Kontakt aufnehmen

GRASP German GRC
Kostenlos testen

Das IT-Sicherheitsparadox: Warum mehr Budget nicht automatisch mehr Sicherheit bedeutet

Veröffentlicht am: 19. Dezember 2025

Max Mustermann

Veröffentlicht am: 19.12.2025

IT-Sicherheit

Wer sich die Kurven anschaut, könnte glauben, alles sei auf einem guten Weg: Die weltweiten Ausgaben für Security und Risk Management steigen seit Jahren steil an. Gartner zeigt, dass schon 2024 rund 215 Milliarden US-Dollar ausgegeben wurden. 2023 waren es noch etwa 188 Milliarden und bis 2026 soll die Summe weiter deutlich wachsen.

Auch in Deutschland wird nicht geknausert: Laut Bitkom ist der Anteil des IT-Sicherheitsbudgets am gesamten IT-Budget in Unternehmen von 9 % (2022) auf 14 % (2023) und 17 % (2024) gestiegen. (Marktplatz IT-Sicherheit)

Gleichzeitig rückt durch Vorgaben wie NIS2 die IT-Sicherheit in Unternehmen immer stärker in den Fokus. Trotzdem klingt der Lagebericht des BSI jedes Jahr erstaunlich ähnlich: Die Bedrohung im Cyberraum sei „so hoch wie nie“, die IT-Sicherheitslage bleibe angespannt, Entwarnung sei nicht in Sicht. Quelle: BSI

Zusätzlich meldet Bitkom, dass in den vergangenen zwölf Monaten 81 % der Unternehmen von Datendiebstahl, Spionage oder Sabotage betroffen waren, Tendenz steigend.

Weltweite Ausgaben für Security und Risk Management steigen seit Jahren steil an: 2023 lagen sie bei rund 188 Milliarden US-Dollar, 2024 bereits bei etwa 215 Milliarden und bis 2026 wird ein weiterer deutlicher Anstieg erwartet.

Mehr Geld, mehr Vorfälle, dauerhaft „angespannte“ Lage: Willkommen im IT-Sicherheitsparadox.

Mehr Budget, aber wofür eigentlich?

Die naheliegende Vermutung, Unternehmen würden nur behaupten, mehr für Security auszugeben, hält einem Blick in die Zahlen nicht stand. Budgets wachsen real, aber sie werden oft an den falschen Stellen verbrannt.

Typische Muster:

Tool-first statt risk-first
Neue Lösungen werden angeschafft, weil sie ein beeindruckendes Dashboard haben oder ein Audit-Häkchen erleichtern. Was fehlt, ist die Frage: Welches konkrete Risiko senken wir damit und wie messen wir das?

Angriffsfläche wächst schneller als das Budget
Cloud, Remote Work, SaaS, OT/IoT, KI: Jede Digitalisierungsinitiative schafft neue Angriffsflächen. Ein größerer Teil des Budgets dient nur dazu, das zusätzlich erzeugte Risiko halbwegs zu managen. Der Altbestand an Risiken wird damit nicht kleiner.

Prozesse und Menschen bleiben zurück
Ein SIEM ist schnell gekauft, ein Incident-Response-Prozess eher nicht. Schulungen sind mühsam, Playbooks schreiben macht niemand gerne, Notfallübungen stören das Tagesgeschäft. Also wird hier gespart, genau dort, wo sich Resilienz tatsächlich entscheidet.

Die Basics sitzen nicht
Immer wieder kritisiert das BSI fehlende oder lückenhafte Maßnahmen wie konsequentes Patch-Management, Multifaktor-Authentifizierung, Segmentierung oder getestete Backups. (Marktplatz IT-Sicherheit)

Das Ergebnis: Unternehmen mit hochkarätigen Tools scheitern an banalen Einstiegspunkten.

Security-Erfolg ist unsichtbar
Wenn jahrelang nichts passiert, wirkt Security wie ein überdimensionierter Kostenblock. Wenn etwas passiert, war Security „offenbar nutzlos“. In beiden Fällen wird das Budget eher nach Bauchgefühl gesteuert als datenbasiert.

Kurz gesagt:
Wir pumpen mehr Geld in Sicherheit, ohne die Spielregeln grundlegend zu ändern.

NIS2 und IT-Sicherheit in Unternehmen: Nervige Regulierung oder längst überfällige Struktur?

