Zurück zum Blog
Leitfäden

ROI von Cybersecurity-Awareness: Die Geschäftsführung überzeugen

NAIT-YOUCEF KaciNAIT-YOUCEF Kaci
12. Juli 20269 Min. Lesezeit
ROI von Cybersecurity-Awareness: Die Geschäftsführung überzeugen

Der ROI von Cybersecurity-Awareness lässt sich mit einer einfachen Formel berechnen: (vermiedenes Risiko minus Kosten der Lösung) geteilt durch Kosten der Lösung, multipliziert mit 100. Für ein KMU mit 75 Mitarbeitern ergibt diese Berechnung in der Regel einen ROI von über 2.000 % innerhalb von 12 Monaten. Dieser Leitfaden liefert die vollständige Formel, drei konkrete Beispiele nach Unternehmensgröße, die 5 Argumente, die einen CFO überzeugen, und eine fertige Business-Case-Vorlage für Ihr Management.

Die durchschnittlichen Kosten einer Datenpanne beliefen sich 2025 auf 4,88 Millionen Dollar (IBM Cost of a Data Breach). Die Kosten einer Phishing-Awareness-Plattform: zwischen 2 und 5 Euro pro Mitarbeiter und Monat. Die Gleichung sollte einfach sein. Dennoch gehört das Cybersicherheitsbudget in den meisten KMU zu den schwierigsten Posten, die genehmigt werden müssen.

Das Problem ist nicht technischer Natur — es ist ein Kommunikationsproblem. Der CISO weiß, dass Awareness notwendig ist. Aber der CFO sieht ein Kostenzentrum. Der CEO will Zahlen. Die Geschäftsführung fordert einen ROI. Ohne klares Berechnungsframework wird Cybersicherheit hinter CRM, Marketing und neuen Maschinen zurückgestellt.

Was kostet ein Phishing-Angriff ein KMU wirklich?

Bevor wir über ROI sprechen, müssen wir die tatsächlichen Kosten dessen ermitteln, wogegen man sich schützt. Globale Zahlen sind beeindruckend, aber für die Überzeugung der Geschäftsführung zählen Zahlen, die auf Ihre Unternehmensgröße heruntergebrochen sind.

Referenzwerte

Laut IBM Cost of a Data Breach Report 2025 belaufen sich die durchschnittlichen weltweiten Kosten einer Datenpanne auf 4,88 Millionen Dollar. Dieser Durchschnitt aggregiert jedoch Unternehmen aller Größen, einschließlich großer internationaler Konzerne. Für ein KMU liegen die Beträge anders — sind aber dennoch erheblich.

Der Hiscox Cyber Readiness Report 2025 liefert Daten, die der KMU-Realität näherkommen:

Unternehmensgröße Medianer Vorfallskosten Maximale beobachtete Kosten
10–49 Mitarbeiter 15.000 € bis 50.000 € 200.000 €
50–249 Mitarbeiter 50.000 € bis 250.000 € 800.000 €
250–500 Mitarbeiter 150.000 € bis 500.000 € 2.000.000 €

Diese Zahlen werden durch CESIN-Daten bestätigt: 60 % der KMU, die einem schwerwiegenden Cyberangriff zum Opfer fallen, stellen ihre Tätigkeit innerhalb von 6 Monaten ein.

Wie setzen sich die Vorfallskosten zusammen?

Laut IBM verteilen sich die Kosten einer Datenpanne auf vier Kategorien:

  1. Erkennung und Eskalation (30 %): Vorfallsidentifikation, forensische Untersuchung, Audit, Krisenmanagement. Für ein KMU ohne internes SOC bedeutet das oft, externe Dienstleister zu Notfalltarifen hinzuzuziehen.
  2. Eindämmung und Behebung (25 %): Isolierung kompromittierter Systeme, Beseitigung der Bedrohung, Datenwiederherstellung, Behebung ausgenutzter Schwachstellen.
  3. Benachrichtigung (15 %): Information der Betroffenen (DSGVO-Pflicht), Meldung an die Aufsichtsbehörde, Krisenkommunikation, Rechtsberatung. Mit NIS2 kommt die Meldung an die zuständige Behörde innerhalb von 24 Stunden hinzu.
  4. Geschäftsverluste (30 %): Betriebsunterbrechung, Kundenverlust, Reputationsschaden, Vertragsstrafen. Dieser Posten wird oft am stärksten unterschätzt.

