hagel IT-Services
Festpreis-Angebot
8 Min.

Die Kosten von IT-Ausfällen für kleine Unternehmen

Jens Hagel
Jens Hagel in IT-Insights

Inhalt in Kürze

  • Eine Stunde IT-Ausfall kostet ein KMU mit 30 Mitarbeitenden im Schnitt 20.000 bis 30.000 Euro — die meisten unterschätzen das deutlich
  • 80 Prozent der angezeigten Cyberangriffe richten sich gegen KMU (BSI-Lagebericht 2025) — kleine Unternehmen sind das Hauptziel, nicht Großkonzerne
  • Versteckte Kosten (Vertrauensverlust, Aufholarbeit, Mehrarbeit) sind typischerweise höher als die direkten Stillstandskosten
  • 90 Prozent aller Ausfälle wären mit sechs Standardmaßnahmen vermeidbar: Backup, MFA, EDR, USV, Failover, Notfallplan
  • Wer keinen Notfallplan hat, braucht 2-5 Tage statt 2-8 Stunden, um wieder produktiv zu sein

„Bei uns wird schon nichts passieren.” Diesen Satz hören wir in Hamburger Erstgesprächen jede Woche. Sechs Monate später sitzt derselbe Geschäftsführer in unserem Büro und fragt, wie er zwei Wochen Datenverlust aufholen soll.

IT-Ausfälle sind 2026 keine Frage des „ob”, sondern des „wann” — und wie schnell Sie wieder arbeiten können. Dieser Artikel zeigt, was ein Ausfall in einem kleinen Unternehmen wirklich kostet, wo die versteckten Posten lauern und wie Sie das Risiko ehrlich kalkulieren.

Was ein IT-Ausfall pro Stunde wirklich kostet

Die einfache Rechnung sieht so aus:

PostenBeispiel: KMU mit 30 Mitarbeitenden
Personalkosten Stillstand30 × 35 €/h × 1,3 = 1.365 €
Entgangener Tagesumsatz / 8200.000 € / 8 = 25.000 €
Direkte Kosten pro Stunde~26.000 €
+ Aufholarbeit (Mehrarbeit)1.365 × 1,5 = 2.000 €
+ Vertrauensverlust / Folgeaufträgenicht kalkulierbar
Realistische Gesamtkosten/h30.000 €+

Das wirkt hoch — bis Sie den ersten echten Ausfall hatten. Bei einer Hamburger Spedition haben wir 14 Stunden Stillstand erlebt: 380.000 Euro direkte Kosten plus zwei verlorene Großkunden in den Wochen danach.

80 %
Angriffe gegen KMU
2-5 Tage
ohne Notfallplan
2-8 h
mit Notfallplan

Laut BSI-Lagebericht 2025 richten sich rund 80 Prozent der angezeigten Cyberangriffe gegen kleine und mittlere Unternehmen. KMU sind das Hauptziel — nicht trotz, sondern wegen ihrer schlechteren Verteidigung.

Die versteckten Kosten — was niemand kalkuliert

Direkte Stillstandskosten sind nur die halbe Wahrheit. Die echten Schmerzen kommen oft erst nach dem Ausfall.

Aufholarbeit. Was während des Ausfalls liegen bleibt, muss danach abgearbeitet werden. Mit Überstunden, Wochenendarbeit, schlechter Stimmung. In unseren Erfahrungen verlängert das die effektiven Ausfallkosten um Faktor 1,5 bis 2.

Vertrauensverlust bei Kunden. Kunden merken, wenn ihre Aufträge plötzlich verschwinden, Anrufe nicht angenommen werden, E-Mails unbeantwortet bleiben. Beim nächsten Lieferanten-Vergleich denken sie an genau diesen Vorfall.

Reputationsschäden. Bei größeren Vorfällen (Datenschutzverletzung, Ransomware) sind Sie meldepflichtig — gegenüber Kunden, Datenschutzbehörde und teilweise BSI. Diese Meldungen haben einen Preis.

Bußgelder. DSGVO-Verstöße bei Datenverlust kosten bis zu 4 Prozent des Jahresumsatzes. Bei einem KMU mit 5 Mio. Euro Umsatz sind das bis zu 200.000 Euro — zusätzlich zu allem anderen.

