Photo by Ben Hershey on Unsplash

Wie viel sollte man in IT-Security denn eigentlich für Security ausgeben? Unsere Empfehlung ist es, diese Frage anhand von Risikoszenarien zu beantworten.

Ein Beispiel:

Ein Unternehmen hat 200 Mitarbeiter mit Office-PCs. Wenn ein Crypto-Locker für einen Ausfall sorgt und die Mitarbeiter 14 Tage nicht arbeiten können, bedeutet das bereits einen Schaden an Personalkosten von über 300.000 Euro (bei jährlichen Kosten von durchschnittlich 40.000 Euro). Hinzu kommen verlorene Aufträge, nicht erbrachte Leistungen, Kosten für mögliches Lösegeld und Recovery, und andere.

Wir nehmen den möglichen Gesamtschaden mit 400.000 Euro an. Diese Fall könnte in einem solchen Ausmaß alle zehn Jahre auftreten. Man könnte also festlegen, dass das jährliche Security-Budget ein Zehntel des möglichen Gesamtschadens, also bei 40.000 Euro, liegt.

Hinzu könnten natürlich noch andere Szenarien kommen, wie ein Ausfall einer Produktionsstraße, Veröffentlichung personenbezogener Daten mit Strafzahlungen und der Benachrichtigung sämtlicher Betroffener und viele mehr.


Ein Schwachstellen-Scanner (und dessen Betrieb) sollte nicht mehr als 30 bis 50% des Gesamtbudgets kosten. Was hilft es, Schwachstellen zu finden, danach aber kein Budget für die Behebung mehr übrig zu haben?