Einblick in den WAARD Breach Calculators: Methodik, Datenquellen und wie wir Risiken beziffern

Der WAARD Breach Calculator basiert auf dem FAIR-Framework, dem einzigen international anerkannten Standard zur Quantifizierung von Informationsrisiken in finanziellen Grössen. Veröffentlicht von The Open Group und gepflegt vom FAIR Institute, wird das Modell weltweit von Organisationen eingesetzt, von Banken und Versicherern bis hin zu Behörden.

FAIR zerlegt Cyberrisiken in zwei fundamentale Dimensionen: die Wahrscheinlichkeit, dass ein Verlustereignis eintritt (Loss Event Frequency) und das Ausmass dieses Verlusts (Loss Magnitude). Statt auf subjektive Risikobewertungen wie «hoch», «mittel» oder «tief» zu setzen, produziert FAIR monetäre Schätzungen, die auf beobachtbaren Daten beruhen.

Innerhalb der Loss Magnitude definiert die FAIR-Taxonomie sechs verschiedene Verlustformen:

• Produktivitätsverlust: betriebliche Ausfallzeit und Leerlauf der Mitarbeitenden während des Vorfalls
• Reaktionskosten: forensische Untersuchung, Rechtsberatung, Benachrichtigung Betroffener und Kreditüberwachung
• Ersatzkosten: Wiederaufbau kompromittierter Systeme, Datenwiederherstellung, Infrastruktur-Upgrades
• Bussen und Strafen: regulatorische Sanktionen unter DSGVO, nDSG, PCI DSS oder NIS2
• Wettbewerbsnachteil: gestohlenes geistiges Eigentum, verlorene Geschäftsgeheimnisse, geschwächte Marktposition
• Reputationsschaden: Kundenabwanderung, Markenerosion und PR-Wiederherstellung

Jede Schätzung des WAARD Calculators bildet direkt auf eine dieser sechs Verlustformen ab. Das ist keine proprietäre Blackbox. Es ist eine gut dokumentierte, von Fachleuten geprüfte Methodik, die weltweit von Cybersecurity-Experten angewandt wird.

WAARD bietet zwei Wege zur Schätzung der Auswirkungen eines Sicherheitsvorfalls, beide angetrieben vom selben FAIR-Motor.

Der Quick Calculator auf der Startseite stellt drei Fragen: Ihre Umsatzklasse, Ihre Branche und Ihre Mitarbeiterzahl. Er konstruiert ein konservatives Basisszenario (keine besondere Datensensibilität, keine Sicherheitsmassnahmen vorhanden) und lässt es durch das vollständige FAIR-Modell laufen. Das Ergebnis ist eine schnelle, richtungsweisende Schätzung: Die vier Kostenkategorien, die Sie sehen (Umsatzausfall, Wiederherstellung, Regulatorisches und IP, Reputation) sind eigentlich die sechs FAIR-Verlustformen, zur besseren Lesbarkeit gruppiert.

Der vollständige Breach Calculator unter /breach-calculator ist ein geführter Fünf-Schritte-Assistent, der detaillierte Informationen zu Ihrem Unternehmensprofil, Geschäftsbetrieb, Datensensibilität und Sicherheitslage erhebt. Jede Antwort passt die zugrundeliegenden FAIR-Parameter direkt an und erzeugt eine hochindividualisierte Schätzung mit detaillierter Aufschlüsselung aller sechs Verlustformen, einem zusammengesetzten Risikoscore, einer Wiederherstellungszeitachse, einer Analyse der regulatorischen Exposition und einem Vergleich mit ähnlichen Unternehmen.

Beide Tools produzieren Drei-Punkt-Schätzungen: ein konservatives Minimum (bester Fall), einen Median (erwartetes Ergebnis) und ein pessimistisches Maximum (schlimmster Fall). Die Spanne widerspiegelt die inhärente Unsicherheit bei der Modellierung von Sicherheitsvorfällen. Das Minimum liegt bei ungefähr 40% des Medians, das Maximum bei etwa 250%, konsistent mit dem FAIR-Ansatz zur Modellierung asymmetrischer Extremrisiken in Verlustverteilungen.

