0%
ZURÜCK ZUR ÜBERSICHT
BEITRAG // 15. Jun 2026 // REF: BREACH-COST // 15 min

Was ein Breach wirklich kostet: Produktionsausfall, IR-Kosten, Kundenverlust und persönliche Haftung

Was ein Breach wirklich kostet: Produktionsausfall, IR-Kosten, Kundenverlust und persönliche Haftung
01 // Die Story

Montagmorgen, 06:14 Uhr. Die Produktion läuft nicht an. Der OEM-Kunde wartet.

Ein Automobilzulieferer mit 1.400 Mitarbeitern, drei Werken, einem Jahresumsatz von 380 Millionen Euro. Just-in-time-Lieferant für zwei Tier-1-Kunden, die wiederum direkt an zwei deutsche Automobilhersteller liefern. Die Lieferkette ist eng getaktet: 18-Stunden-Puffer, dann läuft das Band beim OEM leer.

Ein Ransomware-Angriff – eingeleitet über einen Servicetechniker, der drei Wochen zuvor mit einem präparierten Laptop Wartungsarbeiten durchgeführt hatte und dabei unbemerkt eine Backdoor hinterlassen hatte. Montagmorgen, 06:14 Uhr: alle Windows-Systeme verschlüsselt. ERP offline. MES offline. Die CNC-Maschinen laufen, aber ohne Fertigungsaufträge. Niemand weiß, was produziert werden soll.

Um 07:30 Uhr ruft der Einkäufer des Tier-1-Kunden an. Um 09:00 Uhr wird der Lieferausfall offiziell gemeldet. Um 11:00 Uhr hat der Tier-1-Kunde bereits begonnen, alternative Lieferanten zu kontaktieren. Nicht weil er böswillig ist – sondern weil sein Band um 14:00 Uhr leer läuft und er keine Wahl hat.

Der eigentliche Schaden eines Breaches entsteht nicht im Moment des Angriffs. Er entsteht in den Stunden und Tagen danach – in jedem Produktionsausfall, jedem abgewanderten Kunden, jeder Bußgeldzahlung, jedem Forensiker-Tagessatz. Die Rechnung kommt immer. Die Frage ist nur, wann und wie hoch.

7 Tage
Produktionsausfall bis Teilwiederherstellung
11 Std.
Bis der Tier-1-Kunde alternative Lieferanten aktiviert
4,88 Mio. €
Durchschn. Gesamtkosten eines Breaches weltweit (IBM, 2024)
277 Tage
Durchschnittliche Zeit bis zur vollständigen Eindämmung
02 // Die Kostenarchitektur

Was ein Breach wirklich kostet: Die vollständige Rechnung

Die häufigste Fehleinschätzung in Post-Incident-Analysen: Unternehmen rechnen mit dem, was sie sehen – Lösegeld, IT-Forensik, Überstunden. Was sie nicht sehen: die Opportunitätskosten, den Reputationsschaden, die regulatorischen Folgen und den stillen Kundenverlust, der erst Monate später in der GuV auftaucht. Ein vollständiges Schadensbild hat vier Zeitphasen.

Phase 1 · Stunden 0–72
Sofortkosten
  • IR-Retainer / Notfallteam aktivieren 15–80k €
  • Forensik-Dienstleister (Tagessatz) 3–8k €/Tag
  • Anwalt (Datenschutz, Strafrecht) 5–25k €
  • Produktionsausfall je Schicht 50–500k €
  • Notfall-Hardware (Laptops, Server) 20–150k €
  • Überstunden / Krisenteam intern 10–40k €
Phase 2 · Wochen 1–8
Wiederherstellung
  • Infrastruktur-Neuaufbau (Server, AD) 80–400k €
  • Datenmigration / Validierung 20–100k €
  • Lizenzen, Backup-Systeme, Cloud 15–60k €
  • Produktionsrückstand aufholen variabel
  • Lösegeld (falls gezahlt) 50k–5 Mio. €
  • Externe IT-Berater / MSP 30–200k €
Phase 3 · Monate 2–24
Langfristkosten
  • DSGVO-Bußgeld (bis 4% Jahresumsatz) bis Mio. €
  • NIS2-Sanktionen (ab 2025) bis 10 Mio. €
  • Schadensersatzklagen Kunden/Partner variabel
  • Versicherungsprämien-Erhöhung +30–200%
  • Erhöhte Sicherheitsinvestitionen 100–500k €
  • Reputationsschaden / PR-Kosten 50–300k €

Lösegeld ist in den meisten Fällen nicht der größte Kostenfaktor – es ist der am leichtesten sichtbare. Produktionsausfall, Kundenverlust und regulatorische Folgekosten übersteigen die Lösegeldzahlung regelmäßig um das Zwei- bis Fünffache.

