Montag, 08:14 Uhr. Ein Geschäftsführer eines Zürcher Ingenieurbüros mit 45 Mitarbeitenden öffnet seinen Laptop. Nichts funktioniert. Die Systeme sind verschlüsselt. Eine Lösegeldforderung von 180’000 CHF erscheint auf dem Bildschirm. Drei Tage später steht fest: Die Angreifer hatten seit sechs Wochen Zugriff auf alle Projektdaten, Kundenverträge und Finanzdaten.

Erst jetzt – zu spät – wird ein Cyber Security Berater hinzugezogen.

Dieses Szenario ist in der Schweiz keine Seltenheit mehr. Das Nationale Zentrum für Cybersicherheit (NCSC) verzeichnete in den letzten Jahren einen kontinuierlichen Anstieg gemeldeter Cybervorfälle. Die grosse Mehrheit der betroffenen Unternehmen hatte kein strukturiertes Sicherheitskonzept, keine regelmässigen Überprüfungen und keinen externen Ansprechpartner für IT-Sicherheit.

Dieser Leitfaden erklärt, was eine professionelle Cyber Security Beratung in der Schweiz konkret leistet, wie ein Beratungsprozess abläuft, was er kostet und wie Sie den richtigen Partner finden – bevor es zu spät ist.

1. Was ist Cyber Security Beratung – und was ist sie nicht?

Die häufigste Fehlvorstellung

Viele KMU-Verantwortliche denken bei Cyber Security Beratung an den IT-Support: Der Techniker kommt, installiert eine Firewall, aktiviert den Virenscanner und stellt eine Rechnung. Das ist IT-Betrieb – und hat mit strategischer Sicherheitsberatung wenig zu tun.

Cyber Security Beratung ist die systematische, unabhängige Analyse und Verbesserung der Informationssicherheit eines Unternehmens. Sie umfasst vier Dimensionen:

  • Technik – Welche Systeme, Netzwerke und Anwendungen sind im Einsatz, und wie angreifbar sind sie?
  • Prozesse – Wie werden Sicherheitsrichtlinien definiert, gelebt und kontrolliert?
  • Menschen – Wie sicherheitsbewusst sind die Mitarbeitenden? Wer hat auf was Zugriff?
  • Compliance – Welche gesetzlichen Anforderungen (revDSG, ISG-Meldepflicht, branchenspezifische Vorschriften) müssen erfüllt werden?

Ein guter Cyber Security Berater ist kein verlängerter Arm des IT-Dienstleisters. Er ist ein unabhängiger Prüfer und strategischer Partner – vergleichbar mit einem externen Finanzrevisor, nur für die IT-Sicherheit.

2. Warum externe Beratung? Der Betriebsblindheits-Effekt

Interne IT-Teams leisten ausgezeichnete Arbeit. Aber sie leiden unter einem strukturellen Problem: Betriebsblindheit. Wer täglich in denselben Systemen arbeitet, sieht bestimmte Risiken nicht mehr. Man weiss, dass das Backup-System seit drei Jahren nicht getestet wurde – aber irgendwie hat man es nie priorisiert. Man weiss, dass ehemalige Mitarbeitende theoretisch noch VPN-Zugriff haben könnten – aber es ist nie etwas passiert.

Dazu kommt ein zweites Problem: Interessenkonflikt. Eine interne IT-Abteilung kann schwerlich objektiv die eigene Arbeit beurteilen. Wenn ein interner Auditor einen kritischen Fehler findet, den er selbst verursacht hat, ist der Druck gross, diesen herunterzuspielen.

Ein externer Berater bringt drei Dinge mit, die intern strukturell schwierig sind: Unabhängigkeit, eine externe Perspektive aus Hunderten von Kundenprojekten – und keine politischen Rücksichten innerhalb der Organisation.

