IT-Sicherheitsbudget: Reichen 18 %?

Die meisten Geschäftsführer haben in den letzten Jahren mehr Geld in IT-Sicherheit gesteckt. Was den wenigsten gelingt: einzuordnen, ob das genug ist. „Wir haben investiert" ist kein Maßstab – ohne Vergleichswert bleibt es ein Bauchgefühl.

Es gibt inzwischen einen belastbaren Vergleichswert. Im Schnitt fließen 2025 rund 18 % des IT-Budgets deutscher Unternehmen in Sicherheit. 2022 waren es noch 9 %. Dieser Beitrag ordnet ein, was diese Zahl wirklich sagt – und vor allem, was sie nicht sagt –, wo Sie im Vergleich stehen und welche drei Kennzahlen in Ihrer nächsten Geschäftsführungs-Sitzung auf dem Tisch liegen sollten.

Die Zahl – und was sie wirklich aussagt

Die Daten stammen aus der Bitkom-Studie „Wirtschaftsschutz 2025" (1.002 Unternehmen ab 10 Beschäftigten und 1 Mio. € Umsatz). Der Anteil des Sicherheitsbudgets am gesamten IT-Budget entwickelte sich so:

• 2022: 9 %
• 2023: 14 %
• 2024: 17 %
• 2025: 18 %

In drei Jahren hat der Mittelstand seinen Sicherheitsanteil also praktisch verdoppelt. BSI und Bitkom empfehlen einen Anteil von 20 %. Die Verteilung zeigt ein gespaltenes Bild: 41 % der Unternehmen liegen bereits bei 20 % oder mehr, weitere 43 % zwischen 10 und 20 %. Aber mehr als die Hälfte bleibt unter der empfohlenen Marke, 10 % geben weniger als ein Zehntel ihres IT-Budgets für Sicherheit aus.

In einem Satz: Der Durchschnitt ist gestiegen – aber „Durchschnitt" und „ausreichend" sind nicht dasselbe.

Warum die Budgets steigen – und es kein freiwilliger Trend ist

Diese Bewegung ist keine Vorliebe für Cybersecurity. Sie ist eine Reaktion auf eine Bedrohungslage, die sich in harten Zahlen niederschlägt:

• 87 % der deutschen Unternehmen waren 2025 von Datendiebstahl, Industriespionage oder Sabotage betroffen.
• Der dadurch entstandene Gesamtschaden stieg auf 289,2 Mrd. € (2024: 266,6 Mrd. €); der cyberbedingte Anteil liegt bei rund 202 Mrd. €.
• 59 % der Unternehmen – also sechs von zehn – fühlen sich durch Cyberangriffe in ihrer Existenz bedroht.

Dazu kommt der Druck von außen: Versicherer prüfen genauer, Großkunden geben Sicherheitsanforderungen über die Lieferkette weiter, und mit NIS2 ist Cybersicherheit für viele zur gesetzlichen Pflicht geworden. Das Budget steigt also nicht, weil IT-Sicherheit in Mode ist, sondern weil das Nicht-Investieren teurer geworden ist.

Wo Sie im Vergleich stehen

Mit der Verteilung lässt sich der eigene Stand grob einordnen:

• 5 bis 8 %: Sie sind auf dem Niveau von 2022. Erkennbar im Verzug – und vermutlich ein Risiko, das in der nächsten Versicherungs- oder Auditrunde sichtbar wird.
• rund 18 %: Sie sind Durchschnitt. Nicht mehr, nicht weniger.
• 20 % und mehr: Sie liegen auf dem von BSI und Bitkom empfohlenen Niveau – wie 41 % der Unternehmen.

In einem Satz: Eine Budget-Lücke nach unten ist ein verlässliches Warnsignal. Ein hoher Wert dagegen ist noch kein Beweis für Sicherheit.

