Der Security-Posten im Budget wächst jedes Jahr, aber das Gefühl von Sicherheit wächst nicht mit. Ein IT-Leiter eines Schweizer Industriebetriebs zählte kürzlich vierzehn Sicherheitswerkzeuge auf: drei mit überlappender Funktion, zwei, in die sich seit Monaten niemand mehr eingeloggt hatte. Die Geschäftsleitung fragt, warum die Kosten steigen, während die Zahl der Vorfälle gleich bleibt. Und die IT hat auf diese Frage keine gute Antwort.
Genau hier beginnt die Arbeit, Security-Tools zu konsolidieren. Nicht bei der Frage, was noch fehlt, sondern bei der Frage, was schon da ist und wirklich wirkt. Für Schweizer KMU mit 50 bis 500 Mitarbeitenden ist das oft der grösste Hebel, den es gibt, und der am seltensten genutzte.
Viele KMU haben kein Sicherheitsproblem, sondern zu viele Werkzeuge, die sich überschneiden, Geld kosten und den Überblick nehmen. Security-Tools zu konsolidieren heisst: die bestehende Landschaft auf Wirksamkeit prüfen, Doppeltes streichen und erst dann gezielt echte Lücken schliessen. Das Ergebnis in den meisten Mandaten ist mehr Schutz bei weniger Lizenzen und tieferen Kosten.
Die meisten Unternehmen haben kein Sicherheitsproblem, sondern ein Dimensionierungsproblem. Zu viele Tools, zu wenig Überblick, zu hohe Kosten für zu wenig echten Schutz. Konsolidieren heisst deshalb nicht sparen um jeden Preis, sondern richtig dimensionieren: Mehr Schutz. Weniger Tools. Weniger Kosten.
Woran erkennst du, dass ihr zu viele Security-Tools habt?
Das deutlichste Zeichen: Niemand im Haus kann auf Anhieb sagen, welches Werkzeug welchen Zweck erfüllt und wer dafür verantwortlich ist. Dazu kommen Dashboards, die keiner mehr öffnet, Alarme, die niemand mehr triagiert, und Lizenzen, die sich jährlich still verlängern. Wenn nach jedem Audit ein neues Tool dazukommt, aber nie eines verschwindet, läuft die Landschaft aus dem Ruder.
Der Grund liegt selten in schlechten Entscheidungen. Werkzeuge sammeln sich an, weil jede einzelne Anschaffung für sich sinnvoll wirkte. Ein Tool kam mit einem Projekt, eines über eine Fachabteilung, eines als Reaktion auf einen Vorfall. Verlängert wird danach auf Autopilot, weil niemand die Zeit hat, den ganzen Bestand einmal nebeneinanderzulegen. So wächst über Jahre eine Sammlung, die keiner mehr bewusst gestaltet hat.
In der Praxis sind es meist dieselben Muster, die sich in Schweizer KMU zeigen:
- Zwei oder drei Werkzeuge, die dieselbe Funktion versprechen, etwa ein klassischer Virenschutz neben einer modernen EDR-Lösung, die den alten längst ersetzt.
- Ein Werkzeug, das mit viel Aufwand eingeführt und danach nie richtig konfiguriert wurde. Es läuft, meldet aber nichts Nützliches.
- Sicherheitsfunktionen, für die ihr über eine bestehende Lizenz wie Microsoft 365 bereits bezahlt, die aber nie eingeschaltet wurden, während parallel ein zusätzliches Produkt dasselbe leistet.
- Ein Reporting, das aus fünf Konsolen zusammengeklaubt wird, weil kein Werkzeug den Überblick über die anderen hat.
Kein einzelner dieser Punkte ist dramatisch. In Summe entstehen daraus aber Kosten ohne Gegenwert und, schlimmer, blinde Flecken zwischen den Werkzeugen, die keiner mehr sieht.
Warum mehr Werkzeuge selten mehr Sicherheit bedeuten
Zu einem Tool sagt selten jemand nein. Ein Audit endet mit einer Empfehlung, ein Sales-Pitch mit einer Demo, ein Vorfall mit dem Wunsch, so etwas nie wieder zu erleben. Am Ende jeder dieser Situationen steht ein neues Produkt. Die Lizenzliste wächst, das Risiko bleibt.
