NIS-2 & Compliance

Cyberrisiken finanziell messbar machen: Warum Cybersicherheit in die Sprache des Vorstands übersetzt werden muss

Was man nicht messen kann, kann man auch nicht steuern. Dieser Grundsatz gilt in der Betriebswirtschaft seit Jahrzehnten — nur in der Cybersicherheit wird er konsequent ignoriert. Unternehmen investieren jährlich erhebliche Mittel in Security-Maßnahmen, ohne ein echtes Verständnis dafür zu haben, welche Risiken sie damit tatsächlich adressieren — und welche nicht.

In einem aktuellen Interview für contentway erläutert Asdrúbal Pichardo, Managing Director und CEO von Squalify, warum die finanzielle Quantifizierung von Cyberrisiken ein zentraler Hebel für bessere Sicherheitsentscheidungen ist.

Cyberrisiken als betriebswirtschaftliche Größe

Das Kernproblem: Cybersicherheit wird in den meisten Unternehmen weiterhin als Angelegenheit der IT-Abteilung behandelt. Investitionen orientieren sich an Checklisten oder subjektiven Einschätzungen statt an messbaren Auswirkungen auf das Geschäft. Die Folge: Vorstände und Geschäftsführer können nicht beurteilen, ob jeder investierte Euro dort wirkt, wo er das Unternehmen tatsächlich schützt.

Squalify verfolgt einen anderen Ansatz: Das Unternehmen übersetzt Cyberrisiken in finanzielle Kennzahlen — ROI, EBIT, Cashflow. Damit sprechen IT und Vorstand endlich die gleiche Sprache. Das Cyberrisiko wird auf Unternehmensebene betrachtet: die Konsequenzen eines Cyber-Vorfalls auf das Unternehmen quantifiziert, mit direkter Relevanz für die Geschäftsführung.

42 Datenpunkte für belastbare Risikoaussagen

Bemerkenswert ist die Effizienz des Ansatzes: Anhand von nur 42 Datenpunkten berechnet die Squalify-Plattform bereits belastbare Zahlen mit Vorstandsrelevanz. Das Quantifizierungsmodell basiert auf historischen Daten zu tatsächlichen Cyber-Verlusten von mehr als 100.000 Unternehmen weltweit und der Expertise von Munich Re, einem der führenden Cyber-Rückversicherer.

Die Ergebnisse werden auf Basis eines standardisierten, an Unternehmensdaten angepassten Modells in finanzielle Kennzahlen übersetzt. Das ermöglicht präzise Risikoaussagen mit minimalem Aufwand — ein entscheidender Vorteil gegenüber klassischen Risk-Assessments, die oft Monate dauern und trotzdem abstrakt bleiben.

Typische Anwendungsfälle

Unternehmen nutzen die Plattform laut Pichardo vor allem, um festzustellen, welche Investitionen in Cybersicherheit den größten Effekt haben und das Risiko am stärksten reduzieren. Gerade Großunternehmen setzen Squalify außerdem zur transparenten Steuerung von Tochtergesellschaften oder für objektive Benchmarks mit Wettbewerbern ein. Darüber hinaus unterstützt die Plattform bei der Auswahl geeigneter Cyberversicherungen.

Warum das für die Geschäftsführung relevant ist

Die finanzielle Quantifizierung von Cyberrisiken adressiert ein Problem, das mit NIS-2 akuter denn je ist: Geschäftsführer haften persönlich für die Angemessenheit ihrer Sicherheitsmaßnahmen. Doch wie weist man Angemessenheit nach, wenn man die Risiken nicht beziffern kann? Wer seine Cyberrisiken in Euro ausdrücken kann, trifft bessere Entscheidungen — und kann diese gegenüber Aufsichtsbehörden, Versicherern und Geschäftspartnern belegen.

Der Ansatz zeigt, wohin sich die Branche entwickelt: Weg vom Bauchgefühl, hin zu datengetriebenen Sicherheitsentscheidungen auf Vorstandsebene.

J. Benjamin Espagné

Messen ist gut — Sichtbarkeit ist die Voraussetzung

Der Ansatz von Squalify ist interessant und adressiert ein reales Problem: Viele Geschäftsführer können nicht beurteilen, ob ihre Security-Investitionen angemessen sind, weil ihnen die Zahlen fehlen. Cyberrisiken in finanziellen Kennzahlen auszudrücken, macht sie für die Geschäftsführung greifbar und entscheidbar.

