LAGEBRIEFING · 03.07.2026 DEENFRES

Strategie & Governance/6 Min.

Fünf Posten, die vor dem SIEM Budget brauchen

Von Benedikt Langer · 2. Juli 2026

6 Min. Lesezeit

Das Budget-Meeting kippt selten am Gesamtbetrag. Es kippt an einer einzelnen Position, sobald der CISO die Frage des CFO nicht beantworten kann: Warum dieser Posten und warum zuerst? Wer das Security-Budget als Risikofinanzierung aufstellt, hat die Antwort vor dem Meeting parat.

Das Wichtigste in Kürze

  • Risiko steuert das Budget, keine Werkzeugliste. Paragraf 30 BSIG macht Verhältnismäßigkeit zum Maßstab und nennt Umsetzungskosten und Risikoexposition ausdrücklich als Abwägungskriterien.
  • Es gibt keine Pflichtzahl. Bitkom misst 2025 im Schnitt 18 Prozent IT-Sicherheitsanteil am IT-Budget, als Orientierungswert nennen Bitkom und die BSI-Präsidentin 20 Prozent. Ein gesetzlich fixer Mindestbetrag existiert nicht.
  • Die Reihenfolge entscheidet. Risikoanalyse, Identitätsschutz, Backup und Basis-Hygiene kommen vor einem vollwertigen SIEM.
  • Der Satz, der beim CFO trägt: Welche Risikoreduktion kaufen wir mit welchem Euro?

Verwandt: Fünf Kennzahlen, die der Aufsichtsrat wirklich versteht  ·  Welche Controls beim Tool-Abbau nicht wegfallen dürfen

Was ist risikobasierte Security-Budgetierung?

Was ist risikobasierte Security-Budgetierung? Risikobasierte Security-Budgetierung ordnet jede Ausgabe einem dokumentierten Risiko zu und finanziert zuerst die Maßnahmen, die pro eingesetztem Euro den größten erwarteten Schaden abbauen. Maßstab ist die Verhältnismäßigkeit nach Paragraf 30 des BSIG. Eine vollständige Werkzeugliste ersetzt diesen Maßstab nicht.

Der Unterschied wird im CFO-Gespräch sichtbar. Eine Tool-Liste beantwortet die Frage „Was kaufen wir?“. Eine Risikofinanzierung beantwortet die Frage „Welches Risiko senken wir damit und um wie viel?“. Die zweite Frage übersteht eine kritische Rückfrage, die erste selten.

18 %

Ø Anteil IT-Sicherheit am IT-Budget, Bitkom-Erhebung 2025 (n=1.002)

20 %

Orientierungswert von Bitkom und BSI-Präsidentin Plattner

§ 30

verlangt verhältnismäßige Maßnahmen, keinen fixen Mindestbetrag

Die Logik hinter der Reihenfolge

Drei Größen bestimmen, welcher Posten zuerst Geld bekommt. Die erste ist der erwartete Schaden, grob das Produkt aus Eintrittswahrscheinlichkeit und Schadensausmaß. Die zweite ist der Risikoappetit, also die Schwelle, unterhalb derer die Geschäftsleitung ein Restrisiko bewusst trägt. Er steuert die Maßnahmen oberhalb der gesetzlichen Grundausstattung. Die zehn Mindestmaßnahmen aus Paragraf 30 Absatz 2 BSIG bleiben Pflicht und werden verhältnismäßig umgesetzt. Die dritte ist die Wirtschaftlichkeit, der Schadensabbau je investiertem Euro.

Daraus entsteht eine einfache Priorisierungsregel: Zuerst kommen die Maßnahmen mit hoher Eintrittswahrscheinlichkeit, spürbarem Schadenshebel und niedrigen Kosten. Diese Reihenfolge deckt sich mit dem gesetzlichen Rahmen. Paragraf 30 Absatz 1 BSIG verlangt „geeignete, verhältnismäßige und wirksame“ Maßnahmen und nennt für die Verhältnismäßigkeit unter anderem das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten sowie die Eintrittswahrscheinlichkeit und Schwere von Vorfällen. Der Gesetzgeber verlangt damit keine vollständige Werkzeugliste. Er verlangt eine begründete Abwägung, die eine gesetzliche Grundausstattung nicht unterschreitet.

