Yannick H.,
TLDR;
Die Cybersecurity-Branche lebt davon, dass du Angst hast. Cyber-Risiko ist real – aber es ist nicht dein einziges Geschäftsrisiko, und oft nicht mal das grösste. Wer sein Sicherheitsbudget proportional zu den tatsächlichen Risiken verteilt (statt proportional zu seiner Panik), trifft bessere Entscheidungen. Der erste Schritt: Alle Risiken auf denselben Tisch legen und ehrlich vergleichen.
TLDR
Die Cybersecurity-Branche lebt davon, dass du Angst hast. Cyber-Risiko ist real – aber es ist nicht dein einziges Geschäftsrisiko, und oft nicht mal das grösste. Wer sein Sicherheitsbudget proportional zu den tatsächlichen Risiken verteilt (statt proportional zu seiner Panik), trifft bessere Entscheidungen. Der erste Schritt: Alle Risiken auf denselben Tisch legen und ehrlich vergleichen.
Die Cybersecurity-Branche ist gut in einer Sache: Angst verkaufen.
Jährliche Breach-Statistiken. Versicherungsgesellschaften mit Katastrophenszenarien. Medien, die jeden Hack aufbauschen. Und ja – ein Stück weit zu Recht. Cyber-Vorfälle kosten Geld, Zeit und Vertrauen. Das ist keine Erfindung.
Aber hier ist, was diese Branche nie laut sagt: Cyber-Risiko ist nur eines von vielen Risiken, die dein Unternehmen bedrohen. Nicht das wichtigste. Nicht das unwichtigste. Eines.
Und wer sein Unternehmen so führt, als wäre Cyber das einzige echte Risiko – der verwaltet das falsche Problem.
Das Problem mit Angst als Grundlage für Budgetentscheidungen
Wir sehen das regelmässig in unserer Arbeit mit Schweizer KMU und Mid-Market-Unternehmen. Ein Unternehmen gibt CHF 400'000 pro Jahr für Security-Tools aus. Brav. EDR, SIEM, MFA, Vulnerability Scanner, Security Awareness Training. Die ganze Liste.
Und dann fragen wir: "Habt ihr einen Business-Continuity-Plan?"
Stille.
Oder: "Was passiert, wenn euer bester Entwickler morgen kündigt?"
Noch mehr Stille.
Das ist kein Vorwurf. Es ist ein Muster. Cybersecurity-Anbieter sind gut organisiert, gut finanziert, und haben jahrelang daran gearbeitet, einen emotionalen Reflex zu erzeugen: Wenn etwas mit "Cyber" im Namen ist, muss es wichtig sein. Finanzrisiko? Trocken. Schlüssel-Personen-Risiko? Unangenehm, aber nicht greifbar. Aber ein Ransomware-Angriff? Da ist ein Bericht. Da ist ein Bild. Da ist eine Zahl.
Die Konsequenz: Budget wandert in Richtung des lautesten Risikos. Nicht des grössten.
(Das ist übrigens kein spezifisch Schweizer Phänomen. Es ist menschlich. Wir reagieren auf lebhafte Szenarien stärker als auf stille Wahrscheinlichkeiten.)
Was dein Risikoportfolio wirklich enthält
Wenn wir mit Unternehmen eine strukturierte Risikobetrachtung machen, kommen typischerweise sechs Kategorien auf den Tisch. Cyber ist eine davon.
Finanzrisiko – Liquiditätsengpässe, Währungsschwankungen, schlechte Debitoren, überraschende Grossausgaben. Für viele KMU das existenziell riskanteste Feld. Ein einziger Grosskunde, der nicht zahlt, kann mehr Schaden anrichten als ein mittlerer Cyber-Vorfall.
Operatives Risiko – Schlüssel-Personen-Abhängigkeit, Lieferketten-Ausfall, Prozessversagen. Wie viele deiner kritischen Prozesse hängen an einer einzigen Person? Und was passiert, wenn diese Person weg ist?
Regulatorisches Risiko – Compliance-Lücken, Lizenzverletzungen, regulatorische Veränderungen (DSGVO, NIS2, neue Branchenregulierungen). In der Schweiz oft unterschätzt, weil Regulierung langsam kommt – aber wenn sie kommt, kommt sie schnell.
Marktrisiko – Kundenverlust, Wettbewerb, Disruption durch neue Anbieter. Ein Startup, das in dein Kernsegment einbricht und 30% günstiger anbietet: Das ist oft existenzieller als jede Datenpanne.
Cyber-Risiko – Datenpanne, Ransomware, Business-Interruption, Reputationsschaden. Real. Messbar. Und ja, wachsend.
Strategisches Risiko – Falsche Wetten, verpasste Chancen, Fehlallokation von Ressourcen. Das am wenigsten diskutierte Risiko. Und oft das schmerzhafteste.
Keine dieser Kategorien hat von vornherein Vorrang. Sie alle können dein Unternehmen beschädigen oder zerstören. Die Frage ist: Welche bedrohen dich konkret, wie stark, und was kostet es dich, sie zu mitigieren?
Warum "hoch/mittel/tief" nicht funktioniert
Die klassische Risikomatrix ist... nutzlos.
(Wir sagen das nach Jahren, in denen wir Risikobewertungen für Unternehmen gemacht haben. Tut uns leid, aber es stimmt.)
Das Problem: "Hohes Risiko" für Unternehmen A kann CHF 50'000 bedeuten. Für Unternehmen B bedeutet dasselbe Label CHF 5 Millionen. Und trotzdem stehen beide auf der gleichen Farbe in der Matrix. Rot ist rot.
Was tatsächlich hilft, ist Quantifizierung. Nicht perfekte Präzision – die existiert nicht. Aber grobe Finanzszenarien, die dein spezifisches Unternehmen betreffen.
