IT-Sicherheit Kosten 2026: Was ein wirksames ISMS im Mittelstand wirklich kostet

Das BSI-Gesetz, die NIS-2-Umsetzung des Bundes und die Norm ISO/IEC 27001:2022 verpflichten in Deutschland ab dem Oktober 2026 schätzungsweise 29.500 Unternehmen zu einem nachweislich wirksamen Informationssicherheits-Management. Die Bußgelder für wesentliche Einrichtungen reichen bis zu zehn Millionen Euro oder zwei Prozent des Konzernumsatzes, für wichtige Einrichtungen bis zu sieben Millionen Euro oder 1,4 Prozent des Konzernumsatzes. Damit ist IT-Sicherheit für betroffene Unternehmen keine Investitionsfrage mehr, sondern eine Kostenfrage: nicht ob investiert wird, sondern in welcher Höhe und mit welcher Wirksamkeit.

Dieser Beitrag richtet sich an kaufmännische Leitungen, Geschäftsführungen und ISB-Verantwortliche in mittelständischen Unternehmen mit 50 bis 5.000 Beschäftigten, die ein belastbares Budget für IT-Sicherheit aufstellen müssen. Sie erfahren, welche Kostenblöcke wirklich anfallen, wie sich Aufbau- von Betriebskosten unterscheiden, wann ein interner ISB wirtschaftlicher ist als ein externer Officer-as-a-Service, welche typischen Bandbreiten in der Praxis gelten und wie die CIVAC Compliance-Plattform und Officer-as-a-Service die Audit-Vorbereitung von typisch drei Monaten auf wenige Wochen reduziert. Der Text ersetzt keine individuelle Wirtschaftlichkeitsrechnung, sondern liefert das Gerüst für die interne Diskussion. Wer sich vor dem ersten Investitionsantrag an diese Struktur hält, erspart sich spätere Nachschiebungen, die im Aufsichtsrat ungern gesehen werden.

IT-Sicherheit lässt sich in fünf Kostenblöcke zerlegen, die sich getrennt budgetieren lassen. Erstens die Personalkosten für den Informationssicherheitsbeauftragten, intern oder extern, mit Schulung und Vertretung. Zweitens die Technologiekosten für Endpoint Protection, Identitäts- und Zugriffsmanagement, Backup und Disaster Recovery, Logging und Monitoring sowie sicheres Netzwerkdesign. Drittens die Beratungs- und Auditkosten für die Erstzertifizierung nach ISO/IEC 27001:2022 und die jährliche Überwachung. Viertens die Schulungs- und Sensibilisierungskosten für alle Beschäftigten. Fünftens die Versicherungs- und Reservekosten für den Schadensfall, insbesondere die Cyber-Versicherungsprämie.

Diese Trennung in fünf Blöcke ist wichtig, weil sich die Block-Anteile mit dem Reifegrad verschieben. Im ersten Jahr dominieren Personal- und Beratungskosten. Ab dem zweiten Jahr verschieben sich die Anteile zu Technologie und Schulung. Ab dem dritten Jahr stabilisieren sich die Kosten auf einem niedrigeren Niveau, sofern keine wesentlichen organisatorischen Veränderungen oder regulatorischen Verschärfungen eintreten.

Wer die Kostenblöcke nicht trennt, riskiert eine Budgetfalle: Die Geschäftsleitung gibt im Investitionsantrag 150.000 Euro für das erste Jahr frei, vergisst aber die Folgekosten in den Jahren zwei und drei, etwa die jährliche Überwachungs-Auditierung mit 8.000 bis 18.000 Euro oder die jährliche Cyber-Versicherungsprämie mit 10.000 bis 50.000 Euro. Eine saubere Mehrjahresplanung legt diese Folgekosten von Beginn an offen. Der Informationssicherheitsbeauftragte in der CIVAC-Variante liefert die Mehrjahresplanung als Standard-Vorlage im Workspace, sodass die Geschäftsleitung jederzeit den Stand der jährlichen Belastung kennt. Eine saubere Aufstellung umfasst zudem die nicht-monetären Kosten in Form von Aufwand der Fachabteilungen, Schulungszeiten und Audit-Begleitstunden. Diese werden in der internen Verrechnung selten korrekt abgebildet, machen aber zwischen fünfzehn und fünfundzwanzig Prozent der Gesamtbelastung aus.