Fünf Posten, die vor dem SIEM Budget brauchen

1. Dokumentierte Risikoanalyse und Schutzbedarf

Finanziert wird die Risikoanalyse selbst: ein Asset- und Prozessinventar, ein festgehaltener Risikoappetit und eine daraus abgeleitete Maßnahmen-Roadmap. Ohne diese Basis fehlt die gemeinsame Datenlage, an der sich jede spätere Budget-Debatte entscheidet. Der Posten kostet vor allem Personalzeit, steuert aber die gesamte Allokation. Paragraf 30 Absatz 1 Satz 3 BSIG verlangt zudem, die Einhaltung der Maßnahmen zu dokumentieren. Ohne dokumentierte Risikolage lässt sich Verhältnismäßigkeit weder begründen noch nachweisen.

2. Identitäts- und Zugriffsschutz

Hierher gehören Mehr-Faktor-Authentisierung, ein gehärtetes Identitätsmanagement, gesonderter Schutz privilegierter Konten und regelmäßige Zugriffsprüfungen. Das adressierte Risiko ist einer der häufigsten Einstiege: die Übernahme eines Kontos über gestohlene Zugangsdaten und die anschließende seitliche Bewegung im Netz. Ransomware, Phishing und Angriffe auf Passwörter zählen laut Bitkom 2025 zu den häufigsten schadensverursachenden Angriffsarten. Der Schutz kostet je Nutzer wenig, wirkt aber direkt auf die kritischsten Konten. Mehr-Faktor-Authentisierung ist in Paragraf 30 Absatz 2 Nummer 10 BSIG ausdrücklich als Maßnahme benannt.

3. Backup und getestete Wiederherstellung

Finanziert werden mehrfach abgelegte Backups nach dem 3-2-1-Prinzip, unveränderliche oder offline gehaltene Kopien und eine Wiederherstellung, die regelmäßig geprobt wird. Ein Backup, das nie zurückgespielt wurde, ist eine Annahme, kein Nachweis. Das Risiko ist die Betriebsunterbrechung, laut Allianz Risk Barometer 2025 das zweitgrößte Unternehmensrisiko weltweit, unmittelbar nach Cyber-Vorfällen. Ein belastbares Backup senkt den Erpressungsdruck bei Ransomware und begrenzt den Ausfallschaden, wenn die Prävention einmal versagt. Die Grundlage steht in Paragraf 30 Absatz 2 Nummer 3 BSIG.

4. Schwachstellen- und Expositionsmanagement

Dieser Posten finanziert priorisiertes Patch-Management, die Härtung von Systemen mit Internet-Anbindung und eine bewusst kleine Angriffsfläche. Das Risiko ist die Ausnutzung längst bekannter Lücken und offener Dienste, die niemand im Blick hatte. Die Wirkung pro Euro ist hoch, weil günstige Angriffsvektoren geschlossen werden, bevor sie jemand nutzt. Die Reihenfolge ist bewusst gewählt: erst die Angriffsfläche verkleinern, dann in Überwachung investieren. Ein Detection-Werkzeug auf einer ungeharteten Landschaft meldet vor allem viel.

5. Incident Response und Logging-Basis

Zum Abschluss der Grundausstattung gehören ein Notfall-Playbook, eine geübte Meldekette samt Vorbereitung auf die 24-Stunden-Meldepflicht nach Paragraf 32 BSIG, eine zentrale Sammlung der Logs kritischer Systeme und eine gezielte Sensibilisierung der Hochrisiko-Gruppen. Das Risiko ist die lange Verweildauer eines Angreifers, hohe Forensikkosten und ein versäumter Meldetermin. Dieser Posten steht am Ende der Top-Fünf, weil sein Ausbau auf den vorherigen aufbaut. Die Meldekette und ein Minimal-Logging kritischer Systeme sollten allerdings früh entstehen, das ausgelagerte Lagezentrum und ein vollwertiges SIEM können danach folgen.

Wirkung pro Euro im Vergleich

Die gleiche Logik lässt sich als einfache Landkarte lesen. Sie zeigt, warum Hygiene vor teuren Plattformen kommt.