03 // Der Deep-Dive

Der Automobilzulieferer: 7 Tage, die alles verändern

Zurück zu unserem Zulieferer. Nicht als Einzelfall – sondern als Rechenmodell. Die Zahlen basieren auf realen Benchmarks aus dem Produktionssektor und sind für ein Unternehmen mit ~400 Mio. € Jahresumsatz kalibriert. Kein Einzelfall trifft exakt dieses Profil – aber die Größenordnungen sind für den deutschen Mittelstand repräsentativ.

Tag 1 — Stunde 0
Verschlüsselung entdeckt
ERP, MES und Active Directory sind verschlüsselt. Produktion steht still. IR-Retainer wird aktiviert, Anwalt informiert, DSGVO-Meldepflicht (72-Stunden-Frist) läuft an. Erste forensische Sicherung beginnt.
Sofortkosten: ~120.000 €
Tag 1–2 — Produktionsausfall
Band beim Kunden läuft leer
Der Tier-1-Kunde aktiviert nach 18 Stunden alternative Lieferanten. Nicht aus Böswilligkeit – sein Band kann nicht warten. Der entgangene Umsatz für diese Liefercharge ist verloren. Ob der Folgeauftrag zurückkommt, ist ungewiss.
Entgangener Umsatz Tag 1–2: ~800.000 €
Tag 3–5 — Teilwiederherstellung
ERP läuft wieder, MES noch nicht
Backup-Systeme werden hochgefahren. Manche Daten fehlen, Fertigungsaufträge müssen manuell rekonstruiert werden. Produktion läuft mit 40% Kapazität. Forensik-Team arbeitet weiter, Angreifer-Persistenz wird gesucht.
Wiederherstellung + Teilausfall: ~650.000 €
Tag 6–14 — Vollbetrieb unter Vorbehalt
Systeme laufen, Vertrauen nicht
Produktion ist wiederhergestellt. Aber: Zwei Kunden fordern einen Sicherheitsnachweis vor Wiederaufnahme der Zusammenarbeit. Ein Kunde reduziert das Auftragsvolumen dauerhaft um 20%. Die Versicherung kündigt die Cyber-Police.
Kundenverlust (annualisiert): ~2,1 Mio. €
Monat 2–18 — Die stille Rechnung
DSGVO, NIS2, Versicherung, Reputation
Datenschutzbehörde eröffnet Verfahren. NIS2-Compliance-Nachweis muss erbracht werden. Neue Cyber-Versicherung kostet das Dreifache der alten Police. PR-Agentur wird beauftragt. Zwei Führungskräfte verlassen das Unternehmen.
Regulatorik + Versicherung + PR: ~480.000 €
// Gesamtschadensbild · Modellrechnung Automobilzulieferer
Gesamtschaden über 18 Monate
Direkte Kosten + entgangener Umsatz + Kundenverlust (annualisiert)
~4,2 Mio. €
Konservative Schätzung · Mittelstandsprofil

Und das ist die konservative Variante – ohne Lösegeld, ohne Produkthaftungsklage, ohne dauerhaften Reputationsschaden, der sich in sinkenden Neukundenquoten über Jahre manifestiert. IBM beziffert den globalen Durchschnitt für alle Branchen auf 4,88 Mio. US-Dollar (2024). Für produzierende Unternehmen mit Just-in-time-Lieferketten liegt der Wert signifikant höher.

Der unsichtbare Schaden: Kundenverlust durch Vertrauensverlust

Der am schwersten zu quantifizierende Kostenfaktor ist kein Rechnungsposten – er ist ein Verhalten. Kunden, die nach einem Sicherheitsvorfall still die Zusammenarbeit reduzieren. Partner, die bei der nächsten Ausschreibung einen anderen Zulieferer bevorzugen. Entscheider, die intern kommunizieren: „Mit denen hatten wir den Ausfall im letzten Jahr."

In der Automobilzulieferer-Logik ist das besonders brutal: Ein OEM-Kunde, der einmal einen Lieferausfall erlebt hat, wird in seiner Risikobewertung ein zweites Mal besonders kritisch schauen. Die Abhängigkeit von einem Single Source Supplier, der einmal ausgefallen ist, wird intern als Risiko geführt – und bei der nächsten Vergabe anders bewertet.