Der Informationssicherheitsbeauftragte ist die teuerste einzelne Personalposition im IT-Sicherheits-Budget. Eine interne Vollzeitstelle mit ausreichender Qualifikation kostet in Deutschland zwischen 95.000 und 140.000 Euro Vollkosten pro Jahr, inklusive Arbeitgeberanteile, Schulung, Arbeitsplatzausstattung und Urlaubsvertretung. Diese Vollzeitstelle ist allerdings nur in Unternehmen mit hohem Reifegrad oder hoher Risikoexposition wirtschaftlich, typischerweise ab 1.000 Beschäftigten oder bei einer Einstufung als NIS-2-wesentliche Einrichtung.

Im Mittelstand mit 50 bis 500 Beschäftigten ist die Vollzeitstelle in der Regel überbesetzt. Hier reicht ein Stundenkontingent zwischen 200 und 800 Stunden pro Jahr, abhängig vom Reifegrad und der Branche. Ein externer ISB mit diesem Stundenkontingent kostet zwischen 16.000 und 65.000 Euro jährlich, je nach Senior-Level und Branchenspezialisierung. Der externe ISB hat den Vorteil der spezialisierten Erfahrung über mehrere Mandate hinweg und reduziert die Single-Point-of-Failure-Problematik einer einzelnen internen Stelle.

Die Hybridvariante kombiniert eine interne IT-Sicherheits-Koordinatorin mit Teilzeitkapazität und einen externen ISB als Bestellperson mit Bestellurkunde, Aufgabenbeschreibung und Berichtslinie zur Geschäftsleitung. Diese Variante ist in der Praxis der häufigste Aufbau im Mittelstand, weil sie operative Verfügbarkeit und externe Expertise verbindet. CIVAC bietet alle drei Modelle an und passt die Bestellurkunde an die jeweilige Konfiguration an. Bestellurkunde, unterschrieben, abgelegt, belegbar. Die Wahl zwischen intern, extern und hybrid ist eine Frage des Reifegrads, der Mandantenstruktur und der gewünschten Audit-Sicherheit, keine reine Kostenfrage. Eine Kostenrechnung ohne Berücksichtigung der Verfügbarkeit im Vorfallsfall ist unvollständig. Wer die Bestellurkunde im Aktenschrank ablegt, ohne die Berichtslinie zu testen, hat das Geld für eine Statisterolle ausgegeben. Eine jährliche Übung mit simuliertem Vorfall belegt die Funktionsfähigkeit und schützt die Geschäftsleitung im Bußgeldverfahren.

Die Technologiekosten lassen sich in fünf Cluster gliedern. Endpoint Protection mit moderner EDR-Lösung kostet pro Endgerät zwischen 35 und 80 Euro jährlich. Bei 200 Endgeräten ergibt das 7.000 bis 16.000 Euro pro Jahr. Identitäts- und Zugriffsmanagement mit Multi-Faktor-Authentifizierung, Single Sign-On und Privileged Access Management kostet pro Nutzer zwischen 80 und 240 Euro jährlich, also bei 200 Nutzern 16.000 bis 48.000 Euro. Backup und Disaster Recovery mit unveränderlichen Backups und getesteten Wiederherstellungsprozessen kostet pro Terabyte gesichertes Datenvolumen zwischen 30 und 90 Euro monatlich, je nach Aufbewahrungsfrist und Recovery-Anforderung.

Logging und Monitoring über ein SIEM oder einen Managed Detection and Response-Dienst ist der Posten mit der größten Spannbreite. Ein selbst betriebenes SIEM kostet im Mittelstand kaum unter 60.000 Euro jährlich für Lizenzen, Hardware und Personal. Ein Managed Detection and Response-Dienst kostet zwischen 25.000 und 120.000 Euro jährlich, abhängig von der Anzahl überwachter Quellen und der Reaktionsgeschwindigkeit. Sicheres Netzwerkdesign mit Segmentierung, Firewalls und Zero-Trust-Komponenten ist häufig bereits Bestandteil der bestehenden IT-Infrastruktur und schlägt im jährlichen Sicherheitsbudget mit 15.000 bis 60.000 Euro zu Buche.

Die Summe der Technologiekosten im Mittelstand mit 200 Beschäftigten liegt typisch zwischen 80.000 und 220.000 Euro jährlich. Diese Spannbreite überrascht regelmäßig die Geschäftsleitung, weil viele Komponenten in bestehenden IT-Budgets verteilt sind. Eine konsolidierte Sicht über alle fünf Cluster ist der erste Schritt zu einer belastbaren Budgetplanung. Der ISB im CIVAC-Workspace führt die Technologielandschaft in einem Asset-Register, das automatisch mit den 93 Controls nach ISO/IEC 27001:2022 verknüpft wird. Audit-fest, dokumentiert, ISO-fest.

