CRYPTOITDATACRYPTOITDATA

Cybersicherheit

Cybersicherheits-Audit: warum Ihr Kunde eines verlangt

2026 kommt die Anfrage nach einem Cybersicherheits-Audit zunehmend von einem Firmenkunden oder einer Ausschreibung, nicht von einem Angriff. Was es enthält, was nicht, und wie Sie es zum Vorteil machen.

9 Min. Lesezeit

Viele kleine Unternehmen glauben, sie bräuchten ein Cybersicherheits-Audit erst nach einem Vorfall — wenn etwas „kaputtgeht". 2026 ist die Realität eine andere: Für immer mehr KMU kommt die Audit-Anfrage nicht von einem Angreifer, sondern von ihrem wichtigsten Kunden. Ein Sicherheitsfragebogen bei der Vertragsverlängerung, eine neue Audit-Klausel im Rahmenvertrag, eine Eignungsbedingung in einer Ausschreibung. Plötzlich ist Sicherheit keine abstrakte Sorge mehr — sie ist eine Bedingung, um Lieferant zu bleiben.

Das ist weder Zufall noch Konzern-Eifer. Es ist die direkte Folge der NIS2-Richtlinie, die große, regulierte Unternehmen für die Sicherheit ihrer eigenen Lieferkette verantwortlich macht. Und sie haben keine Wahl: Sie geben diese Anforderungen weiter nach unten, an Sie.

Warum das Audit zur Geschäftsanforderung wurde

NIS2 (in Rumänien durch die Dringlichkeitsverordnung 155/2024 umgesetzt, koordiniert von der DNSC) verlangt von „wesentlichen" und „wichtigen" Einrichtungen, das Lieferkettenrisiko aktiv zu steuern — nicht durch einen formellen Jahresfragebogen, sondern durch fortlaufende Maßnahmen. Artikel 21 fordert eine Lieferanten-Sicherheitsrichtlinie, Auswahlkriterien, Vertragsklauseln mit Sicherheitsanforderungen, Meldepflichten bei Vorfällen und Auditrechte sowie ein aktuelles Lieferantenregister.

Die Frist für das erste Konformitäts-Audit der betroffenen Einrichtungen war der 30. Juni 2026 — sie ist bereits verstrichen. Das bedeutet, dass regulierte Unternehmen sich nicht mehr „vorbereiten": Sie stehen bereits in der Pflicht und prüfen ihre Lieferanten jetzt aktiv. Der Kaskadeneffekt ist konkret und dokumentiert: Lieferanten erhalten mehr Sicherheitsfragebögen, Vertragsneuverhandlungen und NIS2-konforme Bedingungen in neuen Vereinbarungen.

Der Punkt, den viele Unternehmer übersehen: Selbst wenn Ihr Unternehmen NICHT direkt unter NIS2 fällt (die typische Schwelle beginnt bei ~50 Mitarbeitern und 10 Millionen € Umsatz), erreichen die Sicherheitsanforderungen Sie über die Vertragskette, sobald Sie Produkte oder Dienstleistungen an eine betroffene Einrichtung liefern. Es kommt nicht darauf an, wie klein Sie sind — es kommt darauf an, für wen Sie arbeiten.

Was ein Cybersicherheits-Audit tatsächlich ist

Ein Cybersicherheits-Audit ist eine strukturierte Bewertung, wie Ihr Unternehmen seine Daten und Systeme schützt — auf drei Ebenen: technisch (Konfigurationen, Patching, Zugriffskontrollen), prozedural (Richtlinien, Rollen, Incident-Response-Prozess) und Compliance (wie nah Sie an einem Standard wie ISO 27001 oder an den NIS2-Anforderungen sind). Das Ergebnis ist keine Meinung, sondern eine klare Liste, wo Sie exponiert sind und was Sie beheben müssen — in Prioritätenreihenfolge.

