Cybersecurity : Cybersecurity: Die Lücke bleibt

Cyberkriminelle schlafen nicht – und Österreichs Unternehmen beginnen langsam, den Wecker zu hören. Doch zwischen Aufwachen und Handeln klafft mitunter noch eine gefährliche Lücke. Immerhin geht mittlerweile mehr als ein Drittel der Befragten davon aus, dass sich die Bedrohungslage weiter zuspitzt und das Risiko, Opfer eines Cyberangriffs zu werden, steigt. Gleichzeitig wächst auch die Sensibilisierung von Führungskräften und Mitarbeiter:innen für diese Herausforderung. Laut aktueller EY-Cyberstudie schätzen 47 Prozent das Risiko für Cyberangriffe als sehr oder eher hoch ein – ein deutlicher Anstieg gegenüber dem Jahr 2024, als dieser Wert noch bei 35 Prozent lag. Besonders betroffen sehen sich Unternehmen aus der Versicherungsbranche (43 Prozent), dem öffentlichen Bereich (42 Prozent) sowie dem Bau- und Immobiliensektor (20 Prozent). Der Blick in die Zukunft bleibt düster: 90 Prozent der Befragten erwarten eine weitere Zunahme von Angriffen, ein Viertel sogar einen starken Anstieg.

Mehr Angriffe – besonders bei größeren Unternehmen

Auch die Zahl der tatsächlichen Angriffe nimmt zu. Zwar wurden bei 70 Prozent der befragten Unternehmen in den vergangenen fünf Jahren keine Datenangriffe entdeckt, doch 32 Prozent berichten von mindestens einem Vorfall – ein Anstieg um zehn Prozentpunkte im Vergleich zum Vorjahr. Die Wahrscheinlichkeit steigt mit dem Umsatz: Ein Drittel der Unternehmen mit mehr als 51 Millionen Euro Jahresumsatz war bereits mehrfach betroffen. Bei Unternehmen mit weniger als zehn Millionen Euro Umsatz liegt der Anteil bei jeweils 15 Prozent für einmalige und mehrfache Angriffe.

Bei der Einschätzung möglicher Tätergruppen herrscht weitgehend Einigkeit: Die größte Gefahr geht laut den Befragten vom organisierten Verbrechen aus – 22 Prozent sehen das Risiko als sehr groß, weitere 20 Prozent als groß. An zweiter Stelle folgen Hacker:innen bzw. sogenannte „Hacktivisten“ wie Anonymous. Hier schätzen 17 Prozent das Risiko als sehr groß ein, 20 Prozent als groß. Die Bedrohung durch staatlich gesteuerte Akteure oder Insider wird hingegen deutlich seltener als hoch eingeschätzt.

Phishing dominiert – KI auf dem Vormarsch

Bei den konkreten Angriffsmethoden zeigt sich ein klarer Trend: Drei von vier gemeldeten Cyberangriffen waren Phishing-Attacken. Dabei versuchen Cyberkriminelle, über gefälschte E-Mails oder Webseiten an persönliche oder finanzielle Informationen zu gelangen. 73 Prozent der betroffenen Unternehmen berichten von solchen Vorfällen – ein Anstieg um sechs Prozentpunkte gegenüber dem Vorjahr. Malware-Angriffe hingegen sind rückläufig: Ihr Anteil sank von 51 Prozent im Jahr 2024 auf 44 Prozent. Auch Ransomware-Angriffe wurden seltener genannt, bleiben aber ein ernstzunehmendes Risiko – insbesondere für größere Unternehmen.

Trotz der steigenden Bedrohungslage und zunehmender Angriffe zeigt sich, dass viele Unternehmen noch nicht konsequent genug auf die Herausforderungen reagieren. Zwar steigt das Bewusstsein, doch in der Umsetzung von Schutzmaßnahmen und Investitionen in Cybersicherheit gibt es weiterhin Nachholbedarf. Besonders kleinere Unternehmen unterschätzen häufig das Risiko oder verfügen nicht über ausreichende Ressourcen, um sich effektiv zu schützen. Gleichzeitig wird der Einsatz neuer Technologien wie Künstlicher Intelligenz sowohl als Chance als auch als Risiko wahrgenommen: Einerseits kann KI helfen, Angriffe frühzeitig zu erkennen, andererseits eröffnet sie auch neue Möglichkeiten für Cyberkriminelle.

Was ist also zu tun, um die eigenen Daten bzw. das Unternehmen maximal gegen Cyberangriffe abzusichern? Firewalls und Antivirus-Software ist mittlerweile bei neun von zehn Unternehmen Standard, ebenso wie regelmäßige Sicherheitsupdates und Patches. Vor allem Unternehmen über zehn Millionen Euro Jahresumsatz setzen darüber hinaus auf mehrstufige Authentifizierungen und die Verschlüsselung sensibler Daten. Und: Regelmäßige Sicherheitsaudits bzw. Penetrationstests zeigen auf, wo mögliche Schwächen im System liegen könnten. 

Die österreichischen Unternehmen sind hier durchaus sensibilisiert: Der Einsatz der Verschlüsselung sensibler Daten, regelmäßige Sicherheitsaudits und Notfallpläne hat im Vorjahresvergleich etwas bzw. deutlich zugenommen, mit Umsatzstärke der Unternehmen steigt der Einsatz dieser Sicherheitsmaßnahmen ebenfalls. Gerade kleinere Unternehmen mit Jahresumsätzen unter 10 Millionen Euro haben hier aber noch viel Luft nach oben, lediglich sechs von zehn Unternehmen in diesem Bereich setzen etwa auf Verschlüsselung, nicht einmal die Hälfte auf regelmäßige Sicherheitsaudits. 

Die Ergebnisse der Studie zeigen deutlich: Cybersecurity ist längst kein Randthema mehr, sondern eine zentrale Managementaufgabe. Unternehmen, die jetzt nicht handeln, setzen nicht nur ihre Daten, sondern auch ihre Reputation und Wettbewerbsfähigkeit aufs Spiel.

Autor: Bernhard Zacherl ist als Director im Bereich Cybersecurity tätig. Er ist seit 2009 bei EY Österreich und berät mit seinem Team sämtliche Themen im Hinblick auf Cyber-Governance und Cyber-Resilience. Zusätzlich hat er einen starken Fokus auf regulatorische Cybersecurity-Anforderungen.

Hier geht´s zur Studie!