Die versteckten Kosten, die niemand beziffert

Über die direkten Kosten hinaus verursacht ein Phishing-Vorfall finanzielle Folgen, die weit über die technische Behebung hinausreichen:

  1. Erhöhung der Cyber-Versicherungsprämie: Versicherer bewerten das Risiko nach einem Schaden systematisch neu. Rechnen Sie mit einer Erhöhung von 30 bis 80 % je nach Schwere des Vorfalls.
  2. Verlust von Aufträgen: Immer mehr Auftraggeber verlangen Cybersicherheitsgarantien in ihren Ausschreibungen. Ein dokumentierter Vorfall disqualifiziert Sie.
  3. Humankosten: Stress, Überstunden, Fluktuation im IT-Team. Das Ponemon Institute schätzt, dass 25 % der Gesamtkosten eines Vorfalls auf Produktivitätsverluste entfallen.
  4. Regulatorische Bußgelder: DSGVO (bis zu 4 % des Jahresumsatzes) und nun NIS2 (bis zu 10 Millionen Euro). Diese Bußgelder kumulieren sich mit den Behebungskosten.

Zwei konkrete Beispiele

Industrielles KMU, 200 Mitarbeiter. CEO-Betrug: Ein Buchhalter erhält eine E-Mail, die den Geschäftsführer imitiert und eine dringende Überweisung von 320.000 € an einen ausländischen Lieferanten anfordert. Die Überweisung wird ausgeführt. Der Betrug wird 48 Stunden später entdeckt. Die Bank kann die Überweisung nicht rückgängig machen. Nettoverlust: 320.000 € zuzüglich 45.000 € an Rechts- und Ermittlungskosten.

Steuerberatungskanzlei, 80 Mitarbeiter. Ransomware via Phishing: Ein Mitarbeiter öffnet einen bösartigen Anhang. Die Ransomware breitet sich in 4 Stunden auf das gesamte Netzwerk aus. Geforderte Lösegeld: 150.000 €. Die Kanzlei weigert sich zu zahlen. Ergebnis: 3 Wochen nahezu vollständiger Stillstand, teilweise Datenwiederherstellung aus unvollständigen Backups, dauerhafter Verlust bestimmter Mandantendaten. Geschätzte Gesamtkosten: 280.000 €.

Die ROI-Berechnungsformel

Der ROI von Cybersecurity-Awareness wird wie jeder ROI berechnet: indem der erzielte Nutzen (das vermiedene Risiko) mit den Investitionskosten verglichen wird.

Die Formel:

ROI = (Vermiedenes Risiko − Kosten der Lösung) / Kosten der Lösung × 100

Das vermiedene Risiko berechnet sich wie folgt:

Vermiedenes Risiko = Vorfallswahrscheinlichkeit × Durchschnittliche Kosten × Risikominderung

Die Variablen:

  1. Wahrscheinlichkeit eines Phishing-Vorfalls pro Jahr: ca. 30 % der KMU erleiden laut Hiscox Cyber Readiness Report 2025 mindestens einen Cyber-Vorfall pro Jahr. Ohne Awareness-Programm steigt diese Rate auf 40–45 %.
  2. Durchschnittliche Vorfallskosten: angepasst an Ihre Unternehmensgröße (siehe obige Tabelle).
  3. Risikominderung durch Awareness-Schulungen: laut KnowBe4 (Phishing by Industry Benchmarking Report 2024) sinkt die Klickrate von ca. 33 % auf unter 5 % in 12 Monaten.

Warum diese Zahlen konservativ sind

Die obige Berechnung berücksichtigt nur einen Nutzentypus: die Reduzierung des Vorfallsrisikos. Tatsächlich generiert Awareness-Training weitere Erträge:

  1. NIS2-Konformität: Training und Simulationen erfüllen direkt die Anforderungen der Artikel 21.2.f und 21.2.g. Ohne sie riskieren Sie ein Bußgeld von bis zu 10 Millionen Euro.
  2. Reduzierung der Versicherungsprämie: Mehrere Versicherer bieten Rabatte von 10 bis 25 % für Unternehmen, die ein aktives Awareness-Programm nachweisen.
  3. Wettbewerbsvorteil: Die Dokumentation Ihres Programms stärkt Ihre Position bei Kundenchecks und Zertifizierungen (SOC 2, ISO 27001).

Konkrete Beispiele nach Unternehmensgröße

Wir wenden die Formel auf drei konkrete Unternehmensprofile an, mit der echten NovaShield-Preisstaffel: kostenlos bis 50 Mitarbeiter (Freemium), danach ab 59 €/Monat. Bitte konsultieren Sie die NovaShield-Preisseite für die aktuelle Preistabelle.

