15 Apr 2025
15 Apr 2025
Die häufigste Frage, die mir potenzielle Neukunden stellen, lautet: "Und was kostet mich das?" Kein Wunder, denn das Cybersecurity Budget ist gerade bei kleineren und mittleren Unternehmen, kurz KMU, meist schmal. In solchen Fällen erzähle ich gerne von Marie. Marie ist Inhaberin eines kleinen Coaching-Unternehmens und seit vielen Jahren Kundin bei mir - doch zu Beginn war sie an einer Zusammenarbeit nicht interessiert. Zu hoch erschienen ihr die Kosten, und zu gering das Risiko, dass tatsächlich etwas passieren könnte. Für diese Einstellung musste sie schon bald teuer bezahlen. Sprechen wir also über die Kosten eines Cyberangriffs.
Nach dem Erstgespräch entschied sich Marie gegen Cybersecurity-Investitionen. Ein Jahr später sass sie wieder in meinem Büro - und berichtete unter Tränen, dass ihr Unternehmen Opfer einer Cyberattacke geworden war. Der Schaden belief sich auf rund 200.000 CHF. Zusätzlich hatte ihr guter Ruf merklich gelitten, und viele Kunden hatten zu anderen Anbietern gewechselt.
So wie Marie geht es vielen Unternehmern. Auf den ersten Blick wirkt eine Cyberattack und ihre Folgen finanziell überschaubar. Das liegt allerdings daran, dass oftmals nur unmittelbare Kosten, zum Beispiel Lösegeldforderungen der Hacker, berücksichtigt werden. Doch darüber hinaus fallen viele weitere Kosten an, die erst auf den zweiten Blick ersichtlich sind. Dazu gehören:
Ein Unternehmen mit ungefähr 100 Mitarbeitern, das wegen eines Cyberangriffs den Betrieb für eine Woche einstellen muss, sollte ungefähr mit den folgenden Kosten rechnen:
Marie tat mir leid. Ihr Unternehmen war noch jung, deshalb hatte sie versucht, beim Cybersecurity Budget zu sparen. Damit steht sie nicht alleine da - vielen Unternehmern ist allerdings nicht bewusst, wie gross die Risiken tatsächlich sind. Ein verbreiteter Irrglaube ist, dass nur Grosskonzerne für Hacker interessant sind. Einer Studie der HDI-Versicherung zufolge wurde bereits mehr als jedes zweite mittelständische Unternehmen Opfer einer Cyberattacke, bei den Kleinst- und Kleinunternehmen ist ungefähr jedes dritte betroffen.
Gerade, weil viele KMU bei IT-Sicherheit ein Risiko eingehen, sind sie also gefährdet - so wie Marie. Der Angriff erfolgt dann über typische Schwachstellen. Besonders oft sind die verwendeten Softwares veraltet und enthalten nicht mehr die aktuellsten Sicherheits-Updates. Auch unsichere Passwörter öffnen Hackern Tür und Tor zu den internen Daten. Ein unverschlüsselter Datenaustausch, unwissende Mitarbeiter, die die gängigen Betrugsmaschen der Cyberkriminellen nicht kennen und unnötig umfangreiche Zugriffsrechte sind weitere Risiken. Besonders problematisch: In vielen Unternehmen decken wir nicht nur eine, sondern gleich mehrere Sicherheitslücken auf. Das bedeutet, in vielen KMU potenziert sich das Risiko, gehackt zu werden - und damit enorme finanzielle Verluste zu erleiden.
Wie hoch das Cyberrisiko konkret ausfällt, lässt sich mithilfe verschiedener komplexer Ansätze berechnen. Dabei gibt es Kalkulationen, die den zu erwartenden Verlust durch verschiedene IT-Bedrohungen prognostizieren. Anhand des Ergebnisses lässt sich anschliessend beurteilen, welches Risiko die gravierendste Auswirkung hat und deshalb besonders gut durch Präventionsmassnahmen geschützt werden sollte. Andere Ansätze hingegen helfen dabei, den Schweregrad von Schwachstellen in der IT-Infrastruktur einzuordnen. Auch diese Berechnung hilft dabei, Cybersecurity-Investitionen gezielt zu verteilen.