Der Denkfehler dahinter: Sicherheit entsteht nicht durch die Zahl der Logos im Portfolio, sondern durch Abdeckung, klare Zuständigkeit und die Fähigkeit, im Ernstfall zu reagieren. Ein Werkzeug, das niemand pflegt, gibt ein falsches Gefühl von Schutz. Es steht im Inventar, es steht in der Präsentation für den Verwaltungsrat, aber es tut nichts. Eine gut betriebene Lösung, die das Team versteht und beobachtet, schützt besser als drei halb konfigurierte, die sich gegenseitig im Weg stehen.
Den Preis dafür zahlt meist ein kleines IT-Team, das ohnehin ausgelastet ist. Jedes zusätzliche Werkzeug frisst Aufmerksamkeit, die dann bei den wichtigen Signalen fehlt. Nach aussen entsteht derweil ein beruhigendes Bild: Der Verwaltungsrat sieht eine lange Liste an Schutzmassnahmen und schliesst daraus auf Sicherheit. Diese Rechnung geht selten auf, denn Schutz misst sich an Wirkung, nicht an der Länge einer Liste.
Jede zusätzliche Integration bringt eine stille Last mit sich. Jedes Werkzeug will angebunden und gepflegt werden. Je mehr davon existieren, desto weniger Zeit bleibt für das, was zählt: die Alarme zu verstehen, die auf ein echtes Problem hindeuten. Alarmmüdigkeit ist in unserer Erfahrung eines der grössten ungelösten Themen im KMU, und sie wächst mit jedem Tool.
Was bringt eine Tool-Konsolidierung wirklich?
Eine Konsolidierung bringt vor allem mehr Überblick und weniger blinde Flecken. Die tiefere Rechnung ist ein angenehmer Nebeneffekt, mehr nicht. Wenn zehn Werkzeuge auf drei zusammenschrumpfen, sieht das Team wieder, was zusammengehört: Alarme laufen an einer Stelle zusammen, und das frei gewordene Lizenzbudget fliesst in die Lücken, die zählen.
Die Kostenersparnis ist dabei der sichtbarste, aber nicht der wichtigste Effekt. Wichtiger ist, dass Risiken nicht mehr zwischen zwei Werkzeugen verschwinden, weil jedes annimmt, das andere kümmere sich darum. Ein konsolidierter Bestand lässt sich zudem gegenüber Kunden und Auditoren viel leichter erklären. Wer nachweisen muss, dass seine Sicherheit wirkt, kommt mit einer aufgeräumten, nachvollziehbaren Landschaft deutlich weiter als mit einer langen Liste an Produkten.
In den meisten Mandaten, die wir begleiten, sinken die Lizenzkosten, während die Abdeckung steigt. Das klingt widersprüchlich, ist es aber nicht: Der Schutz war schon vorhanden, er war nur schlecht dimensioniert und teuer verteilt.
Wann lohnt sich die Konsolidierung von Security-Tools?
Sie lohnt sich, sobald niemand mehr sicher sagen kann, welches Tool welchen Zweck erfüllt, oder wenn zwei Werkzeuge dasselbe versprechen. Spätestens vor einer Zertifizierung oder einem Kundenaudit zahlt sich ein aufgeräumter Bestand aus, weil dann Wirksamkeit gefragt ist und nicht Werkzeugvielfalt. Auch ein Wechsel in der IT-Leitung oder eine Häufung auslaufender Verträge ist ein guter Anlass.
Ein häufiger und unterschätzter Auslöser ist die jährliche Budgetrunde. Sobald die Geschäftsleitung fragt, warum der Sicherheitsposten wächst, ohne dass die Vorfälle abnehmen, ist der Moment für eine ehrliche Durchsicht gekommen. Auch nach einer Fusion oder Übernahme lohnt sich der Blick, weil dann zwei gewachsene Werkzeugbestände nebeneinander liegen und sich vieles doppelt.
Für viele Schweizer Unternehmen kommt ein regulatorischer Auslöser dazu. Betreiber kritischer Infrastrukturen müssen Cyberangriffe seit dem 1. April 2025 innert 24 Stunden an das Bundesamt für Cybersicherheit melden, wie die Meldepflicht des BACS festhält. Wer dem Informationssicherheitsgesetz unterstellt ist, braucht bis Ende 2026 ein funktionierendes ISMS. Ein ISMS besteht aber aus gelebten Prozessen und klaren Verantwortlichkeiten. Eine grosse Werkzeugsammlung ersetzt das nicht. Genau deshalb ist Aufräumen oft der erste sinnvolle Schritt in Richtung Nachweisbarkeit.
