Cybersecurity-Partner auswählen: Checkliste

8 bis 10 Wochen dauert eine sorgfältige Cybersecurity-Partner-Evaluation. Wer diesen Zeitrahmen unterschreitet, riskiert Fehlentscheidungen, die im Ernstfall Hunderttausende kosten. Den richtigen Partner finden Sie durch systematisches Vorgehen: Anforderungen klären, Longlist erstellen, RFP versenden, Shortlist evaluieren.

Vor der Suche: Anforderungen klären

Bedarf definieren

Welche Services? SOC-Monitoring, Incident Response, Penetration Testing, Consulting, Managed Security, Compliance-Unterstützung, Awareness-Schulungen, Forensik.

Umfang? Vollständiges Outsourcing, Augmentation des internen Teams oder projektbasiert. Ansätze vergleichen

Systeme? On-Premises, Cloud, Hybrid, Legacy, OT/ICS.

Branche? FINMA, Gesundheitswesen oder andere regulatorische Anforderungen.

Budget? Realistische Einschätzung, systematisch planen.

Stakeholder einbinden

IT (Kompatibilität), Geschäftsleitung (Strategie/Budget), Legal (Regulatorik/Verträge), Finanzen (ROI), Operations (Tagesgeschäft).

Evaluationskriterien

1. Expertise und Spezialisierung

  • Branchenerfahrung und Referenzen
  • Technologie-Expertise (Ihre Plattformen)
  • Passende Grösse (sind Sie ein wichtiger Kunde?)

2. Zertifizierungen

Das Bundesamt für Cybersicherheit (BACS) empfiehlt, bei der Partnerwahl auf anerkannte Zertifizierungen zu achten:

  • Organisation: ISO 27001, SOC 2, PCI DSS
  • Personal: CISSP, CISM, CEH, GIAC, OSCP
  • Schweizer Kontext: revDSG-Verständnis, EDÖB/FINMA-Erfahrung, deutschsprachige Experten

Praxisbeispiel: RedTeam Partners in Zürich zeigt, wie internationale Zertifizierungen und lokale Verankerung zusammenspielen. Als CREST-zertifizierter Anbieter für Penetrationstests und Red Teaming verbinden sie global anerkannte Qualitätsstandards mit fundiertem Verständnis des Schweizer Regulierungsumfelds. Alpine Excellence Tech Siegel.

3. Service Level Agreements

  • Response Times: Critical <15 Min., High <1h, Medium <4h
  • 24/7/365 Verfügbarkeit
  • Messbare KPIs und Dashboards
  • Konsequenzen bei SLA-Verletzungen (Service Credits, Auflösungsrechte)

4. Technologie und Tools

  • Führende Lösungen (SIEM, EDR) vs. proprietäre Tools
  • Integration mit Ihrer Umgebung
  • Vendor Lock-in und Exit-Strategie

5. SOC-Qualität (bei Managed Services)

  • Standort (Schweiz/EU), eigene MA vs. Subunternehmer
  • Deutschsprachige Analysten, dokumentierte Prozesse
  • Threat Intelligence und aktives Threat Hunting

6. Incident Response

  • Retainer vs. Ad-hoc, Erfahrung mit verschiedenen Angriffstypen
  • In-house Forensik, gerichtstaugliche Beweissicherung
  • Mehr zu Incident Response

7. Kommunikation und Cultural Fit

  • Transparenz, Proaktivität, regelmässiges Reporting
  • Partnerschaftlich vs. transaktional

8. Referenzen

  • 2-3 Referenzkunden aus ähnlicher Branche/Grösse befragen
  • Fragen: Stärken, Schwächen, Incident-Erfahrung, Weiterempfehlung

9. Pricing

  • Transparente Preisstruktur ohne versteckte Kosten
  • Modelle: Per User/Device, Fix/Monat, Per Incident
  • Klare Skalierungsmodelle bei Wachstum

10. Data Governance

  • Datenstandort (Schweiz/EU), Zugriffsregelungen
  • Datenverarbeitungsvertrag gemäss revDSG
  • Regelung bei Vertragsende (Löschung/Rückgabe)

Red Flags

  1. “100% Sicherheit garantiert”: Seriöse Partner wissen, dass das unmöglich ist
  2. Aggressive Sales-Taktiken, Seriöse Partner geben Ihnen Zeit
  3. Vage auf Detailfragen (Marketing-Sprache statt technischer Substanz
  4. Keine Referenzen verfügbar
  5. Veraltete Technologie
  6. Fehlende ISO 27001 (heute Mindeststandard)
  7. Intransparente Pricing bei Standardservices
  8. Chaotisches Onboarding, wird im Betrieb nicht besser
  9. One-size-fits-all ohne individuelle Anpassung
  10. Keine Exit-Strategie geplant

Der Evaluationsprozess

Phase 1: Longlist (Wochen 1-2)

8-12 potenzielle Partner identifizieren, auf 4-6 filtern.

Phase 2: RFI und Shortlist (Wochen 3-4)

Standardisiertes RFI senden, Antworten analysieren, auf 2-3 Finalisten reduzieren.

Phase 3: Deep Dive (Wochen 5-7)

RFP mit detaillierten Requirements, Präsentationen (technisches Team, nicht nur Sales), SOC-Besichtigung, Referenz-Checks, Technical Deep Dive.

Phase 4: Entscheidung (Wochen 8-10)

Bewertungsmatrix mit gewichteten Kriterien, Verhandlung (Preise, SLAs, Kündigungsklauseln), Pilotphase erwägen (3-6 Monate), Vertrag von Legal prüfen lassen.

Vertragliche Absicherung

Kritische Klauseln: Scope of Services, messbare SLAs, transparentes Pricing, Data Protection (revDSG-konform), Haftungsgrenzen, Kündigungsfristen und -rechte, Transition Assistance bei Vertragsende, Audit Rights.

Erfolgreiche Zusammenarbeit

  • Quartalsweise Business Reviews.
  • Feste Ansprechpartner, offene Kommunikation
  • Gemeinsame Sicherheitsziele
  • Eskalieren statt schweigen bei Problemen
  • Alle 2-3 Jahre Markt neu sondieren

Kosten der Partnerevaluation

Eine sorgfältige Evaluation kostet CHF 15’000-40’000, spart aber langfristig ein Vielfaches an Fehlentscheidungen. Gemäss dem Schweizer Cybersecurity-Branchenverband werden jährlich über CHF 2 Milliarden für Security-Services in der Schweiz ausgegeben. Umso wichtiger ist die richtige Partnerwahl.

Interne Ressourcen: 80-120 Stunden Externe Unterstützung (optional): CHF 8’000-15’000 Gesamtkosten: CHF 15’000-40’000. Bei Verträgen über CHF 100’000+ lohnt sich sorgfältige Auswahl.

Sicherheitspartner sorgfältig wählen

Investieren Sie Zeit in die richtige Wahl. Häufige Wechsel sind aufwändig und schaffen Sicherheitslücken. Die richtige Partnerschaft kombiniert objektive Kriterien (Zertifizierungen, Referenzen, SLAs) mit subjektiver Einschätzung (Vertrauen, Cultural Fit, Kommunikation). RedTeam Partners ist ein Beispiel für einen Anbieter, der viele der hier genannten Kriterien erfüllt: CREST-Zertifizierung, Schweizer Präsenz, transparente Prozesse und nachweisbare Branchenerfahrung.

Zurück zum Cybersecurity-Komplettguide

Die auf Alpine Excellence gelisteten Cybersecurity-Anbieter haben den beschriebenen Evaluationsprozess bereits durchlaufen.