Felix Marcial
21. Mai 2026 · 12 Min. Lesezeit
Cyber Security Awareness Training Kosten: KMU-Guide
Cyber Security Awareness Training als Gesamtlösung kostet 30–90 € pro Mitarbeiter/Jahr. ROI-Rechnung, Preisspannen und Budget-Tipps für österreichische KMU.
Cyber Security Awareness Training kostet für österreichische kleine und mittlere Unternehmen (KMU) als Gesamtlösung mit Phishing-Simulation realistisch zwischen 30–90 € pro Mitarbeiter und Jahr. Der Preis ist individuell je nach Format (E-Learning, Präsenz bzw Mischform). Außerdem muss der Funktionsumfang betrachtet werden, also danach, ob theoretische Module, Phishing-Simulationen, Reporting und Compliance-Nachweise enthalten sind.
Der wirtschaftliche Anlass ist klar: KPMG und das Sicherheitsforum Digitale Wirtschaft des Kompetenzzentrums Sicheres Österreich (KSÖ) befragten für die Studie Cybersecurity in Österreich 2026 insgesamt 1.396 österreichische Unternehmen und führten Gespräche mit 32 Fachleuten. Der Studie zufolge war jeder achte Cyberangriff erfolgreich, 30 Prozent der Angriffe führten zu einem länger andauernden Unternehmensstillstand und für jedes zweite befragte Unternehmen sind KI-gestützte Cyberangriffe die größte Herausforderung (KPMG/KSÖ, 2026). Verizon analysierte für den Data Breach Investigations Report 2025 zusätzlich 22.052 Sicherheitsvorfälle und sah dabei den menschlichen Faktor in 60 Prozent der Fälle verantwortlich (Verizon DBIR, 2025). Die Frage ist also nicht ob, sondern wann ein Vorfall passieren wird und wie gut die Mitarbeitenden darauf vorbereitet sind.
Kurzfassung
Wichtigste Punkte
- Realistische Orientierungswerte für eine KMU-Gesamtlösung: 30–90 € pro Mitarbeiter/Jahr.
- Der Preis hängt vor allem vom Format (E-Learning, Präsenz, Mischform) und vom Funktionsumfang (Phishing-Simulation, Reporting, Lokalisierung) ab.
- Der Nutzen entsteht messbar: weniger erfolgreiche Phishing-Versuche, weniger Ausfälle, weniger Datenabflüsse.
Was kostet Cyber Security Awareness Training für KMU?
Ein belastbares Awareness-Programm verursacht planbare Kosten, während ein erfolgreicher Cyber-Vorfall unplanbar eskaliert und die finanziellen Folgen stark variieren. Die folgenden Preisbereiche orientieren sich an öffentlich bekannten Marktspannen größerer Anbieter im DACH-Raum und international.
Viele internationale Anbieter veröffentlichen keine Listenpreise, sondern arbeiten mit Angeboten nach Teamgröße, Modulauswahl, Sprachpaket und Servicegrad. Die Preise sind daher als Spannen zu verstehen.
ClickWise ist auf Security-Awareness-Programme für österreichische KMU spezialisiert. Die folgenden Spannen zeigen, womit Unternehmen für Planung und Anfrage realistisch rechnen können.
| Modell | Typischer Orientierungswert | Geeignet für |
|---|---|---|
| Basis-E-Learning | 15–50 € pro Mitarbeiter/Jahr | Erste Pflichtschulung, Onboarding, kurze Impulse |
| Awareness mit Phishing-Simulation | 30–90 € pro Mitarbeiter/Jahr | Buchhaltung, Vertrieb, Assistenz, Führungsebene |
| Live-Workshop | 1.500–5.000 € pro Halb-/Ganztag | Geschäftsführung, Kick-off, Spezialthemen |
| Setup und Anpassung | 0–3.000 € einmalig | Branding, Richtlinien, Single Sign-On, Reporting |
Zusammengefasst: Reines Basis-E-Learning liegt typischerweise bei 15–50 € pro Mitarbeiter und Jahr. Eine betreute Gesamtlösung mit Phishing-Simulation und Reporting kostet für KMU realistisch zwischen 30 und 90 € pro Mitarbeiter und Jahr.
