News

Wieviel sollte ein Unternehmen in Cybersecurity investieren?

Header Cybersecurity Budget
Momentum: Cybersecurity in Unternehmen Zwischen Pflicht und Risikomanagement Investitionen strukturiert entscheiden Fokus auf «Low Hanging Fruits» Fazit Kontakt

Momentum: Cybersecurity in Unternehmen

Cybersecurity-Investitionen sind keine Prozentrechnung, sondern eine Risikoentscheidung. Ein strukturierter, risikobasierter Ansatz hilft, ein sinnvolles Budget festzulegen, Massnahmen nach Wirkung zu priorisieren und Aufwand sowie Nutzen regelmässig zu überprüfen.

 

Täglich lesen wir in den Medien von Cyberangriffen. Wir sind uns bewusst, dass Cyberangriffe auch beim eigenen Unternehmen zu den grössten Risiken gehören. Gleichzeitig gehen wir mit Begriffen wie Ransomware, Phishing, Datendiebstahl oder Sabotage eher konservativ um. Unternehmen müssen abwägen: Finanzielle Schäden, Reputationsschäden, Lieferfähigkeit, Compliance-Themen, riskieren oder in Prävention investieren. Und genau das führt zu Diskussionen: Die Kosten sind messbar, vermiedene Vorfälle nicht – zumindest so lange kein Sicherheitsvorfall eintritt. Es geht darum, wie Unternehmen einen sinnvollen Investitionsrahmen für Cybersecurity bestimmen, welche Massnahmen den grössten Effekt erzielen und wie sich Aufwand und Wirkung pragmatisch überprüfen lassen.

Zwischen Pflicht und Risikomanagement

Cybersecurity Swiss IT Circle

Sie bewegt sich im Spannungsfeld zwischen dem Muss aufgrund von regulatorischen, gesetzlichen oder branchenspezifischen Anforderungen, dem Kann in Bezug auf finanzielle und personelle Ressourcen sowie dem Sollte aufgrund des akzeptierten Restrisikos aus Sicht des Managements.

Gesetzliche Vorgaben (DSGVO, nDSG, NIS2, branchenspezifische Standards) definieren ein Mindestniveau an Sicherheitsmassnahmen. Diese Vorgaben bilden jedoch lediglich die Untergrenze und garantieren keinesfalls einen ausreichenden Schutz vor realen Angriffsszenarien.

In der Praxis haben sich einige grobe Richtwerte etabliert:

  • 8-15 Prozent des IT-Budgets für Cybersecurity gelten in vielen Branchen als Orientierung.
  • Bei kritischen Infrastrukturen, Finanzdienstleistern oder datenintensiven Geschäftsmodellen liegt das Budget häufig deutlich darüber.
  • Kleine und mittlere Unternehmen investieren oft weniger, tragen jedoch relativ höhere Risiken.
  • Das Verhältnis Prävention versus Reaktion: Eine bewährte Aufteilung lautet wie folgt:
    • 80% Prävention (Awareness, Hardening, Monitoring)
    • 20% Reaktion (Backups, Notfallübungen, Wiederanlauf).


Diese Zahlen ersetzen keine individuelle Analyse, zeigen aber, dass Cybersecurity ein fester Bestandteil moderner IT- und Unternehmenssteuerung ist. Die Höhe der Cybersecurity-Investitionen ist damit weniger eine technische Frage als eine bewusste Entscheidung über Risikoakzeptanz, Haftung und Geschäftskontinuität.

Investitionen strukturiert entscheiden

Der passende Investitionsrahmen ergibt sich aus einer risikobasierten Betrachtung, nicht aus technischen Wunschlisten oder Angst vor Schlagzeilen. Bewährt hat sich ein mehrstufiger Ansatz:

Bauchgefühl sichtbar machen

Cyber-Resilienz ist häufig nicht ausschliesslich eine IT-Angelegenheit. Vielmehr muss das Management mit einbezogen werden. Folgende Fragen sollten in einem ersten Schritt beantwortet werden:

  • «Wovor haben wir eigentlich Angst?»
  • «Was darf auf keinen Fall ausfallen?»
  • «Was wäre «unangenehm» oder sogar existenzbedrohend?»

