Berechnung des ROI von Kampagnen zur Sensibilisierung für Sicherheitsfragen
Veröffentlicht am: 2 Nov. 2022
Zuletzt geändert am: 8 Sep. 2025
Hier erfahren Sie, wie Sie den Return on Investment (ROI) für die Schulung Ihrer Mitarbeiter im Rahmen einer Kampagne zum Sicherheitsbewusstsein berechnen können.
Eine Studie aus dem Das Ministerium für Kultur, Medien und Sport (DCMS) hat festgestellt, dass 39% der britischen Unternehmen im Jahr 2022 Opfer eines Cyberangriffs wurden. Die Kosten für diese Verletzungen sind nicht unerheblich. Der DCMS-Bericht errechnete, dass die finanziellen Auswirkungen eines einzigen Cyberangriffs ein mittelgroßes Unternehmen £19.400 kosten. Wenn man bedenkt, dass Unternehmen täglich von Cyberangriffen bedroht sind, ist dies ein Grund zur Sorge.
Security Awareness Training ist eine der Maßnahmen, die die Wahrscheinlichkeit eines Angriffs oder dessen Fortschreiten verringern können. Dies führt zu einer Reduzierung der Kosten eines Angriffs. Aber ist das Risiko eines Angriffs den Preis für die Durchführung von Security Awareness Training wert?
Elemente, die bei der Berechnung des ROI einer Kampagne zur Sensibilisierung für Sicherheitsfragen berücksichtigt werden müssen
Bevor Sie sich an die Berechnung der Frage machen, ob sich Sicherheitsschulungen lohnen, müssen Sie eine Bestandsaufnahme der einbezogenen Posten vornehmen. Ein Angriff auf die Cybersicherheit und/oder eine Datenpanne hat viele bewegliche Teile, von denen jeder materielle und immaterielle Kosten verursacht.
Hier ein Blick auf einige der wahrscheinlichsten Kosten eines Cyberangriffs:
Der direkte finanzielle Schaden eines Cyberangriffs
Die direkten Auswirkungen eines Cyberangriffs hängen sowohl von der Art des Cyberangriffs als auch von der Organisation ab. Ein Ransomware-Angriff kann zum Beispiel die Zahlung eines Lösegelds nach sich ziehen (obwohl die Zahlung keine empfohlene Strategie ist). Es ist jedoch erwähnenswert, dass die Lösegeldsummen in den letzten Jahren gestiegen sind.
Einem Bericht von Nordlocker zufolge ist die durchschnittliche Ransomware-Zahlung um 78% gestiegen, so dass das Lösegeld auf die schwindelerregende Summe von 541.010 $ (478.000 £) gestiegen ist.
Zu den Kosten eines Cyberangriffs können auch Schäden an IT-Systemen, der Zeitaufwand für die Behebung des Angriffs und Sammelklagen gehören: In Großbritannien stieg die Zahl der Sammelklagen nach einem Cyberangriff zwischen 2018 und 2020 um 120 %.
Die durchschnittlichen Kosten eines Cyberangriffs sollten bei der Berechnung des ROI einer Sicherheitskampagne berücksichtigt werden. Dabei sollte jedoch auch die durchschnittliche Anzahl der Angriffe pro Jahr berücksichtigt werden. Laut dem DCMS-Bericht schätzen 31% der Unternehmen und 26% der Wohltätigkeitsorganisationen, dass sie mindestens einmal pro Woche angegriffen werden.
Zeit und Arbeit zur Eindämmung eines Verstoßes
Eine der Folgen eines Cyberangriffs ist die Schwierigkeit, die Exploit-Kette zu lokalisieren und den Schaden einzudämmen. Eine Ein IBM-Bericht über die Kosten von Datenschutzverletzungen ergab, dass die durchschnittliche Zeit zur Eindämmung einer Datenschutzverletzung im Jahr 2022 277 Tage beträgt. Während dieser Zeit steigen die Kosten.
Sie sollten die Ausfallzeiten von IT-Systemen, den IT-Support und die geschätzten Produktivitätsverluste in die Berechnung des ROI einer Kampagne zum Sicherheitsbewusstsein einbeziehen.
Rufschädigung
Reputationsschäden sind immateriell und daher schwer zu quantifizieren. Allerdings kommen nach einem Cyberangriff, der zu einem negativen Ruf führt, viele Faktoren ins Spiel. Dazu gehört ein allgemeiner Vertrauensverlust, der sich auf Kunden, Aktienkurse und das Partner-Ökosystem auswirkt.
Dieser Vertrauensverlust ist akut, wenn Kunden ein Unternehmen nach einem Verstoß verlassen. A Eine Studie von YouGov und Okta hat ergeben, dass 88% der Kunden ein Unternehmen nicht mehr nutzen, wenn sie das Gefühl haben, dass es ihre Daten nicht zuverlässig schützt.
Reputationsschäden sind schwer zu beziffern und daher in eine Gleichung einzubeziehen, aber Sie haben vielleicht einige Daten über den Verlust von Kunden durch Business Intelligence (BI)-Lösungen.