3. Die rechtliche Dimension: Wer haftet, wenn nichts getan wurde?

In der Schweiz ist die Frage der Haftung bei Cyberangriffen keine theoretische mehr. Mehrere Rechtsgrundlagen betreffen KMU direkt:

3.1 Das revidierte Datenschutzgesetz (revDSG) – Swiss Finish mit Biss

Seit dem 1. September 2023 ist das neue Datenschutzgesetz in Kraft. Was viele KMU-Verantwortliche nicht wissen: Bussen bis zu 250’000 CHF werden nicht gegen das Unternehmen verhängt – sondern gegen die natürliche Person, also den Geschäftsführer, den CISO oder den Verwaltungsrat persönlich. Wer nachweislich keine angemessenen technischen und organisatorischen Massnahmen (TOMs) getroffen hat, haftet privat.

Eine professionelle Cyber Security Beratung mit dokumentiertem Massnahmenplan ist die wichtigste Versicherungspolice gegen diese Haftung. Sie dokumentiert, dass Sie sorgfältig gehandelt haben.

3.2 ISG-Meldepflicht – die neue Pflicht für Betreiber kritischer Infrastrukturen

Das Informationssicherheitsgesetz (ISG) verpflichtet Betreiber kritischer Infrastrukturen seit 1. April 2025 zur Meldung erheblicher Cyberangriffe beim NCSC – innert 24 Stunden. Wer keine laufende Überwachung und keinen definierten Incident-Response-Prozess hat, wird diese Frist realistischerweise nicht einhalten können. Ein Cyber Security Berater hilft, diese Strukturen im Vorfeld aufzubauen.

3.3 Vertragsrecht und Drittparteien-Haftung

Immer häufiger fordern grosse Auftraggeber und Versicherungsgesellschaften den Nachweis eines definierten Sicherheitsniveaus als Vertragsvoraussetzung oder für den Abschluss einer Cyberversicherung. Ohne dokumentiertes Sicherheitskonzept und externe Validierung verlieren KMU Aufträge oder werden von Cyberversicherungen abgelehnt – bzw. mit drastisch höheren Prämien belastet.

4. Wie läuft eine Cyber Security Beratung ab? Die 5 Phasen

Ein professioneller Beratungsprozess folgt einem strukturierten Ablauf. Hier ist, was Sie erwarten können – und was Sie einfordern sollten:

Phase 1: Initialgespräch und Scope-Definition (Tag 1–3)

Der erste Schritt ist kein technisches Assessment, sondern ein strategisches Gespräch. Ein guter Berater fragt zuerst: Was schützen Sie? Was wären die schlimmsten Szenarien? Welche Compliance-Anforderungen gelten für Sie?

Aus diesen Antworten ergibt sich der Scope der Beratung: Werden alle Systeme geprüft oder nur das kritischste? Liegt der Fokus auf Technik, auf Prozessen, auf Compliance oder auf allem?

Was Sie einfordern sollten: Ein schriftliches Angebot mit klarem Scope, Lieferobjekten und Zeitplan – bevor ein Berater Zugriff auf irgendetwas bekommt.

Phase 2: Ist-Analyse und Gap-Assessment (Woche 1–2)

Jetzt wird geprüft. Das Instrument der Wahl ist das Gap-Assessment: Der Ist-Zustand Ihrer Sicherheit wird mit einem definierten Soll-Standard verglichen – typischerweise dem NIST Cybersecurity Framework, ISO 27001 oder dem IKT-Minimalstandard des Bundes.

Konkret werden u.a. folgende Bereiche analysiert:

  • Netzwerksegmentierung und Firewall-Regeln
  • Identity & Access Management (Wer hat auf was Zugriff? Gibt es Accounts ehemaliger Mitarbeitender?)
  • Backup-Strategie und Wiederherstellungstests (3-2-1-Regel)
  • Patchmanagement (Wie aktuell sind Betriebssysteme und Applikationen?)
  • E-Mail-Sicherheit (SPF, DKIM, DMARC konfiguriert?)
  • Mitarbeitende-Awareness (Gibt es Schulungen? Phishing-Tests?)
  • Physische Sicherheit (Wer hat Zugang zum Serverraum?)
  • Dokumentation und Richtlinien (Existiert eine IT-Sicherheitsrichtlinie?)