Die Branche ist eine der einflussreichsten Variablen bei der Schätzung von Breach-Kosten. Der IBM Cost of a Data Breach Report 2025 zeigt konstant, dass Vorfälle im Gesundheitswesen 1,6 bis 1,7 Mal so viel kosten wie der branchenübergreifende Durchschnitt, während Finanzdienstleistungen und Energiesektor ebenfalls überdurchschnittliche Kosten verzeichnen. Der WAARD Calculator bildet dies über branchenspezifische Parameter in fünf Dimensionen ab.

Erstens skaliert ein Kostenmultiplikator die Gesamtauswirkung. Gesundheitswesen wendet einen Faktor von 1,67x an, Finanzdienstleistungen 1,25x, Energie 1,15x, Fertigung 1,13x, Transport 1,10x und Technologie 1,08x. Bildung, Bau, Gastgewerbe und allgemeine Dienstleistungen liegen nahe an der Basislinie (0,92x bis 1,05x). Diese Faktoren leiten sich aus den branchenspezifischen Kosten-pro-Vorfall-Daten von IBM ab.

Zweitens variieren die Ausfallzeiten dramatisch. Die Fertigung sieht bis zu 240 Stunden betrieblicher Unterbrechung (IBM 2025 Ransomware-Wiederherstellungs-Benchmarks), während professionelle Dienstleistungsunternehmen den Betrieb typischerweise innerhalb von 36 Stunden wiederherstellen. Das Gesundheitswesen liegt bei durchschnittlich 168 Stunden, was die Komplexität der Wiederherstellung klinischer Systeme widerspiegelt.

Drittens unterscheiden sich die Wiederherstellungszeitrahmen. Gesundheitsorganisationen benötigen durchschnittlich 120 Tage zur Erkennung eines Vorfalls, 60 zur Eindämmung und 99 zur vollständigen Wiederherstellung, insgesamt 279 Tage. Technologieunternehmen liegen bei durchschnittlich 170 Tagen von Anfang bis Ende. Diese Basisdaten stammen aus den IBM 2025 Benchmarks und werden zusätzlich nach Unternehmensgrösse skaliert.

Viertens unterscheiden sich die Bedrohungsprofile nach Sektor. ENISA Threat Landscape 2024 und der Hiscox Cyber Readiness Report 2024 zeigen, dass Finanzdienstleistungen und Gesundheitswesen den raffiniertesten Angreifern ausgesetzt sind (auf staatlichem Niveau), während Sektoren wie das Baugewerbe primär opportunistischen Bedrohungen begegnen. Der Calculator modelliert dies über Contact Frequency (wie oft Bedrohungsakteure Ihren Sektor ins Visier nehmen) und Threat Capability (Raffinesse der Angreifer).

Fünftens variieren die Kundenabwanderungsraten. Die Forschung des Ponemon Institute zeigt, dass Finanzdienstleister nach einem Vorfall eine abnormale Kundenabwanderung von etwa 5% erfahren, Einzelhandel und Gastgewerbe rund 4 bis 4,5%, und das Gesundheitswesen ungefähr 4%. Andere Sektoren liegen durchschnittlich bei 3,4%.

Jede Eingabe im Breach Calculator passt direkt einen oder mehrere FAIR-Parameter an. So beeinflusst jeder Faktor das Ergebnis.

Das Land bestimmt das regulatorische Umfeld und die Lebenshaltungskosten. Schweizer Unternehmen unterliegen einem 1,3x-Ländermultiplikator, der höhere Arbeitskosten, strengeren Datenschutz (nDSG) und Premium-Marktbedingungen widerspiegelt. Deutschland ist die 1,0x-Basislinie. Das Vereinigte Königreich liegt bei 1,1x. Österreich und Frankreich bei 0,95x. Das Land bestimmt auch, welche regulatorischen Rahmenwerke gelten: DSGVO für EU-Mitgliedstaaten, nDSG für die Schweiz.

Der Umsatz ist der Anker für nahezu jede Berechnung. Produktivitätsverlust wird aus dem Stundenumsatz abgeleitet. Reaktionskosten (Forensik, Recht, Sanierung) basieren auf Prozentsätzen und werden dann auf grössenangemessene Unter- und Obergrenzen begrenzt. Regulatorische Bussen unter der DSGVO werden als Prozentsatz des Umsatzes berechnet (bis zu 4%, wobei die typische Schwere bei etwa 15% des Maximums liegt).

