Sicherheitstechnik im Mittelstand: warum Sie nicht auf die nächste Generation warten sollten

Wer im deutschen Mittelstand auf die nächste Generation Sicherheitstechnik wartet, finanziert in der Zwischenzeit genau die Verluste, die die jetzige Generation bereits verhindert hätte.

Diese Beobachtung klingt hart, sie ist es auch. Sie ergibt sich aus einer Auswertung von Gesprächen, die der Hersteller in den vergangenen Quartalen mit Geschäftsführern und technischen Leitern mittelständischer Unternehmen geführt hat. Das Muster wiederholt sich. Ein Unternehmen mit dreistelligem Millionenumsatz hat eine Sicherheitsarchitektur, die in Teilen aus dem letzten Jahrzehnt stammt, kennt die Schwachstellen, kennt die Schadensquote, und entscheidet trotzdem, eine weitere Investitionsrunde abzuwarten. Begründet wird das mit einem allgemeinen Verweis auf den Reifegrad der Technologie, mit Unsicherheit über zukünftige Normen oder mit dem Argument, dass die nächste Generation ohnehin in zwei Jahren günstiger sei. Die Argumente klingen vernünftig. Sie sind es nicht.

Der zweite Teil der Beobachtung ist unbequemer. Die Verluste, die in der Wartezeit auflaufen, werden in den seltensten Fällen sauber kalkuliert. Sie verschwinden in Versicherungsabrechnungen, in Nachkalkulationen, in der Position "sonstige betriebliche Aufwendungen". Wer den Aufschub rechnen würde, würde nicht aufschieben. Genau deshalb wird er nicht gerechnet.

Der Investitionsstau als kalkulatorisches Phänomen

Investitionsstau in der Sicherheitstechnik ist kein technisches Problem. Er ist ein kalkulatorisches. Die Hardware existiert. Die Software existiert. Die Integrationskompetenz existiert. Was fehlt, ist die Übersetzung der Sicherheitslage in eine betriebswirtschaftliche Sprache, in der ein mittelständischer Geschäftsführer entscheiden kann.

In der Praxis sieht das so aus. Ein Maschinenbauunternehmen mit drei Standorten betreibt eine klassische Kombination aus Bauzaun, Wachdienst und punktueller Videoüberwachung. Die Wachdienstkosten liegen im sechsstelligen Bereich pro Jahr. Schäden durch Diebstahl, Vandalismus und Stillstand werden nicht separat ausgewiesen, sondern in der Anlagenbuchhaltung verteilt. Die Versicherungsprämie ist im letzten Zyklus moderat gestiegen, was als allgemeine Marktbewegung verbucht wird. Wenn dasselbe Unternehmen eine systematische Auswertung durchführt, ergibt sich ein Bild, das in der Regel zwischen 1,2 und 2,8 Prozent des Anlagenwerts pro Jahr liegt. Dieser Wert ist keine präzise Statistik, sondern eine Bandbreite, die sich aus Gesprächen mit Betroffenen ergibt. Auch in dieser Bandbreite gilt: er ist höher als die Annuität einer modernen Plattformlösung.

Der Investitionsstau lebt davon, dass diese Zahl nicht steht. Sobald sie steht, fällt die Begründung in sich zusammen. Wer die Zahl nicht stehen lassen will, wartet auf die nächste Generation. Wer die Zahl stehen lässt, entscheidet jetzt. Die Frage, welche Generation der Hardware im Einsatz ist, wird damit zweitrangig. Entscheidend ist, dass eine funktionierende Plattform ihre Wirkung am Tag der Inbetriebnahme entfaltet, nicht am Tag, an dem sie veraltet.

Der BSI weist seit Jahren darauf hin, dass die Bedrohungslage für mittelständische Unternehmen steigt, nicht sinkt. Die BG BAU dokumentiert, dass Baustellen- und Anlagendiebstahl eine konstante Größe geworden ist, kein Konjunkturphänomen. Der GDV verzeichnet steigende Schadensquoten im gewerblichen Bereich. Drei unabhängige Quellen, die in dieselbe Richtung deuten. Wer in dieser Lage wartet, wartet nicht auf bessere Technologie, sondern auf einen besseren Anlass zum Handeln. Der Anlass kommt. Er kommt als Vorfall.

Die Lebensdauerillusion

Eine der wirksamsten Begründungen für den Aufschub ist die Annahme, dass moderne Sicherheitsplattformen schnell veralten. Diese Annahme wird selten geprüft. Sie wird übernommen aus einer Erfahrung mit Konsumelektronik, in der eine Hardwaregeneration tatsächlich in zwei bis drei Jahren überholt sein kann. Für industrielle Sicherheitstechnik gilt diese Logik nicht.