KMU mit 75 Mitarbeitern

Variable Wert Quelle
Vorfallswahrscheinlichkeit/Jahr 25 % Hiscox 2025 (KMU < 100)
Durchschnittliche Vorfallskosten 80.000 € Hiscox 2025 Median
Unbehandeltes Jahresrisiko 20.000 € 25 % × 80.000 €
Plattformkosten 708 €/Jahr NovaShield Pro, 59 €/Monat (51–150 Mitarbeiter)
Risikominderung 75 % Proofpoint 2025
Restrisiko 5.000 € 20.000 € × 25 %
Vermiedenes Risiko 15.000 € 20.000 € − 5.000 €
ROI ca. 2.020 % (15.000 − 708) / 708 × 100

KMU mit 200 Mitarbeitern

Variable Wert Quelle
Vorfallswahrscheinlichkeit/Jahr 35 % Hiscox 2025 (KMU 100–250)
Durchschnittliche Vorfallskosten 250.000 € Hiscox 2025 Median
Unbehandeltes Jahresrisiko 87.500 € 35 % × 250.000 €
Plattformkosten 1.548 €/Jahr NovaShield Pro, 129 €/Monat (151–300 Mitarbeiter)
Risikominderung 75 % Proofpoint 2025
Restrisiko 21.875 € 87.500 € × 25 %
Vermiedenes Risiko 65.625 € 87.500 € − 21.875 €
ROI ca. 4.140 % (65.625 − 1.548) / 1.548 × 100

Mittelständisches Unternehmen mit 500 Mitarbeitern

Variable Wert Quelle
Vorfallswahrscheinlichkeit/Jahr 45 % Hiscox 2025 (Mittelstand 250–500)
Durchschnittliche Vorfallskosten 500.000 € Hiscox 2025 Median
Unbehandeltes Jahresrisiko 225.000 € 45 % × 500.000 €
Plattformkosten 2.748 €/Jahr NovaShield Pro, 229 €/Monat (301–500 Mitarbeiter)
Risikominderung 75 % Proofpoint 2025
Restrisiko 56.250 € 225.000 € × 25 %
Vermiedenes Risiko 168.750 € 225.000 € − 56.250 €
ROI ca. 6.040 % (168.750 − 2.748) / 2.748 × 100

Starten Sie eine Simulation und messen Sie die echte Klickrate Ihres Teams.

Die 5 Argumente, die einen CFO überzeugen

1. Das Regulierungsargument

„Die NIS2-Richtlinie verpflichtet uns, Mitarbeiter zu schulen und die Wirksamkeit unserer Cybersicherheitsmaßnahmen regelmäßig zu testen. Das ist keine Option. Die Kosten der Nichteinhaltung können 10 Millionen Euro oder 2 % unseres weltweiten Jahresumsatzes erreichen. Und Führungskräfte haften persönlich."

2. Das Versicherungsargument

„Unser Cyberversicherer verlangt nun Nachweise über Awareness-Schulungen, um unsere Deckung aufrechtzuerhalten. Ohne dokumentiertes Programm steigt unsere Prämie um 30 bis 50 %."

3. Das Geschäftsargument

„Unsere Kunden fordern Cybersicherheitsgarantien. Lieferanten-Sicherheitsfragebögen enthalten systematisch Fragen zur Mitarbeitersensibilisierung. Ohne dokumentiertes Programm verlieren wir Aufträge."

4. Das Benchmark-Argument

„Die durchschnittliche Klickrate auf Phishing-Mails in unserer Branche beträgt 18 %. Wir haben unsere Rate nie gemessen. Das bedeutet, wir wissen nicht, ob 1 von 5 oder 1 von 3 unserer Mitarbeiter auf eine Schad-E-Mail klicken würde. Nicht gemessenes Risiko ist nicht verwaltetes Risiko."

5. Das Opportunitätskostenargument

„Eine Awareness-Plattform kostet ca. 2 € pro Mitarbeiter und Monat. Weniger als ein Kaffee pro Person. Die durchschnittlichen Kosten eines einzelnen Phishing-Vorfalls für ein Unternehmen unserer Größe betragen 80.000 €."