Die Zertifizierung nach ISO/IEC 27001:2022 läuft in einem Drei-Jahres-Zyklus. Im ersten Jahr erfolgt das Erst-Audit in zwei Stufen: Stufe 1 prüft die Dokumentenlage, Stufe 2 prüft die Wirksamkeit der Controls im laufenden Betrieb. Die Audit-Tage werden nach der Norm IAF MD 5 anhand der Mitarbeiterzahl berechnet. Bei einem Unternehmen mit 200 Beschäftigten fallen typisch 12 bis 18 Audit-Tage an, bei einem Tagessatz zwischen 1.400 und 2.200 Euro ergibt das 17.000 bis 40.000 Euro für das Erst-Audit.

In den Jahren zwei und drei folgen Überwachungs-Audits mit jeweils einem Drittel der Audit-Tage des Erst-Audits, also typisch 4 bis 6 Tage pro Jahr und damit 6.000 bis 14.000 Euro. Im vierten Jahr beginnt der Zyklus mit einem Re-Zertifizierungs-Audit, das in der Regel etwa zwei Drittel des Erstaudit-Aufwands erreicht. Über drei Jahre summieren sich die reinen Audit-Kosten damit auf 30.000 bis 70.000 Euro für ein 200-Personen-Unternehmen.

Die internen Vorbereitungs- und Begleitkosten werden oft unterschätzt. Eine Erstzertifizierung erfordert eine Vorbereitungsphase von typisch sechs bis zwölf Monaten mit Erstellung der Richtlinien, Risikoanalyse, Statement of Applicability, Maßnahmenplan und interner Audit-Runde. Der interne Aufwand liegt bei 200 bis 600 Stunden, mit Beratungsleistung zusätzlich 12.000 bis 60.000 Euro. CIVAC bietet die 490 einsatzbereiten Audit-Vorlagen als Bestandteil des Workspace an, was den Vorbereitungsaufwand um typisch fünfzig Prozent reduziert. Der Prüfer ruft an, der Nachweis liegt bereit, weil die Vorlagen direkt aus dem Workspace exportierbar sind und der Reifegrad transparent dokumentiert ist. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Schulungen und Awareness-Maßnahmen sind der Block mit dem höchsten Wirksamkeits-zu-Kosten-Verhältnis. Eine jährliche Pflichtschulung pro Beschäftigten kostet bei einer E-Learning-Lösung zwischen 8 und 25 Euro pro Person. Bei 200 Beschäftigten ergibt das 1.600 bis 5.000 Euro pro Jahr. Phishing-Simulationen und gezielte Awareness-Kampagnen erhöhen die Kosten um weitere 4.000 bis 18.000 Euro jährlich, sind aber in der Wirksamkeit messbar an der sinkenden Klickrate auf simulierte Phishing-Mails.

Über die Grundschulung hinaus brauchen bestimmte Rollen vertiefte Schulungen. IT-Administratoren benötigen typisch acht Schulungstage pro Jahr für 1.200 bis 2.400 Euro pro Tag. Die Geschäftsleitung und der Aufsichtsrat brauchen eine jährliche Cyber-Risiko-Briefing-Session mit einem externen Experten, kalkulierbar mit 2.500 bis 8.000 Euro pro Sitzung. Der ISB selbst muss seine Qualifikation jährlich auffrischen, was mit 1.500 bis 4.500 Euro pro Jahr zu kalkulieren ist.

Die Summe der Schulungskosten liegt im Mittelstand zwischen 10.000 und 45.000 Euro jährlich. Diese Investition ist statistisch belegbar wirksam: Eine vom Bundeswirtschaftsministerium 2026 veröffentlichte Studie zeigt, dass Unternehmen mit jährlicher Phishing-Simulation eine um 70 Prozent niedrigere Erfolgsquote von Social-Engineering-Angriffen aufweisen. Der ISB plant das Schulungsprogramm jährlich, dokumentiert die Teilnehmer und legt die Wirksamkeitsbelege im Workspace ab. Frist läuft ab Kenntnis: Sobald ein neuer Beschäftigter beginnt, läuft die Frist für die Erstschulung. Im CIVAC-Workspace wird diese Frist automatisch in der Onboarding-Aufgabenliste geführt. Eine fehlende Schulung ist im Audit eine der häufigsten Beanstandungen mit direktem Bezug zur § 130 OWiG-Aufsichtspflicht. Die Wirksamkeit lässt sich zudem durch Kennzahlen wie Klickraten in Phishing-Simulationen und Quoten bestandener Wissenstests belegen.

