8 bis 15% des IT-Budgets. Oder CHF 700 bis 1’500 pro Mitarbeitenden pro Jahr. So viel sollten Schweizer KMU für Cybersicherheit einplanen. Konkret: CHF 20’000 bis 50’000 für 10 bis 30 Mitarbeitende, CHF 50’000 bis 100’000 für 30 bis 100, CHF 100’000 bis 250’000 für 100 bis 250. Technologie, Dienstleistungen, Schulungen und Prüfungen inklusive.
64% der Schweizer KMU geben weniger als 5% ihres IT-Budgets für Security aus (Hochschule Luzern, 2024). Das BACS registrierte 2024 über 2’415 gemeldete Vorfälle bei einer geschätzten Dunkelziffer von 10x. Ein Ransomware-Angriff kostet ein KMU CHF 300’000 bis 1,5 Mio. (IBM/Allianz, 2024). Das richtige Budget hängt von Branche, Risikoexposition und bestehendem Reifegrad ab.
Warum Cybersecurity-Budgets oft zu tief angesetzt sind
Laut einer Studie der Hochschule Luzern (2024) geben 64% der Schweizer KMU weniger als 5% ihres IT-Budgets für Cybersicherheit aus. Gleichzeitig steigen die Angriffszahlen: Das BACS registrierte 2024 über 2’415 gemeldete Vorfälle bei Schweizer Unternehmen – bei einer geschätzten Dunkelziffer von 10x. Die durchschnittlichen Kosten eines Cybervorfalls für ein Schweizer KMU belaufen sich auf CHF 300’000–1,5 Mio. (IBM / Allianz, 2024).
Das Problem: Viele KMU betrachten Cybersecurity als reine Kostenposition statt als strategische Investition. Ein Budget von CHF 30’000/Jahr klingt hoch – bis man es mit den CHF 500’000 vergleicht, die ein einziger Ransomware-Angriff kosten kann.
“Cybersecurity ist keine IT-Ausgabe, sondern eine Unternehmensversicherung. Wer das Budget für Security kürzt, erhöht indirekt sein Exponierungsrisiko – und das zahlt sich selten aus.” — CISO, Schweizer Industriekonzern, 2025
Benchmark: Cybersecurity-Budget nach Unternehmensgrösse
Empfohlene Cybersecurity-Budgets für Schweizer KMU
| Unternehmensgrösse | Mitarbeitende | Empf. IT-Budget | Empf. Security-Anteil | Jahresbudget Security |
|---|---|---|---|---|
| Mikro-KMU | 10–20 MA | CHF 30’000–80’000 | 10–15% | CHF 3’000–12’000 |
| Klein-KMU | 20–50 MA | CHF 80’000–200’000 | 10–15% | CHF 8’000–30’000 |
| Mittel-KMU | 50–100 MA | CHF 200’000–500’000 | 10–15% | CHF 20’000–75’000 |
| Grösseres KMU | 100–150 MA | CHF 500’000–900’000 | 12–18% | CHF 60’000–162’000 |
| Oberes KMU | 150–250 MA | CHF 900’000–1,5 Mio. | 12–18% | CHF 108’000–270’000 |
Anmerkung: Diese Richtwerte gelten für KMU ohne ausserordentliche regulatorische Anforderungen. Finanzdienstleister (FINMA), Gesundheitswesen (DSGVO, KVG) und kritische Infrastrukturen sollten 15–25% des IT-Budgets einplanen.
