
Keine verschlüsselten Systeme. Kein kompromittiertes Konto. Keine Überweisung an falsche Bankdaten. Kein tagelanger Ausfall, weil ein einzelner Klick auf einen überzeugend gestalteten Link eine Kette von Problemen ausgelöst hat.
Genau deshalb wird Security Awareness in vielen Unternehmen noch immer primär als Aufwand gesehen: Schulungen kosten Zeit, Kampagnen benötigen Budget und Mitarbeitende müssen sich mit Themen beschäftigen, die im hektischen Arbeitsalltag nicht immer ganz oben auf der Prioritätenliste stehen.
Die wichtigere Frage lautet aber nicht: Was kostet Security Awareness?
Sondern: Was kostet es uns, wenn sie fehlt?
Technische Schutzmassnahmen wie Firewalls, Endpoint Protection, Backups oder E-Mail-Filter sind unverzichtbar. Aber selbst die beste Technik kann nicht jede Situation vollständig abfangen.
Denn viele Angriffe beginnen nicht mit einer hochkomplexen technischen Schwachstelle, sondern mit einem Menschen.
Ein Mitarbeitender erhält beispielsweise eine E-Mail, die scheinbar von Microsoft stammt. Darin wird behauptet, das Passwort laufe ab und müsse sofort bestätigt werden. Die Seite sieht professionell aus, der Absender wirkt auf den ersten Blick glaubwürdig und die Nachricht erzeugt Zeitdruck.
Oder ein Lieferant informiert angeblich über neue Bankdaten. Die E-Mail ist freundlich formuliert, enthält das richtige Logo und verweist auf eine Rechnung, die tatsächlich existieren könnte.
In beiden Fällen entscheidet nicht nur die Technik über den Ausgang. Entscheidend ist auch, ob die Person innehält, die Situation hinterfragt und weiss, wie sie richtig reagieren soll.
Genau hier setzt Security Awareness an: Mitarbeitende sollen Risiken erkennen, richtig handeln und verdächtige Vorfälle frühzeitig melden.
ROI steht für „Return on Investment“ – also für die Frage, welchen finanziellen Nutzen eine Investition im Verhältnis zu ihren Kosten bringt.
Bei Security Awareness geht es dabei nicht um zusätzliche Umsätze. Der Nutzen entsteht vor allem durch vermiedene Kosten.
Die vereinfachte Formel lautet:
ROI = (vermiedene Kosten – Investition) / Investition × 100
Ein positives Ergebnis bedeutet: Die erwarteten oder tatsächlich vermiedenen Schäden sind höher als die Investition in Security Awareness.
Dabei geht es nicht darum zu behaupten, dass eine Schulung jeden Cyberangriff verhindert. Das wäre unrealistisch. Es geht darum, die Wahrscheinlichkeit erfolgreicher Angriffe zu reduzieren und die Auswirkungen zu begrenzen, wenn doch einmal etwas passiert.
Stellen wir uns ein mittelgrosses Unternehmen mit 250 Mitarbeitenden vor.
Ein Mitarbeitender klickt auf einen Phishing-Link und gibt seine Zugangsdaten ein. Das Konto wird übernommen. Die IT muss reagieren, Zugänge sperren, Systeme prüfen und Passwörter zurücksetzen. Aus Sicherheitsgründen stehen einzelne Systeme mehrere Stunden nicht zur Verfügung.
40 Mitarbeitende können während dieser Zeit nur eingeschränkt arbeiten. Bei einem internen Stundensatz von 70 Franken und vier Stunden eingeschränkter Produktivität entstehen bereits rund 11'200 Franken an Kosten.
Hinzu kommen beispielsweise:
Aus einem einzelnen kompromittierten Konto kann schnell ein Vorfall mit Kosten von mehreren zehntausend Franken werden – selbst dann, wenn keine Daten veröffentlicht werden und kein grösserer Schaden in der Öffentlichkeit sichtbar wird.
Security Awareness soll genau solche Situationen früher unterbrechen.
Der Mitarbeitende erkennt beispielsweise, dass die Anmeldeseite nicht zur echten Microsoft-Domain gehört. Er meldet die E-Mail über den vorgesehenen Kanal. Die IT kann den Angriff prüfen, weitere Empfänger warnen und im besten Fall verhindern, dass überhaupt ein Konto kompromittiert wird.
Die direkten Kosten eines Sicherheitsvorfalls lassen sich häufig noch berechnen. Dazu gehören IT-Aufwand, externe Dienstleister, Ausfallzeiten oder Wiederherstellungsmassnahmen.
