TLDR
Cyber-Risiko ist längst Geschäftsrisiko, aber die meisten CFOs sitzen in Security-Meetings und verstehen den halben Bericht nicht. Das ist kein Versagen des CFOs, sondern ein Kommunikationsproblem. Was du wirklich wissen musst: deine konkrete finanzielle Exposition, wie du Security-Ausgaben wie eine Risikoinvestition bewertest, und welche fünf Fragen du deinem IT-Team stellen solltest. Dieser Artikel gibt dir genau das, ohne Firewall-Erklärungen.

"Wie viel geben wir für IT-Sicherheit aus?"

"CHF 350'000."

"Ist das genug?"

"...Ja?"

Diese Konversation passiert in fast jeder Geschäftsleitungssitzung. Und niemand weiss, ob die Antwort stimmt.

Der CFO fragt, zu Recht. Er trägt Mitverantwortung für das finanzielle Risiko des Unternehmens. Der IT-Leiter oder CISO antwortet, nach bestem Wissen. Aber beide reden aneinander vorbei. Einer denkt in Bedrohungsszenarien und Angriffsvektoren, der andere in Exposure, Budget-Allokation und Risikoreduktion.

Das Ergebnis: Niemand trifft eine wirklich informierte Entscheidung.

Wir erleben das regelmässig in unserer Arbeit mit Schweizer KMUs und Mid-Market-Unternehmen. Und die ehrliche Wahrheit ist: Das Problem liegt nicht beim CFO. Es liegt daran, dass Cybersicherheit noch immer als technisches Thema kommuniziert wird, obwohl es längst ein Finanzthema ist.

Dieser Artikel ändert das. Kein Jargon, keine Firewall-Erklärungen, kein SIEM-Alphabet-Soup. Nur das, was du als CFO wirklich brauchst, um gute Entscheidungen zu treffen.

Was du als CFO nicht wissen musst

Kurz vorweg, weil es wichtig ist.

Du musst nicht verstehen, wie ein Intrusion Detection System funktioniert. Du musst keine Meinung zu Endpoint Protection Plattformen haben. Und du musst auch nicht entscheiden, welches SIEM-Tool das Unternehmen einsetzt.

Das ist der Job deines CISOs oder IT-Leiters. Die sollen Technik-Experten sein.

Was du brauchst, ist die Fähigkeit, die richtigen Fragen zu stellen. Zu verstehen, was eine Antwort bedeutet. Und einzuschätzen, ob ein Budget-Antrag Sinn ergibt.

Das ist eine andere Art von Wissen, und genau darum geht es hier.

Was ein Vorfall dich wirklich kostet

Das ist der Ausgangspunkt, den die meisten Security-Diskussionen überspringen.

Wenn dein CISO von "Average Cost of a Data Breach" spricht und USD 4.8 Millionen erwähnt (eine Zahl, die tatsächlich in Branchenberichten vorkommt), klingt das abstrakt. Was bedeutet das für dein Unternehmen konkret?

Die relevante Rechnung sieht so aus:

Einnahmen pro Ausfallstunde. Wenn dein Unternehmen CHF 50 Millionen Jahresumsatz macht, verlierst du bei einem 48-Stunden-Ausfall circa CHF 270'000 an direkten Einnahmen, bevor du einen einzigen Franken für Wiederherstellung ausgegeben hast.

Kosten der Benachrichtigung. GDPR und Schweizer DSG verlangen, dass du betroffene Kunden und in vielen Fällen den EDOEB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) informierst. Pro betroffener Person kommen schnell CHF 100-200 an Administrationskosten zusammen, Kundendaten hast du viele.

Rechtsexposition. GDPR-Bussen gehen bis zu 4% des weltweiten Jahresumsatzes. Das ist keine theoretische Bedrohung, europäische Aufsichtsbehörden haben ihre Gangart in den letzten zwei Jahren deutlich verschärft.

