Was bringt Security Awareness wirklich? So wird der ROI von Prävention sichtbar

#
Awareness Strategie
#
Sicherheitsbewusstsein
#
Informationssicherheit
#
Cybersicherheit
Sitzungszimmer mit Menschen und Präsentation auf einem Bildschirm

Eine Sicherheitsmassnahme ist immer dann besonders schwierig zu erklären, wenn ihr grösster Nutzen darin liegt, dass nichts passiert.

Keine verschlüsselten Systeme. Kein kompromittiertes Konto. Keine Überweisung an falsche Bankdaten. Kein tagelanger Ausfall, weil ein einzelner Klick auf einen überzeugend gestalteten Link eine Kette von Problemen ausgelöst hat.

Genau deshalb wird Security Awareness in vielen Unternehmen noch immer primär als Aufwand gesehen: Schulungen kosten Zeit, Kampagnen benötigen Budget und Mitarbeitende müssen sich mit Themen beschäftigen, die im hektischen Arbeitsalltag nicht immer ganz oben auf der Prioritätenliste stehen.

Die wichtigere Frage lautet aber nicht: Was kostet Security Awareness?

Sondern: Was kostet es uns, wenn sie fehlt?

Security Awareness ist kein „Nice-to-have“

Technische Schutzmassnahmen wie Firewalls, Endpoint Protection, Backups oder E-Mail-Filter sind unverzichtbar. Aber selbst die beste Technik kann nicht jede Situation vollständig abfangen.

Denn viele Angriffe beginnen nicht mit einer hochkomplexen technischen Schwachstelle, sondern mit einem Menschen.

Ein Mitarbeitender erhält beispielsweise eine E-Mail, die scheinbar von Microsoft stammt. Darin wird behauptet, das Passwort laufe ab und müsse sofort bestätigt werden. Die Seite sieht professionell aus, der Absender wirkt auf den ersten Blick glaubwürdig und die Nachricht erzeugt Zeitdruck.

Oder ein Lieferant informiert angeblich über neue Bankdaten. Die E-Mail ist freundlich formuliert, enthält das richtige Logo und verweist auf eine Rechnung, die tatsächlich existieren könnte.

In beiden Fällen entscheidet nicht nur die Technik über den Ausgang. Entscheidend ist auch, ob die Person innehält, die Situation hinterfragt und weiss, wie sie richtig reagieren soll.

Genau hier setzt Security Awareness an: Mitarbeitende sollen Risiken erkennen, richtig handeln und verdächtige Vorfälle frühzeitig melden.

Was bedeutet ROI bei Security Awareness?

ROI steht für „Return on Investment“ – also für die Frage, welchen finanziellen Nutzen eine Investition im Verhältnis zu ihren Kosten bringt.

Bei Security Awareness geht es dabei nicht um zusätzliche Umsätze. Der Nutzen entsteht vor allem durch vermiedene Kosten.

Die vereinfachte Formel lautet:

ROI = (vermiedene Kosten – Investition) / Investition × 100

Ein positives Ergebnis bedeutet: Die erwarteten oder tatsächlich vermiedenen Schäden sind höher als die Investition in Security Awareness.

Dabei geht es nicht darum zu behaupten, dass eine Schulung jeden Cyberangriff verhindert. Das wäre unrealistisch. Es geht darum, die Wahrscheinlichkeit erfolgreicher Angriffe zu reduzieren und die Auswirkungen zu begrenzen, wenn doch einmal etwas passiert.

Ein Beispiel aus der Praxis

Stellen wir uns ein mittelgrosses Unternehmen mit 250 Mitarbeitenden vor.

Ein Mitarbeitender klickt auf einen Phishing-Link und gibt seine Zugangsdaten ein. Das Konto wird übernommen. Die IT muss reagieren, Zugänge sperren, Systeme prüfen und Passwörter zurücksetzen. Aus Sicherheitsgründen stehen einzelne Systeme mehrere Stunden nicht zur Verfügung.

40 Mitarbeitende können während dieser Zeit nur eingeschränkt arbeiten. Bei einem internen Stundensatz von 70 Franken und vier Stunden eingeschränkter Produktivität entstehen bereits rund 11'200 Franken an Kosten.

