
Created using OpenAI’s DALL·E (2025)
geschrieben von Yannick Hirt, Co-Founder, Co-CEO und Consultant bei ODCUS
Die Bedeutung der Messung des Sicherheits-ROI
In vielen Unternehmen werden Sicherheitsbudgets nach Bauchgefühl, Benchmark-Zahlen oder Marketingversprechen verteilt, ohne dass klar definiert ist, welche konkreten Geschäftsziele dadurch unterstützt werden sollen. Dies führt dazu, dass Investitionen in Firewalls, Endpoint-Schutz, SIEM-Systeme oder andere Tools häufig isoliert betrachtet und nicht in Relation zum tatsächlichen Nutzen gesetzt werden.
Die Messung des Security-ROI ermöglicht es allerdings, Sicherheitsmassnahmen strategisch als Investition zu betrachten und mit messbaren Geschäftszielen zu verknüpfen. Ein klar definierter ROI schafft Transparenz gegenüber dem Management, rechtfertigt Ausgaben und stellt sicher, dass Sicherheitsprojekte einen echten Mehrwert liefern – sei es durch Vermeidung von Ausfallzeiten, Schutz geistigen Eigentums oder Gewährleistung des Geschäftsbetriebs.
In dieser Einleitung erläutern wir, warum eine konsequente ROSIBetrachtung essenziell ist und welche Vorteile sie Unternehmen verschafft:
- Transparenz und Verantwortlichkeit: Klare Metriken helfen dabei, Erfolge und Misserfolge nachvollziehbar zu machen.
- Priorisierung von Massnahmen: Investitionen fliessen dorthin, wo der höchste Nutzen im Verhältnis zu Kosten entsteht.
- Kommunikation mit Stakeholdern: Ein praktischer ROSI-Report unterstützt Budgetfreigaben und das Verständnis für Sicherheitsbelange im Management.
- Langfristige Optimierung: Kontinuierliches Monitoring erlaubt es, Prozesse anzupassen und Investitionen regelmässig neu auszurichten.
Warum Sicherheitsinvestitionen oft keinen ROI erzielen
1. Fehlende klare Ziele und Kennzahlen
Viele Unternehmen legen bei der Planung von Sicherheitsprojekten keine konkreten, quantifizierbaren Ziele fest. Ohne Zieldefinition fehlt eine Basis, um den Nutzen später zu messen. Beispielsweise wird eine neue Firewall eingeführt, weil das Management „das Thema Firewall schon lange angehen wollte“ oder weil der Anbieter verspricht, bekannte Angriffe abzuwehren. Es werden jedoch keine KPIs definiert, etwa eine Zielgrösse für reduzierte Angriffsversuche oder verkürzte Erkennungszeiten. Somit kann im Nachgang nicht nachgewiesen werden, ob die Kosten wirklich gerechtfertigt sind.
Ein typisches Praxisbeispiel
Ein produzierendes Unternehmen investiert 300.000 CHF in eine umfassende Netzsegmentierungs- und Monitoring-Lösung für seine Fertigungsanlagen, ohne zuvor den jährlichen finanziellen Schaden durch Produktionsausfälle infolge von Cybervorfällen zu quantifizieren. Zwölf Monate nach Implementierung zeigt sich, dass es keine spürbare Reduktion von ungeplanten Maschinenstillständen gab, da die Lösung nur auf zwei von zehn Fertigungslinien ausgerollt wurde und die Schnittstellen zu älteren Steuerungssystemen nicht kompatibel waren. Da keine klare Ausgangsgröße (z. B. jährliche Ausfallkosten in CHF) definiert wurde, bleibt unklar, ob die hohen Anschaffungskosten durch tatsächlich vermiedene Produktionsstörungen gerechtfertigt sind.
2. Getrennte Entscheidungsprozesse und fehlende Ausrichtung
In vielen Organisationen werden Sicherheitsbudgets isoliert von anderen Fachbereichen vergeben. IT-Security, Risk-Management und Finanzen arbeiten in getrennten Silos und haben unterschiedliche Prioritäten. Security-Verantwortliche fokussieren sich häufig auf technische Hardening-Massnahmen und Compliance-Vorgaben, während das Management Kosteneffizienz und Umsatzsteigerung im Blick hat. Daraus entsteht ein Zielkonflikt: Sicherheitsmassnahmen werden implementiert, ohne dass sie unmittelbar an Business-Ziele gekoppelt sind.