Welche Faktoren beeinflussen den Preis pro Mitarbeiter?
Die wichtigsten Faktoren sind Anzahl der Mitarbeitenden, Funktionsumfang, Lokalisierung und Betreuung. Mit steigender Teamgröße sinkt häufig der Pro-Kopf-Preis durch Mengenrabatte. Individuelle Enterprise-Verhandlungen beginnen bei vielen Anbietern aber eher ab mehreren hundert bis tausend Lizenzen; für KMU sind Paketumfang, Laufzeit und Betreuungsgrad meist relevanter.
Phishing-Simulationen, Meldebuttons in Outlook, Single Sign-On, Anbindung an das Personalsystem und rollenbasierte Lernpfade erhöhen den Preis, sparen aber interne Koordinationszeit. Wenn Erinnerungen, Nachweise, Nachschulungen und Managementberichte automatisiert sind, darf der Lizenzpreis höher liegen. Ohne diese Funktionen wird billiges Training oft teuer, weil interne Zeitkosten steigen.
Zusammengefasst: Den Preis pro Mitarbeiter treiben vier Faktoren: Teamgröße, Funktionsumfang, Lokalisierung und Betreuung. Individuelle Verhandlungen beginnen bei vielen Anbietern erst deutlich oberhalb typischer KMU-Größen. Automatisierte Erinnerungen, Reports und HR-Anbindung rechtfertigen höhere Lizenzpreise, weil sie interne Zeitkosten einsparen.
Wann rechnet sich Awareness-Training für ein Unternehmen?
Logischerweise: Awareness-Training rechnet sich, wenn verhinderte Schäden höher sind als die jährlichen Programmkosten.
Das ist vor allem bei Phishing, gefälschten Zahlungsanweisungen, Ransomware und Social Engineering relevant. Solche Angriffe sind für Unternehmen kein Randthema: Laut KPMG/KSÖ war jeder achte Cyberangriff erfolgreich. 30 Prozent der Angriffe führten zu einem länger andauernden Unternehmensstillstand; jedes vierte von Ransomware betroffene Unternehmen gab an, Lösegeld bezahlt zu haben.
Als Beispiel nehmen wir eine betreute Awareness-Lösung mit Phishing-Simulation für 75 Mitarbeitende an. Der Mittelwert der Spanne von 30–90 € liegt bei 60 € pro Mitarbeiter und Jahr. Hinzu kommen Setup- und interne Opportunitätskosten.
| Beispielrechnung | Betrag |
|---|---|
| 75 Mitarbeitende × 60 € | 4.500 € |
| Setup | 1.000 € |
| Interne Zeitkosten | 2.000 € |
| Programmkosten Jahr 1 | 7.500 € |
Verhindert das Training im Jahr einen Schaden von mehr als 7.500 €, hat es sich bereits gerechnet.
Das kann schneller passieren, als es zunächst wirkt. Schon eine falsch freigegebene Zahlung, ein erfolgreicher Phishing-Angriff oder zusätzlicher Aufwand für Untersuchung und Wiederherstellung kann deutlich über diesem Betrag liegen. Auch die Business-Continuity-Zahlen sprechen für Vorbereitung: Laut KPMG/KSÖ könnten 54 Prozent der befragten Unternehmen lediglich drei Monate weiterarbeiten, wenn wichtige Technologien/Infrastrukturen nicht verfügbar wären; 46 Prozent konnten nicht beurteilen, wie lange ihr Unternehmen weiterarbeiten könnte. Besonders große Fälle zeigen zusätzlich, welches Schadenspotenzial hinter menschlich ausgelösten Angriffen steckt: Beim österreichischen FACC-Fall verursachte CEO-Fraud rund 50 Mio. € Schaden (Bank Austria).