Branchenspezifische Budgetnormen: Was in der Schweiz üblich ist
Verschiedene Branchen tragen unterschiedliche Risikoprofile und haben unterschiedliche regulatorische Anforderungen. Die folgende Tabelle zeigt branchentypische Cybersecurity-Ausgaben:
Cybersecurity-Ausgaben nach Branche (CHF/MA/Jahr)
| Branche | Regulierung | Kosten/MA/Jahr | Haupttreiber |
|---|---|---|---|
| Finanzdienstleistungen | FINMA, DSG, DSGVO | CHF 2’000–5’000 | Compliance, Kundendaten |
| Gesundheitswesen | DSG, KVG, ISO 27001 | CHF 1’500–4’000 | Patientendaten, Betriebssicherheit |
| Industrie / Fertigung | DSG, OT-Sicherheit | CHF 800–2’500 | OT/ICS, Lieferkette |
| Detailhandel / E-Commerce | DSG, PCI DSS | CHF 700–2’000 | Zahlungsdaten, Kundendaten |
| Technologie / Software | DSG, ISO 27001 | CHF 1’200–3’500 | IP-Schutz, sichere Entwicklung |
| Bauwesen / Immobilien | DSG | CHF 500–1’200 | Grundlegende Sicherheit |
| Beratung / Dienstleistungen | DSG, Branchenstandards | CHF 800–2’000 | Kundendaten, Vertrauen |
| Logistik / Transport | DSG, OT | CHF 700–1’800 | Lieferkette, Betriebssysteme |
| Bildung / Non-Profit | DSG | CHF 400–1’000 | Personaldaten, Grundschutz |
Die 5 Säulen des Cybersecurity-Budgets: Wo das Geld hinfliesst
Ein ausgewogenes Cybersecurity-Budget verteilt sich auf fünf Bereiche. Die folgende Grafik zeigt die empfohlene Budgetverteilung für ein Schweizer KMU mit 50–100 Mitarbeitenden (Gesamtbudget CHF 60’000–80’000/Jahr):
Budgetverteilung: Empfehlung für Schweizer KMU
| Säule | Kategorie | Anteil am Budget | Jahreskosten (50–100 MA) |
|---|---|---|---|
| 1. Identifizieren | Asset Management, Risk Assessment, Compliance | 10–15% | CHF 6’000–12’000 |
| 2. Schützen | Firewall, EDR, MFA, Verschlüsselung, Backup | 35–45% | CHF 21’000–36’000 |
| 3. Erkennen | SIEM, Monitoring, Vulnerability Scanning, SOC | 20–30% | CHF 12’000–24’000 |
| 4. Reagieren | Incident Response Retainer, IR-Plan, Übungen | 10–15% | CHF 6’000–12’000 |
| 5. Wiederherstellen | Backup-Systeme, DR-Plan, Krisenkomm. | 10–15% | CHF 6’000–12’000 |
| Gesamt | 100% | CHF 51’000–96’000 |
Basis: NIST Cybersecurity Framework (CSF 2.0). Zahlen basieren auf Marktpreisen Schweiz 2026.
Detaillierte Kostenpositionen: Was Schweizer KMU konkret ausgeben
Vollständige Budgettabelle: Cybersecurity-Kosten nach Kategorie
| Massnahme | Beschreibung | Kleines KMU (20–50 MA) | Mittleres KMU (50–150 MA) |
|---|---|---|---|
| Endpoint Security (EDR/AV) | Schutz von Laptops, Servern | CHF 2’000–8’000/Jahr | CHF 6’000–20’000/Jahr |
| Firewall / Next-Gen Firewall | Netzwerkschutz, Segmentierung | CHF 2’000–6’000/Jahr | CHF 5’000–15’000/Jahr |
| E-Mail-Sicherheit | Anti-Phishing, Anti-Spam, DMARC | CHF 1’000–4’000/Jahr | CHF 3’000–10’000/Jahr |
| MFA / Identity Management | Multi-Faktor-Authentifizierung | CHF 500–2’000/Jahr | CHF 1’500–6’000/Jahr |
| Backup & Recovery | Offsite, Offline, regelmässige Tests | CHF 2’000–8’000/Jahr | CHF 5’000–20’000/Jahr |
| SIEM / Monitoring | Log-Management, Alarmierung | CHF 0–6’000/Jahr | CHF 6’000–36’000/Jahr |
| Vulnerability Scanning | Regelmässige Schwachstellenscans | CHF 2’400–10’000/Jahr | CHF 5’000–20’000/Jahr |
