Kosten eines Cyber-Angriffs vs. Präventionskosten

Dem Branchenverband Bitkom zufolge stellen Cyber-Angriffe aktuell die größte Bedrohung für deutsche Unternehmen dar. In einer Befragung des Branchenverbands gaben 65 % der Unternehmen an, in Cyber-Attacken eine Bedrohung ihrer geschäftlichen Existenz zu sehen (Quelle: Wirtschaftsschutz 2024).

Um sich gegen digitale Bedrohungen zu schützen, müssen Unternehmen und andere Organisationen in ihre IT-Sicherheit investieren. Doch obwohl die Investitionsbereitschaft für Cyber-Sicherheit steigt, betrachten viele Unternehmen Prävention weiterhin als teuren Kostenfaktor.

Dieser Artikel bietet einen direkten Vergleich zwischen den Kosten eines Cyber-Angriffs und den Kosten von technischen und organisatorischen Sicherheitsmaßnahmen und zeigt, wie sich Investitionen in die IT-Sicherheit langfristig auszahlen.

Cyber-Attacken können weitreichende Schäden nach sich ziehen. Neben den klar zu beziffernden Kosten für Krisenkommunikation, rechtliche Verteidigung und Maßnahmen wie Systembereinigung und Datenwiederherstellung stellen auch indirekte Kosten wie Reputationsschäden und Vertrauensverluste bei Kunden langfristig eine finanzielle Belastung dar.

Direkte Kosten eines Cyber-Angriffs

Zu den direkten Kosten, die durch einen erfolgreichen Angriff entstehen können, gehören:

• Umsatzeinbußen durch Betriebsunterbrechungen
• Wiederherstellungskosten für Daten und Systeme
• Lösegeldzahlungen bei Ransomware-Angriffen
• Geldstrafen und Bußgelder (z. B. bei Verstößen gegen die DSGVO)
• Anwalts- und Gerichtskosten bei rechtlichen Auseinandersetzungen
• Kosten für IT-Forensiker, Krisenmanager, PR-Berater und Rechtsberatung
• Ausgaben im Rahmen der notwendigen Krisenkommunikation
• Informationskostens für das Erfüllen von rechtlichen Meldepflichten sowie zum Informieren betroffener Parteien
• Entschädigung von dritten Parteien (z. B. Schadensersatz bei Datenschutzverletzungen)

Indirekte Kosten eines Cyber-Angriffs

Cyber-Angriffe verursachen nicht nur klar quantifizierbare direkte Kosten wie Betriebsunterbrechungen und Wiederherstellungskosten. Hinzu kommen indirekte Kostenfaktoren, darunter:

• Reputationskosten: Dazu zählen Werbekosten zur Schadensbegrenzung, Kosten für Imagekampagnen, zusätzlicher Aufwand für Marketing und PR, etc.
• Produktivitätsverluste: Systemausfälle, Datenverluste und sonstige Einschränkungen beeinträchtigen die Arbeitsabläufe und führen so zu Produktivitätsverlusten.
• Anstieg von Versicherungsprämien: Cyber-Angriffe führen dazu, dass ein Unternehmen von Versicherern als risikoreicher eingestuft wird und die Versicherungsprämien erhöht werden.
• Börsenwertverluste: Cyber-Attacken erschüttern das Vertrauen von Investoren und Marktteilnehmern, was oft zu einem Rückgang des Aktienkurses und damit zu einer Minderung des Unternehmenswertes führt.
• Langfristige Umsatzeinbußen: Nach einem IT-Sicherheitsvorfall können Kunden das Vertrauen in das Unternehmen verlieren und zu Mitbewerbern abwandern, was Umsatzrückgänge nach sich zieht.
• Verringertes Wachstumspotenzial: Vertrauensverluste bei Geschäftspartnern, Investoren und Kunden können das Unternehmenswachstum langfristig einschränken.
• Vertragsstrafen: Vertragsstrafen können sich aufgrund nicht eingehaltener Lieferverpflichtungen gegenüber Kunden oder aufgrund nicht ausgeübter Abnahmeverpflichtungen gegenüber Zulieferern ergeben.

Beispielkostenrechnung: So teuer kann ein Cyber-Angriff sein

Wie teuer eine Cyber-Attacke für ein Unternehmen wirklich werden kann, lässt sich am besten an einem Beispiel verdeutlichen. Hier ist eine Kostenaufschlüsselung für einen fiktiven Ransomware-Angriff auf ein mittelgroßes deutsches Bauunternehmen mit 250 Mitarbeitenden und einem Jahresumsatz von rund 40 Millionen Euro.