Was Sie einfordern sollten: Eine nachvollziehbare Methodik, welcher Standard als Referenz verwendet wird und warum.

Phase 3: Risikobewertung und Priorisierung (Woche 2–3)

Kein Unternehmen kann alle Schwachstellen gleichzeitig beheben. Der Berater bewertet jedes gefundene Problem nach zwei Dimensionen: Eintrittswahrscheinlichkeit und Schadensausmass. Das Ergebnis ist eine Risikolandkarte:

  • Kritisch (sofortiger Handlungsbedarf): z.B. ungeschützter RDP-Zugang zum Internet
  • Hoch (Behebung innerhalb 30 Tage): z.B. fehlende MFA auf administrativen Accounts
  • Mittel (Behebung innerhalb 90 Tage): z.B. keine schriftliche IT-Sicherheitsrichtlinie
  • Tief (langfristige Verbesserung): z.B. fehlende Dokumentation von Notfallprozessen

Phase 4: Massnahmenplan und Umsetzungsbegleitung (ab Woche 3)

Ein guter Berater liefert nicht nur eine Liste von Problemen, sondern einen konkreten Massnahmenplan mit:

  • Klarer Beschreibung jeder Massnahme (Was genau muss getan werden?)
  • Verantwortlichkeit (Wer setzt es um – intern oder extern?)
  • Priorität und Zeitrahmen
  • Geschätztem Aufwand und Kosten
  • Messbarem Erfolgskriterium (Wie wissen wir, dass die Massnahme umgesetzt ist?)

Phase 5: Validierung und Nachweis (nach 3–6 Monaten)

Nach der Umsetzung wird geprüft, ob die Massnahmen tatsächlich wirksam sind. Instrumente dafür sind der Penetrationstest (ethische Hacker versuchen, in die Systeme einzudringen), das Re-Assessment sowie vollständige Dokumentation aller Massnahmen – als Nachweis gegenüber Aufsichtsbehörden, Versicherungen und Kunden.

5. Worauf Sie bei der Beraterwahl achten müssen

5.1 Zertifizierungen als Qualitätsmerkmal

  • CISSP (Certified Information Systems Security Professional) – Der Goldstandard für erfahrene Sicherheitsexperten.
  • CISM (Certified Information Security Manager) – Fokus auf Sicherheitsmanagement und Governance.
  • ISO 27001 Lead Auditor / Lead Implementer – Nachweis für ISMS-Projekte nach internationalem Standard.
  • OSCP (Offensive Security Certified Professional) – Für Berater, die auch technische Penetrationstests durchführen.

Achtung: Zertifikate allein reichen nicht. Fragen Sie nach konkreten Referenzprojekten in der Schweiz und in Ihrer Branche.

5.2 Schweizer Rechts- und Regulierungskenntnisse

Ein Berater ohne Kenntnis der Schweizer Besonderheiten ist ein Risiko. Fragen Sie explizit nach Erfahrung mit dem revDSG, dem ISG und der FINMA-Regulierung – falls relevant für Ihre Branche.

5.3 Unabhängigkeit – kein Interessenkonflikt

Berater, die gleichzeitig Produkte verkaufen, haben einen strukturellen Interessenkonflikt. Fragen Sie offen: «Verkaufen Sie auch Produkte oder sind Sie rein beratend tätig?» Echte Unabhängigkeit bedeutet, dass der Berater Ihnen auch sagt, wenn ein günstiges Open-Source-Tool ausreicht.

5.4 Kommunikationsstil und Verständlichkeit

Ein guter Berater muss komplexe Sachverhalte verständlich erklären können – nicht nur für den CTO, sondern auch für den Geschäftsführer und den Verwaltungsrat. Testfrage im Erstgespräch: «Erklären Sie mir in drei Sätzen, warum Multi-Faktor-Authentifizierung wichtig ist, als würden Sie es jemandem erklären, der kein IT-Experte ist.»