| Penetrationstest | Jährlicher externer Test | CHF 8’000–20’000 | CHF 15’000–35’000 |
| Security Awareness Training | Mitarbeiterschulungen, Phishing-Sim. | CHF 1’500–6’000/Jahr | CHF 4’000–12’000/Jahr |
| Incident Response Retainer | Vorvertrag mit IR-Anbieter | CHF 5’000–15’000/Jahr | CHF 15’000–60’000/Jahr |
| ISO 27001 / Compliance | Zertifizierung, Audit, Dokumentation | CHF 15’000–40’000 (Erstj.) | CHF 30’000–80’000 (Erstj.) |
| CISO / Security Officer | Intern (Teilzeit) oder vCISO | CHF 10’000–30’000/Jahr | CHF 20’000–80’000/Jahr |
| Cyberversicherung | Jahresprämie | CHF 3’000–8’000/Jahr | CHF 6’000–20’000/Jahr |
| Red Teaming | Realistischer Angriffssimulation | CHF 11’900–25’000 | CHF 15’000–50’000 |
Wie Sie Ihr Budget priorisieren: Ein 3-Stufen-Modell
Nicht jedes KMU kann sofort alle Sicherheitsmassnahmen gleichzeitig umsetzen. Folgen Sie diesem 3-Stufen-Modell, das auf dem Schutzwert und dem Risiko basiert:
Stufe 1: Grundschutz (CHF 15’000–40’000/Jahr) – sofort umsetzen
Das Minimum, das jedes Schweizer KMU haben sollte:
| Massnahme | Zweck | Jahreskosten |
|---|---|---|
| MFA für alle Konten (O365, VPN, Admin) | Verhindert 99% der Credential-Angriffe | CHF 500–2’000 |
| EDR/Antivirus auf allen Geräten | Endpoint-Schutz | CHF 2’000–8’000 |
| Offsite-Backup (3-2-1-Regel) | Schutz vor Ransomware | CHF 2’000–6’000 |
| E-Mail-Sicherheitsfilter | Anti-Phishing | CHF 1’000–3’000 |
| Security Awareness Training (Basis) | Menschlicher Schutzwall | CHF 1’500–4’000 |
| Firewall / Next-Gen Firewall | Netzwerkschutz | CHF 2’000–5’000 |
| Patch Management | Bekannte Lücken schliessen | CHF 500–3’000 |
| Gesamt Grundschutz | CHF 9’500–31’000 |
Stufe 2: Erweiterter Schutz (CHF 40’000–100’000/Jahr) – innerhalb 12 Monate
Für KMU, die wachsen oder regulatorische Anforderungen haben:
| Massnahme | Zweck | Jahreskosten |
|---|---|---|
| Vulnerability Scanning (kontinuierlich) | Lücken frühzeitig erkennen | CHF 5’000–15’000 |
| SIEM / Managed Monitoring | Angriffe erkennen | CHF 10’000–30’000 |
| Penetrationstest (jährlich) | Schwachstellen validieren | CHF 8’000–25’000 |
| Incident Response Retainer | Notfallvorbereitung | CHF 5’000–15’000 |
| vCISO (virtuelle CISO-Funktion) | Strategische Sicherheitsleitung | CHF 10’000–25’000 |
| Gesamt Erweiterter Schutz | CHF 38’000–110’000 |
Stufe 3: Reife Sicherheit (CHF 100’000–250’000/Jahr) – für reife KMU
Für KMU mit hoher Risikoexposition oder ISO-27001-Anforderungen:
| Massnahme | Zweck | Jahreskosten |
|---|---|---|
| ISO 27001 Zertifizierung | Compliance, Wettbewerbsvorteil | CHF 30’000–80’000 (Erstj.) |
| SOC-Dienste (Managed) | 24/7-Überwachung | CHF 30’000–80’000 |
| Red Teaming (jährlich) | Realistische Angriffssimulation | CHF 15’000–50’000 |
| Zero Trust Architecture | Modernes Sicherheitsmodell | CHF 20’000–60’000 |
| Security Champions Programm | Sicherheitskultur intern | CHF 10’000–25’000 |
| Gesamt Reife Sicherheit | CHF 105’000–295’000 |
ROI-Berechnung: Was Cybersecurity-Investitionen bringen
Cybersecurity-Investitionen lassen sich schwer direkt messen – schliesslich ist der “Erfolg” das Ausbleiben eines Vorfalls. Dennoch gibt es anerkannte Methoden zur ROI-Berechnung.