Schutzbedarf bestimmen

Aus diesen Antworten muss abgeleitet werden, was geschützt werden muss. Oft denkt man in erster Linie an IT-Systeme und technische Komponenten. Dazu gehören jedoch auch kritische Geschäftsprozesse oder sensible Daten wie z. B. Kundendaten, geistiges Eigentum, Patente oder Produktionsdaten. Der Schutzbedarf ergibt sich dabei aus den möglichen Auswirkungen eines Ausfalls aus Sicht Kosten, Recht, Lieferfähigkeit und Reputation. Einflussbereiche sind dabei Kunden, Mitarbeiter, Partner sowie auch die Öffentlichkeit und Aufsichtsbehörden.

Bedrohungen und Schwachstellen analysieren

Aufbauend auf dem Schutzbedarf werden Bedrohungen und Schwachstellen analysiert: Fragen wie

  • «Welche geschäftsrelevanten realistischen Angriffsszenarien gibt es?»
  • «Wo bestehen bekannte Schwachstellen (technisch, organisatorisch, prozessual, lieferkettenbezogen oder menschlich)?»

helfen dabei. Hier reichen oft vereinfachte Risikoanalysen aus und es muss kein vollständiges ISO-27001-Projekt sein, um handlungsfähig zu werden.

Erwartete Schäden quantifizieren

Sind die Bedrohungen und Schwachstellen bekannt, erfolgt als nächster Schritt das Quantifizieren der erwarteten Schäden. Es gilt zu klären, wie hoch der Schaden ist, wenn ein bestimmtes Szenario eintritt. Auch eine realistische Einschätzung wie häufig ein Ereignis eintritt ist wichtig.

Aus der Kombination von Schadensausmass und Eintrittswahrscheinlichkeit ergibt sich ein erwarteter Jahresverlust, der als Orientierungsgrösse für Priorisierung und Investitionsentscheide dient.

Investitionen am Risikoreduktionspotenzial ausrichten

Schlussendlich werden die Sicherheitsmassnahmen priorisiert, um sicherzustellen, dass das Risiko nachweislich reduziert werden kann und ein günstiges Kosten-Nutzen-Verhältnis aufweist. Zudem soll es regulatorische oder geschäftskritische Anforderungen adressieren sowie kurz- bis mittelfristig umsetzbar sein.

Der Investitionsrahmen ergibt sich dabei nicht aus einem Fixbetrag, sondern aus der wirtschaftlichen Abwägung zwischen Risikoexposition und erreichbarer Risikoreduktion.

Fokus auf «Low Hanging Fruits»

Ein häufiger Fehler ist der Einstieg mit komplexen oder teuren Lösungen, während grundlegende Massnahmen fehlen. Erfahrungsgemäss erzielen folgende Bereiche den höchsten Effekt pro investiertem Franken:

Awareness und Schulung der Mitarbeitenden

Ein Grossteil erfolgreicher Angriffe beginnt mit menschlichen Fehlern. Regelmässige und praxisnahe Schulungen zu Phishing, Passwortsicherheit und sicherem Arbeiten reduzieren das Risiko deutlich bei vergleichsweise geringen Kosten.

Zeitaufwand pro Mitarbeitenden versus Risiko:

  • Ein einziger erfolgreicher Cyberangriff kann Wochen an Ausfallzeit und hohe Schäden verursachen. Somit reduzieren geschulte Mitarbeitende das Risiko deutlich.
  • 10 Minuten pro Woche für Cyber-Training = 8 Stunden pro Jahr

Fazit: Überschaubarer Aufwand kann die Angriffsfläche deutlich reduzieren und Folgekosten begrenzen.