Ein Lieferausfall von einer Woche kostet nicht eine Woche Umsatz. Er kostet potenziell Jahre an Folgeaufträgen – weil der Kunde gelernt hat, dass dieser Lieferant ein Risiko ist. Der Schaden steht nicht in der Bilanz. Er steht in den Beschaffungsentscheidungen der nächsten drei Jahre.

Regulatorische Kosten: Was NIS2 und DSGVO aus einem Vorfall machen

Seit NIS2 (Dezember 2025) und dem KRITIS-Dachgesetz (Januar 2026) hat sich die regulatorische Risikolandschaft verschoben. Für betroffene Unternehmen gilt:

Regelwerk Meldepflicht Maximale Sanktion Persönliche Haftung
DSGVO 72 Stunden an Aufsichtsbehörde 4% des weltweiten Jahresumsatzes Nein (Unternehmenshaftung)
NIS2 24h Erstmeldung, 72h vollständig 10 Mio. € oder 2% Jahresumsatz Ja – Geschäftsleitung persönlich
KRITIS-Dachgesetz Unverzüglich an BSI Bis 20 Mio. € Ja – explizit geregelt
Cyber Resilience Act Ab 2027 für Produkthersteller 15 Mio. € oder 2,5% Umsatz Produkthaftung möglich

Das Neue an NIS2 und KRITIS-Dachgesetz ist nicht die Strafhöhe – es ist die persönliche Haftung der Geschäftsleitung. Ein CISO oder CEO, der nachweislich keine angemessenen Schutzmaßnahmen ergriffen hat, haftet persönlich. Das verändert die Risikogleichung fundamental: Ein Breach ist nicht mehr nur ein Unternehmensrisiko. Es ist ein persönliches.

04 // Der ROI-Vergleich

Was ein Pentest kostet vs. was ein Breach kostet

Die Frage, die jeder CISO seinem Vorstand beantworten muss: Warum investieren wir in Sicherheitstests? Die Antwort ist keine philosophische – sie ist arithmetisch.

Investition · Prävention
15–50k €
Typische Kosten eines vollständigen Physical + IT-Pentests für ein mittelständisches Unternehmen. Einmalig, planbar, mit konkretem Maßnahmenkatalog. Ergebnis: Schwachstellen bekannt und behebbar, bevor ein Angreifer sie findet.
Schadensfall · Reaktion
1–10 Mio. €
Realistisches Schadensspektrum für ein mittelständisches Produktionsunternehmen. Ungeplant, unkontrolliert, mit ungewissem Ausgang. Kein Maßnahmenkatalog – nur Schadensbegrenzung. Ergebnis: Schwachstellen bekannt, nachdem der Angreifer sie bereits ausgenutzt hat.

Das Verhältnis ist nicht 1:1 – es ist 1:20 bis 1:200. Kein CFO würde eine Versicherung ablehnen, deren Prämie 0,5% des möglichen Schadens beträgt. Ein Pentest ist genau das: eine Prämie, die nicht die Versicherung zahlt – sondern die Schwachstelle behebt, bevor sie ausgenutzt wird.

Die einzige Zahl, die ein Vorstand für diese Entscheidung braucht: Was kostet uns ein Ausfall von sieben Tagen? Wenn die Antwort mehr ist als der Pentest, ist die Entscheidung getroffen.

Was Cyber-Versicherungen dazu sagen

Cyber-Versicherungen haben ihre Prämien in den letzten drei Jahren um durchschnittlich 40–80% erhöht – und gleichzeitig die Ausschlusskriterien verschärft. Immer mehr Policen schließen Schäden aus, die auf nachweislich bekannte und unbehobene Schwachstellen zurückgehen. Ein Pentest-Bericht, der eine Schwachstelle dokumentiert, die drei Monate vor dem Breach identifiziert und nicht behoben wurde, ist kein Schutz – er ist ein Haftungsargument für die Versicherung.

Gleichzeitig bieten mehrere große Cyber-Versicherer (u.a. Munich Re, Allianz, AXA XL) mittlerweile Prämienreduktionen für Unternehmen an, die regelmäßige Penetrationstests nachweisen können. Der Test zahlt sich also doppelt aus: als Risikoprävention und als Versicherungsargument.

05 // Was die Rechnung kleiner macht

Welche Maßnahmen die Schadenshöhe nachweislich reduzieren

IBM analysiert in seinem jährlichen Cost of a Data Breach Report nicht nur Schadenssummen, sondern auch Faktoren, die den Schaden signifikant reduzieren. Für Entscheider sind das die relevantesten Zahlen – weil sie zeigen, welche Investitionen den größten messbaren Return haben.