Auch kleineren Unternehmen können durch eine Cyber-Attacke hohe Schadenssummen entstehen. Die folgende Kostenaufschlüsselung illustriert den finanziellen Schaden, der einer Steuerkanzlei mit vier Mitarbeitenden und einem Jahresumsatz von 1,2 Millionen Euro durch einen Datenschutzverstoß aufgrund eines Bedienfehlers entstehen kann.

Hinweis: Die beiden Rechenbeispiele wurden mit dem online verfügbaren Kostenrechner von Arctic Wolf erstellt und anschließend von unseren internen Experten geprüft.

Durchschnittliche Kosten eines Cyber-Angriffs: Das sagen die Statistiken

Je nach Unternehmensgröße, Angriffsart und Schadensausmaß kann das finanzielle Ausmaß einer Cyber-Attacke sehr unterschiedlich ausfallen. Mit welchen Schadenssummen Unternehmen im Ernstfall rechnen müssen, zeigen die folgenden Statistiken.

• Eine Umfrage zu den Kosten von Cyber-Attacken in Deutschland ergab, dass die durchschnittlichen Kosten bzw. Verluste durch Cyber-Angriffe für das Jahr 2022 bei rund 16.000 Euro lagen (Quelle: Statista).
• Die durchschnittlichen Kosten einer Ransomware-Attacke werden auf 32.200 Euro geschätzt. Für DDoS-Angriffe liegen die geschätzten Kosten bei durchschnittlich 25.600 Euro, während manuelles Hacking im Schnitt Kosten in Höhe von 43.700 Euro verursacht (Quelle: Bundeskriminalamt).
• Laut einer Studie lag die durchschnittliche Lösegeldzahlung deutscher Unternehmen im Jahr 2023 bei 5,14 Millionen Euro – deutlich über dem globalen Durchschnitt von 1,85 Millionen Euro (Quelle: Sophos).
• Im Jahr 2024 belief sich der Gesamtschaden, der der deutschen Wirtschaft durch Cyber-Kriminalität entstanden ist, auf 178,6 Milliarden Euro (Quelle: Bitkom).

Den Kosten einer Cyber-Attacke stehen die Kosten gegenüber, die Unternehmen entstehen, um ihre IT-Systeme gegen digitale Bedrohungen abzusichern. Neben den Personalkosten für IT-Sicherheitsbeauftragte umfassen die Ausgaben für Cyber-Sicherheit im Unternehmen Investitionen in sowohl technische (Soft- und Hardware) als auch organisatorische Präventionsmaßnahmen (z. B. Mitarbeiterschulungen und Cyberversicherung).

Kosten für technische IT-Sicherheitsmaßnahmen

Unternehmen sollten zumindest einen technischen Basisschutz etablieren und diesen in Abhängigkeit von ihrer individuellen Situation und Risikolage um weitere Maßnahmen ergänzen. Zu den wichtigsten technischen Sicherheitsmaßnahmen zählen:

• Firewall
• Virenschutz und Endpoint Security
• Datenverschlüsselung und -sicherung
• E-Mail-Sicherheit
• Mehr-Faktor-Authentifizierung (MFA)
• Regelmäßige Backups
• Patchmanagement
• Intrusion Detection Systems (IDS)
• Security Information Event Management (SIEM)
• Absicherung von Fernzugriffen

Kosten für organisatorische IT-Sicherheitsmaßnahmen

Neben der technischen Prävention von Cyber-Angriffen spielen auch organisatorische Sicherheitsmaßnahmen eine wichtige Rolle. Das Ziel der organisatorischen IT-Sicherheit ist es, ein präventives Risikomanagement im Unternehmen zu etablieren. Dazu gehören unter anderem die folgenden Maßnahmen:

• Security-Awareness-Schulungen für Mitarbeitende
• Abschluss einer Cyberversicherung
• Notfall- und Incident-Response-Pläne
• Krisenstabsübungen
• Externe Sicherheitsaudits und Penetrationstests
• Internes Rollen- und Berechtigungskonzept

Beispielkostenrechnung: So viel kostet IT-Sicherheit

Am Beispiel der beiden oben eingeführten Unternehmen lassen sich auch die Kosten illustrieren, die anfallen, um ein Unternehmen gegen Cyber-Angriffe zu schützen. Unter der Annahme, dass das Unternehmen eine Cyberversicherung abgeschlossen hat und grundlegende IT-Sicherheitsstandards erfüllt, lässt sich für das Bauunternehmen mit 250 Mitarbeitenden und 40 Millionen Euro Jahresumsatz die folgende Kostenaufstellung erstellen.