Warum eine Budget-Zahl kein Qualitätsnachweis ist

Hier liegt der Punkt, den die reine Prozentzahl verschleiert. Geld kann an der falschen Stelle landen. Die Bitkom-Zahlen zeigen, dass die Ausgaben vor allem bei Sicherheitssoftware und -dienstleistungen wachsen, während Hardware kaum zulegt. Das ist plausibel – aber entscheidend ist nicht, wie viel ausgegeben wird, sondern wofür.

Ein Unternehmen kann 25 % seines IT-Budgets für teure Tools ausgeben und trotzdem angreifbar sein, wenn die Grundlagen fehlen: kein geprobter Wiederanlauf, keine phishing-resistente Anmeldung, kein gepflegtes Berechtigungskonzept. Umgekehrt kann ein Betrieb mit 14 % gut dastehen, wenn dieses Geld die richtigen Lücken schließt.

Die Prozentzahl ist deshalb ein Einstieg in das Gespräch, nicht sein Ergebnis. Sie beantwortet die Frage „Sind wir grob im Rahmen?" – aber nicht die Frage „Sind wir tatsächlich widerstandsfähig?".

Die drei Zahlen, die ein Geschäftsführer kennen sollte

Statt sich an einer einzigen Quote festzuhalten, sollte die Geschäftsleitung drei Kennzahlen benennen können:

1. Das gesamte IT-Budget in Prozent vom Umsatz. Erst diese Bezugsgröße macht den Sicherheitsanteil aussagekräftig. 18 % von einem ohnehin zu kleinen IT-Budget sind etwas anderes als 18 % von einem soliden.

2. Der Cybersecurity-Anteil davon. Die 18-%-Zahl – aber als bewusste Entscheidung, nicht als Zufallsergebnis aus der Summe einzelner Rechnungen.

3. Die dokumentierte Wiederanlaufzeit nach einem Ausfall – das RTO. Und hier lohnt sich Präzision, denn an dieser Stelle wird aus Budget echte Resilienz. Zwei Begriffe gehören zusammen:

• RTO (Recovery Time Objective) ist die maximal tolerierbare Ausfallzeit: Wie lange darf ein System stillstehen, bevor der Schaden untragbar wird? Acht Stunden? Drei Tage?
• RPO (Recovery Point Objective) ist der maximal tolerierbare Datenverlust, gemessen in Zeit: Wenn Ihr letztes brauchbares Backup von gestern Nacht ist, beträgt Ihr RPO 24 Stunden – Sie verlieren im Ernstfall einen Tag Arbeit.

In einem Satz: „Wir haben Backups" ist keine Antwort. Die Antwort ist „Wir sind in X Stunden wieder produktiv und verlieren höchstens Y Stunden Daten" – und das nachweislich, weil es geprobt wurde.

Und hier klafft die größte Lücke zwischen Annahme und Wirklichkeit. In einer Befragung von über 3.000 IT-Fachleuten (Kaseya) waren 60 % überzeugt, ihre Daten innerhalb eines Tages zurückzuholen. Die Realität nach einem Ransomware-Vorfall sieht anders aus: Die Wiederherstellung aus Backups dauert laut Sophos im Median 14 bis 30 Tage, andere Erhebungen nennen Durchschnittswerte um 22 bis 25 Tage. Wer also „einen Tag" annimmt, aber faktisch Wochen braucht, hat kein RTO – er hat eine Fehleinschätzung mit Geschäftsrisiko.

Wer diese beiden Zahlen nicht nennen kann, hat keine belastbare Wiederanlaufplanung, sondern eine Hoffnung.

Für ein KMU in NRW: vom Budget zur Wirkung

Der häufigste Fehler ist, die 20 % als Ziel zu jagen. Das Ziel ist nicht eine Quote, sondern ein vertretbares Risiko. Die sinnvolle Reihenfolge:

1. Risikobild zuerst. Was wäre im Ernstfall am teuersten – Stillstand, Datenverlust, Reputationsschaden, Vertragsstrafen? Daraus leitet sich ab, wo das Geld zuerst hingehört.
2. Grundlagen vor Tools. Geprobter Wiederanlauf, phishing-resistente Anmeldung, sauberes Berechtigungs- und Backup-Konzept – bevor in spezialisierte Software investiert wird.
3. Budget aus dem Risiko ableiten, nicht aus dem Benchmark. Die 18 % sind der Spiegel, nicht das Rezept.

