Letzte Woche sass ich mit einem CFO zusammen. Seine Frage: "Wir geben jedes Jahr mehr für Security aus. Aber sind wir sicherer?"

Stille.

Nicht weil niemand eine Antwort hatte. Sondern weil... niemand es wirklich wusste.

Das ist ein Problem, das wir bei praktisch jedem Kunden sehen. Budgets steigen. Tool-Listen werden länger. Aber ob das Geld an der richtigen Stelle landet? Fragezeichen.

Lass mich ehrlich sein: Die meisten Security-Budgets sind falsch verteilt. Nicht weil jemand einen Fehler macht. Sondern weil die Entscheidungslogik fehlt.

Hier ist, was wir aus 50+ Security-Projekten gelernt haben.

Das eigentliche Problem: Zu viele Tools, zu wenig Fokus

Die Zahlen sind ernüchternd: Laut dem Wiz CISO Budget Benchmark Report 2026 betreiben 58% der Unternehmen mehr als 25 verschiedene Security-Tools. Grössere Firmen oft 50 oder mehr.

Das klingt nach guter Verteidigung, oder?

Ist es nicht.

Mehr Tools bedeuten mehr Komplexität. Mehr Alerts. Mehr blinde Flecken zwischen den Systemen. Und ironischerweise: oft weniger echte Sicherheit.

(Ein Ponemon-Report hat das bestätigt: Übermässige Tool-Komplexität und die daraus resultierende "Alert Fatigue" können die Reaktionsfähigkeit auf echte Bedrohungen sogar verschlechtern.)

Hier ist die Sache... Die meisten Security-Verantwortlichen wissen das eigentlich. Aber die Budgetplanung folgt trotzdem dem gleichen Muster: Wo war letztes Jahr ein Problem? Dort mehr Geld hin. Was verkauft uns der Vendor gerade? Das kommt auf die Liste.

Das ist keine Strategie. Das ist Reaktion.

Die 80/20-Regel für Security-Budgets

Hier ist etwas, worüber niemand gerne redet in der Branche:

80% deiner Security-Effektivität kommt von etwa 20% deiner Massnahmen.

Das ist nicht meine Meinung. Das ist messbar. Eine Analyse von Phil Venables (ehem. CISO von Goldman Sachs, heute Google Cloud) zeigt: Ein kleines Set von Kontrollen trägt den grössten Teil der tatsächlichen Risikoreduktion - und genau diese werden oft am wenigsten beachtet.

Die schlechte Nachricht: Genau diese 20% sind oft die Bereiche, in die am wenigsten investiert wird - und die mit der Zeit am ehesten vernachlässigt werden.

Was gehört zu diesen 20%?

1. Identität - Der wahre Perimeter

Vergiss alles, was du über Netzwerk-Perimeter gelernt hast. Der neue Perimeter ist die Identität. (Mehr dazu in unserem Artikel Zero Trust entmystifiziert.)

Die Zahlen sind eindeutig. Laut dem Sophos Active Adversary Report 2025:

• 71% der initialen Zugriffe bei Angriffen erfolgen über externe Remote-Services

• 78% davon nutzen gültige Credentials

Das bedeutet: Angreifer brechen nicht ein. Sie loggen sich ein - mit gestohlenen oder kompromittierten Zugangsdaten.

Wo das Budget zuerst hin sollte:

• Multi-Faktor-Authentifizierung (MFA) - nicht optional, überall

• Privileged Access Management - Admin-Konten sind Goldgruben für Angreifer

• Identity Threat Detection - erkennen, wenn Credentials missbraucht werden

Laut Wiz CISO Budget Benchmark Report 2026 planen 43% der CISOs weltweit für 2026 genau hier ihre Investitionen. Das ist kein Trend - das ist eine Reaktion auf die Realität.

2. Endpoints - Wo Angriffe stattfinden

Deine Endpoints sind da, wo die Arbeit passiert. Und wo Angriffe landen.

Endpoint Detection & Response (EDR) ist nicht mehr optional. Die Frage ist, ob du weisst, was auf deinen Geräten passiert - oder nicht.

Ein mittelständischer Kunde hatte 12 verschiedene "Endpoint-Lösungen" - Antivirus hier, Verschlüsselung dort, Patch-Management irgendwo anders. Keine davon konnte tatsächlich erkennen, wenn etwas Ungewöhnliches passierte.

Die Konsolidierung auf eine moderne EDR-Plattform hat nicht nur die Kosten gesenkt. Sie hat zum ersten Mal echte Visibilität geschaffen.

3. Detection & Response - Sehen, was passiert

Das beste Schloss nützt nichts, wenn du nicht merkst, dass jemand einbricht.

Die durchschnittliche Zeit, bis ein Angriff entdeckt wird, liegt immer noch bei Wochen bis Monaten. In dieser Zeit richten Angreifer den echten Schaden an.

Investition in Detection bedeutet:

• SIEM/SOAR Modernisierung - nicht die Lösung von 2015

• 24/7 Monitoring - intern oder über einen Partner

• Incident Response Plan - den du auch tatsächlich getestet hast

Die Schweizer Realität: Wo wir stehen

Die Schweizer Situation ist... interessant.

Aktuelle Zahlen aus der SATW-Studie "KMU Cybersicherheit 2025" zeigen:

• 28% der Schweizer KMU sagen, dass Cybersecurity 2025 keine Priorität mehr hat - ein Anstieg von 18% im Vorjahr

• Nur 40% fühlen sich gut vorbereitet auf einen Cyberangriff (Rückgang von über 50%)

• Rund 26'000 Schweizer Firmen waren in den letzten drei Jahren von effektiven Schäden durch Cyberangriffe betroffen (hochgerechnet auf ~600'000 KMU)

Das klingt nach einem Widerspruch, oder? Die Bedrohungen steigen, aber die Priorisierung sinkt?