Aber: Jede Quantifizierung ist nur so gut wie die Daten, die ihr zugrunde liegen. Und genau hier beginnt unsere Arbeit. Ohne ein funktionierendes SIEM, das alle sicherheitsrelevanten Ereignisse erfasst und korreliert, fehlt die empirische Basis für jede Risikobewertung. Sie können Ihr Cyberrisiko in Euro ausdrücken — aber wenn Sie nicht sehen, was in Ihrem Netz tatsächlich passiert, sind diese Zahlen bestenfalls Schätzungen.

Unsere Empfehlung: Kombinieren Sie finanzielle Risikoquantifizierung mit operativer Sichtbarkeit. Ein SIEM liefert die Echtzeit-Datenbasis, ein SOC die kontinuierliche Bewertung, und eine NIS-2-Gap-Analyse den regulatorischen Rahmen. Erst dann wird aus einer Zahl auf dem Papier eine belastbare Entscheidungsgrundlage.

contentway / Squalify — „Cyberrisiken finanziell messbar machen“ (Partner Content, 02.04.2026)
Squalify — Cyber Risk Quantification Platform

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse

NIS-2 & Compliance

Cybersicherheit ist Chefsache: Warum NIS-2 die Geschäftsführung in die Pflicht nimmt

J. Benjamin Espagné 7. April 20267. April 2026

Cybersicherheit ist längst kein reines IT-Thema mehr — sie ist Chefsache. Das wird spätestens mit NIS-2 und dem EU AI Act auch…

lesen Cybersicherheit ist Chefsache: Warum NIS-2 die Geschäftsführung in die Pflicht nimmt
AI Security

Wenn KI die Seiten wechselt: 6 Wege, wie Angreifer KI-Dienste gegen Ihr Unternehmen einsetzen

J. Benjamin Espagné 7. April 20267. April 2026

Künstliche Intelligenz verändert die Cybersecurity-Landschaft — aber nicht nur auf der Verteidigerseite. Angreifer nutzen dieselben KI-Dienste, die Unternehmen für Produktivität und Innovation…

lesen Wenn KI die Seiten wechselt: 6 Wege, wie Angreifer KI-Dienste gegen Ihr Unternehmen einsetzen
NIS-2 & Compliance

Cyber Resilience Act: Was der CRA für Ihr Unternehmen bedeutet

J. Benjamin Espagné 1. April 20267. April 2026

Der EU Cyber Resilience Act wird ab Juni 2026 wirksam und betrifft praktisch jedes Unternehmen, das Produkte mit digitalen Elementen herstellt, importiert oder vertreibt. Aber auch Anwender solcher Produkte sollten verstehen, was auf sie zukommt — und welche Chancen der CRA für die eigene IT-Sicherheit bietet.

lesen Cyber Resilience Act: Was der CRA für Ihr Unternehmen bedeutet
Supply Chain Security

Axios Supply-Chain-Angriff: Was Admins jetzt prüfen müssen

J. Benjamin Espagné 1. April 20267. April 2026

Nordkoreanische Angreifer haben das npm-Paket Axios trojanisiert — mit 100 Millionen wöchentlichen Downloads der bisher folgenreichste Supply-Chain-Angriff im npm-Ökosystem. Konkrete Handlungsanweisungen für Administratoren und Entwicklungsteams.

lesen Axios Supply-Chain-Angriff: Was Admins jetzt prüfen müssen
Phishing & Social Engineering

MFA wird nicht gebrochen — sie wird umgangen. Und Ihre Mitarbeiter merken es nicht.

J. Benjamin Espagné 1. April 20267. April 2026

Adversary-in-the-Middle-Phishing macht klassische MFA wirkungslos: Angreifer fangen die komplette Authentifizierung in Echtzeit ab — inklusive Session-Token. Push-Benachrichtigungen, SMS-Codes und Authenticator-Apps schützen nicht mehr. Was wirklich hilft: von FIDO2 über Geo-Blocking bis Proxy-Detection.

lesen MFA wird nicht gebrochen — sie wird umgangen. Und Ihre Mitarbeiter merken es nicht.
Schwachstellen & Exploits

CVE-2026-33017: Kritische Langflow-Schwachstelle wird innerhalb von Stunden ausgenutzt

J. Benjamin Espagné 30. März 20267. April 2026

CISA schlägt Alarm: Eine kritische Code-Injection-Schwachstelle in der KI-Workflow-Plattform Langflow (CVE-2026-33017, CVSS 9.3) wurde innerhalb von 20 Stunden nach Veröffentlichung aktiv ausgenutzt — ganz ohne öffentlichen Exploit-Code. Was das für Unternehmen mit KI-Tooling bedeutet.

lesen CVE-2026-33017: Kritische Langflow-Schwachstelle wird innerhalb von Stunden ausgenutzt