Security Schulungen: Was darf es kosten?
Was darf Awareness eigentlich kosten?
Keine Frage: Den eigenenen Mitarbeiter:innen eine gute Weiterbildung anzubieten macht sich auch auf der Kostenseite bemerkbar. Ziel dieses Beitrages ist es, einen Anhaltspunkt anzubieten, was ein vertretbarer Wert für die Kosten von Awareness-Schulungen ist.
Oft ist es gut zu wissen, was vergleichbare Unternehmen für die Schulung ihrer Mitarbeiter:innen ausgeben: Es gibt dazu eine Reihe von Marktstudien und Benchmarks zum Thema, allerdings selten mit einer genauen Zahl speziell für Security Awareness in Österreich oder der DACH-Region. Allzu oft wird Awareness als Teil des gesamten Cybersecurity- oder Security-Training-Budgets ausgewiesen.
Gartner erwartet für das das laufende Jahr 2025 globale Cybersecurity-Ausgaben von etwa 213 Mrd. USD. Awareness ist typischerweise nur ein kleiner Teil von diesem Kuchen: Qualifizierte Schätzungen sprechen von 1–3 % des Security-Budgets.
Unterschiede in Größe und Branche
Unterscheidungen zwischen Unternehmen entstehen vor allem hinsichtlich der Branchen (hoch-regulierte Branchen wie Finanz oder Gesundheit geben deutlich mehr aus) und der Unternehmensgröße. Als Business-Inkubatoren haben in den vergangenen Jahren Regulative wie NIS2, ISO 27001, DORA aber auch die von Cyberversicherungen eingeforderten Schulungnachweise fungiert.
Risiko-Profile der Unternehmen haben genauso wie die Wahl der Trainingsmethoden, maßgeschneiderte Trainings-Konzepte, die Tiefe der Inhalte und die Auswahl, ob Trainings intern oder extern abgedeckt werden, ebenso eine Auswirkung auf die kummulierten Kosten.
| Reifegrad / Programmtyp | Typischer Umfang | Benchmark pro Mitarbeiter/Jahr |
|---|---|---|
| Basis-Compliance | 1x jährliches E-Learning | 5–25 € |
| Standard-Programm | laufende Trainings + einfache Phishing-Simulationen | 25–80 € |
| Fortgeschritten | kontinuierliches Awareness-Programm, Reporting, Kampagnen | 80–180 € |
| Enterprise / reguliert | personalisierte Trainings, Risk Scoring, DORA/NIS2/ISO, SOC-Integration | 180–500 €+ |
Benchmark für Österreich
Was Unternehmen konkret pro Jahr ausgeben, wird oft nur indirekt angegeben. Laut einer (internationalen) Marktanalyse liegen typische Awareness-Budgets großer Unternehmen bei ca. 35–85 USD pro Mitarbeiter und Jahr.
Das heißt übertragen, dass kleinere Firmen oft bei €10–25 pro Mitarbeiter:in agieren. Für etablierte Enterprise-Programme ist dagegen eher ein Wert von €45-145 anzunehmen. Mit einer Abdeckung durch interaktive Plattformen wie die von KnowBe4, Hoxhunt, sosafe oder Proofpoint können diese Kosten noch nach oben steigen.
Natürlich verteilt sich dieser Wert innerhalb der Belegschaft ungleich und ist lediglich ein Durchschnittswert: Die Schulung von Aufsichtsorganen, NIS-Verantwortlichen, IT-Administratoren oder anderen exponierten Personen kann für eine hochwertige Schulung schon einmal €200,- / Person kosten, wohingegen die Basisschulung für alle (meistens digital) weit weniger Kosten verursacht.
Faktor Unternehmensgröße
Unter einer Unternehmensgröße von 250 Mitarbeitern fressen häufig Plattform-Kosten (Training & Phishing) den Löwen-Anteil vom Security-Awareness Budget auf. Typische Ziele sind dabei Compliance-orientiert zu agieren, Phishing-Basisrisiken reduzieren und der Organisation wenig internen Aufwand zu generieren.
Interessanter wird es bei zunehmender Unternehmensgröße, wo messbare Verhaltensänderung, regulatorische Anforderungen, Reduktion von Phishing-Clickrates und zum Teil auch schon KPI-/Management-Reporting wichtiger werden. Kosten €30–120 pro Mitarbeiter:in pro Jahr sollten hier schon einkalkuliert werden, um auch Extra-Meilen wie interaktive Simulationen, rollenbasierte Trainings oder NIS2-/ISO-Nachweise einzuplanen.
Nachfolgend ist ein Beispiel für eine mögliche Kostenstruktur des Awareness-Budgets (Unternehmensgröße 250-5000 MA) angeführt:
| Komponente | Typischer Anteil |
|---|---|
| Plattform-Lizenzen | 40–60 % |
| Phishing & adaptive Kampagnen | 15–25 % |
| interne Ressourcen | 15–30 % |
| Übersetzungen / Custom Content | 5–15 % |
| Beratung / Managed Services | optional |
Abschließend erwähnt gehört vielleicht auch noch, dass explizit angeführter Aufwand wie Plattform-Lizenzen, externe Trainings oder zugekaufte Phishing-Trainings oft nur die Hälfte der realen Kosten ausmachen: Dazu kommen von der Organisation gedeckte Overheads wie Security-Team-Zeit, interne Kommunikation, Kampagnen-Planung, Incident-Nachbereitung, Lokalisierungsaufwand (für transnational agierende Unternehmen), Learning Management System-Administration oder ähnliche nicht immer auf den ersten Blick erfassbare Kostenstellen.
