Der ROI von Cybersecurity-Awareness lässt sich mit einer einfachen Formel berechnen: (vermiedenes Risiko minus Kosten der Lösung) geteilt durch Kosten der Lösung, multipliziert mit 100. Für ein KMU mit 75 Mitarbeitern ergibt diese Berechnung in der Regel einen ROI von über 2.000 % innerhalb von 12 Monaten. Dieser Leitfaden liefert die vollständige Formel, drei konkrete Beispiele nach Unternehmensgröße, die 5 Argumente, die einen CFO überzeugen, und eine fertige Business-Case-Vorlage für Ihr Management.
Die durchschnittlichen Kosten einer Datenpanne beliefen sich 2025 auf 4,88 Millionen Dollar (IBM Cost of a Data Breach). Die Kosten einer Phishing-Awareness-Plattform: zwischen 2 und 5 Euro pro Mitarbeiter und Monat. Die Gleichung sollte einfach sein. Dennoch gehört das Cybersicherheitsbudget in den meisten KMU zu den schwierigsten Posten, die genehmigt werden müssen.
Das Problem ist nicht technischer Natur — es ist ein Kommunikationsproblem. Der CISO weiß, dass Awareness notwendig ist. Aber der CFO sieht ein Kostenzentrum. Der CEO will Zahlen. Die Geschäftsführung fordert einen ROI. Ohne klares Berechnungsframework wird Cybersicherheit hinter CRM, Marketing und neuen Maschinen zurückgestellt.
Was kostet ein Phishing-Angriff ein KMU wirklich?
Bevor wir über ROI sprechen, müssen wir die tatsächlichen Kosten dessen ermitteln, wogegen man sich schützt. Globale Zahlen sind beeindruckend, aber für die Überzeugung der Geschäftsführung zählen Zahlen, die auf Ihre Unternehmensgröße heruntergebrochen sind.
Referenzwerte
Laut IBM Cost of a Data Breach Report 2025 belaufen sich die durchschnittlichen weltweiten Kosten einer Datenpanne auf 4,88 Millionen Dollar. Dieser Durchschnitt aggregiert jedoch Unternehmen aller Größen, einschließlich großer internationaler Konzerne. Für ein KMU liegen die Beträge anders — sind aber dennoch erheblich.
Der Hiscox Cyber Readiness Report 2025 liefert Daten, die der KMU-Realität näherkommen:
| Unternehmensgröße | Medianer Vorfallskosten | Maximale beobachtete Kosten |
|---|---|---|
| 10–49 Mitarbeiter | 15.000 € bis 50.000 € | 200.000 € |
| 50–249 Mitarbeiter | 50.000 € bis 250.000 € | 800.000 € |
| 250–500 Mitarbeiter | 150.000 € bis 500.000 € | 2.000.000 € |
Diese Zahlen werden durch CESIN-Daten bestätigt: 60 % der KMU, die einem schwerwiegenden Cyberangriff zum Opfer fallen, stellen ihre Tätigkeit innerhalb von 6 Monaten ein.
Wie setzen sich die Vorfallskosten zusammen?
Laut IBM verteilen sich die Kosten einer Datenpanne auf vier Kategorien:
- Erkennung und Eskalation (30 %): Vorfallsidentifikation, forensische Untersuchung, Audit, Krisenmanagement. Für ein KMU ohne internes SOC bedeutet das oft, externe Dienstleister zu Notfalltarifen hinzuzuziehen.
- Eindämmung und Behebung (25 %): Isolierung kompromittierter Systeme, Beseitigung der Bedrohung, Datenwiederherstellung, Behebung ausgenutzter Schwachstellen.
- Benachrichtigung (15 %): Information der Betroffenen (DSGVO-Pflicht), Meldung an die Aufsichtsbehörde, Krisenkommunikation, Rechtsberatung. Mit NIS2 kommt die Meldung an die zuständige Behörde innerhalb von 24 Stunden hinzu.
- Geschäftsverluste (30 %): Betriebsunterbrechung, Kundenverlust, Reputationsschaden, Vertragsstrafen. Dieser Posten wird oft am stärksten unterschätzt.
Die versteckten Kosten, die niemand beziffert
Über die direkten Kosten hinaus verursacht ein Phishing-Vorfall finanzielle Folgen, die weit über die technische Behebung hinausreichen:
- Erhöhung der Cyber-Versicherungsprämie: Versicherer bewerten das Risiko nach einem Schaden systematisch neu. Rechnen Sie mit einer Erhöhung von 30 bis 80 % je nach Schwere des Vorfalls.