  • IR-Plan und regelmäßige Übungen: Unternehmen mit einem getesteten Incident-Response-Plan zahlen im Schnitt 1,5 Mio. € weniger pro Breach. Ein Plan, der nie geübt wurde, ist kein Plan – er ist ein Dokument.
  • Network Segmentation: Reduziert die Ausbreitungsgeschwindigkeit von Ransomware dramatisch. Ein verschlüsseltes Segment ist ein Incident. Ein verschlüsseltes Netzwerk ist eine Katastrophe. Segmentierung halbiert die durchschnittliche Eindämmungszeit.
  • Employee Awareness Training: 74% aller Breaches haben eine menschliche Komponente (Verizon DBIR 2024). Phishing-Simulationen und Security-Awareness-Programme reduzieren die Klickrate auf Phishing-Mails nachweislich um 60–80%.
  • MFA für alle privilegierten Zugänge: Der schnellste und günstigste Einzelschutz gegen credential-basierte Angriffe. Kostenpunkt: nahezu null. Schutzwirkung: eliminiert die Mehrheit aller account-basierten Erstzugänge.
  • Regelmäßige Penetrationstests (physisch + IT): Finden Schwachstellen, bevor Angreifer sie finden. Jede im Pentest gefundene und behobene kritische Schwachstelle ist eine potenzielle Breach-Ursache, die eliminiert wurde. Der Wert ist nicht im Bericht – er ist in dem, was danach nicht passiert.
  • Backup-Strategie mit Air Gap: Ransomware-Angriffe werden durch funktionierende, isolierte Backups von einer Katastrophe zu einem kontrollierbaren Incident. Die 3-2-1-1-Regel (3 Kopien, 2 Medien, 1 offsite, 1 offline) ist kein Best Practice mehr – sie ist das Minimum.
  • Physische Zutrittskontrolle für IT-Infrastruktur: Ein Servicetechniker mit physischem Zugang zum Netzwerkschrank ist gefährlicher als die meisten Remote-Exploits. Physische Sicherheit ist der erste Layer – nicht der letzte. Besuchermanagement, Zutrittskontrolle und Rogue-Device-Schutz gehören in dieselbe Risikobetrachtung wie Firewall und EDR.
06 // Fazit

Fazit: Die teuerste Sicherheitsinvestition ist die, die du nach dem Breach machst

Ein Breach ist keine Naturkatastrophe. Er ist das Ergebnis einer Kette von Entscheidungen – meistens Nicht-Entscheidungen: kein Pentest beauftragt, kein IR-Plan getestet, kein Backup isoliert, kein Servicetechniker-Zugang kontrolliert. Jede dieser Nicht-Entscheidungen hat einen Preis. Er wird nur nicht im Voraus ausgewiesen.

Für den Automobilzulieferer bedeutete eine Woche Produktionsausfall mehr als vier Millionen Euro – direkt und indirekt, sichtbar und still. Für ein Logistikunternehmen, ein Krankenhaus, einen Energieversorger sehen die Zahlen anders aus – aber die Struktur ist dieselbe. Produktionsausfall, Kundenverlust, Forensik, Regulatorik, Reputation.

Die Entscheidung für präventive Sicherheitsinvestitionen ist keine technische. Sie ist eine unternehmerische. Und sie lässt sich, wie jede unternehmerische Entscheidung, mit Zahlen begründen. Die Zahlen stehen oben.

Weiterführend: Wie ein Angreifer physischen Zugang erlangt, zeigt die Serie zu Visitor Management, Remote Recon und Rogue Devices. Warum ein ISO-Zertifikat keinen Schutz garantiert, erklärt der Post zu ISO 27001 vs. Physical Pentest.

Was kostet euch ein Ausfall von sieben Tagen?

Wir helfen euch, diese Zahl zu berechnen – und dann die Schwachstellen zu schließen, bevor sie zur Ursache werden. Kostenloses Erstgespräch.

Risikobewertung anfragen →
Tags // #PhysicalPentest #KRITIS #NIS2 #CISO #BreachKosten #Ransomware #Produktionsausfall #DSGVO

Über Access Granted

Adresse
Albert-Einstein-Straße 1, 95028 Hof
E-Mail
hello@access-granted.de
Telefon
+49 9281 5918506

Nützliche Links

Pentest Portfolio

Think like an Attacker, Act as a Partner

© AccessGranted X GmbH