cnt
Logo Swiss IT Magazine
MEDIADATEN
ABONNIEREN
NEWSLETTER

Wie viel sollte ein Unternehmen in Cybersecurity ­investieren?

Investitionen in Cybersecurity sind keine Prozentrechnung, sondern eine Risikoentscheidung. Ein strukturierter, risikobasierter Ansatz hilft, ein sinnvolles Budget festzulegen, Massnahmen nach Wirkung zu priorisieren und Aufwand sowie Nutzen regelmässig zu überprüfen.

Artikel erschienen in Swiss IT Magazine 2026/03

     

Täglich lesen wir in den Medien von Cyberangriffen. Und wir sind uns bewusst, dass sie auch beim eigenen Unternehmen zu den grössten Risiken gehören. Gleichzeitig gehen wir mit Begriffen wie Ransomware, Phishing, Datendiebstahl oder Sabotage eher konservativ um. Unternehmen müssen abwägen: Finanzielle Schäden, Reputationsschäden, Lieferfähigkeit oder Compliance-Themen riskieren oder in Prävention investieren. Und genau das führt zu Diskussionen: Die Kosten sind messbar, vermiedene Vorfälle nicht – zumindest so lange kein Sicherheitsvorfall eintritt. Es geht darum, wie Unternehmen einen sinnvollen Investitionsrahmen für Cybersecurity bestimmen, welche Massnahmen den grössten Effekt erzielen und wie sich Aufwand und Wirkung pragmatisch überprüfen lassen.

Zwischen Pflicht und Risikomanagement

Selbstverständlich lässt sich die Frage nach der «richtigen» Höhe der Investitionen in Cybersecurity nicht pauschal beantworten. Sie bewegt sich im Spannungsfeld zwischen dem Muss aufgrund von regulatorischen, gesetzlichen oder branchenspezifischen Anforderungen, dem Kann in Bezug auf finanzielle und personelle Ressourcen sowie dem Sollte aufgrund des akzeptierten Restrisikos aus Sicht des Managements.

Gesetzliche Vorgaben (DSGVO, nDSG, NIS2, branchenspezifische Standards) definieren ein Mindestniveau an Sicherheitsmassnahmen. Diese Vorgaben bilden jedoch lediglich die Untergrenze und garantieren keinesfalls einen ausreichenden Schutz vor realen Angriffsszenarien.
In der Praxis haben sich einige grobe Richtwerte etabliert:


- 8 bis 15 Prozent des IT-Budgets für Cybersecurity gelten in vielen Branchen als Orientierung.

- Bei kritischen Infrastrukturen, Finanzdienstleistern oder datenintensiven Geschäftsmodellen liegt das Budget häufig deutlich darüber.

- Kleine und mittlere Unternehmen investieren oft weniger, tragen jedoch relativ höhere Risiken.

- Das Verhältnis Prävention versus Reaktion: Eine bewährte Aufteilung lautet wie folgt:
-> 80 Prozent Prävention (Awareness, Hardening, Monitoring)
-> 20 Prozent Reaktion (Backups, Notfallübungen, Wiederanlauf).

Diese Zahlen ersetzen keine individuelle Analyse, zeigen aber, dass Cybersecurity ein fester Bestandteil moderner IT- und Unternehmenssteuerung ist. Die Höhe der Cybersecurity-Investitionen ist damit weniger eine technische Frage als eine bewusste Entscheidung über Risikoakzeptanz, Haftung und Geschäftskontinuität.
Eine risikobasierte Bewertung hilft, den Schutzbedarf zu bestimmen und ­Sicherheitsmassnahmen gezielt zu priorisieren. (Quelle: Isolutions)

Investitionen strukturiert entscheiden

Der passende Investitionsrahmen ergibt sich aus einer risikobasierten Betrachtung, nicht aus technischen Wunschlisten oder Angst vor Schlagzeilen. Bewährt hat sich ein mehrstufiger Ansatz:

1) Bauchgefühl sichtbar machen
Cyberresilienz ist häufig nicht ausschliesslich eine IT-Angelegenheit. Vielmehr muss das Management mit einbezogen werden. Folgende Fragen sollten in einem ersten Schritt beantwortet ­werden:
- «Wovor haben wir eigentlich Angst?»
- «Was darf auf keinen Fall ausfallen?»
- «Was wäre unangenehm oder sogar existenzbedrohend?»


2) Schutzbedarf bestimmen
Aus diesen Antworten muss abgeleitet werden, was geschützt werden muss. Oft denkt man in erster Linie an IT-Systeme und technische Komponenten. Dazu gehören jedoch auch kritische Geschäftsprozesse oder sensible Daten wie zum Beispiel Kundendaten, geistiges Eigentum, Patente oder Produktionsdaten. Der Schutzbedarf ergibt sich dabei aus den möglichen Auswirkungen eines Ausfalls aus Sicht Kosten, Recht, Lieferfähigkeit und Reputation. Einflussbereiche sind dabei Kunden, Mitarbeiter, Partner sowie auch die Öffentlichkeit und Aufsichtsbehörden.

3) Bedrohungen und Schwachstellen analysieren
Aufbauend auf dem Schutzbedarf werden Bedrohungen und Schwachstellen analysiert: Fragen wie «Welche geschäftsrelevanten realistischen Angriffsszenarien gibt es?» und «Wo bestehen bekannte Schwachstellen (technisch, organisatorisch, prozessual, lieferkettenbezogen oder menschlich)?» helfen dabei. Hier reichen oft vereinfachte Risikoanalysen aus und es muss kein vollständiges ISO-27001-Projekt sein, um handlungsfähig zu werden.