- Verlust von Aufträgen: Immer mehr Auftraggeber verlangen Cybersicherheitsgarantien in ihren Ausschreibungen. Ein dokumentierter Vorfall disqualifiziert Sie.
- Humankosten: Stress, Überstunden, Fluktuation im IT-Team. Das Ponemon Institute schätzt, dass 25 % der Gesamtkosten eines Vorfalls auf Produktivitätsverluste entfallen.
- Regulatorische Bußgelder: DSGVO (bis zu 4 % des Jahresumsatzes) und nun NIS2 (bis zu 10 Millionen Euro). Diese Bußgelder kumulieren sich mit den Behebungskosten.
Zwei konkrete Beispiele
Industrielles KMU, 200 Mitarbeiter. CEO-Betrug: Ein Buchhalter erhält eine E-Mail, die den Geschäftsführer imitiert und eine dringende Überweisung von 320.000 € an einen ausländischen Lieferanten anfordert. Die Überweisung wird ausgeführt. Der Betrug wird 48 Stunden später entdeckt. Die Bank kann die Überweisung nicht rückgängig machen. Nettoverlust: 320.000 € zuzüglich 45.000 € an Rechts- und Ermittlungskosten.
Steuerberatungskanzlei, 80 Mitarbeiter. Ransomware via Phishing: Ein Mitarbeiter öffnet einen bösartigen Anhang. Die Ransomware breitet sich in 4 Stunden auf das gesamte Netzwerk aus. Geforderte Lösegeld: 150.000 €. Die Kanzlei weigert sich zu zahlen. Ergebnis: 3 Wochen nahezu vollständiger Stillstand, teilweise Datenwiederherstellung aus unvollständigen Backups, dauerhafter Verlust bestimmter Mandantendaten. Geschätzte Gesamtkosten: 280.000 €.
Die ROI-Berechnungsformel
Der ROI von Cybersecurity-Awareness wird wie jeder ROI berechnet: indem der erzielte Nutzen (das vermiedene Risiko) mit den Investitionskosten verglichen wird.
Die Formel:
ROI = (Vermiedenes Risiko − Kosten der Lösung) / Kosten der Lösung × 100
Das vermiedene Risiko berechnet sich wie folgt:
Vermiedenes Risiko = Vorfallswahrscheinlichkeit × Durchschnittliche Kosten × Risikominderung
Die Variablen:
- Wahrscheinlichkeit eines Phishing-Vorfalls pro Jahr: ca. 30 % der KMU erleiden laut Hiscox Cyber Readiness Report 2025 mindestens einen Cyber-Vorfall pro Jahr. Ohne Awareness-Programm steigt diese Rate auf 40–45 %.
- Durchschnittliche Vorfallskosten: angepasst an Ihre Unternehmensgröße (siehe obige Tabelle).
- Risikominderung durch Awareness-Schulungen: laut KnowBe4 (Phishing by Industry Benchmarking Report 2024) sinkt die Klickrate von ca. 33 % auf unter 5 % in 12 Monaten.
Warum diese Zahlen konservativ sind
Die obige Berechnung berücksichtigt nur einen Nutzentypus: die Reduzierung des Vorfallsrisikos. Tatsächlich generiert Awareness-Training weitere Erträge:
- NIS2-Konformität: Training und Simulationen erfüllen direkt die Anforderungen der Artikel 21.2.f und 21.2.g. Ohne sie riskieren Sie ein Bußgeld von bis zu 10 Millionen Euro.
- Reduzierung der Versicherungsprämie: Mehrere Versicherer bieten Rabatte von 10 bis 25 % für Unternehmen, die ein aktives Awareness-Programm nachweisen.
- Wettbewerbsvorteil: Die Dokumentation Ihres Programms stärkt Ihre Position bei Kundenchecks und Zertifizierungen (SOC 2, ISO 27001).
Konkrete Beispiele nach Unternehmensgröße
Wir wenden die Formel auf drei konkrete Unternehmensprofile an, mit der echten NovaShield-Preisstaffel: kostenlos bis 50 Mitarbeiter (Freemium), danach ab 59 €/Monat. Bitte konsultieren Sie die NovaShield-Preisseite für die aktuelle Preistabelle.