Hinzu kommt: Awareness-Training setzt genau dort an, wo viele dieser Angriffe erfolgreich werden, beim Verhalten der Mitarbeitenden. Das betrifft auch neue Arbeitsweisen mit KI-Tools. KPMG/KSÖ berichten, dass bei 61 Prozent Fehler bei der Nutzung von KI zu Cybersicherheits- und Datenschutzvorfällen sowie Know-how-Abfluss führten. Erfahrungswerte aus regelmäßig trainierten Awareness-Programmen zeigen, dass die Phishing-Anfälligkeit nach wiederholten Übungen und Simulationen deutlich sinken kann.
Zusammengefasst:
Awareness-Training ist wirtschaftlich gut begründbar, wenn ein Unternehmen Risiken durch Phishing, Zahlungsbetrug oder Social Engineering senken will. Im Beispiel liegt das Jahresbudget bei 7.500 €. Schon ein einziger verhinderter relevanter Vorfall kann diese Kosten übersteigen.
Wie sieht ein Budget nach Unternehmensgröße aus?
Statt einer pauschalen Tabelle hilft eine einfache Logik: Für 5 bis 24 Mitarbeitende kann ein schlanker Einstieg mit kurzen Modulen, klaren Meldewegen und einzelnen realistischen Simulationen sinnvoll sein. Ab etwa 25 Mitarbeitenden sollte Phishing-Simulation regelmäßig eingeplant werden, weil Auswertung, Nachschulung und Rollenfokus dann mehr Wirkung entfalten. Ab 50 Mitarbeitenden werden Reports, rollenbasierte Lernpfade und Nachschulungen wichtiger. Ab 150 Mitarbeitenden sollte das Programm in Onboarding, Compliance-Prozesse und Management-Reporting eingebettet sein.
Die zentrale Frage für jede Geschäftsführung ist nicht „Wie groß sind wir?", sondern: Wie viele Personen verarbeiten regelmäßig sensible Daten, geben Zahlungen frei, nutzen KI-Werkzeuge oder kommunizieren mit Lieferanten und Kunden? Je größer dieser Personenkreis im Verhältnis zur Belegschaft, desto eher lohnt sich ein Programm mit Phishing-Simulation und Reporting.
Zusammengefasst: Statt einer pauschalen Größentabelle entscheidet die Anzahl der Personen mit Zugang zu Geld, Daten oder Kundenbeziehungen über die Programmtiefe. Auch unter 25 Mitarbeitenden kann eine Simulation sinnvoll sein; ab etwa 25 sollte sie fester Bestandteil des Programms sein.
Welche versteckten Kosten sollten Geschäftsführung und IT einplanen?
Die größten versteckten Kosten sind interne Zeit, Abstimmung und Nachhalten. Eine 20-minütige Schulung für 100 Mitarbeitende entspricht bereits über 33 Arbeitsstunden. Dazu kommen Einladungen, Erinnerungen, Auswertung, Rückfragen und Gespräche mit Personen, die die Schulung nicht abgeschlossen haben.
Wichtig ist außerdem die Akzeptanz im Team. Phishing-Simulationen sollten so aufgebaut sein, dass sie Mitarbeitende nicht bloßstellen.
Training ersetzt technisches Patchmanagement nicht, macht dessen Bedeutung aber im Alltag greifbar. KPMG/KSÖ nennen ineffektives Patchmanagement mit 40 Prozent als häufigstes Einfallstor. Wer zusätzlich den menschlichen Angriffsvektor verstehen will, findet die Grundlagen im Beitrag zu Spear Phishing für KMU.
Wie wählen KMU ein Angebot mit gutem ROI?
Ein gutes Programm liefert klare Antworten auf vier Fragen: Welche Inhalte sind enthalten? Wie messbar sind die Lernfortschritte? Welche Reports gehen an die Geschäftsführung? Wie nahtlos lässt es sich in bestehende HR- und IT-Prozesse einbetten?
Für die Geschäftsführung ist außerdem entscheidend, ob das Angebot Entscheidungen erleichtert. Ein monatlicher Risikobericht mit Teilnahmequote, Phishing-Melderate und offenen Nachschulungen ist wertvoller als ein Ordner voller Zertifikate. Compliance profitiert, wenn neue Mitarbeitende automatisch ins Onboarding aufgenommen werden, ohne manuelle Pflege durch HR.