Ein Beispiel
Eine Konzernleitung genehmigt ein budgetintensives SIEM-Projekt (Security Information and Event Management), um PCI-DSS-Anforderungen zu erfüllen. Das Security-Team installiert das System, aber es fehlen Use Cases und Automatisierungen. Die Fachabteilungen sehen den Aufwand als reine Compliance-Übung und liefern keine Log-Quellen oder Use Cases. Folglich bleiben Erkenntnisse aus dem SIEM rudimentär, und die Incident-Response-Zeit ändert sich kaum. Die Investition wird als „teurer Compliance-Kasten“ abgehakt, ohne dass ein klarer Nutzen im operativen Geschäft sichtbar wird.
3. Überbetonung von Kostenvermeidung statt Wertschöpfung
Oftmals fokussieren Unternehmen ihre Sicherheitsinvestitionen auf die Vermeidung von Worst-Case-Kosten (z. B. einer Millionenschaden durch Datenverlust), anstatt auf die Schaffung von Geschäftswert. Risiko-Analysen zeigen zwar mögliche Kosten eines erfolgreichen Angriffs auf, doch diese Worst-Case-Szenarien treten nur selten ein. Die resultierenden Schutzmassnahmen sind daher teuer und lassen sich schwer in Relation zu realen, quantifizierbaren Einsparungen setzen.
Ein Praxisbeispiel
Ein chemisches Produktionsunternehmen investiert 120.000 CHF in ein Data-Loss-Prevention-(DLP)-System, um zu verhindern, dass Mitarbeiter sensible Rezeptur- und Produktionsdaten unautorisiert kopieren. Nach sechs Monaten wird jedoch festgestellt, dass 70 % der Anwender das DLPTool umgehen, indem sie Daten per Smartphone fotografieren oder einen Cloud-Speicherdienst nutzen. Die strikten Blockierregeln hatten zudem zu vielen Fehlauslösungen geführt, sodass die Produktion mehrfach wegen Fehlalarmen stagnierte. Da keine begleitenden Schulungsmassnahmen für die Mitarbeiter stattfanden und der Bedienkomfort zu niedrig war, war der tatsächliche Nutzen der Investition vernachlässigbar. Hätte man stattdessen in gezielte Awareness-Trainings für Produktions- und Verwaltungspersonal investiert und klare Richtlinien zur Datenhandhabung etabliert, wäre das Risiko eines Datenlecks mit deutlich geringerem Aufwand und Budget kontrolliert worden.
Praxisbeispiele für schlechten ROSI
Fallstudie: Überinvestition in Einzellösungen gegen Phishing
Ein international tätiger Dienstleister im Finanzsektor gab 180.000 CHF für eine spezialisierte Anti-Phishing-Plattform aus, die versprechen sollte, alle betrügerischen E-Mails zu blockieren. Die Entscheidung wurde getroffen, nachdem das Security-Team mehrere Phishing-Simulationen im Unternehmen durchgeführt hatte, die eine hohe Klickrate ergaben. Allerdings verlor man dabei zwei entscheidende Aspekte aus den Augen: Bestehende Massnahmen waren ausreichend: Bereits installierte E-Mail- Filter und Awareness-Trainings blockierten knapp 92 % aller Phishing-Versuche. Die zusätzliche Plattform konnte lediglich weitere 3–4 % der Attacken abwehren.
Einzellösung ohne Integration: Die Anti-Phishing-Plattform lief eigenständig und war nicht an das zentrale Security-Portal oder das Ticketing-System angebunden. Bei Erkennung einer Phishing-E-Mail in einer Filiale dauerte es im Schnitt mehrere Stunden, bis das Security-Operations-Team darüber informiert wurde.
Nach dem ersten Jahr stellten die Verantwortlichen fest, dass trotz der hohen Ausgaben keine nennenswerten Datenlecks oder erfolgreichen Phishing-Angriffe verhindert wurden. Die wiederkehrenden Lizenzkosten und der Aufwand für Administration („Eingabemaske pflegen, Regeln anpassen“) bissen sich mit der geringen Steigerung der Schutzquote.
Lesson learned
Bevor man in spezialisierte Tools investiert, sollte man bestehende Sicherheitsmassnahmen optimieren und Integrationsmöglichkeiten ausschöpfen. Gezielte Schulungen, Anpassung von Filterregeln und ein einheitliches Dashboard können oft denselben Mehrwert mit weniger Aufwand liefern.