ROI-Beispielrechnung: Mittleres KMU (80 MA)
| Position | Wert |
|---|---|
| Jährliches Cybersecurity-Budget | CHF 75’000 |
| Wahrscheinlichkeit eines schweren Vorfalls ohne Budget | 25% |
| Wahrscheinlichkeit eines schweren Vorfalls mit Budget | 8% |
| Durchschnittlicher Schadensfall (KMU, 80 MA) | CHF 800’000 |
| Erwarteter Schaden ohne Investment (25% × CHF 800’000) | CHF 200’000 |
| Erwarteter Schaden mit Investment (8% × CHF 800’000) | CHF 64’000 |
| Risikoreduktion durch Investment | CHF 136’000/Jahr |
| ROI | (CHF 136’000 – CHF 75’000) / CHF 75’000 = 81% |
Zusätzliche ROI-Faktoren (schwer monetarisierbar):
- Vertrauensgewinn bei Kunden und Partnern
- Versicherungsprämienreduktion (bis 30% bei nachgewiesenen Massnahmen)
- Wettbewerbsvorteil bei Ausschreibungen (ISO 27001)
- Vermiedene Bussgelder (DSG: bis CHF 250’000)
- Schutz von geistigem Eigentum
Statistiken: Cybersecurity-Budget in der Schweiz
- 5,7% des IT-Budgets geben Schweizer KMU im Durchschnitt für Cybersecurity aus – empfohlen werden 10–15% (Hochschule Luzern, 2024).
- CHF 1’400 kostet jeder nicht eingespielte Security-Patch ein Schweizer Unternehmen im Durchschnitt, wenn er zu einem Vorfall führt (Allianz, 2024).
- 81 Tage dauert es im Schnitt, bis ein Schweizer KMU nach einem Cyberangriff wieder vollständig betriebsfähig ist (BACS / Coveware, 2024).
- 43% der Schweizer KMU geben an, in den letzten 24 Monaten mindestens einen erfolgreichen Cyberangriff erlebt zu haben (KPMG Switzerland, 2024).
- Unternehmen mit ISO 27001 zahlen bis zu 30% weniger Cyberversicherungsprämien und haben im Schnitt 50% geringere Vorfallskosten (ISO / IEC, 2024).
“Die Frage ist nicht, ob Sie sich Cybersecurity leisten können – sondern ob Sie sich einen Cybervorfall leisten können. Für die meisten Schweizer KMU ist die Antwort klar.” — Geschäftsführer, Schweizer IT-Sicherheitsunternehmen, 2025
Budget-Planungstool: So kalkulieren Sie Ihr Cybersecurity-Budget
Nutzen Sie diese Schritt-für-Schritt-Methode für Ihr Budgetgespräch mit der Geschäftsleitung:
Schritt 1: Risikobewertung
- Wie kritisch sind Ihre Daten? (Kundendaten, Gesundheitsdaten, Finanzdaten)
- Welche regulatorischen Anforderungen gelten? (DSG, FINMA, ISO 27001)
- Wie hoch wäre Ihr Schaden bei 3 Tagen Betriebsausfall?
Schritt 2: Ausgangslage analysieren
- Welche Sicherheitsmassnahmen existieren bereits?
- Wo sind die grössten Lücken? (Tipp: Cybersecurity-Checkliste für KMU)
- Gab es in den letzten 2 Jahren Vorfälle?
Schritt 3: Budget nach Prioritäten verteilen
- Stufe 1 (Grundschutz) zuerst vollständig umsetzen
- Dann Stufe 2 innerhalb 12 Monate planen
- Stufe 3 in die 2–3-Jahres-Planung aufnehmen
Schritt 4: Make-or-Buy-Entscheidung treffen
- Was kann intern abgedeckt werden (IT-Team)?