Nichteinhaltung der Vorschriften und Geldbußen
Mehrere Datenschutzvorschriften, darunter PCI-DSS und GDPR, schreiben die Verwendung von Sicherheitsschulungen vor oder fordern sie nachdrücklich. Wenn Sie also nachweisen können, dass Ihr Unternehmen Sicherheitsschulungen durchführt, sollten Sie dies bei späteren Durchsetzungsmaßnahmen der Behörden berücksichtigen.
Bei der Berechnung des ROI einer Kampagne zur Förderung des Sicherheitsbewusstseins sollten Sie jedoch auch die typischen Kosten einer Strafe für die Nichteinhaltung von Vorschriften in Ihrem Sektor berücksichtigen.
Die Höhe der Bußgelder, die Ihr Unternehmen nach einem Verstoß treffen können, erfahren Sie beim Information Commissioner’s Office (ICO). Die britische GDPR und DPA 2018 sehen beispielsweise eine maximale Geldstrafe von 17,5 Millionen £ oder 4 % des weltweiten Jahresumsatzes vor.
Versicherungsprämien
Laut einer Studie der Versicherer Hiscox planen 63% der britischen Unternehmen den Abschluss einer Cyberversicherung als Teil ihrer Strategie. Außerdem können die Prämien gesenkt werden, wenn Sie das Risiko verringern, indem Sie Ihre Mitarbeiter in Sicherheitsfragen schulen.
Addieren Sie die Kosten für eine Cyberversicherung zu Ihrem ROI für eine Kampagne zur Sensibilisierung für Sicherheitsfragen als Teil der Gesamtkosten Ihrer Sicherheitsstrategie.
Andere ROI-Kosten umfassen:
- Die Kosten für das Schulungspaket und alle zusätzlichen Funktionen, wie z. B. Phishing-Simulationstraining.
- Verwaltungskosten für die Durchführung des Programms.
- Verlorene Zeit aufgrund der Durchführung von Sicherheitsschulungen durch einen Mitarbeiter.
Wie Sie den ROI von Cybersicherheitsschulungen berechnen können
Sobald Sie die Daten haben, können Sie sie in eine ROI-Gleichung einfügen. Glücklicherweise hat bereits jemand erforscht, wie man eine Gleichung für Security Awareness Training erstellt.
Eine ROI-Gleichung sieht in ihrer einfachsten Form wie folgt aus:
ROI = Berechnung des ROI von Kampagnen zur Sensibilisierung für Sicherheitsfragen
Wo:
R = Ertrag (Nutzen)
I = Investition (Kosten)
Wie Sie jedoch gesehen haben, ist die Berechnung von R und I für die Sicherheit komplizierter, da es immaterielle Kosten wie z.B. den Rufschaden gibt.
Glücklicherweise haben sich Leute aus der Sicherheitsbranche mit der Komplexität der Berechnung des ROI für Investitionen in Sicherheitsschulungen beschäftigt. Michael Coden stützt sich zum Beispiel auf Untersuchungen des Massachusetts Institute of Technology (MIT).
Eine Studie des MIT stützt sich bei der Berechnung der Kosten von Cybersicherheitsvorfällen auf die Schritte, die zu einem Cybersicherheitsvorfall führen. Diese Forschung wurde genutzt, um ein Rahmenwerk zu entwickeln, das als STACHT. Unter Verwendung dieses Rahmens hat Coden eine Gleichung für den ROI von Cybersicherheitsprojekten (wie z.B. Schulungskampagnen zum Sicherheitsbewusstsein) entwickelt, die Folgendes beinhaltet:

Wo:
Wahrscheinlichkeit einer Kompromittierung (PC) = Bedrohungen multipliziert mit Schwachstellen
Auswirkung einer Kompromittierung (IC) = Vermögenswert multipliziert mit den Verlusten, wenn eine Kompromittierung stattfindet
Die Gleichung von Coden wird pro Projekt verwendet und gibt den wahrscheinlichen ROI auf der Grundlage von Schätzungen an.
Ein qualitativerer Blick auf den ROI von Sicherheitsaufklärungskampagnen
Seien Sie sich darüber im Klaren, dass es bei der Berechnung des ROI von Sicherheitsschulungen nicht unbedingt darauf ankommt, Daten in eine Gleichung einzusetzen. Stattdessen kann es ausreichen, eine Liste der potenziellen Kosten und Auswirkungen eines Cyberangriffs zu erstellen, um zu zeigen, dass sich das Security Awareness Training lohnt.
Der Mensch steht nach wie vor im Mittelpunkt der Cyberkriminellen. Wenn es einen Weg gibt, diesen Kreislauf zu durchbrechen, wird dies natürlich zu einem geringeren Risiko und geringeren Kosten führen.
Eine Der Osterman-Bericht bezeichnete Schulungen zur Cybersicherheit als „wesentlich“ für die Verhinderung von Cyberangriffen. Der Bericht unterstreicht die Wirksamkeit von Sicherheitsschulungen. So zeigen die Daten beispielsweise, dass nur 11 % der Mitarbeiter vor der Schulung eine Phishing-E-Mail erkennen konnten, aber nach der Schulung waren 64 % in der Lage, Phishing-Versuche zu erkennen. Beweise wie diese können sehr effektiv sein, wenn es darum geht, den Nutzen einer Sicherheitskampagne zu ermitteln.