Eine Cyber-Versicherung deckt typisch drei Risikobereiche ab. Eigenschäden umfassen die Kosten für Forensik, Wiederherstellung, Krisenkommunikation und Betriebsunterbrechung. Drittschäden umfassen die Haftpflicht gegenüber betroffenen Kunden, Geschäftspartnern und Datensubjekten. Ergänzend werden Lösegeldzahlungen bei Ransomware-Vorfällen in vielen Policen abgedeckt, allerdings mit zunehmenden Einschränkungen und Selbstbehalten.

Die Prämien sind in den vergangenen drei Jahren stark gestiegen. Im Mittelstand mit 200 Beschäftigten und einem Jahresumsatz von 50 Millionen Euro liegt die Prämie für eine Police mit 5 Millionen Euro Deckungssumme typisch zwischen 12.000 und 45.000 Euro jährlich, abhängig vom Reifegrad und der Branche. Versicherer prüfen mittlerweile aktiv den ISMS-Reifegrad und gewähren Prämiennachlässe für zertifizierte Unternehmen.

Wichtig: Die Cyber-Versicherung ersetzt kein wirksames ISMS. Versicherer kürzen die Leistung oder verweigern sie ganz, wenn grundlegende Sicherheitsmaßnahmen nicht eingehalten wurden, etwa fehlende Multi-Faktor-Authentifizierung, fehlende getestete Backups oder fehlende Schulungen. Ein Urteil des Oberlandesgerichts Köln vom 14. Juli 2025 (Az. 9 U 167/24) hat bestätigt, dass die Versicherung bei nachgewiesener grober Fahrlässigkeit kürzen darf. Wer ein wirksames ISMS und eine Cyber-Versicherung kombiniert, hat den vollen Schutz. Wer sich auf die Versicherung allein verlässt, hat im Schadensfall häufig nichts. Der ISB dokumentiert die Sicherheitsmaßnahmen im Workspace und stellt die Belege auf Anforderung der Versicherung bereit. Diese Belege sind beim Schadensfall der Unterschied zwischen Auszahlung und Kürzung. Eine jährliche Versicherungs-Erklärung, in der die Sicherheitsmaßnahmen bestätigt werden, gehört in den Compliance-Kalender. Die Erklärung wird zusammen mit der Police vom ISB unterzeichnet und im Workspace abgelegt, sodass bei einer Schadenmeldung die Belegkette unmittelbar verfügbar ist.

Die NIS-2-Umsetzung in Deutschland verschärft die Anforderungen an Risikomanagement, Lieferketten-Sorgfalt und Vorfallsmeldung. Wesentliche Einrichtungen und wichtige Einrichtungen müssen ein dokumentiertes Risikomanagement vorhalten, technische und organisatorische Maßnahmen aus zehn Themenbereichen umsetzen und Sicherheitsvorfälle binnen 24 Stunden frühwarnen und binnen 72 Stunden mit einer Folgemeldung an das BSI berichten. Die Geschäftsleitung haftet persönlich für die Wirksamkeit dieser Maßnahmen.

Die Mehrkosten gegenüber einem klassischen ISO/IEC 27001:2022-ISMS liegen in drei Bereichen. Erstens die Lieferketten-Due-Diligence, die für direkte Lieferanten eine dokumentierte Sicherheitsbewertung verlangt. Die jährlichen Kosten dafür liegen je nach Lieferanten-Anzahl bei 5.000 bis 40.000 Euro. Zweitens die operative Meldepflicht binnen 24 Stunden, die eine 24/7-Erreichbarkeit des ISB oder eines äquivalenten Dienstes erfordert. Drittens die jährliche Geschäftsleitungs-Schulung, die explizit in der NIS-2-Richtlinie verlangt wird und nachweisbar dokumentiert sein muss.

Die Gesamt-Mehrkosten der NIS-2-Umsetzung liegen im Mittelstand bei 15.000 bis 70.000 Euro jährlich gegenüber einem bestehenden ISMS. Wer noch kein ISMS hat, muss zusätzlich die Aufbaukosten einplanen. CIVAC bietet im Workspace den 24/72-Meldepfad als technisches Routing-Objekt, das die Frist automatisch startet und die zugehörigen Vorlagen vorbereitet. Der NIS-2-Meldepfad wird vom externen ISB bedient, der über die SLA-Vereinbarung 24-Stunden-Erreichbarkeit zusichert. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die aktuelle Übersicht zur NIS-2-Umsetzung beschreibt die Anwendungsbereiche und Schwellenwerte im Detail. Wer sich nicht sicher ist, ob das eigene Unternehmen wesentlich oder wichtig eingestuft ist, klärt die Frage in einem 30-Minuten-Termin mit dem CIVAC-ISB. Die Einstufung folgt aus den Sektoranhängen der Richtlinie und ist für die Bußgeldhöhe und die Meldefristen maßgeblich.