Daneben gibt es aber Kosten, die deutlich schwieriger zu erfassen sind:
Gerade bei kleineren und mittleren Unternehmen wird dieser Effekt oft unterschätzt. Ein Sicherheitsvorfall muss nicht zwingend in den Nachrichten stehen, um spürbare Folgen zu haben.
Wenn ein wichtiger Kunde wegen einer Verzögerung unzufrieden ist oder ein Projekt mehrere Tage stillsteht, entstehen finanzielle Auswirkungen, die in einer reinen IT-Kostenrechnung häufig nicht vollständig sichtbar werden.
Der ROI-Rechner von TreeSolution macht genau diese wirtschaftliche Perspektive greifbarer.
Statt pauschal zu sagen, dass Security Awareness „wichtig“ ist, können Unternehmen mit ihren eigenen Annahmen rechnen: Wie viele Mitarbeitende sind betroffen? Welche internen Stundensätze gelten? Wie hoch wäre ein realistischer Produktivitätsverlust bei einem Vorfall? Welche Kosten entstehen durch IT-Aufwand, Ausfallzeiten oder externe Unterstützung? Dadurch entsteht eine individuelle Berechnung, die besser zur Realität des jeweiligen Unternehmens passt als allgemeine Durchschnittswerte.
Ein Unternehmen mit 80 Mitarbeitenden hat andere Risiken, Prozesse und Kostenstrukturen als ein international tätiges Unternehmen mit 2'000 Mitarbeitenden. Deshalb sollte auch die wirtschaftliche Bewertung von Security Awareness nicht nach einem starren Muster erfolgen.
Nehmen wir an, ein Unternehmen geht davon aus, dass ein relevanter Sicherheitsvorfall im Durchschnitt alle zwei Jahre auftreten könnte. Die erwarteten Gesamtkosten eines solchen Vorfalls liegen bei rund 120'000 Franken.
Auf ein Jahr gerechnet entspricht das einem erwarteten Risiko von rund 60'000 Franken.
Das Unternehmen investiert jährlich 18'000 Franken in ein strukturiertes Security Awareness-Programm – beispielsweise mit gezielten Trainings, Phishing-Simulationen, regelmässiger Kommunikation und Massnahmen für besonders gefährdete Rollen.
Wenn dadurch die Wahrscheinlichkeit oder die Auswirkungen eines erfolgreichen Angriffs um 60 Prozent reduziert werden, sinkt das erwartete jährliche Risiko von 60'000 auf 24'000 Franken.
Die vermiedenen Kosten liegen damit bei 36'000 Franken.
Nach Abzug der Investition von 18'000 Franken verbleibt ein wirtschaftlicher Nutzen von 18'000 Franken. Der ROI liegt in diesem Beispiel bei 100 Prozent.
Das ist keine Garantie und kein allgemein gültiger Wert. Es zeigt jedoch, wie sich Security Awareness wirtschaftlich bewerten lässt: nicht über ein Bauchgefühl, sondern über nachvollziehbare Annahmen.
Eine gute ROI-Berechnung muss nicht spektakulär sein. Sie muss glaubwürdig sein.
Deshalb empfiehlt es sich, mit mehreren Szenarien zu arbeiten:
Konservativ: Welche Wirkung ist selbst dann realistisch, wenn nur ein kleiner Teil der Risiken reduziert wird?
Realistisch: Welche Verbesserung ist durch regelmässige, zielgerichtete Awareness-Massnahmen zu erwarten?
Ambitioniert: Welche Wirkung kann entstehen, wenn Security Awareness langfristig in Prozesse, Führung und Unternehmenskultur integriert wird?
Diese Herangehensweise hilft auch bei internen Diskussionen. Statt nur über die Kosten einer Plattform oder eines Trainings zu sprechen, wird sichtbar, welche Kosten ein Sicherheitsvorfall verursachen kann – und welches Potenzial in einer besseren Prävention liegt.
Security Awareness ist keine Garantie gegen Cyberangriffe. Aber sie kann entscheidend dazu beitragen, dass aus einer verdächtigen E-Mail kein Sicherheitsvorfall wird und aus einem Fehler keine unternehmensweite Krise.
Der wirtschaftliche Nutzen entsteht durch weniger erfolgreiche Angriffe, schnellere Meldungen, geringere Ausfallzeiten und besser vorbereitete Mitarbeitende.
Wer Security Awareness nur als Schulungsaufwand betrachtet, sieht nur einen Teil der Rechnung. Wer auch die potenziell vermiedenen Kosten berücksichtigt, erkennt ihren tatsächlichen Wert.
Mit dem ROI-Rechner von TreeSolution können Unternehmen diese Perspektive konkret auf ihre eigene Organisation übertragen und fundierter entscheiden, wie viel Prävention wirtschaftlich sinnvoll ist.