Managed Security vs interne IT

Für die meisten Schweizer KMU bietet ein hybrider Ansatz — interne Basiskompetenzen kombiniert mit externen Managed Security Services, das beste Verhältnis von Kosten, Expertise und Kontrolle. Diese Entscheidung hat weitreichende Konsequenzen für Sicherheitsniveau, Kosten und operative Flexibilität.

Immer mehr Schweizer KMU setzen auf externe Security-Services, Tendenz steigend. Dennoch herrscht oft Unsicherheit über den optimalen Ansatz. Dieser Leitfaden liefert eine differenzierte Analyse beider Modelle und zeigt, wann welcher Ansatz sinnvoll ist.

Interne Cybersecurity: Das traditionelle Modell

Vorteile interner Security-Teams

Tiefes Geschäftsverständnis: Interne Mitarbeitende kennen die Unternehmenskultur, Prozesse und Systeme im Detail. Sie verstehen geschäftskritische Abläufe und können Sicherheitsmassnahmen entsprechend priorisieren.

Direkte Kommunikation: Kurze Wege zur Geschäftsleitung und anderen Abteilungen ermöglichen schnelle Abstimmungen und pragmatische Lösungen. Keine Kommunikation über Ticketsysteme oder Service Level Agreements nötig.

Volle Kontrolle: Das Unternehmen behält vollständige Kontrolle über Daten, Systeme und Sicherheitsentscheidungen. Keine Abhängigkeit von externen Dienstleistern.

Integration in IT-Strategie: Security kann nahtlos in die übergreifende IT-Strategie und laufende Projekte integriert werden.

Verfügbarkeit: Interne Mitarbeitende sind bei Bedarf direkt vor Ort verfügbar, kennen die physische Infrastruktur und können bei Bedarf unmittelbar eingreifen.

Nachteile interner Security-Teams

Fachkräftemangel: Der Schweizer Arbeitsmarkt für Cybersecurity-Spezialisten ist extrem angespannt. Laut ICT-Berufsbildung Schweiz fehlen über 3’000 qualifizierte Fachkräfte, und das Bundesamt für Cybersicherheit (BACS) stuft diesen Mangel als kritisches Risiko für die Schweizer Wirtschaft ein. KMU können in der Rekrutierung oft nicht mit Grossunternehmen oder Beratungsfirmen konkurrieren, die höhere Gehälter und attraktivere Karriereperspektiven bieten.

Hohe Personalkosten: Ein qualifizierter Cybersecurity-Spezialist kostet in der Schweiz CHF 100.000 bis CHF 150.000 jährlich, Senior-Profile deutlich mehr. Hinzu kommen Sozialabgaben, Weiterbildung, Infrastruktur und Rekrutierungskosten.

Fehlende Spezialisierung: Cybersecurity umfasst zahlreiche Disziplinen: Netzwerksicherheit, Endpoint Protection, Cloud Security, Incident Response, Threat Intelligence, Security Governance und mehr. Eine Person oder ein kleines Team kann nicht alle Bereiche auf Expertenniveau abdecken.

Keine 24/7-Abdeckung: Cyberangriffe erfolgen zu jeder Tages- und Nachtzeit, oft gezielt ausserhalb der Geschäftszeiten. Ein kleines internes Team kann keine Rund-um-die-Uhr-Überwachung gewährleisten, ohne exorbitante Kosten für Pikettdienste.

Wissenssilos und Ausfall-Risiko: Wenn eine Schlüsselperson krank wird, kündigt oder in die Ferien geht, fehlt kritisches Know-how. In kleinen Teams gibt es oft keine Redundanz.

Begrenzte Threat Intelligence: Externe Anbieter sehen Angriffsmuster über Hunderte von Kunden hinweg und können Bedrohungen früher erkennen. Interne Teams haben nur die Perspektive des eigenen Unternehmens.

Lernkurve bei neuen Bedrohungen: Cybersecurity entwickelt sich rasant. Interne Teams müssen sich kontinuierlich weiterbilden, haben aber oft nicht die Zeit dafür, da sie mit Tagesgeschäft und Projekten ausgelastet sind.