Selbstbehalt der Cyberversicherung. Dein Versicherungsvertrag hat einen Selbstbehalt. Hast du ihn kürzlich eingesehen? In der Schweiz liegen typische Selbstbehalte bei CHF 50'000 bis CHF 250'000. Wer das nicht weiss, wird beim Schadenfall überrascht.

Reputationsschaden. Schwer zu quantifizieren, aber real. B2B-Unternehmen verlieren nach öffentlich gewordenen Vorfällen erfahrungsgemäss 5-15% der Kundenbasis in den folgenden 18 Monaten.

Wenn du diese Zahlen einmal für dein Unternehmen konkret durchgerechnet hast, sieht die Security-Budget-Diskussion sofort anders aus. Nicht "350'000, ist das viel?" sondern "350'000 um ein Risiko mit einer Exposure von 3-5 Millionen zu reduzieren, macht das Sinn?"

Wie du Security-Ausgaben wie ein CFO denkst

Hier ist der Gedankenwechsel, der die meiste Klarheit bringt.

Security-Ausgaben sind keine IT-Kosten. Sie sind eine Risikoinvestition. Genau wie Betriebsversicherungen, Lagerbestand oder Währungs-Hedging.

Das Konzept heisst ROSI: Return on Security Investment. Die Grundformel ist simpel:

ROSI = (Risikoreduktion in CHF) - (Kosten der Massnahme)

Beispiel: Eine Massnahme kostet CHF 80'000 jährlich und reduziert die Wahrscheinlichkeit eines Vorfalls mit einem erwarteten Schaden von CHF 2 Millionen von 15% auf 5%.

• Ohne Massnahme: erwarteter Jahresverlust = CHF 300'000 (15% von 2M)

• Mit Massnahme: erwarteter Jahresverlust = CHF 100'000 (5% von 2M)

• Risikoreduktion: CHF 200'000

• Kosten: CHF 80'000

• ROSI: +CHF 120'000

Das ist kein perfektes Modell, Wahrscheinlichkeiten sind immer Schätzungen. Aber es zwingt zur richtigen Diskussion. Statt "wie viel sollen wir ausgeben?" fragt ihr: "Welche Risiken reduzieren wir, um wie viel, und was kostet das?"

Wir haben diesen Ansatz in einem eigenen Artikel ausführlicher beschrieben, wie du dein Security-Budget richtig verteilst.

Die Metriken, die für dich relevant sind

Security-Reports sind oft voll mit Zahlen, die nichts aussagen. "15'000 blockierte Angriffe im letzten Monat" klingt eindrucksvoll. Bedeutet es gar nichts.

Hier sind die Metriken, die tatsächlich etwas über deinen Schutzstatus aussagen:

Mean Time to Detect (MTTD). Wie lange dauert es im Schnitt, bis ein Angriff erkannt wird? Branchenstandard für gut geführte Unternehmen: unter 24 Stunden. Wenn dein Team sagt "mehrere Wochen", dann habt ihr ein Problem.

Mean Time to Respond (MTTR). Sobald ein Vorfall erkannt ist, wie lange bis zur Eindämmung? Jede Stunde, die ein Angreifer nach der Entdeckung noch im System ist, erhöht den Schaden exponentiell.

Recovery Time Objective (RTO). Wenn kritische Systeme ausfallen, wann laufen sie wieder? Hast du eine Zahl? Habt ihr das jemals getestet? (Letzte Frage ist ernster gemeint als sie klingt.)

Abdeckung kritischer Systeme. Welcher Prozentsatz deiner geschäftskritischen Systeme ist durch aktives Monitoring abgedeckt? 60%? 80%? 100%? Das sagt viel darüber aus, wie blind ihr in einem Ernstfall wäret.

Diese vier Metriken passen auf eine Seite. Du musst nicht mehr wissen.

Versicherung und Investition: das sind zwei verschiedene Dinge

Ein häufiges Missverständnis, das uns in Gesprächen mit CFOs begegnet: "Wir haben Cyberversicherung, also sind wir abgesichert."