Investition Kostenprofil Wirkung pro Euro Zeitpunkt
Dokumentierte Risikoanalyse niedrig (Personalzeit) hoch vor allem anderen
Mehr-Faktor und privilegierte Konten niedrig bis mittel hoch sofort
Getestete Backups mittel (Storage) hoch sofort
Patch und Härtung exponierter Systeme niedrig bis mittel hoch früh
Basis-Logging und Notfall-Playbook mittel mittel bis hoch nach Basis-Härtung
Vollwertiges SIEM hoch niedrig, wenn vor der Hygiene erst nach Basis-Hygiene
Weitere Einzel-Tools ohne Asset-Basis hoch niedrig nachrangig

Was diese Reihenfolge dem CFO liefert

Ein höheres Budget allein kauft keine höhere Sicherheit. Eine globale Erhebung unter mehr als 300 Security-Verantwortlichen (Wiz 2026) zeigt, dass viele Unternehmen ihre Ausgaben erhöhen und die Absicherung trotzdem für unzureichend halten. Der Grund liegt selten im Betrag, häufig in der Verteilung. Genau hier setzt die risikobasierte Aufstellung an.

Für den CFO wird das Gespräch damit prüfbar. Jede Position trägt ein Risiko, einen erwarteten Schadensabbau und eine Kostenzahl. Was über die gesetzliche Grundausstattung hinausgeht und unterhalb des Risikoappetits liegt, wird bewusst zurückgestellt und dokumentiert, statt es stillschweigend mitzukaufen. Das verwandelt die jährliche Budget-Debatte von einer Verhandlung über Beträge in eine Entscheidung über Restrisiken. Die Leitfrage bleibt in jeder Runde dieselbe: Welche Risikoreduktion kaufen wir mit welchem Euro?

Häufige Fragen

Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.

Wie viel Budget braucht Security im Mittelstand?

Eine gesetzliche Pflichtzahl gibt es nicht. Die Bitkom-Erhebung 2025 (n=1.002) misst in Deutschland im Schnitt 18 Prozent IT-Sicherheitsanteil am IT-Budget, BSI und Bitkom empfehlen 20 Prozent als Orientierung. Maßgeblich bleibt die dokumentierte Risikoexposition nach Paragraf 30 Absatz 1 BSIG, kein Branchendurchschnitt.

Welche Sicherheitsmaßnahme sollte zuerst finanziert werden?

Nach der dokumentierten Risikoanalyse typischerweise der Identitäts- und Zugriffsschutz mit Mehr-Faktor-Authentisierung sowie eine getestete Wiederherstellung. Beide adressieren häufige Einstiegs- und Ausfallrisiken bei niedrigen Kosten je Nutzer. Paragraf 30 Absatz 2 Nummer 3 und Nummer 10 BSIG stützen diese Priorität.

Verlangt NIS2 ein bestimmtes Budget?

Nein. Paragraf 30 BSIG verlangt geeignete, verhältnismäßige und wirksame Maßnahmen. Die Verhältnismäßigkeit bezieht Umsetzungskosten und Risikoexposition ein. Ein Mindestbudget steht weder im BSIG noch in der NIS-2-Richtlinie.

Wie begründe ich Security-Budget gegenüber dem CFO?

Als Risikofinanzierung: erwarteter Schadensabbau je Euro, bezogen auf einen dokumentierten Risikoappetit. Belege sind die priorisierte Maßnahmenliste aus der Risikoanalyse, die Schadenskategorien der Bitkom-Studie sowie die Verhältnismäßigkeit nach Paragraf 30 BSIG als Compliance-Rahmen. Die tragende Frage lautet: Welche Risikoreduktion kaufen wir mit welchem Euro?

Lesetipps der Redaktion

Mehr aus dem MBF Media Netzwerk

Digital ChiefsGeopolitik trifft die Datacenter-Roadmap: Was CIOs jetzt absichernMyBusinessFutureEU AI Act: Was der Mittelstand kennzeichnen musscloudmagazinXFS4IoT trifft Cloud: Der Geldautomat wird Plattform

Bildquelle: KI-generiert (Juni 2026)

Weiterführende Lektüre

Innovation · 29. Juni 2026

DORA im Betrieb: Was die Aufsicht sehen will

DORA gilt seit 2025, doch erst die Hälfte der Finanzinstitute ist compliant. 2026 zählen Register-Meldung, Penetrationstests und CTPP-Aufsicht.

Ein Magazin der Evernine Media GmbH