Der beste Zeitpunkt bleibt der, an dem eine unabhängige Standortbestimmung ehrlich zeigt, was bleibt und was weg kann. In unserem Cyber Assessment ist genau das der Ausgangspunkt: sehen, bevor gehandelt wird.
So sieht Konsolidierung in der Praxis aus
Ein Zulieferer aus der Ostschweiz mit rund 220 Mitarbeitenden kam mit einem typischen Bild zu uns. Im Einsatz waren eine moderne EDR-Lösung, parallel dazu ein alter Virenschutz aus Gewohnheit, zwei verschiedene Schwachstellen-Scanner, ein SIEM, das nie in Betrieb ging, ein separates Werkzeug für Phishing-Simulationen und eine Microsoft-365-E5-Lizenz, deren Sicherheitsfunktionen zum grössten Teil brachlagen.
Wir setzten bei dem an, wofür das Unternehmen bereits bezahlte. Die Sicherheitsfunktionen in Microsoft 365 schalteten wir ein, sie übernahmen einen Teil dessen, was vorher teuer zugekauft war. Der alte Virenschutz und einer der beiden Scanner flogen raus, das ungenutzte SIEM ebenso. Übrig blieb eine kleinere, aber verstandene Landschaft mit einem zentralen Ort für Alarme.
Das Ergebnis: weniger Lizenzen, tiefere jährliche Kosten und trotzdem mehr Abdeckung als vorher, weil vorhandene Funktionen zum ersten Mal genutzt wurden. Wichtiger als die Einsparung war für die Geschäftsleitung, dass sie in einem einzigen Bild sehen konnte, was geschützt ist und wer im Ernstfall reagiert. Der grösste Effekt kam ohne einen einzigen Produktkauf zustande, allein durch die Entscheidung, was bleibt.
Ein halbes Jahr später kam der Test von aussen. Ein Grosskunde schickte einen Sicherheitsfragebogen, wie er in vielen Ausschreibungen inzwischen Standard ist. Wo das Unternehmen vorher mühsam aus fünf Konsolen Belege zusammengesucht hätte, lag die Antwort nun griffbereit. Ein aufgeräumter Bestand spart Geld und lässt sich obendrein belegen. Im Verkauf entscheidet zunehmend mit, ob eine Firma ihre Sicherheit nachweisen kann.
Solche Entscheidungen fallen leichter mit einer Stimme, die weder eine Lizenz verkaufen noch das eigene Team schonen muss. Wer diese Rolle im Mandat übernimmt und wie sie sich von klassischer Beratung unterscheidet, haben wir im Beitrag Was ist ein Fractional CISO beschrieben. Der rote Faden ist überall derselbe: erst aufräumen, dann investieren.
Häufige Fragen
Verlieren wir Schutz, wenn wir Werkzeuge abschalten?
Nur, wenn ihr etwas abschaltet, das eine echte Funktion allein abdeckt. Genau das prüft eine Konsolidierung zuerst. Weggeschaltet wird, was doppelt vorhanden ist oder ohnehin niemand betreibt. Das Risiko sitzt fast nie in einem Werkzeug zu wenig, sondern in den Lücken zwischen zu vielen und in den Tools, die keiner beobachtet.
Wie lange dauert eine Tool-Konsolidierung im KMU?
Das klare Bild, was bleibt und was weg kann, steht meist nach wenigen Wochen Bestandsaufnahme. Die eigentliche Umsetzung folgt danach in Etappen, oft entlang der auslaufenden Verträge, damit nichts Bezahltes unnötig verfällt. Ein grosser Teil des Nutzens entsteht schon durch die Übersicht selbst, lange bevor das letzte Werkzeug abgeschaltet ist.
Was passiert mit laufenden Lizenzverträgen?
Nichts wird mitten im Vertrag herausgerissen, ohne dass es einen Grund gibt. Der Hebel liegt bei den Verlängerungen: Was sich still erneuert, ohne einen Zweck zu erfüllen, wird nicht mehr verlängert. So sinken die Kosten planbar über die üblichen Vertragszyklen, statt in einer teuren Hauruck-Aktion.