Der Grund ist oft der gleiche: Die Unternehmen haben in Tools investiert, ohne Ergebnisse zu sehen. Also wird das Thema heruntergestuft.

Die Lösung ist nicht "weniger investieren". Die Lösung ist "besser investieren".

Ein praktisches Priorisierungsframework

Hier ist das Framework, das wir bei Schweizer KMU und Mittelstandsunternehmen einsetzen.

Schritt 1: Risk Assessment vor Budget-Verteilung

Bevor du einen Franken verteilst: Was sind deine tatsächlichen Risiken? (Warum das oft schiefgeht, haben wir in Warum die meisten Risikoanalysen scheitern beschrieben.)

Nicht die theoretischen. Nicht die, die der Vendor dir verkaufen will. Die echten.

• Welche Daten sind geschäftskritisch?

• Welche Systeme können nicht ausfallen?

• Wo sind die wahrscheinlichsten Angriffsvektoren?

(Hinweis: Für die meisten Unternehmen sind E-Mail und Remote Access die grössten Einfallstore. Nicht der ausgefallene APT-Angriff.)

Schritt 2: Die 80/20-Priorisierung

Basierend auf deinem Risk Assessment:

Tier 1 - Fundamentals (50-60% des Budgets):

• Identity & Access Management / MFA

• Endpoint Detection & Response

• Backup & Recovery (getestet!)

Tier 2 - Detection & Response (25-30% des Budgets):

• SIEM/Monitoring

• Incident Response Capability

• Network Segmentation

Tier 3 - Emerging & Compliance (15-20% des Budgets):

• Cloud Security

• AI Security (falls relevant)

• Compliance-spezifische Anforderungen

Schritt 3: Tool-Konsolidierung

Bevor du neue Tools kaufst: Kannst du bestehende konsolidieren?

Die Realität: Die meisten Unternehmen nutzen vielleicht 30-40% der Funktionen ihrer Security-Tools. Der Rest ist shelfware.

Konsolidierung bringt:

• Geringere Kosten

• Weniger Komplexität

• Bessere Integration

• Tiefere Expertise im Team

Wir haben Kunden gesehen, die durch Konsolidierung 25-30% ihres Security-Budgets freigesetzt haben - ohne Sicherheitseinbussen.

Der ROI-Beweis: Warum das funktioniert

"Security ist eine Versicherung, kein Investment" - das hören wir oft.

Aber das stimmt so nicht mehr. Security-ROI ist messbar.

Konkrete Beispiele:

• Unternehmen mit Mikrosegmentierung, MFA und EDR berichten von 15-30% tieferen Cyber-Versicherungsprämien - messbar bei der ersten Vertragsverlängerung (Quelle: Elisity 2026 Cybersecurity Budget Benchmarks)

• Laut IBM Cost of Data Breach Report 2025: Organisationen mit starkem Incident Response Plan reduzieren Breach-Kosten um durchschnittlich 1,49 Mio. USD (Mehr zu den wahren Kosten: The Real Cost of Being Unprepared for Ransomware)

• Organisationen mit Security AI und Automation sparen durchschnittlich 2,22 Mio. USD pro verhindertem Breach (ebenfalls IBM-Studie)

Die Gordon-Loeb-Regel gibt einen wissenschaftlich fundierten Rahmen: Nie mehr als 37% der erwarteten Verluste für Security ausgeben. Aber die richtige Verteilung dieser Investition macht den Unterschied.

Was du morgen tun kannst

Drei konkrete Schritte:

1. Tool-Inventar erstellen Liste alle deine Security-Tools auf. Wirklich alle. Dann frag: Welche nutzen wir aktiv? Welche überlappen sich? Welche könnte man streichen?

2. Identität prüfen Ist MFA überall aktiv? Wer hat privilegierte Zugänge? Wann wurden diese zuletzt überprüft? Wenn du diese Fragen nicht beantworten kannst, weisst du, wo du anfangen musst.

3. Risk Assessment machen (lassen) Bevor das nächste Budget freigegeben wird: Versteh, was deine echten Risiken sind. Nicht die generischen. Deine spezifischen.

Die Kurzversion

Security-Budgets steigen. Aber ob sie richtig verteilt sind, ist eine andere Frage.

Hier ist, was wirklich zählt:

• 80% der Effektivität kommt von 20% der Massnahmen - investier dort zuerst

• Identität ist der neue Perimeter - MFA und Privileged Access zuerst

• Konsolidierung vor Neuanschaffung - weniger Tools, besser genutzt

• Risk Assessment vor Budget-Verteilung - erst verstehen, dann investieren

• ROI ist messbar - Versicherungsprämien, Incident-Kosten, Compliance-Aufwand

Die Frage ist nicht, ob du genug ausgibst. Die Frage ist, ob du an der richtigen Stelle ausgibst.

(Und wenn du dir nicht sicher bist - genau dabei helfen wir. Vendor-neutral, fokussiert auf deine echten Risiken. Kaffee geht auf uns.)

Quellen:

• SATW / cyberstudie.ch: KMU Cybersicherheit 2025 - Schweizer KMU-Statistiken

• Wiz: CISO Budget Benchmark Report 2026 - Tool-Sprawl und CISO-Investitionspläne

• Sophos Active Adversary Report 2025 - Angriffsvektoren und Credential-Nutzung

• IBM Cost of Data Breach Report 2025 - ROI-Daten zu IR und Automation

• Elisity: 2026 Cybersecurity Budget Benchmarks - Versicherungsprämien-Reduktion

• Phil Venables: The 80/20 Principle - Security-Kontroll-Effektivität