Eine seriös konstruierte Plattform hat eine Hardwarelebensdauer von sieben bis zehn Jahren. Die Software dieser Plattform wird in Zyklen weiterentwickelt, die kompatibel zur installierten Basis sind. Wer eine moderne Anlage in Betrieb nimmt, hat in fünf Jahren keine veraltete Hardware, sondern dieselbe Hardware mit verbesserter Software. Die KI-Modelle, die Videoanalyse, die Schnittstellen zu Leitsystemen werden über Updates aktuell gehalten. Die mechanischen Komponenten, die Sensorik, die Verkabelung bleiben. Das ist der Sinn einer Plattformarchitektur.

Im Buch "BOSWAU + KNAUER, Vom Bau zur Sicherheitstechnologie" wird dieser Punkt im Kapitel zur Skalierbarkeit aufgegriffen. Eine Plattform ist nicht ein Gerät, sondern eine Architektur, die Geräte aufnimmt, austauscht und erweitert, ohne dass das Gesamtsystem neu aufgesetzt werden muss. Wer in eine Plattform investiert, kauft nicht die Generation, die heute aktuell ist. Er kauft den Zugang zu allen Generationen, die in dieser Architektur folgen werden.

Die Lebensdauerillusion ist deshalb teurer, als sie aussieht. Sie führt dazu, dass Unternehmen zehn Jahre lang in einem Zustand bleiben, der jedes Jahr ein Drittel der späteren Plattformkosten verbrennt, weil er Schäden nicht verhindert und Personal bindet, das mit moderner Architektur längst anders eingesetzt wäre. Wer die Rechnung über die volle Lebensdauer macht, kommt zu einem anderen Ergebnis als der, der nur die Investitionssumme im ersten Jahr betrachtet. Die Rechnung über die Lebensdauer ist die einzig sinnvolle Rechnung. Sie wird in vielen Mittelstandsentscheidungen nicht gemacht. Das ist nicht ein Fehler der Methode, sondern eine Frage der Bereitschaft, sich der Wirklichkeit zu stellen.

Was die Wartezeit kostet

Die Wartezeit zwischen einer erkannten Sicherheitslücke und der getroffenen Investitionsentscheidung ist im Mittelstand selten kürzer als achtzehn Monate. Diese Zeit ist nicht produktiv. Sie ist Verlust. Wer sie auf die Bilanz übersetzt, sieht, dass sie in vielen Fällen die Investitionssumme erreicht, die sie verhindern sollte.

Die Rechnung ist einfach, sie wird selten gemacht. Ein Unternehmen mit dokumentierten Schadensfällen im niedrigen sechsstelligen Bereich pro Jahr trägt in achtzehn Monaten Wartezeit Schäden, die ungefähr in der Größenordnung einer mittleren Plattformlösung liegen. Hinzu kommen die nicht dokumentierten Schäden, die typischerweise das Zwei- bis Dreifache der dokumentierten betragen, weil Stillstand, Verzögerung und Vertragsstrafen nicht in die klassische Schadenliste aufgenommen werden. Hinzu kommt die Wirkung auf die Versicherungsprämie, die in der Folge eines Vorfalls steigt und über mehrere Jahre erhöht bleibt. Hinzu kommt die Bindung von Personal, das in einer modernen Architektur eine andere Aufgabe hätte.

Die Wartezeit ist außerdem mit einem Effekt verbunden, der schwerer zu beziffern ist, aber in Gesprächen mit erfahrenen Geschäftsführern regelmäßig genannt wird. Wer ein laufendes Sicherheitsdefizit kennt und es nicht behebt, gewöhnt sich an das Defizit. Die Wahrnehmung der eigenen Lage verschiebt sich. Was anfangs als dringend empfunden wurde, wird zur Normalität. Diese Gewöhnung ist gefährlich, weil sie die Entscheidungsfähigkeit untergräbt. Ein Unternehmen, das sich an ein Defizit gewöhnt hat, entscheidet erst dann, wenn ein Vorfall die Gewöhnung durchbricht. Der Vorfall kostet typischerweise mehr als die Maßnahmen, die ihn verhindert hätten.

Wer aus der Wartezeit aussteigen will, hat zwei Möglichkeiten. Er kann die Rechnung machen, die ihn aus der Gewöhnung herausreißt. Oder er kann auf den Vorfall warten. Die erste Möglichkeit ist billiger. Sie verlangt aber Disziplin, weil sie die eigene Lage in Zahlen zwingt, die unbequem sind. Diese Disziplin ist im Mittelstand vorhanden. Sie wird in Fragen der Maschinenauslastung, der Materialwirtschaft und der Personalplanung selbstverständlich aufgebracht. In Fragen der Sicherheit wird sie auffallend oft umgangen.