KMU mit 75 Mitarbeitern
| Variable | Wert | Quelle |
|---|---|---|
| Vorfallswahrscheinlichkeit/Jahr | 25 % | Hiscox 2025 (KMU < 100) |
| Durchschnittliche Vorfallskosten | 80.000 € | Hiscox 2025 Median |
| Unbehandeltes Jahresrisiko | 20.000 € | 25 % × 80.000 € |
| Plattformkosten | 708 €/Jahr | NovaShield Pro, 59 €/Monat (51–150 Mitarbeiter) |
| Risikominderung | 75 % | Proofpoint 2025 |
| Restrisiko | 5.000 € | 20.000 € × 25 % |
| Vermiedenes Risiko | 15.000 € | 20.000 € − 5.000 € |
| ROI | ca. 2.020 % | (15.000 − 708) / 708 × 100 |
KMU mit 200 Mitarbeitern
| Variable | Wert | Quelle |
|---|---|---|
| Vorfallswahrscheinlichkeit/Jahr | 35 % | Hiscox 2025 (KMU 100–250) |
| Durchschnittliche Vorfallskosten | 250.000 € | Hiscox 2025 Median |
| Unbehandeltes Jahresrisiko | 87.500 € | 35 % × 250.000 € |
| Plattformkosten | 1.548 €/Jahr | NovaShield Pro, 129 €/Monat (151–300 Mitarbeiter) |
| Risikominderung | 75 % | Proofpoint 2025 |
| Restrisiko | 21.875 € | 87.500 € × 25 % |
| Vermiedenes Risiko | 65.625 € | 87.500 € − 21.875 € |
| ROI | ca. 4.140 % | (65.625 − 1.548) / 1.548 × 100 |
Mittelständisches Unternehmen mit 500 Mitarbeitern
| Variable | Wert | Quelle |
|---|---|---|
| Vorfallswahrscheinlichkeit/Jahr | 45 % | Hiscox 2025 (Mittelstand 250–500) |
| Durchschnittliche Vorfallskosten | 500.000 € | Hiscox 2025 Median |
| Unbehandeltes Jahresrisiko | 225.000 € | 45 % × 500.000 € |
| Plattformkosten | 2.748 €/Jahr | NovaShield Pro, 229 €/Monat (301–500 Mitarbeiter) |
| Risikominderung | 75 % | Proofpoint 2025 |
| Restrisiko | 56.250 € | 225.000 € × 25 % |
| Vermiedenes Risiko | 168.750 € | 225.000 € − 56.250 € |
| ROI | ca. 6.040 % | (168.750 − 2.748) / 2.748 × 100 |
Starten Sie eine Simulation und messen Sie die echte Klickrate Ihres Teams.
Die 5 Argumente, die einen CFO überzeugen
1. Das Regulierungsargument
„Die NIS2-Richtlinie verpflichtet uns, Mitarbeiter zu schulen und die Wirksamkeit unserer Cybersicherheitsmaßnahmen regelmäßig zu testen. Das ist keine Option. Die Kosten der Nichteinhaltung können 10 Millionen Euro oder 2 % unseres weltweiten Jahresumsatzes erreichen. Und Führungskräfte haften persönlich."
2. Das Versicherungsargument
„Unser Cyberversicherer verlangt nun Nachweise über Awareness-Schulungen, um unsere Deckung aufrechtzuerhalten. Ohne dokumentiertes Programm steigt unsere Prämie um 30 bis 50 %."
3. Das Geschäftsargument
„Unsere Kunden fordern Cybersicherheitsgarantien. Lieferanten-Sicherheitsfragebögen enthalten systematisch Fragen zur Mitarbeitersensibilisierung. Ohne dokumentiertes Programm verlieren wir Aufträge."
4. Das Benchmark-Argument
„Die durchschnittliche Klickrate auf Phishing-Mails in unserer Branche beträgt 18 %. Wir haben unsere Rate nie gemessen. Das bedeutet, wir wissen nicht, ob 1 von 5 oder 1 von 3 unserer Mitarbeiter auf eine Schad-E-Mail klicken würde. Nicht gemessenes Risiko ist nicht verwaltetes Risiko."
5. Das Opportunitätskostenargument
„Eine Awareness-Plattform kostet ca. 2 € pro Mitarbeiter und Monat. Weniger als ein Kaffee pro Person. Die durchschnittlichen Kosten eines einzelnen Phishing-Vorfalls für ein Unternehmen unserer Größe betragen 80.000 €."