Kostenfaktor interne Security

Für ein KMU mit 50 Mitarbeitenden, das ein dediziertes internes Security-Team aufbaut, entstehen typischerweise folgende Kosten:

Personal:

  • 1 Security Engineer (80-100% Pensum): CHF 110.000
  • 1 Junior Security Analyst (50% Pensum): CHF 35.000
  • Sozialabgaben (ca. 20%): CHF 29.000
  • Rekrutierung (einmalig, amortisiert): CHF 8.000
  • Weiterbildung (Zertifizierungen, Konferenzen): CHF 10.000
  • Subtotal Personal: CHF 192.000

Technologie (die trotzdem benötigt wird):

  • SIEM-Lösung: CHF 15.000
  • Threat Intelligence Feeds: CHF 8.000
  • Security Tools: CHF 12.000
  • Subtotal Technologie: CHF 35.000

Gesamtkosten: ca. CHF 227.000 jährlich

Für dieses Investment erhält das Unternehmen Abdeckung primär während Geschäftszeiten, mit begrenzter Spezialisierungstiefe.

Managed Security Services: Der externe Ansatz

Vorteile von Managed Security Service Providers (MSSPs)

Spezialisierte Expertise: MSSPs beschäftigen Teams mit unterschiedlichen Spezialisierungen: Netzwerk-Spezialisten, Malware-Analysten, Compliance-Experten, Incident Responder. KMU erhalten Zugang zu Expertise, die intern nicht aufbaubar wäre.

24/7 Security Operations Center (SOC): Professionelle MSSPs betreiben Security Operations Centers mit Rund-um-die-Uhr-Überwachung. Bedrohungen werden auch nachts, an Wochenenden und Feiertagen erkannt und behandelt.

Skalierbarkeit: Services können je nach Bedarf schnell hochgefahren oder reduziert werden. Bei besonderen Projekten, Incidents oder Geschäftsentwicklungen lässt sich die Unterstützung flexibel anpassen.

Moderne Technologie: MSSPs investieren kontinuierlich in neueste Security-Technologie, Threat Intelligence Plattformen und Automation. Diese Kosten werden über viele Kunden verteilt.

Threat Intelligence: Durch die Betreuung zahlreicher Kunden erkennen MSSPs Angriffsmuster frühzeitig und können proaktiv schützen. Wenn ein Kunde angegriffen wird, profitieren alle anderen von den Erkenntnissen.

Predictable Costs: Monatliche oder jährliche Servicegebühren sind planbar und enthalten keine versteckten Personalkosten wie Ferien, Krankheit, Fluktuation oder Weiterbildung.

Schneller Start: Die Implementierung von Managed Services dauert typischerweise Wochen, der Aufbau eines internen Teams Monate bis Jahre.

Compliance und Zertifizierungen: Viele MSSPs sind nach ISO 27001 oder anderen Standards zertifiziert und können Compliance-Nachweise vereinfachen.

Nachteile von Managed Security Services

Weniger Geschäftskontext: Externe Dienstleister verstehen die spezifischen Geschäftsprozesse und -kultur weniger tief als interne Teams. Dies kann zu Fehlalarmen oder suboptimalen Priorisierungen führen.

Abhängigkeit: Das Unternehmen wird abhängig von einem externen Partner. Wenn dieser Qualitätsprobleme hat oder die Geschäftsbeziehung endet, kann ein Wechsel aufwändig sein.

Kommunikations-Overhead: Die Zusammenarbeit erfolgt über definierte Schnittstellen, Ticketsysteme und Service Level Agreements. Direkte, informelle Kommunikation ist schwieriger.

Datenschutzbedenken: Externe Dienstleister benötigen Zugriff auf Systeme und Logs, was datenschutzrechtliche Fragen aufwirft. Sorgfältige Vertragsgestaltung und Auswahl eines vertrauenswürdigen Partners sind essentiell.

Standardisierung vs. Individualisierung: MSSPs arbeiten mit standardisierten Prozessen und Tools. Hochindividuelle Lösungen sind oft schwieriger umzusetzen als mit internem Team.