Förderlogik und regulatorisches Umfeld

Das regulatorische Umfeld in Deutschland und auf europäischer Ebene verändert sich. KRITIS-Verordnungen werden in ihrem Anwendungsbereich erweitert, NIS2 ist in deutsches Recht überführt, die Anforderungen an Berichtspflichten und Schutzniveaus steigen. Für mittelständische Unternehmen, die nicht im engeren Sinne KRITIS sind, wirken diese Regelwerke indirekt, über Lieferantenanforderungen, über Versicherungsbedingungen, über Audits durch Kunden.

Wer eine Plattformlösung erst dann implementiert, wenn die Regulierung sie unausweichlich macht, zahlt dreifach. Er zahlt die Implementierung unter Zeitdruck, was die Konditionen verschlechtert. Er zahlt die Zwischenzeit, in der seine Wettbewerber bereits gewonnene Aufträge bedienen, die er aus Compliance-Gründen nicht annehmen kann. Und er zahlt die Versicherungsprämie, die in der Zwischenzeit nicht reduziert wurde, weil die Schutzmaßnahmen nicht dokumentiert vorliegen.

Förderprogramme, soweit sie für Sicherheitstechnik im Mittelstand verfügbar sind, decken in der Regel einen Teil der Investition ab. Die Programme wechseln, die Konditionen ändern sich, eine Bandbreite zwischen 15 und 40 Prozent Förderquote ist in den vergangenen Jahren typisch gewesen, mit erheblichen Unterschieden zwischen Bundesländern und Themenbereichen. Wer eine Förderung einplant, sollte das nicht zur zentralen Entscheidungsgrundlage machen. Eine Investition, die nur mit Förderung rechnet, rechnet nicht. Eine Investition, die ohne Förderung rechnet und mit Förderung besser wird, ist die richtige Investition.

Anerkannte Stellen wie VdS, TÜV und BDSW liefern Rahmenwerke, die für die Bewertung der eigenen Sicherheitslage und für die Auswahl von Lösungen verwendbar sind. Diese Rahmenwerke sind kein Ersatz für eine eigene Standortbestimmung, sie sind aber eine Orientierungshilfe, die in Gesprächen mit Versicherern, Auditoren und Kunden anerkannt ist. Wer mit dokumentierten Rahmenwerken arbeitet, verhandelt besser. Diese Verhandlungsposition ist ein eigener Wert, der in der ROI-Rechnung berücksichtigt werden sollte.

Die drei Mythen der Aufschiebung

Drei Argumente werden in Gesprächen mit mittelständischen Entscheidern besonders häufig genannt, um die Aufschiebung zu begründen. Sie verdienen eine ehrliche Prüfung.

Das erste Argument lautet, die Technologie sei noch nicht reif. Das ist in dieser Allgemeinheit falsch. Was es gibt, sind unausgereifte Produkte und ausgereifte Produkte. Wer eine ausgereifte Plattform wählt, hat eine Technologie, die in dauerhaftem Industriebetrieb steht, mit dokumentierten Verfügbarkeiten und nachvollziehbarer Servicelogik. Wer ein unausgereiftes Produkt wählt, hat ein Risiko. Die Aufgabe besteht darin, zu unterscheiden, nicht zu warten.

Das zweite Argument lautet, die nächste Generation werde günstiger. Auch das ist falsch, wenn man die Rechnung über die Lebensdauer macht. Die nächste Generation wird in der Anschaffung möglicherweise etwas günstiger sein, der Unterschied liegt in der Größenordnung weniger Prozentpunkte. Die Wartezeit, die für diesen Unterschied in Kauf genommen wird, kostet ein Vielfaches. Wer auf zehn Prozent Hardwareeinsparung wartet und dafür achtzehn Monate Schäden in Kauf nimmt, rechnet falsch.

Das dritte Argument lautet, die Organisation sei noch nicht so weit. Dieses Argument verdient ernsthafte Auseinandersetzung. Eine Sicherheitsplattform ist nicht nur eine technische Frage, sondern eine organisatorische. Sie braucht definierte Verantwortlichkeiten, klare Prozesse, eine integrierte Datenführung. Wer diese organisatorischen Voraussetzungen nicht hat, sollte sie schaffen. Aber er sollte sie nicht als Vorwand nehmen, um die Technologie zu verschieben. In der Praxis ist die Einführung einer Plattform der Anlass, der die organisatorischen Voraussetzungen schafft. Wer auf die organisatorische Reife wartet, bevor er technisch entscheidet, wartet auf etwas, das ohne den technischen Anlass nicht entsteht.