6. Die 5 grössten Fehler, die KMU bei der Sicherheitsberatung machen

Fehler 1: Erst handeln, wenn etwas passiert ist.
Incident Response ist teurer als Prävention – in der Regel um Faktor 5 bis 10.

Fehler 2: Beratung als einmaliges Projekt verstehen.
Cyber Security ist kein Zustand, der einmal erreicht und dann gehalten wird. Eine jährliche Überprüfung ist Mindeststandard.

Fehler 3: Den billigsten Anbieter wählen.
Ein oberflächlicher Bericht ohne echtes Expertenwissen gibt eine trügerische Sicherheit – und die Lücken bleiben.

Fehler 4: Den Massnahmenplan in der Schublade lassen.
Ohne Verantwortliche, Termine und Budget für die Umsetzung ist ein Sicherheitsaudit wertloses Papier.

Fehler 5: Mitarbeitende vergessen.
Über 80 % aller erfolgreichen Cyberangriffe sind auf menschliches Fehlverhalten zurückzuführen – Phishing, schwache Passwörter, falsche Konfigurationen. Eine Beratung, die nur Systeme prüft, ist unvollständig.

7. Was kostet Cyber Security Beratung in der Schweiz?

Transparenz bei Preisen ist in der Branche selten. Hier sind realistische Richtwerte für den Schweizer Markt (Stand 2026):

  • Gap-Assessment für ein KMU (20–100 MA): CHF 3’000 – 12’000
  • Vollständiges ISMS-Aufbauprojekt (ISO 27001-ready): CHF 20’000 – 80’000+
  • Virtual CISO (vCISO), Retainer-Modell: CHF 2’000 – 6’000 pro Monat
  • Penetrationstest (Web-App oder Netzwerk): CHF 4’000 – 25’000
  • Stundensatz erfahrener Berater: CHF 180 – 320 pro Stunde

Der Return on Investment ist schwierig zu quantifizieren – bis zu einem Vorfall. Danach ist er offensichtlich.

8. Der virtuelle CISO (vCISO) – die kosteneffiziente Lösung für KMU

Nicht jedes Schweizer KMU kann einen Chief Information Security Officer (CISO) fest anstellen. Ein Vollzeit-CISO kostet CHF 150’000 – 220’000 Jahressalär plus Sozialleistungen. Die Lösung heisst Virtual CISO (vCISO): Ein erfahrener Sicherheitsexperte übernimmt auf Mandatsbasis die strategische Verantwortung für die Informationssicherheit.

Typische Aufgaben eines vCISO:

  • Entwicklung und Pflege der IT-Sicherheitsstrategie
  • Erstellung und Aktualisierung des Sicherheitskonzepts
  • Vertretung gegenüber Verwaltungsrat, Behörden und Versicherungen
  • Begleitung bei Vorfällen und Krisenmanagement
  • Koordination von Penetrationstests und IT-Audits
  • Awareness-Schulungen für Mitarbeitende
  • Monitoring regulatorischer Änderungen (revDSG, ISG, DORA etc.)

Das vCISO-Modell ist für KMU mit 20–200 Mitarbeitenden oft das wirtschaftlich sinnvollste Modell: echtes Expertenwissen auf C-Level-Niveau – für einen Bruchteil der Kosten einer Festanstellung.

9. Der IKT-Minimalstandard des Bundes – die Schweizer Messlatte

Für die Bewertung des Sicherheitsniveaus Schweizer Unternehmen gibt es eine wichtige, oft unterschätzte Referenz: den IKT-Minimalstandard des Bundes, entwickelt vom Bundesamt für wirtschaftliche Landesversorgung (BWL). Er basiert auf dem NIST Cybersecurity Framework und ist in fünf Funktionen gegliedert:

  • Identifizieren – Welche Assets, Daten und Risiken existieren?
  • Schützen – Welche technischen und organisatorischen Schutzmassnahmen sind vorhanden?
  • Erkennen – Wird ein Angriff bemerkt, bevor grosser Schaden entsteht?
  • Reagieren – Was passiert in den ersten Stunden nach einem Vorfall?
  • Wiederherstellen – Wie schnell kann der Normalbetrieb wiederhergestellt werden?