Nicht ganz.

Cyberversicherung deckt Residualrisiken. Also das, was nach allen Massnahmen noch übrig bleibt. Sie ist kein Ersatz für Security-Investitionen, sie ist die letzte Auffanglinie.

Ausserdem: Versicherungsprämien basieren auf deinem Security-Posture. Unternehmen mit nachgewiesenen Sicherheitsmassnahmen zahlen deutlich weniger. Wir haben Klienten gesehen, die durch gezielte Verbesserungen ihrer Sicherheitskontrollen ihre Prämien um 20-30% gesenkt haben. Das allein kann einen Teil der Security-Investition refinanzieren.

Und ein weiterer Punkt, der oft überrascht: Versicherungen lehnen Schadensersatz ab, wenn grundlegende Standards nicht eingehalten wurden. "Ihr hattet keine Multi-Faktor-Authentifizierung auf dem betroffenen System", und schon ist der Anspruch gefährdet. Cyberversicherungsverträge werden präziser und die Anforderungen strenger.

Wenn du nicht weisst, welche Mindestanforderungen eure aktuelle Police stellt: Das ist ein gutes erstes Gespräch mit deinem CISO.

NIS2 und warum du persönlich haftbar sein könntest

Das ist der Teil, der die Aufmerksamkeit in Geschäftsleitungssitzungen ändert.

Die NIS2-Richtlinie (Network and Information Security, zweite Version) der EU ist seit Oktober 2024 in nationales Recht umzusetzen. Schweizer Unternehmen, die in der EU Geschäfte machen oder Teil kritischer Lieferketten sind, sind betroffen, ob sie es wissen oder nicht.

Was NIS2 für den CFO bedeutet:

Persönliche Haftung für Führungskräfte. NIS2 macht explizit, dass der Vorstand und die Geschäftsleitung für angemessene Sicherheitsmassnahmen verantwortlich sind. "Das hat die IT entschieden" ist keine Verteidigungsstrategie mehr.

Meldepflichten innerhalb 24 Stunden. Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die zuständige Behörde gemeldet werden. Wer das versäumt, riskiert Bussen.

Anforderungen an das Risikomanagement. NIS2 verlangt nachweisbare Risikomanagement-Prozesse. Nicht nur Technik, auch Governance-Dokumentation.

GDPR-Bussen sind bereits real. Mehrere grosse Unternehmen zahlen acht- oder neunstellige Strafen in Europa. NIS2 fügt eine weitere Regulierungsschicht hinzu, mit direkterer Verantwortung der Geschäftsleitung.

Wir haben darüber geschrieben, wie Cyber-Risiko zu Geschäftsrisiko wird, und was das für die Governance-Diskussion bedeutet: Cyber-Risiko als Geschäftsrisiko.

Das "drei Eimer"-Modell: wo dein Geld fliesst

Wenn dein CISO das nächste Budget präsentiert, kannst du mit einer einfachen Frage viel über die Qualität des Plans herausfinden: "Wie verteilt sich das Budget auf Prävention, Detektion und Response?"

Ein gesundes Security-Budget sieht ungefähr so aus:

• Prävention (~50%): Firewalls, Zugriffskontrollen, Patch-Management, Verschlüsselung, Awareness-Training. Das, was Angriffe verhindert.

• Detektion (~30%): Monitoring, Logging, SIEM-Systeme, Anomalie-Erkennung. Das, was Angriffe sichtbar macht.

• Response (~20%): Incident-Response-Pläne, Backup-Systeme, Business-Continuity-Pläne, externes IR-Team. Das, was den Schaden begrenzt, wenn etwas passiert.

Wenn 90% des Budgets in Prävention fliessen und null in Response-Fähigkeit: Das ist ein rotes Flag. Kein System ist 100% sicher. Wer nicht in Response investiert, plant implizit: "Wenn es passiert, improvisieren wir."