Kommen wir zu Marie zurück. Sie kam also nach dem Cyberangriff auf ihr Unternehmen erneut auf mich zu, weil sie in Zukunft gewappnet sein wollte. Und wieder stellte sich die Frage - und vermutlich ist das auch die Frage, die dich gerade beschäftigt -, mit welchen Präventionskosten für IT Security man rechnen muss.
Allgemein ist es sehr schwierig, darauf eine Antwort zu geben, schliesslich gibt es viele Aspekte, die die Cybersicherheit in KMU beeinflussen. Dazu gehören die Grösse des Unternehmens, die Anzahl der Mitarbeiter, die verwendeten Softwares und Anwendungen und das bisherige Sicherheitskonzept. Ausserdem wirken sich die eventuell aufgedeckten Sicherheitslücken oder vielmehr deren Behebung auf die Gesamtkosten aus.
Die folgenden Stundensätze können dir einen Anhaltspunkt darüber geben, wie hoch die Kosten für IT-Schutz Investitionen sind:
Hinzu kommen die Kosten für Technologien, die verwendet werden, also zum Beispiel für Softwares und die dazugehörigen Lizenzen. Für Firewalls und Virenscanner musst du mit etwa 500 bis 5.000 CHF pro Jahr rechnen - je nachdem, wie gross und komplex dein Firmennetzwerk ist. Software-Updates schlagen jährlich mit ungefähr 1.000 bis 2.000 CHF zubuche. Der konkrete Betrag hängt von den Programmen und Softwares ab, die in deinem Unternehmen zum Einsatz kommen. Für Mitarbeiterschulungen solltest du pro Jahr weitere 2.000 CHF einplanen.
Viele Geschäftsführer eines kleinen oder mittleren Unternehmens befinden sich in einem Dilemma. Ihr Cybersecurity Budget ist klein, die Beschäftigung einer IT-Fachkraft können sie sich nicht leisten. Also nehmen sie die Cybersecurity selbst in die Hand - und hoffen, dass ihr persönliches IT-Sicherheit Risiko gering ist. Dabei fallen die Präventionskosten für IT Security oftmals günstiger aus als erwartet - vor allem, wenn man die Kosten eines Cyberangriffs gegenüberstellt. Betrachten wir also Präventionskosten und Schadenbegrenzung im Vergleich:
| Präventionskosten IT: | Kosten eines Cyberangriffs: |
|---|---|
| Implementierung von geeigneten Technologien ca. 2.500 CHF |
Lösegeldforderung ca. 100.000 CHF |
| Software-Updates ca. 1.500 CHF |
Systemwiederherstellung ca. 250.000 CHF |
| Mitarbeiterschulungen ca. 2.000 CHF |
Rechtsberatung ca. 50.000 CHF |
| evtl. Cybersecurity-Versicherung ca. 1.000 CHF |
Ermittlungen/Untersuchungen ca. 50.000 CHF |
| Security-Assessment ca. 10.000 CHF |
--- |
| Summe ca. 17.000 CHF pro Jahr | Summe ca. 450.000 CHF pro Vorfall |
Präventionskosten IT:
Kosten eines Cyberangriffs:
An dieser Stelle sagen Skeptiker häufig, dass die Kosten eines Cyberangriffs hypothetisch sind, Präventionskosten für IT Security sind hingegen real und fallen Jahr für Jahr an. Das stimmt natürlich. Je weniger Cybersecurity-Investitionen du allerdings vornimmst, desto ungeschützter sind deine Systeme - und desto höher ist das Risiko für einen Angriff.