Audit ≠ Schwachstellen-Scan ≠ Penetrationstest

Die drei werden oft verwechselt, beantworten aber verschiedene Fragen. Ein Schwachstellen-Scan beantwortet „welche bekannten Schwächen habe ich?" — automatisiert, breit und günstig. Ein Penetrationstest beantwortet „wie weit kommt ein Angreifer, der sie ausnutzt?" — eine kontrollierte Angriffssimulation, tiefer und teurer. Ein Audit ist der Überbau: Es enthält einen Scan, ergänzt aber die Prüfung von Richtlinien, Prozessen und Compliance — es beantwortet „bin ich so organisiert, dass ich mich konsequent verteidige, nicht nur heute?".

Für die meisten KMU ist die logische Reihenfolge: Beginnen Sie mit dem Audit (es zeigt die grundlegenden Lücken — schwache Passwörter, fehlende Updates, schlecht verwaltete Daten), beheben Sie sie, planen Sie dann einen Penetrationstest der kritischen Systeme zur Bestätigung. Audit zuerst, Pentest danach.

Was ein seriöses Audit enthält

Ein zufällig ausgefüllter Fragebogen hält einem Kunden, der wirklich prüft, nicht stand. Ein echtes Audit, wie wir es liefern, erzeugt:

  • Einen automatisierten Schwachstellen-Scan UND eine manuelle Prüfung — denn Scanner übersehen den Kontext (ein offener Port kann legitim oder katastrophal sein, je nachdem, was dahintersteht).
  • Eine Prüfung bestehender Richtlinien — was auf dem Papier steht versus was Sie tatsächlich tun.
  • Eine ISO-27001-„Light"-Gap-Analyse — wie nah Sie am Standard sind, den Ihre Kunden anerkennen, ohne die Kosten einer vollständigen Zertifizierung von Anfang an.
  • Ein priorisiertes Risikoregister — jedes Risiko bewertet nach Auswirkung × Wahrscheinlichkeit × Kosten, damit Sie wissen, was zuerst zu beheben ist und was warten kann.
  • Einen Behandlungsplan mit realistischen Fristen — nicht „Sie sollten alles tun", sondern ein Fahrplan, den Sie dem Kunden zeigen und tatsächlich befolgen können.

Der Unterschied zwischen diesem Ergebnis und einer Checkliste ist genau das, was ein aufmerksamer Firmenkunde sieht: Das erste sagt „wir wissen, wo wir stehen, und haben einen Plan", das zweite sagt „wir haben ein Formular ausgefüllt".

Wann Sie konkret ein Audit brauchen

  • Ein großer Kunde oder eine Ausschreibung verlangt einen Sicherheitsnachweis (Fragebogen, Audit-Klausel, Eignungsbedingung).
  • Sie sind Lieferant einer NIS2-regulierten Einrichtung und erhalten Anforderungen über die Vertragskette.
  • Sie wollen sich einer ISO-27001-Zertifizierung annähern und brauchen eine Gap-Analyse als Ausgangspunkt.
  • Sie hatten einen Vorfall (oder eine Warnung) und wollen wissen, was sonst noch exponiert ist.
  • Sie durchlaufen eine Due Diligence — Investition, Übernahme, Partnerschaft — und Sicherheit steht auf der Liste.
  • Sie erneuern eine Cyber-Versicherung und der Versicherer verlangt eine Bewertung der Sicherheitslage.

Wie Sie die Pflicht in einen Vorteil verwandeln

Das ist der Teil, den wenige Unternehmen nutzen. Wenn ein Sicherheits-Audit zur Bedingung geworden ist, um bestimmte Kunden zu gewinnen, dann wird ein durchgeführtes und dokumentiertes Audit zum Unterscheidungsmerkmal. Wenn ein Kunde den Nachweis verlangt und Sie ihm einen Audit-Bericht mit Risikoregister und Behandlungsplan reichen, bestehen Sie nicht nur den Filter — Sie bestehen ihn schneller und überzeugender als ein Wettbewerber, der erst dann in Hektik verfällt. Nachweisbare Sicherheit wird zum Verkaufsargument, nicht nur zum Schutzschild.