Improvisation bei Ransomware ist teuer. (Wir haben einen eigenen Artikel darüber geschrieben, was nach einer Ransomware-Attacke wirklich günstiger ist, und was nicht: Was nach einer Ransomware-Attacke günstiger ist.)

Drei Eimer. Einfaches Modell. Sehr gute erste Einschätzung.

Und wie sieht sinnvolle Security ohne Tool-Wust aus?

Ein Gedanke, den wir mit vielen Klienten durcharbeiten: Mehr Security-Tools bedeuten nicht mehr Sicherheit. Oft ist das Gegenteil der Fall.

Jedes Tool erfordert Konfiguration, Updates, Monitoring und Expertise. Wenn euer Team 15 Tools verwaltet, von denen 8 aktiv gepflegt werden, dann sind die anderen 7 tote Winkel.

Das klingt counter-intuitiv. Aber wir haben konkrete Fälle gesehen, wo Unternehmen nach der Konsolidierung von 12 auf 6 Tools einen besseren Überblick und schnellere Reaktionszeiten hatten. Weniger Oberfläche, mehr Tiefe.

Das ist ein Konzept, das wir in unserem Artikel pragmatische Cybersicherheit ausführlicher behandeln, lesenswert, wenn du das nächste Budget-Gespräch vorbereiten willst.

Die 5 Fragen, die du deinem IT-Team stellen solltest

Das ist der praktische Abschluss. Keine langen Zusammenfassungen. Nur fünf Fragen, die du dir notieren kannst.

Sie sind bewusst offen formuliert. Nicht um jemanden zu testen, sondern weil die Qualität der Antworten dir viel darüber sagt, wo ihr steht.

Frage 1: Wie hoch ist unsere finanzielle Exposition bei einem grossen Vorfall?

Du erwartest eine konkrete Zahl oder Spanne, kein "das ist schwer zu sagen." Wer keine Ahnung hat, hat das Risiko nie quantifiziert. Das ist ein Problem.

Frage 2: Wie schnell können wir kritische Geschäftsprozesse nach einem Angriff wiederherstellen?

Recovery Time Objective (RTO) sollte eine Zahl sein, kein Schulterzucken. Und die Folgefrage: Haben wir das jemals getestet, mit einer echten Simulation oder Tabletop-Exercise?

Frage 3: Wogegen sind wir aktuell nicht geschützt?

Das ist die wichtigste Frage. Gute Security-Teams wissen, welche Lücken sie haben. Wenn die Antwort "eigentlich alles abgedeckt" ist: Vorsicht. Kein Unternehmen ist vollständig geschützt. Wer das behauptet, hat entweder nicht hingeschaut oder will dir etwas verkaufen.

Frage 4: Wie verhält sich unser Security-Budget zu unserer Risikoexposition?

Nicht "ist das Budget hoch genug?" sondern: Haben wir eine Relation hergestellt zwischen dem, was wir ausgeben, und dem, was wir schützen wollen? Fehlt diese Verbindung, fehlt die Grundlage für jede Budget-Entscheidung.

Frage 5: Was würdest du mit 20% mehr Budget tun, und was mit 20% weniger?

Diese Frage ist vielleicht die aufschlussreichste. Die Antwort zeigt, ob dein Security-Team priorisieren kann. Was ist kritisch, was ist "nice to have"? Wer auf diese Frage nicht antworten kann, hat kein Prioritätsmodell. Und ein Budget ohne Prioritätsmodell ist schwer zu verteidigen.

Wir helfen CFOs und Geschäftsleitungsteams regelmässig dabei, genau diese Gespräche zu führen, mit dem richtigen Framing, den richtigen Metriken und einem klaren Blick auf die finanzielle Dimension von Cyber-Risiko.

Wenn du wissen willst, wie eure aktuelle Security-Aufstellung aus Business-Perspektive aussieht, schau dir unsere Cybersecurity-Beratung an. Kein Tech-Vortrag, kein Produkt-Pitch, nur eine ehrliche Einschätzung.