Risiko Sparsamkeit: Cybersicherheit für viele Unternehmen noch immer lästige Pflicht

Cyberangriffe nicht irgendein beliebiges Betriebsrisiko für Unternehmen, sondern schnell auch ein Insolvenzgrund

[datensicherheit.de, 23.01.2026] „Wer den Rotstift bei der IT-Sicherheit ansetzt, riskiert viel. Die erhofften Einsparungen müssen im Ernstfall teuer beglichen werden!“, warnt Christian Koch, „Senior Vice President Cybersecurity IoT/OT, Innovations und Business Development“ bei NTT DATA DACH, in seiner aktuellen Stellungnahme. Das billigste Angebot sei eben selten die beste Wahl. „Trotzdem suchen viele Unternehmen ihre IT-Projekte nach dem Preisetikett aus. Diese Haltung mag auf den ersten Blick rational wirken, sie ist aber gefährlich kurzsichtig.“ Koch gibt zu bedenken: „Denn wer echte Sicherheit will, bekommt sie nicht zum Discount-Preis!“ Im Gegenteil: Er gehe Risiken ein, welche er später teuer bezahlen müsse.

Foto: NTT DATA

Christian Koch: Cybersicherheit gibt es nicht zum Dumpingpreis!

Produktionsausfälle, Datenlecks, Lösegeldforderungen können Unternehmen schnell in die Knie zwingen

Cyberangriffe seien nicht nur irgendein Betriebsrisiko, sondern schnell auch ein Insolvenzgrund: Produktionsausfälle, Datenlecks, Lösegeldforderungen – jedes dieser Szenarien könne ein Unternehmen innerhalb kürzester Zeit in die Knie zwingen.

• Der Glaube, es treffe immer „die anderen“, sei leider nach wie vor weit verbreitet. „Und er ist brandgefährlich“, so Koch. Denn die Realität habe längst gezeigt, dass früher oder später wirklich jeder ein potenzielles Ziel sei.

Hinter einem Angriff müssten dabei nicht einmal große, gut organisierte Hacker-Gruppen stecken – „Malware gibt es inzwischen fast umsonst ,as-a-Service’, so dass selbst der technisch begabte Nachbar zur Bedrohung werden kann“.

Notfall- und Wiederanlaufplanung für Unternehmen existenziell

Trotzdem dominiere im Einkauf vieler IT-Abteilungen der „Rotstift“: „Bei Ausschreibungen wird um die Höhe der Stundensätze gefeilscht, als ginge es um nichts Anderes.“ Dabei kämen Antworten auf entscheidende Fragen im Falle eines Falles zu kurz:

• „Wo und wie bin ich angreifbar? Bin ich vorbereitet, wenn sich Bedrohungen verändern? Und vor allem: Wie schnell kann ich meinen Betrieb nach einem Angriff wieder hochfahren?“

Anstatt Projekte nur nach formalen Kriterien – allen voran dem Preis – zu betrachten, sollte die Argumentationskette lieber anders aufgezogen werden. Drei Wahrheiten könnten dabei helfen:

Cybersicherheit kein leidiges Pflichtprogramm für Unternehmen – sondern Wertschöpfung

Ein großes Problem sei die Einstellung. Noch immer betrachteten viele Unternehmen Cybersicherheit als lästige Pflicht – eine zwar notwendige, aber trotzdem unbeliebte Ausgabe.

• „Dabei ist Security längst Teil der Wertschöpfungskette: Sie schützt nicht nur Daten, sondern auch das Geschäftsmodell und somit die Innovationsfähigkeit. Zudem stärkt sie das Vertrauen aller Stakeholder und damit die Reputation.“ Genau deshalb brauche es einen Paradigmenwechsel – weg von der Logik des „billig und schnell“ hin zu „sicher und nachhaltig“.