Für die Steuerkanzlei lassen sich unter den gleichen Annahmen (Erfüllung grundlegender IT-Sicherheitsstandards und Abschluss einer Cyberversicherung) die folgenden Präventionskosten veranschlagen.

Hinweis: Bei den abgebildeten Kosten handelt es sich lediglich um Orientierungswerte. Die Zahlen können je nach Unternehmen, Branche, Lösungsanbieter und anderen Faktoren variieren. Die hier gelieferten Beispiele wurden von unseren internen Experten geprüft.

IT-Sicherheit hat sich in den letzten Jahren zu einem zentralen Thema für Unternehmen aller Größen und Branchen entwickelt. Angesichts der wachsenden digitalen Abhängigkeit und der akuten Bedrohungslage durch Cyber-Kriminalität rückt die Frage nach angemessenen Investitionen in Schutzmaßnahmen immer stärker in den Fokus. Wie sich diese Entwicklung in Zahlen widerspiegelt, zeigen verschiedene aktuelle Studien und Statistiken.

• Im Jahr 2024 überschritten die Ausgaben für IT-Sicherheit in Deutschland erstmals die 10-Milliarden-Euro-Marke. Am stärksten war der Anstieg bei den Ausgaben für Sicherheitssoftware. Hier war ein Anstieg um 17,3 % auf insgesamt 5,8 Milliarden Euro zu verzeichnen (Quelle: Bitkom).
• 72 % der deutschen Unternehmen planen, ihr Budget für Cyber-Sicherheit in 2025 zu erhöhen (Quelle: PwC).
• Der durchschnittliche Anteil der Ausgaben für IT-Sicherheit am gesamten IT-Budget der Unternehmen ist 2024 auf 17 % gestiegen (Quelle: Bitkom).
• Der Branchenverband Bitkom empfiehlt Unternehmen, nicht weniger als 20 % ihrer gesamten IT-Ausgaben für das Thema IT-Sicherheit bereitzustellen (Quelle: Bitkom).

Ein direkter Vergleich der Kosten, die einem Unternehmen durch einen Cyber-Angriff entstehen können, und der Ausgaben, die für grundlegende IT-Sicherheitsmaßnahmen anfallen, zeigt, dass Unternehmen aus betriebswirtschaftlicher Sicht langfristig von einer guten IT-Sicherheitsstrategie profitieren.

Wie oben ermittelt, hat ein mittelgroßes Bauunternehmen mit 250 Mitarbeitenden und einem Jahresumsatz von rund 40 Millionen Euro IT-Sicherheitsausgaben in Höhe von etwa 75.500 Euro pro Jahr. Diese Kosten liegen deutlich unter den potenziellen Kosten einer Cyber-Attacke, die im Falle eines Ransomware-Angriffs schnell die 1,5-Millionen-Euro-Marke überschreiten und damit das 20-Fache der jährlichen Sicherheitsausgaben betragen können.

Darüber hinaus kann der Ausbau der IT-Sicherheitsinfrastruktur auch positive Nebeneffekte und Kosteneinsparungen in anderen Geschäftsbereichen mit sich bringen. So ermöglichten Maßnahmen wie die Einrichtung von VPN-Zugängen, Firewall-Einstellungen, Identitätsmanagement oder eine strukturierte Zertifikatsverwaltung während der Corona-Pandemie beispielsweise neue Arbeitsweisen.

Durch das Einrichten von technischen Sicherheitsmaßnahmen wurde remotes Arbeiten auch in bislang wenig digitalisierten Bereichen möglich, was wiederum zu Einsparungen bei Büroflächen und Fahrtkosten führte.

Die Zahlen und Beispiele zeigen deutlich: Investitionen in IT-Sicherheit zahlen sich aus – nicht nur im Hinblick auf die Vermeidung finanzieller Schäden, sondern auch als strategischer Vorteil für die Zukunftsfähigkeit einer Organisation. Unternehmen, die präventiv handeln, schützen sich nicht nur vor den unmittelbaren Folgen eines Cyber-Angriffs, sondern stärken auch das Vertrauen von Kunden, Partnern und Mitarbeitenden.

Anstatt IT-Sicherheit als notwendiges Übel oder rein technischen Kostenpunkt zu betrachten, sollten Unternehmen sie als festen Bestandteil einer nachhaltigen und resilienten Geschäftsstrategie verstehen. Prävention ist nicht nur günstiger als Schadensbehebung; sie macht Unternehmen widerstandsfähiger, flexibler und letztlich wettbewerbsfähiger.