Potenzielle Interessenskonflikte: Manche MSSP verdienen an zusätzlichen Services oder Eskalationen. Transparente Preismodelle und klare SLAs sind wichtig.

Schweizer Datenschutz: Für Schweizer Unternehmen ist wichtig, dass Daten in der Schweiz bleiben und der MSSP Schweizer Datenschutzrecht einhält. Nicht alle internationalen Anbieter erfüllen diese Anforderungen.

Kostenfaktor Managed Security

Managed Security Services werden typischerweise nach verschiedenen Modellen abgerechnet:

Basis SOC-Monitoring (24/7, reaktiv):

  • CHF 2.000 - CHF 5.000 pro Monat für KMU mit 30-50 Endpoints
  • Jährlich: CHF 24.000 - CHF 60.000

Managed Detection and Response (MDR, proaktiv):

  • CHF 4.000 - CHF 8.000 pro Monat
  • Jährlich: CHF 48.000 - CHF 96.000

Comprehensive Managed Security:

  • SOC, EDR, SIEM, Vulnerability Management, Incident Response
  • CHF 6.000 - CHF 12.000 pro Monat
  • Jährlich: CHF 72.000 - CHF 144.000

Zusatzleistungen:

  • Penetration Testing: CHF 8.000 - CHF 25.000 pro Test
  • Incident Response (bei Vorfall): CHF 200 - CHF 350 pro Stunde
  • Consulting: CHF 180 - CHF 280 pro Stunde
  • Security Awareness Training: CHF 100 - CHF 300 pro Mitarbeitender

Für ein KMU mit 50 Mitarbeitenden kostet ein solides Managed Security Paket typischerweise CHF 60.000 - CHF 100.000 jährlich, deutlich weniger als ein internes Team, bei gleichzeitig höherer Expertise und 24/7-Abdeckung.

Der Hybrid-Ansatz: Das Beste aus beiden Welten

Der Hybrid-Ansatz ist für 70-80% der Schweizer KMU die wirtschaftlichste Lösung, da er internen Geschäftskontext mit externer 24/7-Expertise verbindet. Ein Grossteil der Schweizer Unternehmen setzt bereits auf eine Mischform aus internen und externen Security-Services. Ein hybrider Ansatz kombiniert die Vorteile beider Modelle:

Modell 1: Interne Basis + externe Spezialisierung

Intern:

  • IT-Generalist mit Security-Grundkenntnissen (Teil des IT-Teams)
  • Verantwortlich für: Grundkonfiguration, Patch Management, User Administration, erste Anlaufstelle

Extern:

  • MSSP für 24/7 SOC-Monitoring und Incident Response
  • Security Consulting für Strategie und Architektur
  • Spezialisierte Tests (Penetration Testing, Red Teaming): Anbieter wie RedTeam Partners ergänzen Managed Security optimal, indem sie die Wirksamkeit bestehender Schutzmassnahmen durch realistische Angriffssimulationen überprüfen
  • Awareness-Schulungen

Vorteil: Kosteneffizient, kombiniert internen Geschäftskontext mit externer Expertise.

Ideal für: KMU mit 20-100 Mitarbeitenden, moderate Risikolage.

Modell 2: Interne Security-Führung + externe Umsetzung

Intern:

  • CISO oder Security Manager (kann Teilzeit oder virtuell sein)
  • Verantwortlich für: Strategie, Governance, Risikomanagement, Vendor Management

Extern:

  • MSSP für operative Security (SOC, EDR, SIEM)
  • Externe Experten für Spezialprojekte

Vorteil: Strategische Kontrolle intern, operative Expertise extern.

Ideal für: Mittlere KMU (50-200 Mitarbeitende), regulierte Branchen, erhöhte Risikolage.

Modell 3: Interne Security + externe Augmentation

Intern:

  • Kleines Security-Team (1-2 Personen)
  • Verantwortlich für: Strategie, Architecture, Governance, Tagesgeschäft

Extern:

  • 24/7 SOC für Zeiten, wenn internes Team nicht verfügbar ist
  • Incident Response Retainer für Notfälle
  • Spezialisierte Services bei Bedarf

Vorteil: Maximale Kontrolle, externe Unterstützung als Sicherheitsnetz.