Aus 20 Jahren Hamburger IT-Praxis:

Die direkten Kosten eines IT-Ausfalls sind das, was die Geschäftsführung sieht. Die indirekten Kosten — verlorene Kunden, abgewanderte Mitarbeitende, kaputte Reputation — kosten oft das Doppelte. Aber sie tauchen nie in der Excel-Tabelle der IT-Investitionen auf.

Die häufigsten Ursachen — was wir 2026 in Hamburg sehen

Wenn wir bei einem Hamburger KMU im Notfall anrücken, ist die Ursache fast immer eine von sechs:

  1. Ransomware (~35 % der Fälle). Verschlüsselte Dateien, Erpressung. Meist über Phishing-Mail oder ungepatchte Firewall reingekommen. Wenn das Backup nicht sauber ist, wird es teuer.
  2. Hardware-Defekt ohne Redundanz (~25 %). Server-Festplatte stirbt, kein RAID, kein zweiter Server, kein aktuelles Backup. Klassiker.
  3. Internet-Ausfall (~15 %). Hauptanschluss fällt aus, kein LTE-Failover, kein Cloud-Telefon mit Mobile-Backup. Stillstand bis der Provider reagiert.
  4. Stromausfall (~10 %). USV fehlt oder Akku ist ungewartet. Server fährt unsanft runter, Datenbank korrupt.
  5. Bedienfehler (~10 %). „Ich habe doch nur den Ordner verschoben." Klassischer Mehrere-GB-Verschiebe-Unfall.
  6. Update-Pannen (~5 %). Windows-Update legt einen Treiber lahm, alle PCs starten nicht mehr.

Was alle sechs Ursachen gemeinsam haben: Sie sind mit Standard-Maßnahmen vermeidbar. Genau das ist Ihr Hebel.

Cyberangriff auf Mittelstand — Ransomware verschlüsselt Daten in Hamburger KMU
Ransomware ist mit rund 35 Prozent die häufigste Ursache für längere IT-Ausfälle im Mittelstand. Über 950 Ransomware-Vorfälle hat das BSI 2025 registriert.

So senken Sie das Risiko — die sechs Standardmaßnahmen

In unseren Managed IT-Services Hamburg und im Co-Managed IT-Modell sind diese sechs Punkte Pflichtinhalt. Sie kosten zusammen weniger als ein einziger Ausfalltag — und vermeiden 90 Prozent aller typischen Ausfälle:

  • Tägliches Backup mit Restore-Test. 3-2-1-Regel: drei Kopien, zwei Medien, eine extern. Monatlicher Probe-Restore — sonst wissen Sie erst im Ernstfall, ob das Backup funktioniert. Mehr dazu in unserem Artikel Backup testen.
  • MFA für alle externen Zugänge. Microsoft 365, VPN, Remote-Desktop. Kostet nichts, dauert 5 Minuten Setup pro Mitarbeitender, verhindert 99 Prozent der Account-Übernahmen.
  • EDR auf allen Endgeräten. Endpoint Detection & Response erkennt Ransomware in Sekunden, nicht in Stunden. Klassische Antivirus-Software reicht 2026 nicht mehr.
  • USV für Server und Netzwerk. Pufferzeit bei Stromausfall, kontrolliertes Herunterfahren. Akkus regelmäßig tauschen.
  • Internet-Failover. LTE/5G-Backup für den Notfall — moderne Router schalten automatisch um.
  • Notfallplan. Schriftlich, getestet, in mindestens zwei Versionen (digital + Papier).

Wir sehen es jede Woche: Backups, die seit Monaten nicht geprüft wurden. Alle denken, es läuft — bis der Ernstfall kommt und nichts wiederherstellbar ist. Deshalb testen wir Backups regelmäßig. Eine Sicherung, die nie zurückgespielt wurde, ist keine Sicherung — sondern eine Hoffnung.

Jens Hagel Jens HagelGeschäftsführer, hagel IT-Services GmbH

Praxisbeispiel: 14 Stunden vs. 14 Minuten

Zwei Hamburger Logistik-KMU, gleiche Größe, gleiche Branche, gleicher Vorfall: Ransomware-Befall durch Phishing-Mail an die Buchhaltung.