Die Mitarbeiterzahl bestimmt die Grössenkategorie (Mikro, Klein, Mittel, Grossunternehmen), die Kostenuntergrenzen, Obergrenzen, Ausfallzeitlimits und Wiederherstellungsskalierung steuert. Ein Mikrounternehmen (unter 10 Mitarbeitende) wird nie eine 8-Tage-Ausfallzeitschätzung sehen, weil das Modell deren Ausfallzeit auf 8 Stunden begrenzt, was der Realität Rechnung trägt, dass sehr kleine Unternehmen sich anders erholen als Grossunternehmen.

Eine Produktionsumgebung multipliziert den Produktivitätsverlust mit 1,5x, was die höheren Auswirkungen von Ausfallzeiten auf operative Betriebe widerspiegelt. Cloud-Infrastruktur reduziert Sanierungs- und Ersatzkosten (vollständig Cloud: 0,6x, Hybrid: 0,8x) und beschleunigt Wiederherstellungszeitachsen um 15%. E-Commerce-Betrieb addiert einen 1,3x-Multiplikator auf umsatzbasierte Produktivitätsverluste.

Kritische Infrastruktur löst NIS2-regulatorische Exposition aus (2% des Umsatzes), erhöht Rechtskosten um 1,5x und hebt die geschätzte Angreifer-Raffinesse auf das 75. Perzentil an.

Kundendaten (PII) lösen Benachrichtigungskosten aus (ungefähr EUR 3 pro Datensatz, basierend auf IBMs 2025-Kosten-pro-Datensatz-Daten) und Kreditüberwachungskosten (EUR 20 pro Person pro Jahr). Sie erhöhen ausserdem die Abwanderungsrate um 30% und steigern die Wahrscheinlichkeit, dass sekundäre Verluste (Bussen, Reputationsschaden) eintreten.

Finanzdaten lösen PCI-DSS-Exposition aus (1% des Umsatzes, begrenzt auf EUR 500'000) und erhöhen die Kundenabwanderung um zusätzliche 20%.

Gesundheitsdaten wenden einen 1,3x-Multiplikator auf alle regulatorischen Bussen an, was die strengeren Strafen für Gesundheitsdaten-Verstösse unter DSGVO und sektorspezifischen Regulierungen widerspiegelt.

Geistiges Eigentum erhöht den Wettbewerbsnachteil von einer Basislinie von 0,5% des Umsatzes auf 3 bis 5% je nach Branche (Technologieunternehmen bei 5%, Fertigung und Gesundheitswesen bei 4%).

Der Abschnitt zur Sicherheitslage ist bewusst optional gehalten. Er misst, was Sie heute bereits implementiert haben, und wendet evidenzbasierte Reduktionen auf die Gesamtschätzung an.

Ein Incident-Response-Plan (bestätigt) reduziert die gesamte finanzielle Auswirkung um 15% und beschleunigt die Erkennung eines Vorfalls um 20%. IBMs 2025-Daten zeigen, dass Organisationen mit getesteten IR-Plänen durchschnittlich USD 473'706 pro Vorfall einsparen. Eine «unsicher»-Antwort wendet einen reduzierten Vorteil von 5% an.

Security-Awareness-Training reduziert die Auswirkung um 10%. Das Ponemon Institute stellt konsistent fest, dass menschliches Versagen bei über 70% aller Sicherheitsvorfälle eine Rolle spielt. Schulungen reduzieren diese Wahrscheinlichkeit.

Cyberversicherung reduziert die finanzielle Auswirkung um 20%. Das reflektiert Risikotransfer, nicht verbesserte Sicherheit. Der Hiscox Cyber Readiness Report 2024 zeigt, dass versicherte Unternehmen sich finanziell schneller erholen, obwohl sie nicht weniger wahrscheinlich betroffen sind.

Regelmässige Sicherheitsüberprüfungen reduzieren die Auswirkung um 10% und beschleunigen die Eindämmung um 10%. Proaktives Schwachstellenmanagement gehört laut ENISAs 2024-Empfehlungen zu den wirkungsvollsten Abwehrmassnahmen.