Hinzu kommen beispielsweise:

  • 60 Stunden Aufwand für IT und Security
  • externe Unterstützung bei Analyse und Bereinigung
  • zusätzlicher Aufwand in Administration, Kommunikation und Management
  • mögliche Verzögerung bei Kundenprojekten oder Aufträgen

Aus einem einzelnen kompromittierten Konto kann schnell ein Vorfall mit Kosten von mehreren zehntausend Franken werden – selbst dann, wenn keine Daten veröffentlicht werden und kein grösserer Schaden in der Öffentlichkeit sichtbar wird.

Security Awareness soll genau solche Situationen früher unterbrechen.

Der Mitarbeitende erkennt beispielsweise, dass die Anmeldeseite nicht zur echten Microsoft-Domain gehört. Er meldet die E-Mail über den vorgesehenen Kanal. Die IT kann den Angriff prüfen, weitere Empfänger warnen und im besten Fall verhindern, dass überhaupt ein Konto kompromittiert wird.

Nicht jeder Schaden steht sofort auf einer Rechnung

Die direkten Kosten eines Sicherheitsvorfalls lassen sich häufig noch berechnen. Dazu gehören IT-Aufwand, externe Dienstleister, Ausfallzeiten oder Wiederherstellungsmassnahmen.

Daneben gibt es aber Kosten, die deutlich schwieriger zu erfassen sind:

  • Kunden verlieren Vertrauen in das Unternehmen
  • Projekte verzögern sich
  • Mitarbeitende arbeiten unter hohem Druck statt produktiv
  • Führungskräfte beschäftigen sich mit Krisenkommunikation statt mit dem operativen Geschäft
  • potenzielle Kunden oder Partner hinterfragen die Sicherheit des Unternehmens

Gerade bei kleineren und mittleren Unternehmen wird dieser Effekt oft unterschätzt. Ein Sicherheitsvorfall muss nicht zwingend in den Nachrichten stehen, um spürbare Folgen zu haben.

Wenn ein wichtiger Kunde wegen einer Verzögerung unzufrieden ist oder ein Projekt mehrere Tage stillsteht, entstehen finanzielle Auswirkungen, die in einer reinen IT-Kostenrechnung häufig nicht vollständig sichtbar werden.

Wie der ROI-Rechner von TreeSolution hilft

Der ROI-Rechner von TreeSolution macht genau diese wirtschaftliche Perspektive greifbarer.

Statt pauschal zu sagen, dass Security Awareness „wichtig“ ist, können Unternehmen mit ihren eigenen Annahmen rechnen: Wie viele Mitarbeitende sind betroffen? Welche internen Stundensätze gelten? Wie hoch wäre ein realistischer Produktivitätsverlust bei einem Vorfall? Welche Kosten entstehen durch IT-Aufwand, Ausfallzeiten oder externe Unterstützung? Dadurch entsteht eine individuelle Berechnung, die besser zur Realität des jeweiligen Unternehmens passt als allgemeine Durchschnittswerte.

Ein Unternehmen mit 80 Mitarbeitenden hat andere Risiken, Prozesse und Kostenstrukturen als ein international tätiges Unternehmen mit 2'000 Mitarbeitenden. Deshalb sollte auch die wirtschaftliche Bewertung von Security Awareness nicht nach einem starren Muster erfolgen.

Ein fiktives ROI-Szenario

Nehmen wir an, ein Unternehmen geht davon aus, dass ein relevanter Sicherheitsvorfall im Durchschnitt alle zwei Jahre auftreten könnte. Die erwarteten Gesamtkosten eines solchen Vorfalls liegen bei rund 120'000 Franken.

Auf ein Jahr gerechnet entspricht das einem erwarteten Risiko von rund 60'000 Franken.

Das Unternehmen investiert jährlich 18'000 Franken in ein strukturiertes Security Awareness-Programm – beispielsweise mit gezielten Trainings, Phishing-Simulationen, regelmässiger Kommunikation und Massnahmen für besonders gefährdete Rollen.

Wenn dadurch die Wahrscheinlichkeit oder die Auswirkungen eines erfolgreichen Angriffs um 60 Prozent reduziert werden, sinkt das erwartete jährliche Risiko von 60'000 auf 24'000 Franken.

Die vermiedenen Kosten liegen damit bei 36'000 Franken.

Nach Abzug der Investition von 18'000 Franken verbleibt ein wirtschaftlicher Nutzen von 18'000 Franken. Der ROI liegt in diesem Beispiel bei 100 Prozent.

Das ist keine Garantie und kein allgemein gültiger Wert. Es zeigt jedoch, wie sich Security Awareness wirtschaftlich bewerten lässt: nicht über ein Bauchgefühl, sondern über nachvollziehbare Annahmen.