KMU A (kein Managed IT):

  • 4 Stunden bis der Befall überhaupt entdeckt wurde
  • 6 Stunden bis ein externer Dienstleister verfügbar war
  • 4 Stunden Diagnose und Wiederherstellungsversuche
  • Ergebnis: 14 Stunden Stillstand, drei Tage eingeschränkter Betrieb, 380.000 Euro direkter Schaden

KMU B (mit Managed IT, EDR und Notfallplan):

  • 2 Minuten bis EDR den Vorfall erkannte und betroffene Geräte isolierte
  • 12 Minuten bis das hagel-IT-Team auf der Leitung war
  • Wiederherstellung aus Backup parallel zu forensischer Analyse
  • Ergebnis: 14 Minuten effektiver Stillstand, kein Datenverlust, kein finanzieller Schaden

Der Unterschied lag nicht im Können der IT-Teams, sondern in der Vorbereitung. Genau das beschreibt auch unsere Fallstudie zur Cyber-Risikoanalyse im Mittelstand.

Was ein Notfallplan im KMU enthalten muss

Ein KMU-Notfallplan ist keine 200-Seiten-Doku. Er passt auf 4-6 Seiten und enthält:

  1. Wer entscheidet? Geschäftsführung — wer vertritt sie bei Urlaub/Krankheit?
  2. Wer wird zuerst angerufen? IT-Dienstleister, Telefonnummer und Reihenfolge. Nicht E-Mail — die geht im Ernstfall nicht.
  3. Alternative Kommunikation. Welche WhatsApp-Gruppe, welche privaten Mobilnummern, welcher Treffpunkt?
  4. Reihenfolge der Wiederherstellung. Welches System ist kritisch, welches kann warten? Buchhaltung vor Marketing-Software.
  5. Externe Meldepflichten. BSI (NIS-2), Datenschutzbehörde (DSGVO), Versicherer, betroffene Kunden.
  6. Ende des Ernstfalls. Wer erklärt offiziell, dass der Normalbetrieb wieder läuft?

Der Plan muss einmal pro Jahr durchgespielt werden — sonst staubt er ein und funktioniert im Ernstfall nicht. Mehr dazu in unserem Leitfaden zur Disaster Recovery & Business Continuity für KMU.

Drei Monate lang konnten wir nicht arbeiten. Alles verschlüsselt — jedes Dokument, jede E-Mail, jede Rechnung. Seitdem weiß ich: IT-Sicherheit ist kein Luxus, sondern Überlebensfrage.

Bernd Kühn · Geschäftsführer, Sanitärbetrieb, 20-25 Mitarbeiter

Cyberversicherung: Sinnvoll, aber kein Ersatz für Prävention

2026 verlangen Cyberversicherer hohe technische Mindeststandards: MFA, EDR, getestetes Backup, Mitarbeiterschulung. Wer das nicht hat, bekommt entweder gar keine Police mehr oder zahlt im Schadensfall nicht. Unsere Empfehlung: Erst die sechs Standardmaßnahmen umsetzen, dann die Police abschließen.

Eine gute Police für ein KMU mit 30 Mitarbeitenden kostet 3.000 bis 15.000 Euro im Jahr und deckt typischerweise:

  • Krisenmanagement und IT-Forensik
  • Datenwiederherstellung
  • Betriebsunterbrechung
  • Bußgelder und Anwaltskosten
  • Lösegeldzahlungen (umstritten, immer öfter ausgeschlossen)

Wichtig: Die Police ist Teil des Notfallplans. Im Ernstfall müssen Sie wissen, wann und wie Sie den Versicherer kontaktieren — vorher, nicht hinterher.

Das Wichtigste: IT-Ausfälle kosten ein KMU mit 30 Mitarbeitenden 20.000-30.000 Euro pro Stunde. 90 Prozent aller Ausfälle wären mit sechs Standardmaßnahmen vermeidbar — und kosten zusammen weniger als ein einziger Ausfalltag. Wer keinen Notfallplan hat, ist nicht vorsichtig, sondern fahrlässig.

Ihr nächster Schritt

Sie wollen ehrlich wissen, wo Ihr Risiko liegt? Wir machen mit Ihnen eine kostenlose 15-Minuten-Risikoanalyse — auf Basis von 20 Jahren Praxis und der konkreten Lage in Ihrem Unternehmen. Keine Angstmache, keine Folienschlacht, nur eine ehrliche Einschätzung.

