Cybersecurity : Deloitte-Österreich-Berater: „Es wird auf AI gegen AI hinauslaufen“

INDUSTRIEMAGAZIN: Frau Mair, Herr Schwondra, Deloitte spricht in der aktuellen Cybersecurity-Studie von einer Verdoppelung der beinahe täglichen Ransomware- Angriffe seit 2024. Sind Sie alarmiert? 

Karin Mair: Eine Verdoppelung innerhalb von zwei Jahren ist aus unserer Sicht klar besorgniserregend. Dahinter steht nicht nur eine steigende Anzahl an Angriffen, sondern vor allem eine deutliche Professionalisierung der Täterseite. Angreifer agieren heute gezielter, arbeitsteiliger und setzen AI-gestützte Methoden wesentlich konsequenter ein als noch vor wenigen Jahren. 

Lesetipp: Deloitte Österreich-CEO: "Die Lage wird sich weiter zuspitzen"

In vielen Fällen haben wir es mit gut organisierten kriminellen Strukturen zu tun, die wie Unternehmen funktionieren: von der Entwicklung neuer Ransomware-Varianten bis hin zur koordinierten Durchführung von Erpressung und Zahlungsabwicklung. 

Georg Schwondra: Viele Unternehmen unterschätzen nach wie vor, wie systematisch die Gegenseite inzwischen arbeitet. Es geht längst nicht mehr um vereinzelte Angriffe, sondern um ein hochprofessionelles Geschäftsmodell. Wer das noch immer als Randthema der IT betrachtet, verkennt die tatsächliche Bedrohungslage. 

Trotzdem halten viele Unternehmen ihre Sicherheitslage für gut. Woher kommt diese Diskrepanz zwischen Selbstbild und realer Resilienz? 

Mair: Häufig entsteht ein trügerisches Sicherheitsgefühl. Viele Unternehmen haben investiert und viele Angriffe werden technisch abgewehrt – daraus entsteht leicht der Eindruck, man habe das Thema im Griff. Doch absolute Sicherheit gibt es nicht. 

Nie mehr die wichtigsten News aus Österreichs Industrie verpassen? Abonnieren Sie unser Daily Briefing: Was in der Industrie wichtig wird. Täglich um 7 Uhr in ihrer Inbox. Hier geht’s zur Anmeldung!
 

Gerade weil sich die Angriffsmethoden laufend weiterentwickeln, kann man nicht sagen: Wir haben in den vergangenen drei Jahren investiert, jetzt reicht es. Diese Haltung wäre ausgesprochen riskant.

Schwondra: Hinzu kommt ein klares Managementproblem. Cybersecurity wird oft noch als technisches Spezialthema verstanden, obwohl die Verantwortung letztlich nicht delegierbar ist. Die Geschäftsführung muss entscheiden, welches Risiko sie bewusst trägt, welche Schutzmaßnahmen sie finanziert und welche Wiederanlaufpläne im Ernstfall zur Anwendung kommen. Dort, wo diese Führungsdimension fehlt, ist die Lücke zwischen Sicherheitsgefühl und tatsächlicher Widerstandsfähigkeit besonders groß. 

80 Prozent können Angriffe technisch eindämmen, aber deutlich weniger Unternehmen können Daten per Backup wiederherstellen. Warum ist Recovery die schwächere Disziplin? 

Schwondra: Weil die Angreifer heute deutlich professioneller vorgehen. Sie bewegen sich oft über längere Zeit unentdeckt im Netzwerk, kennen die Systeme des Opfers am Ende mitunter besser als die eigenen Administratoren, schalten Sicherheitssysteme aus, löschen Backups, exfiltrieren Daten und starten erst dann die eigentliche Ransomware-Attacke. Wenn ein Unternehmen keine ausreichende Detektion hat, wird ein Vorfall häufig erst erkannt, wenn es bereits zu spät ist. Technische Abwehr allein genügt daher nicht. 

Mair: Genau an diesem Punkt zeigt sich, ob ein Unternehmen Cybersecurity strategisch oder nur instrumentell versteht. Wiederanlauf ist keine reine IT-Aufgabe. Die Entscheidung, welche Systeme zuerst wieder hochzufahren sind, welche Bereiche geschäftskritisch sind und in welcher Reihenfolge ein Betrieb in den Regelmodus zurückkehrt, ist eine Führungs- und Business-Continuity-Frage. 

Wo liegen aus Ihrer Sicht die größten Schwachstellen der Industrie? 

Schwondra: Ein wesentlicher Punkt ist die Produktionsumgebung. Klassische IT-Systeme werden in Erneuerungszyklen von drei bis zehn Jahren aktualisiert. In der Produktion treffen wir dagegen häufig auf Systeme, die 30 oder 40 Jahre alt sind und teils auf sehr alten Plattformen laufen. 

Gleichzeitig sind IT- und OT-Netze heute weit enger miteinander verbunden als früher. Genau diese Kombination macht Legacy-Strukturen in der Industrie zu einem besonders heiklen Einfallstor. In vielen Unternehmen ist der Security-Reifegrad in der klassischen Office-IT deutlich höher als in OT- und IoT-Umgebungen. 

Deloitte empfiehlt Business Continuity Management und Tabletop- Exercises. Wie weit sind die Unternehmen hier tatsächlich? 