Alle Reduktionen sind kumulativ, aber auf insgesamt 45% begrenzt. Diese Obergrenze reflektiert die Realität, dass keine Kombination von Sicherheitsmassnahmen das Risiko vollständig eliminiert, konsistent mit FAIRs Betonung des Restrisikos.

Neben der finanziellen Schätzung produziert der Calculator einen Risikoscore von 0 bis 100. Dieser ist nicht dasselbe wie die finanzielle Auswirkung. Er misst die Gesamtrisikoexposition über vier gewichtete Dimensionen.

Datensensibilität trägt 40% zum Score bei. Kundendaten (PII), Finanzdaten, Gesundheitsdaten und geistiges Eigentum addieren jeweils Punkte, wobei Gesundheitsdaten am höchsten gewichtet sind (30 Punkte) aufgrund ihrer regulatorischen Sensibilität. Grosse Datenbestände (über 100'000 Datensätze) erhöhen die Exposition zusätzlich.

Regulatorische Exposition trägt 25% bei. DSGVO-Anwendbarkeit, Status als kritische Infrastruktur (NIS2), Finanzdatenverarbeitung (PCI DSS) und Gesundheitsdatenregulierungen tragen jeweils bei. Diese Gewichtung reflektiert die Durchsetzungstrends des EDPB (European Data Protection Board), die stetig steigende Bussenbeträge zeigen.

Sicherheitslage trägt 20% bei. Ausgehend von einer Basislinie von 20 Punkten reduziert jede implementierte Sicherheitsmassnahme den Score. Ein Unternehmen ohne IR-Plan, ohne Schulungen, ohne Versicherung und ohne Überprüfungen behält die vollen 20 Strafpunkte.

Infrastrukturkomplexität trägt 15% bei. Produktionsumgebungen, hybride Cloud-Architekturen, E-Commerce-Betrieb und grössere Mitarbeiterzahlen vergrössern die Angriffsfläche und die Wiederherstellungskomplexität.

Der finale Score wird bei 50 (durchschnittliches Risiko) verankert, mit einer Untergrenze von 5 und einer Obergrenze von 98.

Der Calculator schätzt, wie Ihr Risiko im Vergleich zu ähnlichen Organisationen steht. Er berechnet einen Durchschnitt vergleichbarer Unternehmen basierend auf Ihrem Umsatz und Ihrer Branche und positioniert Ihre geschätzte Auswirkung als Perzentil. Ein Ergebnis im 70. Perzentil bedeutet, dass Ihre geschätzten Breach-Kosten die von 70% vergleichbarer Unternehmen übersteigen.

Die Wiederherstellungszeitachse schätzt, wie lange Ihre Organisation brauchen würde, um einen Sicherheitsvorfall zu erkennen, einzudämmen und sich davon zu erholen. Die Basiszeitachsen stammen aus IBMs 2025-Daten (beispielsweise liegt der branchenübergreifende Durchschnitt bei 194 Tagen zur Erkennung eines Vorfalls). Diese werden dann nach Unternehmensgrösse skaliert (Mikrounternehmen erholen sich in ungefähr 20% der Enterprise-Basislinie) und nach Sicherheitsmassnahmen angepasst. Unternehmen mit Cloud-Infrastruktur erholen sich etwa 15% schneller. Solche mit IR-Plänen erkennen Vorfälle 20% früher.

Realistische Mindestwerte werden durchgesetzt: 3 Tage zur Erkennung, 1 Tag zur Eindämmung und 2 Tage zur Wiederherstellung. Selbst das bestvorbereitete kleine Unternehmen braucht ein minimales Reaktionsfenster.