Im Jahr 2021 wurde die Stadt Tulsa in Oklahoma von Cyberkriminellen angegriffen. Sie verschafften sich Zugang zu den Systemen und forderten ein Lösegeld, es handelte sich also um eine Ransomware-Attacke. Doch die Verantwortlichen hatten vorgesorgt und umfangreiche Präventionsmassnahmen ergriffen. Dazu gehörten folgende Aspekte:
Natürlich entstanden dennoch Kosten, weil auch in diesem Fall IT-Experten beauftragt werden mussten, die sich um die Systemwiederherstellung kümmerten. Doch wegen der guten Vorbereitung konnte die Lösegeldzahlung verhindert werden und die Wiederherstellungskosten fielen minimal aus. Zum Vergleich: Die Stadt Atlanta, die 2018 gehackt wurde, musste alleine für die Systemwiederherstellung 2 Millionen US-Dollar bezahlen. Prävention zahlt sich also aus - im wahrsten Sinne des Wortes.
Der Fall Tulsa zeigt, wie wertvoll ein Incident-Response-Plan ist. In diesem werden notwendige Schritte und Verantwortlichkeiten im Falle eines Cyberangriffs festgehalten. Prävention sollte deshalb immer die Erstellung und regelmässige Aktualisierung eines solchen Plans beinhalten.
Ausserdem müssen die Mitarbeiter immer wieder auf aktuelle Methoden von Cyberkriminellen aufmerksam gemacht werden, um deren Gefahrenbewusstsein zu schärfen. Oftmals sind es nämlich Menschen, die ungewollt zu Mittätern werden, indem sie Hackern aus Unwissenheit und Gutgläubigkeit Zugriff verschaffen. In diesem Zusammenhang muss auch über Passwortsicherheit gesprochen werden. Eine sinnvolle und unkomplizierte Möglichkeit, um Zugänge besser zu schützen, ist die Multi-Faktor-Authentifizierung, die neben dem Passwort auf eine weitere Legitimationsform setzt.
Mindestens einmal pro Jahr sollte zudem ein Security-Assessment, beispielsweise in Form eines Penetration Tests, durchgeführt werden. Dabei versucht ein IT-Experte, sich Zugriff auf das Unternehmensnetzwerk zu verschaffen. Die so aufgedeckten Schwachstellen können anschliessend durch geeignete Technologien und Massnahmen beseitigt werden.
Es lässt sich nicht leugnen: Effiziente Cyberprävention kostet Geld. Die Kosten eines Cyberangriffs liegen allerdings deutlich höher - und die Anzahl an Cyberattacken nimmt kontinuierlich zu. Durch das Outsorcen der IT-Sicherheit an Experten holst du das meiste aus deinem Cybersecurity Budget heraus und kannst oft sogar noch etwas sparen.
Ich wünschte, es wäre mir damals gelungen, Maries Gefahrenbewusstsein zu schärfen. Ein kleiner Trost: Mit ihrer indirekten Hilfe konnte ich seitdem viele weitere KMU davon überzeugen, dass jeder Cent an Cybersecurity-Investitionen gut angelegtes Geld ist. Deshalb rate ich auch dir: Lass jetzt die Cybersicherheit deines Unternehmens überprüfen und handle präventiv - bevor ein Hacker seine Chance ergreift!
Jetzt präventive Massnahmen ergreifen
Quellenangaben:
Und keine Neuigkeiten mehr verpassen
Beantworte einfach ein paar Fragen und finde direkt heraus, wie sicher dein Unternehmen wirklich ist.
Effektive Cybersecurity muss nicht teuer sein - auch mit dem kleinsten Budget kannst du dein Unternehmen schützen. Wie? Erfahre hier mehr!
Cybersecurity-Investitionen werden von KMU oft vernachlässigt. Das rächt sich, wenn es zu einem Cyberangriff kommt. Hier geht's zum Kostenvergleich!
Wie gut ist dein Unternehmen gegen Cyberangriffe geschützt? Finde es heraus - mit einem Pen Test! Was das ist, erfährst du hier!