Worauf bei der Auswahl zu achten ist:
- deutschsprachige und DACH-nahe Inhalte,
- kurze Module statt langer Pflichtvideos,
- Phishing-Simulationen mit klarem Lernfokus,
- Rollenpfade für Geschäftsführung, Buchhaltung und Vertrieb,
- Nachweise, die zu DSGVO und NIS2/NISG 2024 passen,
- exportierbare Reports,
- transparente Gesamtkosten.
Zusammengefasst: Ein gutes Angebot beantwortet vier Fragen klar: Inhalte, Messbarkeit, Reports und Einbettung in HR- und IT-Prozesse. Für österreichische KMU sind außerdem DACH-nahe Inhalte, sichere KI-Nutzung, DSGVO- und NISG-2024-taugliche Nachweise sowie exportierbare Reports entscheidend.
FAQ zu Cyber Security Awareness Training Kosten
Wie viel kostet Cyber Security Awareness Training pro Mitarbeiter?
Für eine betreute Gesamtlösung sind 30–90 € pro Mitarbeiter und Jahr realistische Orientierungswerte. Reines Basis-E-Learning kann darunter liegen. Der konkrete Preis hängt von E-Learning, Phishing-Simulation, Reporting und Betreuung ab.
Reicht eine jährliche Schulung aus?
Eine jährliche Schulung ist ein Start, aber selten genug. Für KMU sind kurze Quartalsimpulse, Onboarding-Module und regelmäßige Phishing-Übungen meist wirksamer als ein langer Jahreskurs.
Lohnen sich Phishing-Simulationen für kleine Unternehmen?
Ja, besonders bei vielen E-Mails, Zahlungsfreigaben oder Kundendaten. KPMG/KSÖ berichten, dass jeder achte Cyberangriff erfolgreich war und 30 Prozent der Angriffe zu einem länger andauernden Unternehmensstillstand führten (KPMG/KSÖ, 2026). Das österreichische Bundeskriminalamt registrierte 2024 zusätzlich 31.768 Fälle von Internetbetrug, den größten Block der Cybercrime-Delikte (BMI Cybercrime Report, 2025). Simulationen machen Risiken sichtbar und zeigen, wo Nachschulung nötig ist. Realistische Szenarien orientieren sich an aktuellen Mustern wie gezieltem Spear Phishing.
Ist Awareness Training für NIS2 relevant?
Ja. Die NIS2-Richtlinie der EU ist in Österreich durch das Netz- und Informationssystemsicherheitsgesetz (NISG 2024) umgesetzt und verlangt nachweisbare Cybersicherheitsmaßnahmen für betroffene Unternehmen sowie deren Lieferkette. Laut KPMG/KSÖ fand jeder fünfte Cyberangriff über die Lieferkette statt. Auch indirekt nachweispflichtige KMU, etwa Zulieferer regulierter Branchen, profitieren daher von dokumentierten Awareness-Schulungen, weil sie Pflichten gegenüber Auftraggebern, Versicherungen und Aufsichtsbehörden nachvollziehbar erfüllen.
Fazit: Welches Budget ist sinnvoll?
Awareness-Training ist für österreichische KMU kein Nebenposten, sondern ein kalkulierbarer Schutz für Mitarbeitende, Zahlungen und Daten. Wenn jeder achte Angriff in Österreich erfolgreich ist und 30 Prozent der Angriffe zu längerem Stillstand führen, ist die Frage nicht, ob ein Programm sich rechnet, sondern wie schnell.
Als grobe Budgetregel gilt: Starten Sie mit Risiko und Nachweisbedarf, nicht mit dem billigsten Lizenzpreis. Für viele österreichische KMU ist ein Programm zwischen 40 und 60 € pro Mitarbeiter/Jahr ein sinnvoller Mittelweg, wenn Phishing-Simulationen, Reporting und Nachschulungen enthalten sind.
Statt „Was kostet das Training?" sollten Geschäftsführung, IT und Compliance gemeinsam fragen: „Welcher vermeidbare Vorfall rechnet das Programm für uns?" Diese Frage bringt alle Beteiligten auf eine gemeinsame ROI-Logik.