Schwondra: Viel weniger weit, als nötig wäre. Fast jedes Unternehmen hat einen Plan für den Brandfall und übt diesen auch regelmäßig. Deutlich weniger verfügen über einen belastbaren Plan für einen Cybervorfall – noch weniger üben ihn. Dabei ist genau das entscheidend: Kann ich Backups tatsächlich wiederherstellen? Kenne ich die richtige Reihenfolge? Weiß ich, welche Prozesse zuerst laufen müssen? Und habe ich den Ernstfall gemeinsam mit Geschäftsleitung und Verantwortlichen zumindest einmal durchgespielt? 

Mair: Gerade diese Übungen scheitern in der Praxis weniger am fehlenden Problembewusstsein als an der Prioritätensetzung. Die Budgets sind angespannt, die Zeitressourcen ebenso und Cybersicherheit wird dann gerne verschoben. Das ist riskant, denn die Kosten eines ungeübten Ernstfalls sind in der Regel um ein Vielfaches höher als der Aufwand für Vorbereitung und Übung. 

Wie sollte ein mittelständisches Unternehmen das Thema Budget angehen? 

Mair: Wir empfehlen zunächst einen neutralen Blick von außen, typischerweise in Form von Reifegrad-Assessments. Daraus lässt sich ableiten, wo die größten Lücken liegen und welches Zielniveau realistisch ist. Als Daumenregel sollte das Securitybudget – abhängig von Branche, Bedrohungslage und Reifegrad – etwa fünf bis 15 Prozent des IT-Budgets ausmachen. Natürlich ist das ein Zielkonflikt, weil Cybersecurity im Gegensatz zu einem neuen CRM-System vermeintlich keinen unmittelbaren Business Value erzeugt. Der Nutzen liegt vielmehr in der Reduktion von Ausfalls- und Existenzrisiken. 

Beim Zero-Trust-Ansatz scheint Österreich noch zurückhaltend. Zu Recht? 

Schwondra: Österreich ist hier kein Frontrunner. Der Zero-Trust-Ansatz ist aber gerade für Unternehmen ab einer gewissen Größe sehr relevant. Die frühere Vorstellung einer klaren äußeren Sicherheitsmauer greift nicht mehr. Zero Trust folgt deshalb einem anderen Paradigma: Jeder Zugriff wird grundsätzlich überprüft und ist zunächst unzulässig, bis er legitimiert ist. Das ist kein Big Bang, sondern ein mehrjähriges Umbauprogramm, das in der Praxis meist Use-Case-getrieben Schritt für Schritt umgesetzt wird. 

Wie groß ist der regulatorische Druck durch NIS II? 

Mair: Der regulatorische Druck wird massiv zunehmen. Nach einer Phase längerer Unsicherheit nimmt die Umsetzung nun konkret Gestalt an. Aus unserer Sicht werden in Österreich künftig nicht bloß einige wenige, sondern rund 4.000 bis 5.000 Organisationen betroffen sein. Der risikobasierte Ansatz von NIS II ist dabei sinnvoll: Unternehmen müssen systematisch beurteilen, welche Risiken für sie relevant sind und welche Maßnahmen angemessen sind. Wer NIS II vernünftig umsetzt, erfüllt damit nicht nur regulatorische Anforderungen, sondern stärkt auch real die eigene Cyberresilienz. 

AI und Quantencomputer: Wo sehen Sie Substanz, wo Hype? 

Schwondra: AI ist längst Realität. In Sicherheitsprodukten kommen seit Jahren Machine-Learning- und Deep-Learning- Methoden zum Einsatz. Neu ist, dass generative und agentenbasierte AI zusätzliche Anwendungsfälle ermöglicht – etwa bei der Phishing-Erkennung, der Klassifizierung von Sicherheitsvorfällen oder in Awareness-Maßnahmen. Gleichzeitig profitieren aber auch die Angreifer, zum Beispiel durch den Einsatz von Deepfakes oder durch deutlich raffiniertere Social-Engineering- Angriffe. Es läuft also zunehmend auf ein Szenario von AI gegen AI hinaus. Beim Quantencomputing ist der Zeithorizont länger, dennoch sollten Unternehmen Post-Quantum-Kryptografie bei System- und Plattformupdates bereits mitdenken. 

Warum tun sich gerade Familienunternehmen mit echter Cyberresilienz oft schwer? 

Schwondra: Häufig bleiben Familienunternehmen bei der Basishygiene stehen. Updates, Netzwerksicherheit und Multifaktor-Authentifizierung sind wichtig, ersetzen aber keine umfassende Cyberstrategie. In vielen familiengeführten Unternehmen fehlt genau diese Holistik. Hinzu kommt, dass Entscheidungen zu Cyberinvestitionen, Priorisierung und Krisenvorsorge oft zu spät oder nur punktuell getroffen werden. 

Mair: Positiv ist, dass Nachfolgegenerationen Digitalisierung stärker als strategische Aufgabe begreifen und entsprechend priorisieren – und Digitalisierung funktioniert nicht ohne Cybersecurity. Wer beides gemeinsam denkt, hat die Chance, aus einem Pflichtthema einen echten Wettbewerbsfaktor zu machen.

IN KOOPERATION MIT DELOITTE