WIEN. Die Zahl der Cyberangriffe auf österreichische Unternehmen ist deutlich gestiegen. Laut der aktuellen EY Cybersecurity Studie 2025 sehen 47 Prozent der befragten Unternehmen ein hohes Risiko für Cyberattacken – 2024 waren es noch 35 Prozent. Konkret berichteten 32 Prozent von Angriffen auf Netzwerke oder Daten in den vergangenen fünf Jahren, ein Anstieg um zehn Prozentpunkte gegenüber dem Vorjahr.
Fehlende Strategien und Budgets
Trotz gestiegener Risikowahrnehmung verfügen viele Unternehmen über keine umfassende Strategie für Cybersicherheit. Maßnahmen würden punktuell umgesetzt, ein strukturierter Fahrplan fehle jedoch oft. Besonders sichtbar werde dies bei den Budgets: 34 Prozent haben keine festen Mittel für Cybersicherheit, 42 Prozent können ihre Ausgaben nicht beziffern. Nur neun Prozent investieren mehr als 25.000 Euro jährlich. Ein Fünftel plant jedoch, die Ausgaben in den kommenden zwei Jahren zu erhöhen.
„Das Fehlen klarer Budgets ist ein Alarmsignal. Ohne ausreichende und gezielt eingesetzte Mittel bleiben selbst die besten Sicherheitskonzepte Theorie“, sagte Bernhard Zacherl, Senior Manager bei EY Österreich.
Phishing als häufigster Angriffsweg
Phishing bleibt mit 73 Prozent die meistgenannte Angriffsart, gefolgt von Malware (44 Prozent) und Ransomware (19 Prozent). Notfallpläne oder Incident-Response-Teams sind nur in 57 Prozent der Unternehmen vorhanden. Betroffen sind vor allem Finanzabteilungen (38 Prozent), Vertrieb (30 Prozent), Management (25 Prozent) und zunehmend auch das Personalwesen (24 Prozent).
„Phishing-Mails sind oft der Türöffner für weitergehende Attacken. Ohne strukturierte Notfallpläne verlieren Unternehmen im Ernstfall wertvolle Zeit“, erklärte Gottfried Tonweber, Leiter Cybersecurity und Partner bei EY Österreich.
Regelmäßige Tests fehlen oft
Regelmäßige Schwachstellen-Tests gehören zu den wirksamsten Maßnahmen gegen Angriffe, werden aber vielfach vernachlässigt. 31 Prozent der Unternehmen verzichten gänzlich darauf, nur 13 Prozent prüfen monatlich. Insgesamt führen 61 Prozent Penetrationstests oder Audits durch.
KI in der Cyberabwehr kaum verbreitet
Der Einsatz von KI-Technologien zur Cyberabwehr bleibt gering: 15 Prozent der Unternehmen nutzen entsprechende Systeme, vor allem für automatisierte Überwachung und Anomalieerkennung. Fast ein Drittel plant jedoch den Einstieg, elf Prozent davon mit konkreten Projekten. Hemmnisse seien Datenschutz- und Ethikbedenken (28 Prozent), Kosten (21 Prozent) sowie Fachkräftemangel (14 Prozent).
NIS2-Richtlinie in Umsetzung
Ein Viertel der befragten Unternehmen ist direkt oder indirekt von der neuen NIS2-Richtlinie betroffen. 70 Prozent haben mit der Umsetzung begonnen, 25 Prozent die Anforderungen vollständig erfüllt. Besonders weit fortgeschritten sind Maßnahmen bei technischer Sicherheit (67 Prozent), Personalsicherheit (61 Prozent) und Risikomanagement (58 Prozent). Dennoch kennen 47 Prozent der Befragten die Details der Richtlinie noch nicht.
„NIS2 ist nicht nur regulatorische Pflicht, sondern Chance, Sicherheitsstandards auf ein neues Niveau zu heben“, betonte Tonweber. (red)
www.ey.com