Genau das bauen wir in einem Cybersicherheits-Audit auf: den technischen, den prozeduralen und den Compliance-Teil, in einem einzigen Ergebnis, das Sie auf den Tisch legen können. Die Varianten und Preise, nach Größe (von unter 10 bis über 100 Geräten), sehen Sie in unserem Paket-Shop.

Sie warten nicht mehr auf einen Angriff, um ein Audit durchzuführen. Sie warten auf Ihren besten Kunden — und wenn er fragt, wollen Sie die Antwort bereits auf dem Tisch haben.

Wie lange es dauert und wie das Ergebnis aussieht

Die Dauer hängt davon ab, wie viele Geräte und Systeme im Umfang sind — von wenigen Tagen für ein kleines Unternehmen bis zu zwei oder drei Wochen für eines mit über hundert Arbeitsplätzen. Unabhängig von der Größe ist das Ergebnis dieselbe Art von Lieferung: ein klarer Bericht (wo Sie exponiert sind), ein priorisiertes Risikoregister (was am wichtigsten ist) und ein Behandlungsplan mit Fristen (was Sie wann tun). Kein Stapel Fachjargon — ein Entscheidungsinstrument, das auch die Geschäftsführung versteht, nicht nur das IT-Team.

Fazit

Die Lage 2026 hat das Sicherheits-Audit aus der Zone „nice to have nach einem Vorfall" in die Zone „Bedingung, um Geschäfte zu machen" verschoben. NIS2 und sein Kaskadeneffekt bedeuten, dass ein Kunde Sie früher als gedacht um einen Nachweis bitten wird. Sie können überrascht werden und unter Druck improvisieren, oder Sie wissen bereits, wo Sie exponiert sind, und haben einen Plan. Wenn Sie herausfinden möchten, in welcher Kategorie Sie sind, lassen Sie uns 30 Minuten sprechen — ich sage Ihnen konkret, was Sie brauchen und was nicht.

Häufige Fragen

Mein Unternehmen ist klein und fällt nicht unter NIS2. Warum sollte jemand ein Audit verlangen?+

Weil Sie mit jemandem arbeiten, der darunter fällt. NIS2 zwingt regulierte Einrichtungen, ihre Lieferanten zu prüfen, und sie geben die Anforderungen über die Vertragskette weiter — Fragebögen, Audit-Klauseln, Ausschreibungsbedingungen. Ihre Größe befreit Sie nicht; entscheidend ist, an wen Sie liefern.

Was ist der Unterschied zwischen einem Audit und einem einfachen Schwachstellen-Scan?+

Ein Scan beantwortet „welche bekannten technischen Schwächen habe ich?" und ist automatisiert. Ein Audit ist breiter: Es enthält den Scan, ergänzt aber die Prüfung von Richtlinien, Prozessen und eine Compliance-Analyse (z. B. ISO-27001-Gap). Das Audit sagt Ihnen, ob Sie organisiert sind, sich konsequent zu verteidigen — nicht nur, was heute verwundbar ist.

Wie lange dauert ein Cybersicherheits-Audit?+

Von wenigen Tagen für ein kleines Unternehmen (unter 10 Geräte) bis zu zwei oder drei Wochen für eines mit über hundert Arbeitsplätzen. Das Ergebnis ist immer dieselbe Art von Lieferung: ein Bericht, ein priorisiertes Risikoregister und ein Behandlungsplan mit realistischen Fristen.

Muss ich nach dem Audit zwingend auch einen Penetrationstest machen?+

Nicht zwingend, aber es ist die logische Reihenfolge. Das Audit zeigt die grundlegenden Lücken, die Sie beheben; ein Penetrationstest der kritischen Systeme bestätigt dann, dass die Abwehr einem echten Angriff standhält. Für viele KMU deckt das Audit allein die Kundenanforderung zunächst ab.

Eine konkrete Frage?

30 Minuten, kostenlos. Wir sprechen genau über Ihre Situation.

Beratung buchen