Herr Jörgens, wie teuer kann ein Cyberangriff für ein Unternehmen werden? Das kann existenzbedrohend sein. Ich kenne mehrere Fälle, in denen mittelständische Unternehmen nach einem schweren Cyberangriff wirtschaftlich nicht mehr auf die Beine gekommen sind. Nehmen wir beispielsweise eine klassische Ransomware-Attacke mit Produktionsstillstand. In einer hochautomatisierten Fertigung sprechen wir schnell von 250.000 bis über eine Million Euro Schaden, pro Tag. Wenn der Stillstand zwei Wochen dauert, bewegt sich dies im zweistelligen Millionenbereich. Hinzu kommen häufig mehrere hunderttausend Euro für IT-Forensik, Wiederherstellung und externe Spezialisten. Sind personenbezogene Daten betroffen, drohen Bußgelder nach der Datenschutz-Grundverordnung. Im Extremfall bis zu vier Prozent des weltweiten Jahresumsatzes, abhängig von Schwere und Einzelfall. Was dabei oft unterschätzt wird, sind die indirekten Kosten: Reputationsschäden, Vertrauensverlust bei Kunden, erschwerte Vertragsverhandlungen oder steigende Versicherungsprämien summieren sich über Jahre und sind nur schwer exakt zu beziffern. Der tatsächliche wirtschaftliche Schaden liegt deshalb meist deutlich über der reinen IT-Rechnung.

Arbeiten Sie mit einer „Rangliste“ in der Auflistung von Bedrohungen, die die höchsten Schäden verursachen und vor denen sich Unternehmen am ehesten schützen sollten? Statt einer starren Rangfolge setze ich auf eine strukturierte Risikobetrachtung. Entscheidend ist die Kombination aus Eintrittswahrscheinlichkeit und potenziellem Schadensausmaß für das jeweilige Geschäftsmodell. Aktuell verursachen Ransomware-Angriffe mit Betriebsunterbrechung die höchsten finanziellen Schäden. Danach folgen gezielte Angriffe auf Produktions- oder Steuerungssysteme sowie der Diebstahl sensibler Kunden- oder Forschungsdaten. Ebenfalls relevant sind betrügerische Zahlungsanweisungen im Rahmen von Business-E-Mail-Compromise, wie der CEO-Fraud. Welche Bedrohung Priorität hat, hängt allerdings stark vom Unternehmen ab. Für produzierende Betriebe ist ein mehrtägiger Stillstand existenziell, für ein datengetriebenes Geschäftsmodell kann ein größerer Datenabfluss deutlich gravierender sein als ein kurzer Systemausfall. Sicherheitsprioritäten sollten nicht auf medialer Aufmerksamkeit basieren, sondern auf einer fundierten Analyse geschäftskritischer Prozesse und Vermögenswerte.

Sicherheitsprioritäten sollten nicht auf medialer Aufmerksamkeit basieren, sondern auf einer fundierten Analyse geschäftskritischer Prozesse und Vermögenswerte.

Wie bewerten Sie die Relation zwischen Sicherheitsinvestitionen und den potenziellen Gesamtkosten von Vorfällen? Sicherheitsinvestitionen sind eine Frage wirtschaftlicher Vernunft. Ziel ist nicht maximale Sicherheit um jeden Preis. Es geht um die Begrenzung existenzieller Risiken auf ein tragbares Maß. Ein schwerer Cybervorfall kann Schäden verursachen, die ein mehrjähriges Sicherheitsbudget übersteigen. Investitionen von ein bis zwei Prozent des Umsatzes stehen daher oft in keinem Verhältnis zu möglichen Produktionsausfällen, Haftungsrisiken oder Reputationsschäden. In der Vorstands-Kommunikation nutze ich gern die Kennzahl „Return on Damages Not Incurred“ (RODNI) – den wirtschaftlichen Nutzen verhinderter Schäden. Prävention erzeugt keinen sichtbaren Umsatz, aber sie verhindert reale Vermögensverluste. Genau dieser vermiedene Schaden ist der eigentliche Return. Entscheidend ist jedoch weniger die Budgethöhe als sein gezielter Einsatz. Investitionen in resiliente Back-ups, Netzwerksegmentierung, Monitoring, Incident-Response-Prozesse und Schulungen wirken weit stärker als isolierte Einzelmaßnahmen. Sicherheit ist Kernelement unternehmerischer Risikosteuerung und nicht nur ein weiterer Kostenblock.

Wie sieht ein IT-Notfallplan im Unternehmen aus? Der Begriff IT-Notfallplan greift zu kurz. Anstelle eines rein technischen Szenarios geht es um die ganzheitliche Planung und Steuerung einer unternehmensweiten Krise – mit finanziellen, rechtlichen und reputativen Auswirkungen. Dazu braucht es einen Cyber-Emergency- bzw. Cyber-Krisenplan, bei dem alle relevanten Stakeholder wie Vorstand, Kommunikation, Personal, Finanzen, IT und Security einbezogen werden müssen; je nach Lage auch Recht, Compliance und externe Partner. Entscheidend ist, dass Rollen, Verantwortlichkeiten und Eskalationswege klar definiert sind und im Ernstfall ohne Verzögerung greifen. Ein solcher Krisenplan beschreibt technische Maßnahmen ebenso wie Entscheidungsprozesse, Meldepflichten und Kommunikationsstrategien. Der wichtigste Faktor dabei ist die Übung in realistischen Szenarien. In meinen internationalen Vorträgen führe ich solche Simulationen regelmäßig durch. Das ist für viele Teilnehmende sehr augenöffnend, weil Entscheidungsdruck und Komplexität unmittelbar spürbar werden. Genau darin liegt der Mehrwert. Schwachstellen werden sichtbar, Verantwortliche stoßen teilweise an ihre Grenzen und lernen, was im Ernstfall wirklich zählt.

Entscheidend ist, dass Rollen, Verantwortlichkeiten und Eskalationswege klar definiert sind und im Ernstfall ohne Verzögerung greifen.

Factbox

In Deutschland stiegen die Ausgaben für IT-Sicherheit 2024 erstmals auf über 10 Mrd. Euro, für 2026 prognostizierte der Digitalverband Bitkom einen Anstieg um 9,9 Prozent auf 12,2 Mrd. Euro. Damit geben Unternehmen nun 18 Prozent ihres IT-Budgets für IT-Sicherheit aus, 2022 waren es nur 9 Prozent.