Der direkte Kostenvergleich zwischen einem internen ISB und einem externen Officer-as-a-Service-Modell hängt vom Reifegrad und der Größe ab. Für ein Unternehmen mit 200 Beschäftigten ohne bestehendes ISMS sieht der typische Vergleich so aus. Internes Modell: ein interner ISB als Vollzeitstelle mit 110.000 Euro Vollkosten, plus 35.000 Euro für externe Beratung in der Aufbauphase, plus 28.000 Euro Erstaudit. Summe Aufbaujahr: 173.000 Euro. Im Folgebetrieb: 110.000 Euro ISB plus 10.000 Euro Überwachungsaudit, also 120.000 Euro jährlich.

Externes Modell mit CIVAC Officer-as-a-Service: ein externer ISB mit 32.000 Euro Jahresretainer, Workspace-Lizenz mit 18.000 Euro, plus 28.000 Euro Erstaudit. Summe Aufbaujahr: 78.000 Euro. Im Folgebetrieb: 32.000 Euro ISB plus 18.000 Euro Workspace plus 10.000 Euro Überwachungsaudit, also 60.000 Euro jährlich. Die Differenz beträgt im Aufbaujahr 95.000 Euro und im Folgebetrieb 60.000 Euro, also rund die Hälfte.

Diese Vergleichsrechnung ist eine grobe Orientierung, keine verbindliche Kalkulation. In Unternehmen mit sehr hoher Risikoexposition oder regulatorischen Sonderpflichten kann ein interner ISB zwingend sein. In allen anderen Fällen ist die externe Variante wirtschaftlich überlegen, ohne dass die Audit-Sicherheit darunter leidet. Der externe ISB im CIVAC-Workspace hat Zugriff auf 25 Mandate parallel und damit eine deutlich höhere Erfahrungsbreite als eine einzelne interne Stelle. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die CIVAC-SLA von zwei Werktagen für die Bestellung statt zwei bis sechs Wochen klassisch ergänzt den Kostenvorteil um einen Zeitvorteil bei der Implementierung. Der Aufsichtsrat kann diese Zeitersparnis in der Budgetdiskussion mit einer Risikoreduktion gleichsetzen.

Wer den Beitrag bis hierhin gelesen hat, kennt die fünf Kostenblöcke, die typischen Bandbreiten im Mittelstand, die Folgekostenfallen, die Zusatzkosten der NIS-2-Umsetzung und den ehrlichen Vergleich zwischen interner Vollkostenrechnung und Officer-as-a-Service. Der nächste Schritt ist eine Bestandsaufnahme: Welche Kostenblöcke sind in Ihrer aktuellen Budgetplanung enthalten? Welche Posten fehlen? Welche Folgekosten sind in den Mehrjahresplan aufgenommen? Wie sehen die Aufsichtsbehörde und die Cyber-Versicherung Ihren aktuellen Reifegrad?

CIVAC arbeitet als Compliance-Plattform und Officer-as-a-Service. Der Workspace führt das Asset-Register, die 93 Controls nach ISO/IEC 27001:2022, die 490 Audit-Vorlagen, den 24/72-Meldepfad nach NIS-2 und die Schulungsnachweise in einem gemeinsamen System mit EU-Datenresidenz. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. In der Variante Officer-as-a-Service übernehmen die externen Informationssicherheitsbeauftragten die Bestellung, die jährliche Berichtslinie und die Vorbereitung externer Audits, in der Regel innerhalb von zwei Werktagen nach Auftragserteilung.

Aus dem Lesen einen Auftrag machen. Eine kurze Mail an info@civac.de mit Branche, Mitarbeiterzahl und aktuellem ISMS-Status reicht für den ersten Termin. Wer lieber das Kontaktformular nutzt, findet es über die FAQ-Seite verlinkt. Was Sie nicht bekommen: ein generisches Angebot ohne klare Posten. Was Sie bekommen: eine konkrete Kostenaufstellung mit den fünf Blöcken, der Mehrjahresplanung und einer Vergleichsrechnung zwischen Ihrem aktuellen Modell und der Officer-as-a-Service-Variante. Belegbar, dokumentiert, mit Bestellurkunde, sobald die Auftragsgrundlage steht. Wer den Termin nicht direkt vereinbaren möchte, erhält auf Wunsch vorab eine Kalkulationsvorlage in Excel mit den fünf Kostenblöcken und vorbelegten Bandbreiten. Die Vorlage eignet sich zur internen Diskussion mit der Geschäftsleitung vor dem Erstgespräch.