Konkret: Was kostet dich ein Ransomware-Angriff – nicht "Unternehmen im Durchschnitt", sondern du? Wie viele Stunden Downtime sind realistisch? Was verlierst du pro Stunde? Wie hoch ist das Lösegeld-Risiko in deiner Industrie? Welche Daten sind betroffen und was bedeutet das regulatorisch?
Dieselbe Frage für Schlüssel-Personen-Risiko: Was kostet dich der Abgang deines besten Entwicklers oder deiner erfahrensten Projektleiterin? Recruiting, Einarbeitung, verlorenes Know-how, Projektverzug?
Und für Kundenverlust: Was bedeutet es, wenn dein grösster Kunde – 20% deines Umsatzes – zu einem Mitbewerber wechselt?
Wenn du diese Zahlen nebeneinander legst, wird oft klar: Die Rangfolge der Risiken sieht anders aus als die Rangfolge der Budgets.
Was proportionale Sicherheit bedeutet
Proportionale Sicherheit heisst nicht: weniger in Cyber investieren. Es heisst: in Cyber investieren, weil das Risiko es rechtfertigt – nicht weil ein Vendor einen guten Pitch hatte.
Wir haben mit einem Produktionsunternehmen mit 80 Mitarbeitern gearbeitet. Security-Budget: CHF 180'000 pro Jahr. Das klang erstmal vernünftig. Aber als wir die Risikokarte machten, war das dominante Risiko operativ: 60% der Produktionsprozesse liefen durch eine einzige Person, der CFO war gleichzeitig einziger Buchhalter, und es gab keine dokumentierten Abläufe.
Ein einziger Krankheitsfall hätte das Unternehmen für Wochen lahmgelegt.
Das Cyber-Risiko? Moderat. Keine Cloud-Infrastruktur. Kaum externe Angriffsvektoren. Die CHF 180'000 waren gut gemeint – aber sie schützten nicht vor dem grössten tatsächlichen Risiko.
Was wir empfohlen haben: Security-Budget auf CHF 120'000 reduzieren (aber scharf fokussieren), und CHF 60'000 in Prozessdokumentation, Stellvertreterregelungen und einen echten Business-Continuity-Plan investieren.
Kein Vendor hat dafür gelobbyt. Aber es war das Richtige.
(Wir haben übrigens einen ganzen Artikel darüber, wie man das Security-Budget auf das Wesentliche fokussiert: So verteilst du dein Security-Budget richtig.)
Schweizer Unternehmen und ihre blinden Flecken
Schweizer Unternehmen sind grundsätzlich risikobewusst. Präzision, Zuverlässigkeit, Konservativismus – das ist keine Klischeevorstellung, das sehen wir in der Praxis. Viele KMU haben solide finanzielle Puffer, denken langfristig, und gehen keine unnötigen Risiken ein.
Aber es gibt zwei typische blinde Flecken:
Erstens: Cyber wird übergewichtet, weil die Berichterstattung laut ist. Wenn der Nachbar-Betrieb ransomwared wird, sitzt das. Das erzeugt Reaktionen, die nicht unbedingt dem eigenen Risikoprofil entsprechen.
Zweitens: Strategisches Risiko wird systematisch unterschätzt. Die Frage "Sind wir auf dem richtigen Kurs?" wird selten so rigoros behandelt wie "Ist unser Perimeter sicher?". Dabei ist eine falsche strategische Wette – falsches Produkt, falsches Marktsegment, falsche Technologieplattform – oft folgenschwerer als jeder Hack.
Wir haben das in vielen Risikoanalysen gesehen: Die Unternehmen, die gut durch Krisen kommen, sind nicht die mit dem besten Security-Stack. Sie sind die, die ihr Gesamtrisiko kennen und proportional reagieren.
Ein einfacher Rahmen für den Anfang
Du musst keine vollständige Enterprise-Risk-Management-Methodik einrichten. Für die meisten KMU reicht ein einfacher Ansatz:
Schreib die sechs Risikokategorien auf. Für jede: Schätze das Worst-Case-Szenario in CHF. Schätze die Eintrittswahrscheinlichkeit in den nächsten drei Jahren. Multipliziere beides (erwarteter Verlust). Dann: Wie viel investierst du aktuell, um dieses Risiko zu mitigieren?
Das gibt dir kein perfektes Bild. Aber es zeigt dir, ob deine Mittelverteilung grob der Risikoverteilung entspricht – oder nicht.
Oft genügt diese Übung, um sichtbar zu machen, was alle schon ahnten: Wir geben 80% unseres Risiko-Budgets für 20% unseres tatsächlichen Risikos aus.
Und dann kannst du anfangen, das zu korrigieren.
(Was nicht heisst, Cyber zu vernachlässigen. Pragmatische Cybersicherheit ist möglich – wir beschreiben unseren Ansatz dazu in diesem Artikel: Pragmatische Cybersicherheit: Warum weniger Tools oft mehr Schutz bedeuten.)
Morgen früh
Bevor du das nächste Security-Tool evaluierst oder das nächste Vendor-Angebot annimmst, mach vorher eines: Schreib alle Risiken deines Unternehmens auf einen Zettel – nicht nur Cyber. Finanziell, operativ, regulatorisch, Markt, Cyber, strategisch. Und stell dir für jedes die Frage: Was kostet mich das, wenn es passiert?
Diese eine Übung – 30 Minuten, kein Tool nötig – verändert, wie du über dein Sicherheitsbudget nachdenken wirst.
Wenn du dabei Unterstützung brauchst oder eine strukturierte Risikobetrachtung für dein Unternehmen machen möchtest, schau dir an, wie wir das angehen: ODCUS Cybersecurity Advisory.
