und hat eine Roadmap zur ISO 27001. Gesamtkosten: CHF 4'000-8'000.
Szenario B: Mittelständische Produktion (150 Mitarbeiter, DACH)
Ausgangslage: Ein produzierendes Mittelstandsunternehmen in der Schweiz mit IT in Deutschland. OT-Netzwerk (SCADA) für Fertigungslinien, Office-IT für Verwaltung, kein ISMS, keine Zertifizierung.
Empfohlene Prüfung:
- ISMS-Gap-Analyse (CHF 1'400-3'200): Das Unternehmen hat kein systematisches Security-Management. Die Gap-Analyse zeigt, wo Prozesse fehlen.
- Netzwerk-Pentest (CHF 4'000-8'000): Trennung von OT und IT prüfen, Firewall-Regeln testen, Active Directory auf Schwachstellen untersuchen.
- ICS/OT-Pentest (CHF 5'000-10'000): Individuelle Prüfung der industriellen Steuerungssysteme ohne Betriebsunterbrechung.
Ergebnis: Das Unternehmen erkennt, dass IT und OT nicht ausreichend getrennt sind, und erhält einen Massnahmenplan für die nächsten 12 Monate. Gesamtkosten: CHF 10'000-19'000.
Szenario C: Finanzdienstleister (80 Mitarbeiter, Zürich)
Ausgangslage: Ein Schweizer Fintech mit FINMA-Lizenz, ISO 27001 seit 2 Jahren, aktuelles Zertifikat. Der CISO möchte die Sicherheit überprüfen lassen.
Empfohlene Prüfung:
- Internes ISO 27001 Audit (CHF 1'400-3'200): Vorbereitung auf das bevorstehende Surveillance Audit der Zertifizierungsstelle.
- Red Teaming (CHF 8'000-15'000): Komplexe Angriffssimulation auf die gesamte Organisation — von Phishing bis physischem Zutritt. Zeigt Schwächen, die Pentests und Audits nicht finden.
- FINMA-Audit (CHF 1'400-3'200): Prüfung der FINMA-Rundschreiben 2018/3, speziell Outsourcing, Cloud-Nutzung und Notfallpläne.
Ergebnis: Das Fintech ist für das Surveillance Audit vorbereitet, hat nachweisbare Resilience gegen realistische Angriffe und erfüllt FINMA-Erwartungen. Gesamtkosten: CHF 12'000-22'000.
Kombination: Warum beides zusammen sinnvoll ist
Pentest und Audit sind keine Alternativen — sie sind komplementär. Ein Audit ohne Pentest kann technische Schwachstellen übersehen, die das ISMS untergraben. Ein Pentest ohne Audit findet zwar Lücken, aber keine strukturellen Ursachen (warum gibt es diese Lücken? wer ist verantwortlich? wie werden sie verhindert?).
Die optimale Strategie für die meisten Schweizer Unternehmen ist:
- Jährlich: Ein Security Audit (ISO 27001 Surveillance, ISMS-Review oder regulatorisches Audit).
- Halbjährlich oder jährlich: Ein Penetrationstest (rotierend: Web-App, Netzwerk, API, Social Engineering).
- Bei grossen Änderungen: Pentest nach Major Releases, nach Netzwerk-Umbauten oder bei Verdacht auf Kompromittierung.
Diese Kombination deckt sowohl die regulatorischen Anforderungen (Audit) als auch die realen Bedrohungen (Pentest) ab. Sie ist auch kosteneffizienter als reaktive Massnahmen nach einem erfolgreichen Angriff.
Kostenvergleich: Pentest vs. Audit in der Schweiz
| Leistung | CHF (Schweiz) | Dauer |
|---|---|---|
| Web-Application-Pentest | 2'500 – 5'000 | 3-5 Tage |
| Netzwerk-Pentest | 4'000 – 8'000 | 5-10 Tage |
| Social Engineering Test | 2'000 – 4'000 | 2-3 Tage |
| ISO 27001 Gap-Analyse | 1'400 – 3'000 | 1-2 Tage |
| ISMS-Audit | 1'400 – 3'200 | 2-3 Tage |
| Datenschutz-Audit (nDSG) | 1'400 – 3'200 | 2-4 Tage |
| NIS2 Audit | 1'400 – 3'200 | 3-5 Tage |
| Red Teaming | 8'000 – 20'000 | 10-20 Tage |
Die Preise variieren je nach Unternehmensgrösse, Komplexität und Detaillierungsgrad des Berichts. Festpreise sind bei Pentests üblich, bei Audits ebenfalls — verlangen Sie vor Auftragserteilung eine detaillierte Scope-Definition und ein verbindliches Angebot.
Häufige Fragen (FAQ)
Ist ein Pentest "besser" als ein Audit?
Nein. Sie sind unterschiedlich. Ein Pentest findet technische Lücken, ein Audit findet Prozess-Lücken. Ein Unternehmen mit perfekten Prozessen aber offenen Ports ist genauso verwundbar wie eines mit ausgefeilten Firewalls aber ohne Incident-Response-Plan. Beides ist nötig.
Kann ein Audit auch technische Tests enthalten?
Ja, aber in begrenztem Umfang. Ein ISO 27001 Audit prüft z.B., ob ein Pentest-Verfahren existiert und durchgeführt wurde — aber es ersetzt keinen Pentest. Einige Auditoren machen bei Stichproben technische Tests (z.B. Passwort-Stärke prüfen), aber das ist kein vollständiger Pentest.
Brauche ich beides gleichzeitig?
Nicht unbedingt "gleichzeitig", aber im selben Jahr. Viele Unternehmen starten mit einer Gap-Analyse (Audit), um zu wissen, wo sie stehen, und einem Pentest, um zu wissen, wo sie technisch angreifbar sind. Die Ergebnisse fliessen in einen gemeinsamen Massnahmenplan.
Wie oft sollte man einen Pentest machen?
Mindestens jährlich. Bei kritischen Systemen (Finanzen, Gesundheit, kritische Infrastruktur) halbjährlich oder sogar vierteljährlich. Nach grossen Änderungen (Neueinführung, Migration, Major Release) immer. NIS2 und FINMA erwarten regelmässige Tests.
Wer sollte den Pentest durchführen?
Externe, zertifizierte Pentester mit relevanten Zertifikaten (OSCP, CEH, GWAPT). Interne Teams können zu "Betriebsblind" sein. Wichtig: Der Pentester sollte keine anderen IT-Dienstleistungen für Sie erbringen — sonst besteht ein Interessenkonflikt.
Weiterführende Links
- Penetrationstest (Übersicht) — Alle Pentest-Leistungen im Detail
- ISO 27001 Audit — Zertifizierung und ISMS-Audits
- ISMS-Audit — Systematischer Aufbau eines Security-Managements
- NIS2 & KRITIS Audit — Regulatorische Prüfungen für kritische Infrastruktur
Unsicher, was Sie brauchen?
In einem kostenlosen Erstgespräch analysiere ich Ihre Situation und empfehle die passende Kombination aus Pentest und Audit — transparent und ohne Verkaufsdruck.
Kostenloses Erstgespräch vereinbaren