Methoden zur Messung des ROSI
Definition businessorientierter Sicherheitskennzahlen
Ein zentraler Schritt bei der Messung des ROSI ist die Festlegung von Kennzahlen (KPIs), die direkt mit den Geschäftszielen verknüpft sind. Traditionell werden Metriken wie Anzahl der abgewehrten Angriffe oder erzielte Compliance-Level herangezogen. Für eine echte Business- Orientierung sollte jedoch Folgendes berücksichtigt werden:
- Finanzielle Kennzahlen: Direkte Kosten, die durch Sicherheitsvorfälle entstanden wären (z.B. Umsatzeinbussen bei Produktionsausfall, Vertragsstrafen durch Datenpannen), sowie Einsparungen durch vermiedene Schäden.
- Operative Kennzahlen: Messbare Effekte auf Verfügbarkeit und Performance von Geschäftsanwendungen (z.B. verkürzte Wiederherstellungszeit nach Vorfällen, reduzierte Downtimes).
- Risikokennzahlen: Veränderung des Risikocockpits vor und nach Implementierung (z.B. Risikoscore für kritische Geschäftsprozesse).
- Benutzerbezogene Kennzahlen: Anwenderzufriedenheit und -produktivität, gemessen etwas anhand von Umfragen oder Support-Tickets, um negative Effekte neuer Security-Tools frühzeitig zu erkennen.
Ein Beispiel
Ein Fertigungsunternehmen definiert als KPI «Jährliche Ausfallstunden durch Cybervorfälle». Vor Implementierung hat es durchschnittlich 50 Produktionsstunden pro Jahr verloren. Nach Einführung einer neuen EDR-Lösung sollen die Ausfallstunden auf unter 10 Stunden sinken. Diese konkrete Zielsetzung erlaubt eine Punktlandung bei der Budgetgenehmigung und eine eindeutige Erfolgsmessung.
Total Cost of Ownership (TCO) vs. gelieferten Sicherheitswert
Die klassische Finanzbetrachtung unterscheidet zwischen direkten Anschaffungs- und Betriebskosten sowie indirekten Folgekosten. Um den ROSI greifbar zu machen, empfiehlt sich die Gegenüberstellung folgender Grössen:
TCO-Elemente:
- Anschaffungskosten: Lizenzgebühren, Hardwareanschaffung, interne und externe Implementierungskosten.
- Betriebskosten: Wartung, Updates, Personalaufwand für Administration, Schulungen.
- Versteckte Kosten: Produktivitätsverluste durch Fehlalarme, Performance-Einbrüche in Geschäftsprozessen.
Sicherheitswert-Elemente:
- Vermeidungskosten: Geldwerte, die durch verhinderten Datenverlust, Betrug oder Produktionsausfall eingespart wurden. Diese lassen sich durch Vorfallhistorien und Worst-Case-Szenarien ableiten.
- Eingesparte Compliance-Kosten: Reduzierung von Bußgeldern, Vertragsstrafen, Schadensersatzklagen durch erhöhte Compliance.
- Wertsteigerung: Verbesserung des Marken- und Vertrauenswerts bei Kunden und Partnern, messbar etwa durch Kundenzufriedenheitsindizes oder erhöhte Vertragsabschlüsse.
Ein Beispiel
Ein Logistikdienstleister setzt ein neues SIEM-Tool ein. Die TCO belaufen sich über drei Jahre auf 400.000 CHF. Durch verbesserte Detektion seltener Vorfälle konnte er jedoch Produktionsausfälle im Wert von 600.000 CHF verhindern. Der verbleibende Sicherheitswert (200.000 CHF) ist ein positiver Beitrag, der in die ROSI-Berechnung einfliesst.
Kosten-Nutzen-Verhältnis und Kapitalwert (NPV) Modelle
Für eine detaillierte Finanzanalyse bietet sich die Anwendung von Kennzahlen wie Benefit-Cost Ratio (BCR) und Net Present Value (NPV) an:
Benefit-Cost Ratio (BCR): Verhältnis von kumulierten Einsparungen bzw. Nutzen zu den kumulierten Kosten über einen definierten Zeitraum. Ein BCR > 1 zeigt, dass der Nutzen die Kosten übersteigt.
