ROSI-Rechner

ROSI (Return on Security Investment) ist eine spezialisierte Variante des ROI für IT-Sicherheitsinvestitionen. Während der klassische ROI den Gewinn misst, quantifiziert ROSI die vermiedenen Verluste: Wie viel Schaden verhindern Ihre Security-Maßnahmen im Verhältnis zu deren Kosten? Die Formel lautet: ROSI = (ALE × Risikoreduktion − Kosten) / Kosten × 100%.

Das Gordon-Loeb-Modell (2002, ACM TISSEC) ist das Standardmodell der Informationssicherheits-Ökonomie. Es zeigt mathematisch, dass Unternehmen nie mehr als 37% des erwarteten Verlusts in Sicherheit investieren sollten — wegen abnehmender Grenzwirkung. Die Kurve in unserem Rechner visualisiert diesen Zusammenhang: Mehr Investment senkt das Risiko, aber mit sinkender Effizienz.

Die Mitigationsraten basieren auf veröffentlichten Studien: Penetration Testing (20%, Branchen-Konsens), ISO 27001 (35%, Versicherer-Daten), Security Awareness Training (30%, KnowBe4 2024), Vulnerability Management (25%, Automox/IBM), Incident Response (20%, IBM 2024). Bei Kombination mehrerer Maßnahmen wird die kombinierte Risikoreduktion mit der Formel 1 − Π(1 − Einzelrate) berechnet.

Die durchschnittlichen Breach-Kosten und Risikofaktoren basieren auf dem IBM Cost of a Data Breach Report 2024/2025, dem Bitkom-Wirtschaftsschutzbericht 2024 und dem Hiscox Cyber Readiness Report 2024. Die Werte sind auf den deutschen Mittelstand herunterskaliert (SME-Korrekturfaktor).

Nein. Alle Berechnungen laufen ausschließlich in Ihrem Browser. Keine Daten werden an Server übertragen. Der Rechner ist vollständig DSGVO-konform.

Gerade für KMU ist der ROSI oft besonders hoch: Die Kosten für Basismaßnahmen (Pentest ab €15.000, Awareness Training ab €60/MA) sind überschaubar, während ein einzelner Breach laut IBM durchschnittlich €150.000–350.000 kostet. Hinzu kommen regulatorische Risiken: DSGVO-Bußgelder bis zu €20 Mio. oder 4% des Umsatzes.