Basis-Hygiene in der IT

Basis-Hygiene verhindert viele Standardangriffe bevor diese Schaden anrichten. Dazu gehören:

  • Patch- und Update-Management
  • Inventar von Systemen und Konten
  • Starke Authentifizierung (z. B. MFA)
  • Minimierung von Benutzerrechten
  • Deaktivierung von nicht mehr benötigten Benutzerkonten
  • Saubere Backup- und Recovery-Strategien (offline und getestet).

Sichtbarkeit und proaktive Überwachung

Schutz setzt Wissen voraus. Ein angemessenes und zielgerichtetes Monitoring von Systemen, Logs und Zugriffen an einem zentralen Ort ermöglicht Früherkennung von Angriffen, schnelle Reaktionen und dadurch geringere Schadensausbreitung.

Notfall- und Incident-Response-Planung

Nicht die vollständige Verhinderung, sondern der professionelle Umgang mit Sicherheitsvorfällen entscheidet über die tatsächlichen Kosten. Klare Zuständigkeiten, regelmässige Tests (Krisenübungen), Kommunikationspläne und Entscheidungswege sind essenziell.

Fazit

Cybersecurity liefert selten einen direkt messbaren ROI. Deshalb müssen Entscheidungen über Massnahmen und Budgets auf Management‑Stufe getroffen werden – basierend auf Risiko, nicht auf Technik.

isolutions unterstützt Unternehmen dabei, diese Entscheidungen fundiert zu treffen:

  • Durch Security Assessments,
  • Reifegradanalysen,
  • Zero‑Trust‑Ansätze
  • und den Aufbau von Monitoring‑ und Incident‑Response‑Strukturen auf Basis der Microsoft Security Plattform.

So schaffen wir Transparenz über Risiken, definieren gemeinsam den akzeptablen Restrisikobereich und prüfen die Wirksamkeit der Massnahmen.

Kontrollfragen helfen dem Management, Risiken richtig einzuordnen. Ein Restrisiko bleibt immer – entscheidend ist, wie viel ein Unternehmen bewusst akzeptieren will.

Mit unserem

  • Cybersecurity‑Maturity‑Check,
  • Security Governance
  • und modernem Security Monitoring (SIEM/SOAR, Defender, Sentinel)

unterstützen wir Unternehmen bei dieser Abwägung.

Regelmässige Reviews sind zentral, um neue Bedrohungen und Veränderungen im Umfeld zu berücksichtigen. Unsere kontinuierlichen Security‑Reviews, Pen-Test‑Begleitung, Monitoring‑Services und Resilience‑Workshops helfen, Risiken gezielt zu reduzieren. Relevante Kennzahlen sind nicht die Anzahl verhinderter Angriffe, sondern die Reduktion des erwarteten Risikos, kürzere Erkennungs‑ und Reaktionszeiten und höhere Resilienz.

Cybersecurity ist kein Zustand, sondern ein Prozess. Durch wiederkehrende Risiko- und Massnahmenreviews sowie Lessons Learned steigt das Bewusstsein der Risiken. Und es lässt sich aufzeigen, wie sich die Risiken über die Zeit verändern. Wer Cybersecurity so versteht, investiert nicht «zu viel», sondern gezielt und verantwortungsvoll in Resilienz, Handlungsfähigkeit und langfristige Zukunftsfähigkeit

Kontakt

Willst du mehr über Cybersecurity erfahren?

Markus Kaegi

Business Unit Lead - Cyber Security

markus.kaegi@isolutions.ch
Markus Kaegi

we shape the future

Bern Schanzenstrasse 4c 3008 Bern +41 31 560 88 88 info@isolutions.ch
Basel Güterstrasse 144 4053 Basel +41 31 560 88 88 info@isolutions.ch
Zürich The Circle 38 8058 Zürich +41 31 560 88 88 info@isolutions.ch
Barcelona Carrer de Trafalgar 6,
2a planta, despacho 28 08010 Barcelona +34 936 260 290
© 1999–2026