BCR = Nutzen / Kosten
Beispiel:
Ein Unternehmen plant über fünf Jahre Einsparungen durch ein IAM-Projekt von insgesamt 800.000 CHF bei Kosten von 500.000 CHF. Der BCR beträgt 1,6.
Net Present Value (NPV): Berücksichtigt zeitliche Wertveränderungen des Geldes (Discount Rate). NPV berechnet die Summe der abgezinsten Cashflows (Ein- und Auszahlungen). Ein positiver NPV signalisiert, dass das Projekt wirtschaftlich rentabel ist.
NPV = Netto Cashflow / (1 + r)^t r = Zinssatz; t = Analysezeitraum
Beispiel:
Ein Produktionsbetrieb rechnet mit jährlichen Einsparungen von 150.000 CHF durch ein verbessertes Backup-Konzept, verteilt über sieben Jahre. Bei einem Diskontsatz von 5 % ergibt sich ein NPV von ca. 600.000 CHF.
Durch die Anwendung von BCR und NPV können Entscheider quantifizieren, welche Sicherheitsprojekte sich langfristig amortisieren und strategisch priorisiert werden sollten.
Best Practices und Empfehlungen
Um einen hohen ROSI zu erzielen, sollten Unternehmen Sicherheitsprojekte strategisch und zielgerichtet planen. Die folgenden Best Practices helfen dabei, Ressourcen effizient einzusetzen und messbare Mehrwerte zu generieren.
Risiko- und Business-Impact-Analyse als Ausgangspunkt
Bevor Budgets für neue Security-Investitionen freigegeben werden, ist eine fundierte Risikoanalyse unerlässlich. Dabei sollten nicht nur technische Schwachstellen, sondern auch Geschäftsprozesse und deren Wert für das Unternehmen betrachtet werden:
- Identifikation kritischer Assets: Ermitteln Sie Systeme, Daten und Prozesse, deren Ausfall existenzielle Folgen hat (z.B. Fertigungssteuerung, Zahlungsabwicklung).
- Bewertung von Eintrittswahrscheinlichkeit und Schadenshöhe: Quantifizieren Sie das Risiko, indem Sie sowohl die Wahrscheinlichkeit eines Vorfalls als auch die potenziellen Kosten (Produktionsausfall, Vertragsstrafen) beziffern.
- Priorisierung nach Business-Impact: Konzentrieren Sie Sicherheitsmassnahmen auf die Assets mit dem höchsten erwarteten Schaden. Ein Beispiel: Bei einem Lebensmittelhersteller ergibt die Risikoanalyse, dass ein Produktionsstopp pro Stunde Kosten von 50.000 CHF verursacht. Die Investition in redundante Netzwerke und Firewalls an den Produktionslinien lässt sich so mithilfe konkreter Zahlen rechtfertigen.
Verknüpfung von Sicherheitskontrollen mit Umsatz- und Betriebs-KPIs
Sicherheitsmassnahmen sollten nicht isoliert betrachtet werden, sondern in den Gesamtkontext der Geschäftsziele eingebettet sein:
- Produktions- oder Umsatzkennzahlen: Ordnen Sie jeden Sicherheitsbereich einem spezifischen KPI zu (z. B. Produktionsausfallstunden, Umsatzverluste durch Serviceunterbrechungen). So wird jeder Sicherheitsaufwand direkt mit einem finanziellen Nutzen verknüpft.
- Anwenderakzeptanz und Produktivität: Messen Sie, wie sich neue Security-Tools auf die Produktivität auswirken (z. B. Support-Ticket- Volumen, Time-to-Market-Verzögerungen). Ein Sicherheitsprojekt, das die Produktivität der Mitarbeiter um mehr als 10 % verringert, braucht zusätzliche Gegenargumente, um den ROSI positiv zu rechtfertigen.
- Kundenzufriedenheit und Marktposition: Ermitteln Sie, inwieweit ein Sicherheitsvorfall Kundenabwanderungen verursacht oder das Markenimage belastet. Eine Zertifizierung (z. B. ISO 27001) kann als Marketing-Argument dienen und Neukundenakquisition um X % steigern.