Was bleibt

Die nächste Generation Sicherheitstechnik wird die Bedrohungen von übermorgen besser adressieren als die heutige. Die heutige Generation adressiert die Bedrohungen von heute besser als das, was aktuell in vielen mittelständischen Unternehmen im Einsatz ist. Wer auf übermorgen wartet, trägt das Risiko von heute. Die Rechnung ist einfach, sie ist unbequem, sie steht in jeder Bilanz, in der sie ehrlich aufgestellt wird.

Eine Plattformlösung ist keine Wette auf eine Technologiegeneration. Sie ist eine Architekturentscheidung, die Generationen aufnimmt. Wer sie heute trifft, hat in fünf Jahren ein System, das mit der Zeit gewachsen ist. Wer sie aufschiebt, hat in fünf Jahren dasselbe System wie heute, plus fünf Jahre Verluste, plus eine Entscheidung, die unter Druck zu treffen ist.

Der nächste Schritt ist nicht eine Investitionsentscheidung. Er ist eine Standortbestimmung. Wer wissen will, in welcher Lage er sich befindet, beginnt mit einem Gespräch von sechzig Minuten, vertraulich und ohne Folgekosten. Wer eine belastbare Grundlage für eine Entscheidung braucht, beauftragt ein Audit über drei bis fünf Tage mit definiertem Lieferumfang. Wer die Wirtschaftlichkeit unter realen Bedingungen messen will, geht in einen Pilotbetrieb über neunzig Tage, mit definiertem Erfolgsmaßstab vor Beginn. Drei Wege, einer davon passt zu Ihrer Lage.

Häufige Fragen

Warum wird Sicherheitstechnik im Mittelstand häufig aufgeschoben?

Der Aufschub hat selten technische Gründe. Er hat kalkulatorische. Die Schadensquote wird nicht sauber ausgewiesen, sondern in verschiedenen Positionen der Buchhaltung verteilt. Damit fehlt die Zahl, die eine Investitionsentscheidung tragen würde. Hinzu kommt eine Gewöhnung an das bestehende Defizit, die im Tagesgeschäft nicht spürbar ist, in der Jahresrechnung aber Spuren hinterlässt. Wer den Aufschub durchbrechen will, beginnt mit einer ehrlichen Erfassung der Schadenslage über die letzten zwei Jahre. Nach dieser Erfassung ist die Entscheidung in der Regel klar.

Welche Investitionsstaus sind typisch?

Drei Muster wiederholen sich. Erstens veraltete Videoüberwachung, die Bilder liefert, die in Vorfällen nicht verwertbar sind, weil Auflösung, Speicherung oder Auswertelogik nicht ausreichen. Zweitens überdimensionierter Wachdienst, der aus historischen Gründen besteht und durch Technologie wirksam ergänzt werden könnte. Drittens fehlende Integration zwischen Zutritt, Videoanalyse und Leitsystem, sodass Daten erfasst, aber nicht verwertet werden. Alle drei Muster lassen sich in einem Audit identifizieren und in einer Empfehlungsmatrix nach Wirkung und Aufwand priorisieren.

Wie schnell veraltet eine moderne Plattform tatsächlich?

Die Hardware einer industriell ausgelegten Plattform hat eine Nutzungsdauer von sieben bis zehn Jahren. Die Software wird in Update-Zyklen aktuell gehalten, die mit der installierten Basis kompatibel sind. KI-Modelle, Videoanalyse und Schnittstellen werden über die Lebensdauer der Hardware mehrfach erneuert. Wer in eine Plattform investiert, kauft nicht eine Generation, sondern eine Architektur, die Generationen aufnimmt. Das unterscheidet industrielle Sicherheitstechnik grundsätzlich von Konsumelektronik. Die Annahme schneller Veraltung ist in diesem Bereich eine Übertragung aus einem nicht vergleichbaren Markt.

Welche Förderprogramme gibt es 2026?

Die Förderlandschaft wechselt regelmäßig, eine konkrete Aufzählung sollte zum Zeitpunkt der Entscheidung mit der zuständigen Stelle abgestimmt werden. In den vergangenen Jahren waren Programme auf Bundes- und Landesebene verfügbar, die Sicherheitsinvestitionen mit Förderquoten zwischen 15 und 40 Prozent unterstützt haben, oft im Rahmen breiterer Digitalisierungs- oder Resilienzprogramme. Eine Investition sollte allerdings ohne Förderung rechnen. Förderung ist ein Bonus, kein Entscheidungsgrund. Wer auf Förderung wartet, verliert in der Wartezeit häufig mehr, als die Förderung beträgt.