Business Case für Ihr Management

Folien 1–2: Kontext und Bedrohungen

  1. Über 80 % der Datenpannen beinhalten einen menschlichen Faktor (Verizon DBIR)
  2. NIS2 schreibt Schulungen und Tests vor: Sie fallen in den Geltungsbereich
  3. Durchschnittliche Vorfallskosten für Ihre Größe: [X] € (Hiscox)

Folie 3: Aktuelle Situation

  1. Keine Phishing-Simulation vorhanden
  2. Jährliche Schulung nur per PowerPoint
  3. Unbekannte Klickrate = nicht gemessenes Risiko

Folien 4–5: Lösung und ROI

  1. Simulations-, Schulungs- und KI-Verifizierungsplattform
  2. Jahreskosten: [X] € (siehe NovaShield-Preise)
  3. Jährlich vermiedenes Risiko: [X] €
  4. ROI: [X] % in 12 Monaten

Folie 6: Empfehlung

„Wir empfehlen, einen kostenlosen Test zu starten, um unsere echte Klickrate zu messen. Dieser Test kostet nichts und liefert die Daten, die wir für eine fundierte Entscheidung benötigen."

Starten Sie Ihre 14-tägige kostenlose Testversion.

Quartalskennzahlen für das Management

  1. Klickrate: Anteil der Mitarbeiter, die auf einen simulierten Phishing-Link klicken. Erwarteter Trend: von 15–25 % (Baseline) auf unter 5 % in 6 Monaten.
  2. Melderate: Anteil der Mitarbeiter, die die verdächtige E-Mail melden statt zu klicken.
  3. Risiko-Score nach Abteilung: Identifizieren Sie die anfälligsten Abteilungen (oft Buchhaltung, HR, Geschäftsführung).
  4. Abgeschlossene Schulungen: Dokumentierter Nachweis für NIS2-Artikel 21.2.g.
  5. Branchen-Benchmark: Vergleichen Sie Ihre Ergebnisse mit dem Branchendurchschnitt.
  6. Kumulierter ROI: Kumuliertes vermiedenes Risiko vs. kumulierte Plattformkosten.

Entdecken Sie die Analytics-Funktionen von NovaShield für ein automatisiertes Dashboard.

Häufige Fragen

Wie berechnet man die Kosten eines Phishing-Vorfalls für mein KMU?

Nehmen Sie die Anzahl der Mitarbeiter, multiplizieren Sie mit 1.000 € (laut Ponemon Institute) und addieren Sie Fixkosten der Remediierung (15.000 bis 50.000 €). Für ein 100-Mitarbeiter-KMU ergibt das 115.000 bis 150.000 €.

Bieten Versicherer Rabatte für Phishing-Simulationen?

Ja, zunehmend. Viele Cyberversicherer berücksichtigen Mitarbeiter-Awareness in ihrer Preisgestaltung. Einige bieten explizite Rabatte von 10 bis 25 % auf die Prämie.

Wie lange dauert es, bis ein positiver ROI sichtbar wird?

Der ROI ist technisch ab dem ersten Monat positiv. Erste messbare Verbesserungen sind ab dem zweiten Monat sichtbar. Eine Reduzierung der Klickrate um 50 % wird typischerweise in 3 bis 4 Monaten erreicht.

Der ROI ist belegt — messen Sie ihn jetzt in Ihrem Unternehmen

Der ROI von Cybersecurity-Awareness gehört zu den höchsten aller IT-Sicherheitsinvestitionen. Die Argumente zur Überzeugung Ihrer Geschäftsführung sind vollständig: Der ROI übersteigt oft 1.000 % selbst im konservativen Szenario, NIS2 macht Schulungen mit persönlicher Haftung der Führungskräfte verpflichtend, und sowohl Versicherer als auch Kunden fordern Awareness-Nachweise. Lesen Sie unseren Leitfaden zur Auswahl einer Phishing-Awareness-Lösung und starten Sie Ihre erste Kampagne in 15 Minuten.

Quellen

  • IBM, Cost of a Data Breach Report 2025.
  • Hiscox Cyber Readiness Report 2025.
  • CESIN.
  • Ponemon Institute.
  • AMRAE.
  • Verizon Data Breach Investigations Report.
  • ANSSI.
  • ENISA.
  • KnowBe4, Phishing by Industry Benchmarking Report 2024.
Verfügbar inFRENESDEITAR

La plateforme est gratuite.

Recevez votre invitation dès l'ouverture.

Soyez notifié dès l'ouverture. En attendant, chaque semaine dans votre boîte : des guides pratiques pour sensibiliser vos équipes sans budget ni équipe IT, une veille sur les nouvelles menaces qui ciblent les PME en ce moment, et l'actu réglementaire concrète (NIS2, ANSSI) qui vous concerne.

Gratuit. Zéro spam. Désabonnement en un clic.

Découvrir la plateformeSans créer de compte