Einzelnes Beispiel:
Ein grosser Online-Einzelhändler investiert jährlich 60.000 CHF in eine DDoS-Mitigationsplattform, um Ausfälle seiner Website zu verhindern. Eine Analyse ergab, dass bereits eine Stunde Ausfallzeit täglich durchschnittliche Tagesumsatzverluste von rund 30.000 CHF verursacht. Nach Implementierung der Plattform sank die maximale jährliche Downtime von geschätzten 100 Stunden auf unter 10 Stunden. Damit konnten jährlich über 2,7 Mio. CHF an Umsatzeinbussen vermieden werden, was die Investitionskosten bei weitem rechtfertigt.
Praxisbeispiele für erfolgreichen ROSI
Automatisiertes Patch-Management: 40% weniger Ausfallkosten
Ein global tätiges Industrieunternehmen stellte fest, dass ungeplante Stillstände durch veraltete Systeme jährlich Ausfallkosten von rund 1 Mio. CHF verursachten. Durch die Einführung einer automatisierten Patch- Management-Lösung, die Patches in Wartungsfenstern nachts und am Wochenende ausrollt, konnten Ausfallzeiten binnen eines Jahres um 40 % reduziert werden. Die Einsparung von 400.000 CHF setzte einer Investition von 150.000 CHF entgegen, was zu einem BCR von 2,67 führte.
Multi-Faktor-Authentifizierung: Verhinderte Kosten eines 2 Mio. CHF-Breach
Ein Finanzdienstleister implementierte unternehmensweit MFA für alle Mitarbeiter und Partner. Basierend auf Branchenbenchmarks schätzte man, dass ein erfolgreicher Credential-Stuffing-Angriff durchschnittlich Schäden von 2 Mio. CHF verursachen würde. Nach zwölf Monaten Einsatz von MFA gab es keinen relevanten Identitätsdiebstahl mehr, obwohl das Unternehmen Ziel zahlreicher Angriffsversuche blieb. Die Lizenz- und Betriebskosten von MFA betrugen 200.000 CHF pro Jahr, der vermiedene Breach-Schaden rechtfertigte die Investition deutlich.
Automatisierte Betrugserkennung im Einzelhandel: 75 % schnellere Erkennung, 40 % Kostenersparnis
Ein mittelständischer Einzelhändler überprüfte zuvor verdächtige Kartentransaktionen manuell, was im Schnitt zwei Stunden pro Vorgang dauerte und jährliche Betrugskosten von etwa 250.000 CHF verursachte. Nach Einführung einer regelbasierten Automatisierungsplattform, die Transaktionen in Echtzeit analysiert und nur schwere Verdachtsfälle an das Team eskaliert, sank die Prüfzeit auf durchschnittlich 30 Minuten (75 % schneller). Gleichzeitig reduzierten sich die jährlichen Betrugsausfälle um 40 % (100.000 CHF Einsparung), bei Lizenz- und Betriebskosten von nur 80.000 CHF pro Jahr.
Fazit: Sicherheitsausgaben als strategische Investition
Dieses Whitepaper hat aufgezeigt, dass der Return on Security Investment (ROSI) nur dann messbar wird, wenn Sicherheitsprojekte mit klaren Zielen, geeigneten Kennzahlen und Geschäftsprozessen verknüpft sind. Zwei zentrale Erfolgsfaktoren lassen sich zusammenfassen:
- Zielorientierung und Metriken: Definiere quantifizierbare KPIs, die direkt an Geschäftskennzahlen geknüpft sind (z. B. Ausfallkosten, Umsatzeinbussen, Compliance strafen).
- Business-Alignment etablieren: Verknüpfe jede Sicherheitsmassnahme direkt mit unternehmensrelevanten Zielen (Umsatz, Verfügbarkeit, Kundenzufriedenheit), um die strategische Bedeutung von Security auf Geschäftsführungsebene zu verankern.
Unternehmen, die diese Best Practices beherzigen, verwandeln Sicherheitsausgaben in strategische Investitionen: Sie reduzieren nicht nur Kosten durch vermiedene Vorfälle, sondern erzielen einen effektiven finanziell messbaren Mehrwert für das Geschäft. Die vorgestellten Success Stories belegen, wie sich durch gezielte Massnahmen messbare Mehrwerte erzielen lassen.
Empfehlung
Etabliere eine unternehmensweite ROI-Governance, die Business-, IT- und Security-Teams vereint. So schaffst du die Voraussetzung, dass Sicherheitsinvestitionen nachhaltig zum Unternehmenserfolg beitragen.