Wie hoch ist Ihr Ausfallrisiko wirklich?

15 Minuten. Kostenlos. Wir prüfen Backup, MFA, EDR und Notfallplan — und sagen ehrlich, wo Sie stehen.

Erstgespräch buchen →

Weiterführende Quellen:

Jens Hagel
Jens Hagel
Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Frage stellen Profil ansehen
Thorsten Eckel

«Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.»

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
Fallstudie · Rechtsanwaltskanzlei
Case Study Hamburg: Von heterogener IT zur sicheren Kanzlei-Umgebung in 30 Tagen
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Alle ansehen
Kostenlos & unverbindlich

IT-Herausforderungen? Wir helfen.

Sprechen Sie mit unseren Experten — 15 Minuten, kostenlos, kein Vertriebsdruck.

Festpreis-Angebot anfordern Lieber direkt Termin?

Häufig gestellte Fragen

Eine grobe Faustregel: (Anzahl Mitarbeitende × Stundenlohn brutto × 1,3 Lohnnebenkosten) + entgangener Tagesumsatz / 8. Bei 30 Mitarbeitenden mit 35 Euro Stundenlohn und 200.000 Euro Tagesumsatz sind das rund 26.000 Euro pro Stunde Stillstand. Die echten Werte liegen meistens darüber, weil Folgeschäden, Aufholarbeit und Vertrauensverlust kaum kalkulierbar sind.

In unseren Hamburger Notfalleinsätzen sehen wir vor allem: Ransomware-Befall (etwa 35 Prozent), Hardware-Defekte ohne Redundanz (25 Prozent), Internet-Ausfälle ohne Failover (15 Prozent), Stromausfälle ohne USV (10 Prozent), Bedienfehler und versehentliches Löschen (10 Prozent), Software-Updates die schiefgehen (5 Prozent). Die meisten Ausfälle wären mit Standard-Maßnahmen vermeidbar gewesen.

Ohne Notfallplan: oft 2-5 Tage. Bei Ransomware ohne sauberes Backup haben wir Hamburger Kunden gesehen, die 3 Monate nicht arbeiten konnten. Mit professionellem Backup und Wiederherstellungsplan: 2-8 Stunden. Der Unterschied liegt meist nicht in der Technik, sondern darin, ob jemand vorher den Ernstfall durchgespielt hat.

Ja, aber sie ersetzt keine Prävention. Cyberversicherer verlangen 2026 hohe Anforderungen an die IT-Sicherheit (MFA, EDR, Backup, Schulungen) — wer die nicht erfüllt, bekommt entweder keine Versicherung oder zahlt im Schadensfall nicht. Eine gute Cyberpolice kostet ein KMU 3.000 bis 15.000 Euro im Jahr und deckt typischerweise Krisenmanagement, Datenwiederherstellung und Betriebsunterbrechung ab.

Aus unserer Praxis: 1. Tägliches Backup mit regelmäßigem Restore-Test, 2. MFA für alle externen Zugänge, 3. EDR-Lösung auf allen Endgeräten, 4. USV für Server und Netzwerk, 5. Internet-Failover über LTE/5G, 6. dokumentierter Notfallplan inkl. Telefonkette. Diese sechs Bausteine vermeiden 90 Prozent aller Ausfälle und sind in einem Managed-IT-Vertrag enthalten.

Ein KMU-Notfallplan passt auf 4-6 Seiten. Inhalt: 1. Wer entscheidet im Ernstfall (Geschäftsführung)? 2. Wer ist als erstes anzurufen (IT-Dienstleister)? 3. Wie kommunizieren wir ohne E-Mail (private Mobilnummern, WhatsApp-Gruppe)? 4. Welche Systeme sind in welcher Reihenfolge wiederherzustellen? 5. Welche externen Stellen müssen informiert werden (BSI, Datenschutzbehörde, Versicherer)? 6. Wann ist der Ernstfall offiziell beendet?

Das könnte Sie auch interessieren

IT-Insights

IT-Ressourcenmanagement für KMU: Assets, Lizenzen, Cloud & Governance im Griff
IT-Insights

Was ist BIOS / UEFI? Firmware-Einführung für IT-Entscheider
IT-Insights

E-Rechnung Pflicht 2025: Was Ihr Unternehmen jetzt tun muss