Ideal für: Grössere KMU (100+ Mitarbeitende) oder Unternehmen mit hoher Risikolage.

Entscheidungskriterien: Was ist für Ihr Unternehmen richtig?

Argumente für primär interne Security:

  • Sehr spezifische, komplexe oder proprietäre Systeme, die externes Verständnis erschweren
  • Extrem sensible Daten, bei denen externe Zugriffe minimiert werden sollen
  • Ausreichendes Budget für mehrköpfiges, spezialisiertes Team
  • Grösse und Attraktivität, um qualifizierte Spezialisten zu rekrutieren und zu halten
  • Regulatorische Anforderungen, die direkten, internen Zugriff erfordern
  • Geographische oder operative Besonderheiten, die permanente Vor-Ort-Präsenz erfordern

Argumente für primär externe Security (MSSP):

  • Begrenztes Budget, das kein spezialisiertes internes Team erlaubt
  • Schwierigkeiten bei Rekrutierung von Cybersecurity-Experten
  • Bedarf an 24/7-Überwachung und Incident Response
  • Wunsch nach schnellem Aufbau von Security-Capabilities
  • Fehlende interne Expertise für moderne Bedrohungslagen
  • Wunsch nach planbare, vorhersehbaren Kosten
  • Keine kritische Masse für Vollzeit-Security-Positionen

Argumente für hybride Modelle:

  • Wunsch nach internem Geschäftsverständnis UND externer Expertise
  • Moderate Risikolage, die differenzierte Absicherung erlaubt
  • Vorhandene IT-Ressourcen, aber keine Security-Spezialisten
  • Kostenoptimierung durch gezielte Kombination
  • Flexibilität für zukünftiges Wachstum

Auswahlprozess für Managed Security Provider

Wenn Sie sich für externe Services entscheiden, ist die Wahl des richtigen Partners kritisch. Unsere Checkliste hilft bei der Auswahl.

Wichtigste Kriterien:

Schweizer Präsenz und Datenschutz: Werden Daten in der Schweiz verarbeitet? Ist der MSSP mit Schweizer Datenschutzrecht vertraut?

Zertifizierungen und Standards: ISO 27001, ISAE 3000, branchenspezifische Zertifikate?

SOC-Qualität: Wo befindet sich das SOC? Wer stafft es (eigene Mitarbeitende oder Subunternehmer)? Welche Sprachen werden gesprochen?

Transparenz: Erhalten Sie Einblick in Prozesse, Tools und Metriken? Oder ist alles “Black Box”?

SLA und Response Times: Wie schnell wird auf Incidents reagiert? Was passiert bei SLA-Verletzungen?

Incident Response Capabilities: Was passiert, wenn ein ernster Vorfall eintritt? Mehr zu Incident Response hier.

Referenzen: Welche anderen Schweizer KMU nutzen den Service? Können Sie mit Referenzkunden sprechen?

Technologie-Stack: Welche Tools nutzt der MSSP? Sind diese moderne, anerkannte Lösungen?

Pricing-Modell: Sind alle Kosten transparent? Gibt es versteckte Zusatzkosten?

Exit-Strategie: Wie einfach ist ein Wechsel, wenn die Zusammenarbeit nicht funktioniert?

Transition Management: Der Wechsel zwischen Modellen

Von intern zu extern

Wenn Sie von interner zu externer Security wechseln:

Dokumentation sicherstellen: Der MSSP benötigt vollständige Dokumentation Ihrer Infrastruktur, Konfigurationen und Prozesse.

Wissenstransfer organisieren: Planen Sie ausreichend Zeit für Übergaben und Schulungen des MSSP-Teams.

Interne Rollen klären: Auch mit MSSP brauchen Sie interne Ansprechpersonen. Definieren Sie diese Rollen.

Phasing: Ein abrupter Wechsel ist riskant. Planen Sie eine Übergangsphase mit parallelem Betrieb.