Realistisch rechnen statt mit Wunschwerten arbeiten

Eine gute ROI-Berechnung muss nicht spektakulär sein. Sie muss glaubwürdig sein.

Deshalb empfiehlt es sich, mit mehreren Szenarien zu arbeiten:

Konservativ: Welche Wirkung ist selbst dann realistisch, wenn nur ein kleiner Teil der Risiken reduziert wird?

Realistisch: Welche Verbesserung ist durch regelmässige, zielgerichtete Awareness-Massnahmen zu erwarten?

Ambitioniert: Welche Wirkung kann entstehen, wenn Security Awareness langfristig in Prozesse, Führung und Unternehmenskultur integriert wird?

Diese Herangehensweise hilft auch bei internen Diskussionen. Statt nur über die Kosten einer Plattform oder eines Trainings zu sprechen, wird sichtbar, welche Kosten ein Sicherheitsvorfall verursachen kann – und welches Potenzial in einer besseren Prävention liegt.

Fazit: Prävention ist auch wirtschaftlich sinnvoll

Security Awareness ist keine Garantie gegen Cyberangriffe. Aber sie kann entscheidend dazu beitragen, dass aus einer verdächtigen E-Mail kein Sicherheitsvorfall wird und aus einem Fehler keine unternehmensweite Krise.

Der wirtschaftliche Nutzen entsteht durch weniger erfolgreiche Angriffe, schnellere Meldungen, geringere Ausfallzeiten und besser vorbereitete Mitarbeitende.

Wer Security Awareness nur als Schulungsaufwand betrachtet, sieht nur einen Teil der Rechnung. Wer auch die potenziell vermiedenen Kosten berücksichtigt, erkennt ihren tatsächlichen Wert.

Mit dem ROI-Rechner von TreeSolution können Unternehmen diese Perspektive konkret auf ihre eigene Organisation übertragen und fundierter entscheiden, wie viel Prävention wirtschaftlich sinnvoll ist.

Quellen

  1. TreeSolution Security Awareness AG: ROI-Rechner
  2. Osterman Research: The ROI of Security Awareness Training
  3. TreeSolution Security Awareness AG: Wie man eine Cybersicherheitskultur managen kann
  4. TreeSolution Security Awareness AG: Cybersicherheit ist unerlässlich - aber wie gross ist der Nutzen von Security Awareness?

Kontaktieren Sie uns über unser Kontaktformular

Wenn Sie Unterstützung benötigen, schreiben Sie unter „Mitteilung“ eine kurze Beschreibung des Problems.

Vielen Dank! Wir beantworten Ihre Anfrage rasch möglichst.
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.

Bitte kontaktieren Sie uns direkt unter info@treesolution.com.
Newsletter

Verpassen Sie keine News mehr zu Cyber Security Awareness und erhalten Sie Tipps und Tricks für die Mitarbeitendenschulung in Ihrem Unternehmen.

Vielen Dank für Ihre Newsletter Anmeldung.
Beim Absenden des Formulars ist etwas schief gelaufen.

Verwandte Artikel

#
Awareness Messung
#
Sicherheitsbewusstsein
#
Awareness Kampagnen

Warum die Klickrate lügt: Phishing-Simulationen vs. Security Awareness Radar® (SAR)

#
Awareness Messung
#
Awareness Strategie
#
Trends aus Praxis und Forschung

Der Security Culture Code: 20 Jahre Insights zur Sicherheitskultur

#
Trends aus Praxis und Forschung
#
Cybersicherheit
#
Awareness Kampagnen
#
Sicherheitsbewusstsein

Phishing 2025: Wie moderne Social-Engineering-Angriffe funktionieren – und wie Sie sie erkennen

#
Sicherheitsbewusstsein
#
Informationssicherheit

Security Awareness-Webinare für Mitarbeitende

Umschlagsymbol

Formular, E-Mail, Telefon

Sie können ein kurzes Formular ausfüllen oder uns eine E‑Mail schicken. Wir melden uns innerhalb von zwei Werktagen bei Ihnen. Sie können uns auch direkt anrufen. Klicken Sie auf «Kontakt» und Sie erhalten alle notwendigen Kontaktdaten.

Kalendersymbol

Kostenlose Online-Beratung

Buchen Sie sich Ihren Wunschtermin direkt über unser Online-System. Klicken Sie auf die blaue Schaltfläche - der Terminkalender öffnet sich in einem neuen Fenster.