Im Gegensatz zu ISO 27001 erfordert der IKT-Minimalstandard keine aufwändige Zertifizierung und eignet sich daher besonders für KMU, die einen strukturierten Einstieg in das Thema suchen.

Fazit: Sicherheit ist keine Frage der Grösse

Cyberangriffe treffen nicht nur Grosskonzerne. KMU sind überproportional häufig betroffen, weil sie weniger Ressourcen für Sicherheit aufwenden – und damit attraktivere Ziele für opportunistische Angreifer sind.

Eine professionelle Cyber Security Beratung ist keine Luxusmassnahme. Sie ist die strukturierte, kosteneffiziente Antwort auf eine reale Bedrohung – und gleichzeitig die Absicherung gegen rechtliche Haftung, Reputationsschäden und Betriebsunterbrüche.

Die entscheidende Frage ist nicht: «Können wir uns das leisten?» Sondern: «Können wir uns leisten, es nicht zu tun?»

Häufige Fragen zur Cyber Security Beratung Schweiz

Was kostet eine Cyber Security Beratung in der Schweiz?

Für ein KMU mit 20–100 Mitarbeitenden bewegen sich Gap-Assessments typischerweise zwischen CHF 3’000 und CHF 12’000. Umfangreichere ISMS-Projekte können CHF 20’000 bis CHF 80’000 kosten. Das vCISO-Modell ist ab ca. CHF 2’000 pro Monat als Retainer erhältlich.

Wann brauche ich externe Cyber Security Beratung?

Sobald Sie personenbezogene Daten verarbeiten (revDSG-Pflicht), als kritische Infrastruktur eingestuft sind, eine Cyberversicherung abschliessen möchten oder bei Behörden und Grossunternehmen liefern. Grundsätzlich: Jedes Unternehmen, das von IT-Systemen abhängig ist.

Was ist der Unterschied zwischen einem IT-Dienstleister und einem Cyber Security Berater?

Der IT-Dienstleister betreibt und wartet Ihre Systeme. Der Cyber Security Berater prüft unabhängig, ob diese Systeme sicher konfiguriert sind – ohne Interessenkonflikt daran, Probleme kleinzureden.

Was ist ein Virtual CISO (vCISO)?

Ein erfahrener Sicherheitsexperte, der auf Mandatsbasis die strategische IT-Sicherheitsverantwortung übernimmt – für KMU, die keinen Vollzeit-CISO einstellen können oder wollen.

Welche Zertifizierungen sollte ein Cyber Security Berater haben?

Relevante Qualifikationen sind CISSP, CISM, ISO 27001 Lead Auditor/Implementer und OSCP für technische Penetrationstests. Wichtiger als Zertifikate sind jedoch nachgewiesene Referenzprojekte und Kenntnis der Schweizer Rechtslage.

Share This Story, Choose Your Platform!

Related Posts

Penetrationstest für KMU: Was kostet Sicherheit wirklich?
Penetrationstest für KMU: Was kostet Sicherheit wirklich?

Penetrationstest für KMU: Was kostet Sicherheit wirklich?

Mai 10th, 2026|0 Comments
Penetrationstest: Arten, Ablauf, Normen und relevante Branchen
Penetrationstest: Arten, Ablauf, Normen und relevante Branchen

Penetrationstest: Arten, Ablauf, Normen und relevante Branchen

April 30th, 2026|0 Comments
Cyberangriff auf Ihr KMU: Die 5 Sofortmassnahmen in den ersten 60 Minuten
Cyberangriff auf Ihr KMU: Die 5 Sofortmassnahmen in den ersten 60 Minuten

Cyberangriff auf Ihr KMU: Die 5 Sofortmassnahmen in den ersten 60 Minuten

März 27th, 2026|0 Comments