- Was sollte extern bezogen werden (MSSP, Pentest-Anbieter, vCISO)?
- Outsourcing ist für KMU oft günstiger und qualitativ besser
Make or Buy: Interne Security vs. Outsourcing
| Funktion | Intern (1 FTE) | Extern (MSSP/Spezialisten) | Empfehlung für KMU |
|---|---|---|---|
| Security Operations (SOC) | CHF 120’000–180’000/Jahr | CHF 30’000–80’000/Jahr | Outsourcen |
| Penetrationstest | Nicht realistisch (Interessenskonflikt) | CHF 8’000–35’000/Test | Extern |
| Vulnerability Scanning | CHF 40’000–60’000/Jahr (FTE) | CHF 3’000–15’000/Jahr (Tool) | Tool selbst betreiben |
| CISO-Funktion | CHF 180’000–280’000/Jahr | CHF 15’000–60’000/Jahr (vCISO) | vCISO bis 200 MA |
| Security Awareness Training | CHF 20’000–40’000/Jahr | CHF 2’000–10’000/Jahr | Extern |
| Incident Response | Kaum sinnvoll ohne Erfahrung | CHF 3’000–12’000/Monat (Retainer) | Extern |
| ISO 27001 Implementierung | Möglich mit Unterstützung | CHF 20’000–60’000 (Berater) | Hybrid |
Mehr Details zu einzelnen Kosten: SOC Kosten Schweiz, ISO 27001 Kosten Schweiz, Penetrationstest Kosten Schweiz.
Jährliche Budgetplanung: Vorlage für KMU
Nutzen Sie diese Vorlage für Ihre jährliche Cybersecurity-Budgetplanung:
Musterbudget: KMU mit 70 Mitarbeitenden (Dienstleistungsbranche)
| Kategorie | Q1 | Q2 | Q3 | Q4 | Jahrestotal |
|---|---|---|---|---|---|
| Endpoint Security (EDR) | CHF 2’500 | CHF 2’500 | CHF 2’500 | CHF 2’500 | CHF 10’000 |
| E-Mail & Web-Sicherheit | CHF 1’500 | CHF 1’500 | CHF 1’500 | CHF 1’500 | CHF 6’000 |
| Backup & Recovery | CHF 2’000 | CHF 2’000 | CHF 2’000 | CHF 2’000 | CHF 8’000 |
| SIEM / Monitoring (Managed) | CHF 4’000 | CHF 4’000 | CHF 4’000 | CHF 4’000 | CHF 16’000 |
| Vulnerability Scanning | CHF 1’200 | CHF 1’200 | CHF 1’200 | CHF 1’200 | CHF 4’800 |
| Security Awareness Training | CHF 3’000 | — | CHF 3’000 | — | CHF 6’000 |
| Penetrationstest | — | CHF 15’000 | — | — | CHF 15’000 |
| IR-Retainer | CHF 1’500 | CHF 1’500 | CHF 1’500 | CHF 1’500 | CHF 6’000 |
| vCISO | CHF 4’000 | CHF 4’000 | CHF 4’000 | CHF 4’000 | CHF 16’000 |
| Cyberversicherung | CHF 4’000 | — | — | — | CHF 4’000 |
| Reserve / Unvorhergesehenes | CHF 2’000 | CHF 2’000 | CHF 2’000 | CHF 2’000 | CHF 8’000 |
| Total | CHF 25’700 | CHF 33’700 | CHF 21’700 | CHF 18’700 | CHF 99’800 |
Häufige Budget-Fehler – und wie man sie vermeidet
Fehler 1: Nur in Technologie investieren, nicht in Menschen Tools schützen nur, wenn jemand sie versteht und bedient. Mindestens 20–30% des Budgets sollte in Schulungen und externe Expertise fliessen.
Fehler 2: Einmalige Investitionen statt laufendes Budget Ein einmaliger Penetrationstest schützt für 12 Monate. Danach entstehen neue Schwachstellen. Cybersecurity ist kein Projekt, sondern ein Dauerprogramm.