Für echte IT-Sicherheit reiche es auch nicht aus, reaktiv ein Pflichtenheft abzuarbeiten. Zielführender sei ein Portfolio proaktiver Maßnahmen. „Mindestens genauso wichtig ist ein transparenter Blick auf alle digitalen Wertschöpfungsketten. Das Ziel muss sein, so viele potenzielle Einfallstore wie möglich zu schließen!“

Kosten eines Angriffs für Unternehmen höher als Investitionen in IT-Sicherheit

Ein realistischer Blick auf die Folgekosten einer erfolgreichen Cyberattacke helfe dabei, die Ausgaben für IT-Sicherheit besser zu begründen. „Beträgt der Schaden durch einen Produktionsausfall beispielsweise eine Million Euro aufgrund vertraglicher Strafen, zahlt sich eine Investition von 300.000 Euro in Technische und Organisatorische Maßnahmen quasi von selbst aus.“

• Denn bei dieser Rechnung ergebe sich ein „positiver Business Case“ von 700.000 Euro, wobei die Kosten für den eigentlichen Stillstand noch gar nicht eingerechnet seien. Ein anderes Beispiel seien Ransomware-Angriffe. „Steht die IT komplett still, funktioniert in Unternehmen fast nichts mehr.“

Die Tragweite sei enorm – da sei die Lösegeldforderung noch der kleinste Kostenfaktor. Inzwischen rangierten sogar die finanziellen Einbußen durch Schäden an Reputation und Marke an erster Stelle. Die Bewertung solcher Szenarien liefere klare Argumente für angemessene IT-Security-Investitionen.

IT-Sicherheit setzt echte Expertise voraus – eine „Self-Mentalität“ ist fehl am Platz

Unternehmen, die glaubten, ihren Schutzwall selbst aufbauen zu können, hätten in der Regel eine falsche Vorstellung von der Professionalität der Angreifer. Diese operierten mit hocheffizienten Strukturen, nutzten Künstliche Intelligenz (KI) und arbeiteten global rund um die Uhr.

• „Hinzu kommt, dass der Aufwand für den Betrieb moderner Sicherheitslösungen unterschätzt wird. Während die reinen Anschaffungskosten für die technologische Infrastruktur noch relativ überschaubar sind, entpuppen sich die laufenden Betriebskosten schnell als echter Kostentreiber.“

Ein „Security Operations Center“ (SOC) in Eigenregie beispielsweise möge nach Kontrolle klingen, sei für viele Unternehmen jedoch wirtschaftlich nicht darstellbar. Es fehlten Fachkräfte und die Schichten müssten rund um die Uhr besetzt werden, denn die Angriffe liefen im Sekundentakt. „Das ist ein aufwändiger Job, den selbst die meisten Konzerne trotz ihrer Ressourcen und Budgets nicht in Eigenregie machen wollen.“

Unternehmen sollten in Fragen der IT-Sicherheit trügerische Illusionen meiden

Koch stellt abschließend klar: „Kurzum: Cybersicherheit gibt es nicht zum Dumpingpreis!“

• Diese erfordere Know-how und Weitsicht.

„Wer nur auf den Preis schaut, kauft keine Sicherheit, sondern eine trügerische Illusion davon.“

Weitere Informationen zum Thema:

NTT DATA
About Us: NTT DATA Group Corporate Profile

confare
Christian Koch: Senior Vice President Cybersecurity – IoT/OT, Innovations & Business Development | NTT DATA

datensicherheit.de, 08.01.2026
Bitdefender-Rat an Unternehmen: 2026 von Reaktion zur Prävention wechseln / Laut Bitdefender könnte bzw. sollte sogar 2026 zum „Schaltjahr in der Cyberdefensive“ werden

datensicherheit.de, 21.11.2025
Fahrlässige Unternehmen: Strategien zur Betrugsprävention häufig noch Blinder Fleck in der Chefetage / Die diesjährige „International Fraud Awareness Week“ vom 16. bis 22. November 2025 offenbart einmal mehr eine bedrohliche Erkenntnis – nämlich eine deutliche Diskrepanz zwischen dem hochprofessionellen Agieren cyberkrimineller Akteure einerseits und der trügerischen Sicherheit in vertrauensseligen Unternehmen andererseits