Business Case für Ihr Management
Folien 1–2: Kontext und Bedrohungen
- Über 80 % der Datenpannen beinhalten einen menschlichen Faktor (Verizon DBIR)
- NIS2 schreibt Schulungen und Tests vor: Sie fallen in den Geltungsbereich
- Durchschnittliche Vorfallskosten für Ihre Größe: [X] € (Hiscox)
Folie 3: Aktuelle Situation
- Keine Phishing-Simulation vorhanden
- Jährliche Schulung nur per PowerPoint
- Unbekannte Klickrate = nicht gemessenes Risiko
Folien 4–5: Lösung und ROI
- Simulations-, Schulungs- und KI-Verifizierungsplattform
- Jahreskosten: [X] € (siehe NovaShield-Preise)
- Jährlich vermiedenes Risiko: [X] €
- ROI: [X] % in 12 Monaten
Folie 6: Empfehlung
„Wir empfehlen, einen kostenlosen Test zu starten, um unsere echte Klickrate zu messen. Dieser Test kostet nichts und liefert die Daten, die wir für eine fundierte Entscheidung benötigen."
Starten Sie Ihre 14-tägige kostenlose Testversion.
Quartalskennzahlen für das Management
- Klickrate: Anteil der Mitarbeiter, die auf einen simulierten Phishing-Link klicken. Erwarteter Trend: von 15–25 % (Baseline) auf unter 5 % in 6 Monaten.
- Melderate: Anteil der Mitarbeiter, die die verdächtige E-Mail melden statt zu klicken.
- Risiko-Score nach Abteilung: Identifizieren Sie die anfälligsten Abteilungen (oft Buchhaltung, HR, Geschäftsführung).
- Abgeschlossene Schulungen: Dokumentierter Nachweis für NIS2-Artikel 21.2.g.
- Branchen-Benchmark: Vergleichen Sie Ihre Ergebnisse mit dem Branchendurchschnitt.
- Kumulierter ROI: Kumuliertes vermiedenes Risiko vs. kumulierte Plattformkosten.
Entdecken Sie die Analytics-Funktionen von NovaShield für ein automatisiertes Dashboard.
Häufige Fragen
Wie berechnet man die Kosten eines Phishing-Vorfalls für mein KMU?
Nehmen Sie die Anzahl der Mitarbeiter, multiplizieren Sie mit 1.000 € (laut Ponemon Institute) und addieren Sie Fixkosten der Remediierung (15.000 bis 50.000 €). Für ein 100-Mitarbeiter-KMU ergibt das 115.000 bis 150.000 €.
Bieten Versicherer Rabatte für Phishing-Simulationen?
Ja, zunehmend. Viele Cyberversicherer berücksichtigen Mitarbeiter-Awareness in ihrer Preisgestaltung. Einige bieten explizite Rabatte von 10 bis 25 % auf die Prämie.
Wie lange dauert es, bis ein positiver ROI sichtbar wird?
Der ROI ist technisch ab dem ersten Monat positiv. Erste messbare Verbesserungen sind ab dem zweiten Monat sichtbar. Eine Reduzierung der Klickrate um 50 % wird typischerweise in 3 bis 4 Monaten erreicht.
Der ROI ist belegt — messen Sie ihn jetzt in Ihrem Unternehmen
Der ROI von Cybersecurity-Awareness gehört zu den höchsten aller IT-Sicherheitsinvestitionen. Die Argumente zur Überzeugung Ihrer Geschäftsführung sind vollständig: Der ROI übersteigt oft 1.000 % selbst im konservativen Szenario, NIS2 macht Schulungen mit persönlicher Haftung der Führungskräfte verpflichtend, und sowohl Versicherer als auch Kunden fordern Awareness-Nachweise. Lesen Sie unseren Leitfaden zur Auswahl einer Phishing-Awareness-Lösung und starten Sie Ihre erste Kampagne in 15 Minuten.
Quellen
- IBM, Cost of a Data Breach Report 2025.
- Hiscox Cyber Readiness Report 2025.
- CESIN.
- Ponemon Institute.
- AMRAE.
- Verizon Data Breach Investigations Report.
- ANSSI.
- ENISA.
- KnowBe4, Phishing by Industry Benchmarking Report 2024.