Fehler 3: Compliance mit Sicherheit verwechseln ISO 27001 ist ein Prozessrahmen, kein technischer Schutz. Compliance-Kosten (CHF 30’000–80’000) sind ein Zusatz zum Security-Budget, kein Ersatz.
Fehler 4: Das Risiko nicht kennen Ohne Risikoanalyse fehlt die Grundlage für Budgetentscheide. Investieren Sie CHF 3’000–8’000 in eine professionelle Risikoanalyse – sie zahlt sich durch gezielteren Budgateinsatz sofort aus. Mehr dazu im Security Audit Kosten Schweiz.
Fehler 5: Red Teaming und Penetrationstests weglassen Viele KMU sparen hier – und entdecken ihre Schwachstellen erst, wenn Angreifer sie ausnutzen. Ein jährlicher Penetrationstest und alle 2–3 Jahre ein Red Teaming sind keine Extras, sondern Kerninvestitionen.
Argument für die Geschäftsleitung: So rechtfertigen Sie das Budget
Cybersecurity-Verantwortliche stehen oft vor der Herausforderung, das Budget intern zu begründen. Nutzen Sie diese Argumente:
Argument 1: Regulatorisches Risiko “Das DSG verpflichtet uns zu nachweisbaren Sicherheitsmassnahmen. Bei einer Datenpanne drohen Bussgelder bis CHF 250’000 und persönliche Haftung der Geschäftsleitung.”
Argument 2: Versicherbarkeit “Ohne Nachweis von Sicherheitsmassnahmen (MFA, Backup, Patch Management) ist keine Cyberversicherung oder nur zu prohibitiven Prämien erhältlich.”
Argument 3: Wettbewerbsvorteil “Unsere wichtigsten Kunden fragen zunehmend nach Sicherheitsnachweisen und ISO-27001-Zertifizierungen – ohne diese verlieren wir Aufträge.”
Argument 4: Betriebskontinuität “Ein Betriebsausfall von 3 Wochen durch Ransomware kostet uns CHF [X] an entgangenem Umsatz und CHF [Y] an Wiederherstellungskosten – mehr als das gesamte Sicherheitsbudget.”
Eine gründliche Perspektive auf alle Sicherheitskosten bietet auch unser Vergleich Red Teaming vs. Penetrationstest sowie die Kostenübersichten zu SIEM Kosten Schweiz und Red Team Kosten Schweiz.
Fazit
Das richtige Cybersecurity-Budget für ein Schweizer KMU ist keine Frage des Wollens, sondern des Müssens. Die Kosten eines unvorbereiteten Cyberangriffs übersteigen ein seriöses Sicherheitsbudget um das 5–20-fache.
Konkrete Empfehlungen nach Unternehmensgrösse:
| Grösse | Jahresbudget | Priorität |
|---|---|---|
| 10–30 MA | CHF 20’000–45’000 | Grundschutz (Stufe 1) vollständig umsetzen |
| 30–80 MA | CHF 45’000–90’000 | Stufe 1 + Monitoring, Pentest, IR-Retainer |
| 80–150 MA | CHF 90’000–160’000 | Stufe 2 vollständig + Red Teaming alle 2 Jahre |
| 150–250 MA | CHF 160’000–280’000 | Stufe 3 + ISO 27001 + Red Teaming jährlich |
Der nächste Schritt: Wissen, woran Sie sind. Das beste Cybersecurity-Budget nützt wenig, wenn Sie nicht wissen, ob Ihre Massnahmen wirklich funktionieren. Ein Red-Teaming-Engagement beantwortet genau diese Frage: Unsere CREST-zertifizierten Experten in Zürich simulieren reale Angriffe und zeigen Ihnen, welche Ihrer Investitionen wirken – und wo Sie Budget-Effizienzpotenzial haben.
Red Teaming anfragen – ab CHF 11’900 | CREST-zertifiziert | Standort Zürich | Ergebnis in 2–4 Wochen