In diese Gemengelage platzt NIS2, die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit. Sie richtet sich an „wesentliche“ und „wichtige“ Einrichtungen in einer ganzen Reihe kritischer und hochrelevanter Sektoren, von Energie und Verkehr über Gesundheit bis hin zu Cloud-Providern und digitalen Infrastrukturen. Quelle: nis2-info.eu

Für viele wirkt NIS2 zunächst vor allem wie ein weiteres Gesetz, das nervt. In vielen Unternehmen löst NIS2 eine sehr ähnliche Reaktion aus: genervtes Augenrollen. Noch ein Gesetz, noch mehr Dokumentation, noch mehr Reportingpflichten, noch mehr Drohkulisse in Form von Bußgeldern. Gleichzeitig stellt sich ganz praktisch die Frage, was NIS2 konkret für die IT-Sicherheit in Unternehmen bedeutet.

Dabei ist der Kernansatz der Richtlinie eigentlich bemerkenswert vernünftig:

  • Sie zwingt Unternehmen, Verantwortlichkeiten klar zuzuweisen, inklusive Haftung des Managements. Quelle: nis2compliant.org
  • Sie schreibt Risikomanagement und Governance fest, nicht nur den Einsatz einzelner Technologien.
  • Sie fordert Meldeprozesse, damit Vorfälle nicht im Dunkelfeld verschwinden.
  • Sie verbindet Security nicht mit „Nice-to-have“, sondern mit unternehmerischer Pflicht.

Mit anderen Worten: NIS2 versucht genau das, was in vielen Organisationen fehlt, aus Security eine strukturierte Managementaufgabe zu machen und damit die IT-Sicherheit in Unternehmen auf ein stabileres Fundament zu stellen.

Lesetipp: Was ist NIS2?

Das Kommunikationsdefizit: NIS2 außerhalb der Bubble

Das Problem: NIS2 ist in der breiten Öffentlichkeit quasi unsichtbar.

In IT- und Security-Kreisen wird heiß diskutiert, in LinkedIn-Posts und Webinaren sowieso. Aber in den klassischen Nachrichtenformaten, in den Köpfen vieler Geschäftsführerinnen und Geschäftsführer, bei Aufsichtsräten oder Verbänden? Funkstille.

Dazu kommt eine unglückliche Konstruktion:

  • Offiziell ist Information rund um NIS2 weitgehend Holschuld. Unternehmen sollen sich selbst schlau machen.
  • Gleichzeitig drohen erhebliche Bußgelder, wenn Anforderungen nicht erfüllt werden.

Für viele Mittelständler ergibt sich daraus eine toxische Mischung: Man weiß „irgendwie“, dass da etwas kommt, aber nicht genau was und erst recht nicht, wie dringend es eigentlich ist. Bis das Thema auf der Agenda landet, ist die Zeit zur Umsetzung von NIS2 und damit zur Stärkung der IT-Sicherheit im Unternehmen oft schon knapp.

Vom Gesetzestext zur gelebten Resilienz

Wie lässt sich dieses Paradox mit steigenden Budgets, kritischer Lage und nerviger Regulierung in etwas Produktives drehen und konkret für die IT-Sicherheit in Unternehmen nutzen?

Ein paar Leitplanken helfen:

1. NIS2 als Blaupause verstehen, nicht als Hürde

Anstatt den Gesetzestext nur auf Mindestanforderungen zu scannen („Was müssen wir gerade so machen, um kein Bußgeld zu bekommen?“), lohnt sich der Blick aus einer anderen Perspektive:

Wenn wir NIS2 als Betriebssystem für unser Sicherheitsmanagement verstehen, welche Strukturen gewinnen wir, die wir ohnehin bräuchten?

Viele der geforderten Elemente wie Risikomanagement, Governance, Reporting und Business Continuity sind keine exotischen EU-Gimmicks, sondern Basics für professionelle IT-Sicherheit in Unternehmen.

2. Budget an Risiken koppeln, nicht an Modetrends

Statt „wir brauchen XY, weil alle XY kaufen“ hilft ein konsequenter Risikoansatz:

  • Welche Prozesse sind geschäftskritisch?
  • Welche plausiblen Szenarien bedrohen diese Prozesse (Ransomware, Lieferkettenangriff, Insider, physische Ausfälle etc.)?
  • Welche Controls reduzieren dieses Risiko nachweisbar und wie messen wir, ob sie funktionieren?

Erst aus dieser Diskussion ergibt sich, wo Budget wirklich Wirkung entfaltet und tatsächlich zur IT-Sicherheit im Unternehmen beiträgt.

3. Tools konsequent mit Prozessen verheiraten

Jedes neue Tool sollte drei simple Fragen beantworten:

  • Wer ist dafür verantwortlich, fachlich und operativ?
  • In welchen Prozess ist es eingebettet (zum Beispiel Incident Response, Vulnerability Management, Access Management)?
  • Welche Kennzahl zeigt uns, ob das Tool seinen Zweck erfüllt (zum Beispiel Zeit bis zur Erkennung, Zeit bis zum Patchen, Reduktion erfolgreicher Phishing-Klicks)?