Hier die vereinfachte Gesamtformel:

Gesamtauswirkung = (Produktivitätsverlust + Reaktionskosten + Ersatzkosten + Bussen + Wettbewerbsverlust + Reputationsschaden) x Ländermultiplikator x Branchenmultiplikator x (1 - Sicherheitsreduktion)

Jede der sechs Verlustformen wird unabhängig berechnet, basierend auf unternehmensspezifischen Eingaben:

• Produktivitätsverlust = (Stundenumsatz x begrenzte Ausfallstunden x betriebliche Multiplikatoren) + (Mitarbeitende x Leerlaufrate x Stunden)
• Reaktionskosten = IR-Forensik + Rechtsberatung + Benachrichtigungskosten + Kreditüberwachung + technische Sanierung (jeweils begrenzt auf Grössenband-Unter- und Obergrenzen)
• Ersatzkosten = Umsatz x 2% x Cloud-Anpassung x Produktionsmultiplikator (begrenzt auf Grössenband)
• Bussen = DSGVO-Exposition + nDSG-Exposition + PCI DSS + NIS2 (jeweils nur anwendbar, wenn relevante Jurisdiktion und Datentyp vorliegen)
• Wettbewerbsverlust = Umsatz x IP-Risikofaktor (3 bis 5% bei vorhandenem IP, 0,5% Basislinie)
• Reputationsschaden = Umsatz x Abwanderungsrate x Auswirkungsfenster + PR-Wiederherstellungskosten

Die Drei-Punkt-Schätzung (Minimum, Median, Maximum) reflektiert die Unsicherheit, die jedem vorausschauenden Risikomodell innewohnt. Der Median ist die primäre Schätzung. Das Minimum (40% des Medians) stellt ein Best-Case-Szenario dar. Das Maximum (250% des Medians) repräsentiert ein Extremrisiko-Szenario, bei dem mehrere verstärkende Faktoren zusammenwirken.

Jeder Parameter im WAARD Breach Calculator ist gegen veröffentlichte, von Fachleuten geprüfte Forschung kalibriert:

• IBM Cost of a Data Breach Report 2025: der massgebliche jährliche Benchmark, nun im 19. Jahr, mit Daten von 604 Organisationen in 17 Branchen und 16 Ländern. Liefert Kosten pro Datensatz, Branchenmultiplikatoren, Ausfallzeit-Benchmarks und Wiederherstellungszeitachsen.
• Ponemon Institute: langjährige Forschung zu Breach-Kosten, Kundenabwanderungsraten (3,4% durchschnittliche abnormale Abwanderung) und den finanziellen Auswirkungen von Sicherheitsmassnahmen. Das Ponemon Institute ist seit fast zwei Jahrzehnten Forschungspartner hinter dem IBM-Bericht.
• FAIR Institute / The Open Group: der Open-FAIR-Standard (O-RA und O-RR) liefert die taxonomische Grundlage für unsere sechs Verlustformen und das Wahrscheinlichkeitsframework für den interaktiven FAIR Tree.
• ENISA Threat Landscape 2024: die jährliche Bedrohungsbewertung der Agentur der Europäischen Union für Cybersicherheit, die unsere Standard-Werte für Threat Capability und Contact Frequency nach Branche informiert.
• Hiscox Cyber Readiness Report 2024: liefert europaspezifische Daten zu KMU-Cyberkosten, Versicherungseffektivität und sektorspezifischer Angriffshäufigkeit. Kernbefund: Der Medianschaden eines Cybervorfalls für ein europäisches KMU liegt zwischen EUR 10'000 und EUR 50'000, mit Ausreissern über EUR 500'000.
• EDPB (European Data Protection Board): Durchsetzungsstatistiken und Bussentrends fliessen in unsere DSGVO-Strafberechnungen ein. Durchschnittliche DSGVO-Bussen steigen Jahr für Jahr, wobei die Schwere typischerweise bei 10 bis 20% des theoretischen Maximums liegt.

Wir aktualisieren diese Parameter, sobald neue Forschungsergebnisse veröffentlicht werden. Der Calculator, den Sie heute nutzen, reflektiert die aktuellsten verfügbaren Daten.

Der WAARD Breach Calculator ist keine Kristallkugel. Kein Modell kann exakt vorhersagen, was ein Sicherheitsvorfall Ihre spezifische Organisation kosten wird. Aber indem wir jede Schätzung auf veröffentlichter Forschung, transparenten Formeln und der international anerkannten FAIR-Methodik gründen, wollen wir Ihnen den zuverlässigsten verfügbaren Ausgangspunkt bieten, einen, der abstraktes Risiko in handlungsfähige Zahlen verwandelt.