Mitarbeitende-Kommunikation: Wenn interne Security-Mitarbeitende betroffen sind, kommunizieren Sie transparent und fair.

Von extern zu intern

Wenn Sie Managed Services internalisieren wollen:

Rekrutierung frühzeitig starten: Qualifizierte Spezialisten zu finden dauert Monate.

Wissenstransfer einfordern: Ihr MSSP sollte vertraglich verpflichtet sein, sein Wissen zu übergeben.

Technologie evaluieren: Welche Tools des MSSP können/wollen Sie übernehmen? Was brauchen Sie zusätzlich?

Schrittweise Transition: Übernehmen Sie Verantwortungsbereiche graduell, nicht alle auf einmal.

Retainer beibehalten: Auch nach Internalisierung kann ein reduzierter MSSP-Service als Backup sinnvoll sein.

Kostenvergleich: Ein Rechenbeispiel

Szenario: KMU mit 50 Mitarbeitenden, moderate Risikolage

Option A: Rein intern

  • 1 Security Engineer (100%): CHF 120.000
  • Sozialabgaben: CHF 24.000
  • Tools (SIEM, TI): CHF 25.000
  • Weiterbildung: CHF 8.000
  • Total: CHF 177.000
  • Abdeckung: Mo-Fr, 8-18 Uhr, begrenzte Spezialisierung

Option B: Rein extern (Managed Security)

  • MDR-Service (24/7): CHF 72.000
  • Quarterly Pen Testing: CHF 12.000
  • Security Consulting (5 Tage): CHF 10.000
  • Awareness Training: CHF 6.000
  • Total: CHF 100.000
  • Abdeckung: 24/7, breite Expertise, schnelle Reaktion

Option C: Hybrid

  • IT-Generalist mit Security-Aufgaben (30%): CHF 30.000
  • Basis SOC-Monitoring (24/7): CHF 36.000
  • Annual Pen Test: CHF 12.000
  • Security Consulting (3 Tage): CHF 6.000
  • Awareness Training: CHF 6.000
  • Tools: CHF 10.000
  • Total: CHF 100.000
  • Abdeckung: 24/7 Monitoring, interner Ansprechpartner, ausgewogene Expertise

In diesem Beispiel bieten Option B und C besseres Preis-Leistungs-Verhältnis als rein interne Lösung, wobei Option C den besten Mix aus Kontrolle und Expertise bietet.

Virtual CISO (vCISO): Immer mehr KMU nutzen externe, erfahrene CISOs auf Teilzeit- oder Projektbasis, um strategische Security-Führung zu erhalten, ohne Vollzeit-Position zu finanzieren.

Security-as-a-Service: Granulare, modulare Security-Services ermöglichen präzises Sourcing nur der benötigten Komponenten.

AI-basierte Automation: KI-gestützte Tools reduzieren den Personalaufwand für Routine-Aufgaben und machen sowohl interne als auch externe Modelle effizienter.

Community-basierte Security: Branchen-Kollaborationen und Information Sharing Groups ermöglichen KMU, gemeinsam Threat Intelligence zu nutzen.

Managed Detection and Response (MDR): Diese Services kombinieren Technologie (EDR) mit menschlicher Expertise und werden zunehmend Standard für KMU.

Es gibt kein Patentrezept

Die optimale Security-Organisation hängt von zahlreichen Faktoren ab: Unternehmensgrösse, Branche, Risikolage, Budget, vorhandene Ressourcen und strategische Prioritäten. Für die meisten Schweizer KMU ist ein hybrider Ansatz optimal, der internen Geschäftskontext mit externer Expertise und 24/7-Überwachung kombiniert.

Wichtiger als die Wahl zwischen intern und extern ist die Qualität der Umsetzung. Ein durchschnittliches internes Team ist nicht besser als ein durchschnittlicher MSSP, und umgekehrt. Investieren Sie Zeit in die sorgfältige Auswahl, ob von Mitarbeitenden oder Partnern, und entwickeln Sie Ihre Security-Organisation kontinuierlich weiter.

Zurück zum Cybersecurity-Komplettguide