Ohne diese Verknüpfung bleibt Security schnell ein Flickenteppich und entfaltet die gewünschte Wirkung auf die IT-Sicherheit in Unternehmen nur unzureichend.

4. Menschen ernst nehmen, inklusive Management

Zwei unbequeme Wahrheiten:

  • Ohne geschulte Mitarbeitende bleiben selbst die besten technischen Maßnahmen löchrig.
  • Ohne ernsthaft eingebundenes Management bleibt Security ein Störfaktor statt ein Steuerungsinstrument.

NIS2 macht Führungsebenen explizit verantwortlich. Das kann weh tun, ist aber ein Hebel: Wenn Vorstand oder Geschäftsführung Security als unternehmerisches Risiko verstehen, ähnlich wie Liquidität oder Reputation, verschiebt sich die Diskussion automatisch von „noch ein Tool?“ zu „wie sichern wir unser Geschäftsmodell und unsere IT-Sicherheit im Unternehmen?“.

5. Erfolg sichtbar machen

Solange Security nur als „Kosten für das, was nicht passiert“ wahrgenommen wird, wird jede Budgetdiskussion zur Glaubensfrage. Besser:

  • Klare, verständliche KPIs etablieren (Patch-Zeiten, MFA-Abdeckung, Phishing-Fail-Rate, Recovery-Zeit nach Übungen etc.).
  • Vorher-Nachher-Effekte zeigen („Durch MFA haben wir X Vorfälle verhindert bzw. Aufwand reduziert“).
  • Maßnahmen mit konkreten Geschäftsrisiken verknüpfen, zum Beispiel Ausfallkosten, Vertragsstrafen oder Reputationsschäden.

So entsteht ein Bild, in dem Security-Budget als Investition in Resilienz sichtbar wird und unmittelbar mit der IT-Sicherheit in Unternehmen verknüpft ist, nicht als blinder Kostenblock.

Das Paradox ist ein Warnsignal, kein Naturgesetz

Dass die Kurve der Security-Ausgaben steil nach oben zeigt, während die BSI-Lageberichte Jahr für Jahr von einer angespannten Situation sprechen und ein Großteil der Unternehmen Cyberangriffe erlebt, ist kein Widerspruch in den Daten, es ist ein Symptom. Bundesamt für Verfassungsschutz, BSI

Es zeigt, dass wir über Jahre hinweg vor allem mehr vom Gleichen gemacht haben: mehr Tools, mehr Projekte, mehr Einzelmaßnahmen, aber zu wenig Struktur, zu wenig Governance, zu wenig Klarheit darüber, was wir eigentlich schützen und wie wir Erfolg messen.

NIS2 ist in dieser Lage kein angenehmes, aber ein notwendiges Störgeräusch. Ja, es nervt. Ja, es zwingt zu Dokumentation, Registrierung und Meldepflichten. Aber es zwingt Organisationen eben auch dazu, sich grundlegende Fragen zu stellen:

  • Wer trägt Verantwortung für Cyberrisiken?
  • Welche Geschäftsprozesse sind wie verwundbar?
  • Welche Maßnahmen sind Nachweis, welche sind Wirkung?

Wenn Unternehmen diese Fragen ernsthaft beantworten, kann NIS2 mehr sein als eine weitere Compliance-Pflicht. Es kann der Anlass sein, das IT-Sicherheitsparadox zu durchbrechen und aus steigenden Budgets endlich spürbar mehr IT-Sicherheit in Unternehmen zu machen.

Jetzt GRASP 30 Tage kostenlos testen!

Text auf Button: Get Started Free Trial starten

Weitere Beiträge zum Thema

GRASP ist ein Produkt der DextraData GmbH

Siegel Software Made and Hosted in Germany
Siegel Allianz für Cyber-Sicherheit Siegel Lizensierte IT-Grundschutz-Inhalte Siegel ISO 27001 Zertifizierung

Module

ISMS - Software für Informationssicherheit

DSMS - Software für Datenschutzmanagement

Internal Audit - Software für Auditmanagement

QM - Software für Qualitätsmanagement

BCM - Software für Business Continuity Management

Verknüpfung von GRASP mit Business-Apps

Regularien & Zertifizierungen

NIS2 Umsetzungsgesetz erfüllen

Zertifizierung nach ISO/IEC 27001 umsetzen

BSI-Standard 200-4 etablieren

DSGVO-Anforderungen umsetzen

Neues bei GRASP

Unternehmen

Über uns

GRASP FAQs

Trust Center - Unser Versprechen

Sie haben noch Fragen?
Kontaktieren Sie uns gerne!

© DextraData GmbH

Impressum

AGB

Datenschutzerklärung

Cookie-Einstellungen