Der eigentliche Aufwand liegt darin, das Risikobild ehrlich aufzunehmen und die Ausgaben in einen Plan zu übersetzen, den man auch gegenüber einem Beirat, einer Bank oder einem Versicherer verteidigen kann. Genau das ist für viele Geschäftsführungen – besonders bei einer Übernahme oder einem Generationswechsel – der Punkt, an dem ein nüchterner Blick von außen hilft: jemand, der weder das größte Tool verkaufen noch das Budget kleinreden will.

Warum das in die nächste GF-Sitzung gehört

IT-Sicherheit ist mit NIS2 endgültig Chefsache geworden: Die Geschäftsleitung muss die Maßnahmen billigen, überwachen und haftet persönlich dafür. Versicherer ziehen ihre Konditionen an dem fest, was nachweisbar umgesetzt ist. Und bei einer Unternehmensübernahme schauen Banken im Datenraum längst nicht mehr nur auf die Bilanz, sondern auch auf die IT-Resilienz.

Welche der drei Zahlen – IT-Budget vom Umsatz, Cybersecurity-Anteil, dokumentiertes RTO/RPO – liegt in Ihrer nächsten Geschäftsführungs-Sitzung auf dem Tisch?

Wenn Sie Ihr Sicherheitsbudget kalibrieren oder gegenüber Dritten belastbar darstellen möchten, ordnen wir Ihre Lage gemeinsam ein – nüchtern, ohne Eigeninteresse an einem möglichst großen Projekt, persönlich vor Ort in NRW. Eine erste Einordnung gibt es im kostenlosen Erstgespräch. Zur strategischen IT-Führung auf Zeit – etwa in Transformations- und Nachfolgesituationen – lesen Sie mehr unter Interim Management, zur Cybersecurity auf der Leistungsseite Cybersecurity & NIS2.

Hinweis: Die genannten Werte sind Orientierungsgrößen aus repräsentativen Erhebungen, kein Ersatz für eine individuelle Risiko- und Budgetbewertung Ihres Unternehmens.

---

Quellen

• Bitkom, Presseinformation „Deutscher Markt für IT-Sicherheit wächst zweistellig", Oktober 2025 (Budgetanteil 18 %, Marktzahlen) – bitkom.org/Presse/Presseinformation/Deutscher-Markt-IT-Sicherheit-waechst-zweistellig
• Bitkom, Studie „Wirtschaftsschutz 2025", Befragung von 1.002 Unternehmen (Schadenshöhe, Betroffenheit, Budgetverteilung) – bitkom.org
• Bundesamt für Verfassungsschutz / Bitkom, Vorstellung „Wirtschaftsschutz 2025" (Budgetverteilung: 41 % bei 20 %+, 43 % zwischen 10–20 %) – verfassungsschutz.de
• BSI / Bitkom, Empfehlung eines IT-Sicherheitsbudget-Anteils von rund 20 %
• Sophos, „State of Ransomware 2025" (Median-Wiederherstellungszeit 14–30 Tage) sowie Kaseya-Befragung von über 3.000 IT-Fachleuten (Diskrepanz erwartete vs. tatsächliche Wiederanlaufzeit)

Hinweis: Die Bitkom-Marktprognosen basieren auf Daten des Analystenhauses PAC. Bitkom ist ein Branchenverband; die Erhebungen sind repräsentativ angelegt, die Marktzahlen entsprechend als Verbands-/Analystensicht einzuordnen. Sophos ist eine Hersteller-Studie. BfV und BSI liefern den behördlichen Rahmen.