4) Erwartete Schäden quantifizieren
Sind die Bedrohungen und Schwachstellen bekannt, erfolgt als nächster Schritt das Quantifizieren der erwarteten Schäden. Es gilt zu klären, wie hoch der Schaden ist, wenn ein bestimmtes Szenario eintritt. Auch eine realistische Einschätzung, wie häufig ein Ereignis eintritt, ist wichtig. Aus der Kombination von Schadens­ausmass und Eintrittswahrscheinlichkeit ergibt sich ein erwarteter Jahresverlust, der als Orientierungsgrösse für Priorisierung und Investitionsentscheide dient.

5) Investitionen am Risikoreduktionspotenzial ausrichten
Schlussendlich werden die Sicherheitsmassnahmen priorisiert, um sicherzustellen, dass das Risiko nachweislich reduziert werden kann und ein günstiges Kosten-­Nutzen-Verhältnis aufweist. Zudem soll es regulatorische oder geschäftskritische Anforderungen adressieren sowie kurz- bis mittelfristig umsetzbar sein. Der Investitionsrahmen ergibt sich dabei nicht aus einem Fixbetrag, sondern aus der wirtschaftlichen Abwägung zwischen Risikoexposition und erreichbarer Risiko­reduktion.

Fokus auf «Low Hanging Fruits»

Ein häufiger Fehler ist der Einstieg mit komplexen oder teuren Lösungen, während grundlegende Massnahmen fehlen. Erfahrungsgemäss erzielen folgende Bereiche den höchsten Effekt pro investiertem Franken:

1. Awareness und Schulung der Mitarbeitenden
Ein Grossteil erfolgreicher Angriffe beginnt mit menschlichen Fehlern. Regelmässige und praxisnahe Schulungen zu Phishing, Passwortsicherheit und sicherem Arbeiten reduzieren das Risiko deutlich bei vergleichsweise geringen Kosten.
Zu beachten der Zeitaufwand pro Mitarbeitenden versus Risiko:
- 10 Minuten pro Woche für Cybertraining entsprechen 8 Stunden pro Jahr
- Ein einziger erfolgreicher Cyberangriff kann Wochen an Ausfallzeit und hohe Schäden verursachen. Somit reduzieren geschulte Mitarbeitende das Risiko deutlich.
Überschaubarer Aufwand kann die Angriffsfläche deutlich reduzieren und Folgekosten begrenzen.


2. Basishygiene in der IT
Basishygiene verhindert viele Standardangriffe, bevor diese Schaden anrichten. Dazu gehören:
- Patch- und Update-Management
- Inventar von Systemen und Konten
- Starke Authentifizierung (z.B. MFA)
- Minimierung von Benutzerrechten
- Deaktivierung von nicht mehr benötigten Benutzerkonten
- Saubere Backup- und Recovery-Strategien (offline und getestet)

3. Sichtbarkeit und proaktive Überwachung
Schutz setzt Wissen voraus. Ein angemessenes und zielgerichtetes Monitoring von Systemen, Logs und Zugriffen an einem zentralen Ort ermöglicht Früherkennung von Angriffen, schnelle Reaktionen und dadurch geringere Schadensausbreitung.

4. Notfall- und Incident-Response-­Planung
Nicht die vollständige Verhinderung, sondern der professionelle Umgang mit Sicherheitsvorfällen entscheidet über die tatsächlichen Kosten. Klare Zuständigkeiten, regelmässige Tests (Krisenübungen), Kommunikationspläne und Entscheidungswege sind essenziell.

Cybersecurity ist eine Business-Entscheidung

Cybersecurity bietet in der Regel keinen klassischen, direkt messbaren ROI. Die Aussagekraft von Messungen ist daher nur begrenzt. Aus diesem Grund sollten Entscheidungen über Massnahmen und Budgets auf Stufe Management getroffen werden und nicht ausschliesslich aus technischer oder operativer Perspektive.

Kontrollfragen für das Management helfen, Risiken richtig einzuschätzen und ihre Auswirkungen auf das Geschäft zu beurteilen. Die Risikoperspektive ist entscheidend, da ein Restrisiko immer bleibt. Wichtig ist, wie viel Restrisiko das Unternehmen bereit ist zu akzeptieren. Zum Schluss ist es wichtig, dass regelmässige Reviews gemacht werden. Es geht auch hier um die Reduktion von Risiken und nicht um das Vermeiden von Vorfällen. Kennzahlen sind nicht die Anzahl verhinderter Angriffe, sondern die Reduktion des erwarteten Risikos, Verkürzung von Erkennungs- und Reaktionszeiten oder die Erhöhung der Resilienz. Cybersecurity ist kein Zustand, sondern ein Prozess. Durch wiederkehrende Risiko- und Massnahmen-Reviews sowie Lessons Learned steigt das Bewusstsein der Risiken. Und es lässt sich aufzeigen, wie sich die Risiken über die Zeit verändern. Wer Cybersecurity so versteht, investiert nicht «zu viel», sondern gezielt und verantwortungsvoll in Resilienz, Handlungsfähigkeit und langfristige Zukunftsfähigkeit.

Der Autor

Markus Kaegi ist bei Isolutions Head of Security und leitet die Business Unit ­Cybersecurity. Er ist seit über 20 Jahren im Bereich Cybersecurity tätig.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
IDP: Wenn Dokumente zu Daten werden
MIT SCION ZAHLUNGSDIENSTE SICHERN
Smart und souverän
Cloud-Souveränität: Technische Realität und praktische Umsetzung
Open Source im Office: Digitale Souveränität beginnt im Dokument
Unabhängigkeit beginnt beim Netzwerk
GOLD SPONSOREN
SPONSOREN & PARTNER