Deloitte Cyber Security Report: Österreichs Unternehmen unter Druck
Die Zahl der Cyberangriffe ist stark gestiegen. So verzeichnete Deloitte in seinem aktuellen Cyber Security Report eine Verdopplung der Angriffe. (© Deloitte)
Seit 2018 veröffentlicht das Beratungsunternehmen Deloitte seinen Cyber Security-Report. Der aktuelle Report zeigt, dass Österreichs Unternehmen sich des Problems bewusst sind und auch in die Cybersicherheit investieren. Aber das ist ein zweischneidiges Schwert, denn viele Probleme werden unterschätzt und Unternehmen wiegen sich deswegen oft in falscher Sicherheit. Das betrifft besonders KMU.Die Bedrohungslage hat sich zugespitzt. Die Zahl der Cyberangriffe ist stark gestiegen. So verzeichnete Deloitte im vergangenen Jahr eine Verdopplung der Angriffe. Zudem agieren die Angreifenden immer professioneller. Wie der Umfrage für den aktuellen Cyber Security Report unter 350 Unternehmen zeigt, dass die heimischen Unternehmen zwar in die Sicherheit ihrer IT-Systeme und Prozesse investiert haben. Doch die Gefahren sind – auch aufgrund aktueller globaler und technischer Entwicklungen – alles andere als gebannt. So registrierten die Unternehmensberater seit dem Ausbruch des Irankrieges eine weitere Zunahme der Cyber-Angriffe.
„Wir führen mittels persönlicher telefonischer Interviews mit Führungskräften die größte repräsentative Umfrage zu Cyber-Sicherheit in Österreich durch. Dadurch bekommen wir ein aussagekräftiges Bild über die Lage im Land. Das beunruhigende Ergebnis macht deutlich, dass sich die Bedrohungslage in jüngster Zeit spürbar verschärft hat“, hält Christoph Hofinger, Geschäftsführer von Foresight, fest.
In konkreten Zahlen bedeutet das: Nahezu ein Drittel (28 %) der österreichischen Unternehmen berichtet aktuell von beinahe täglichen Ransomware-Angriffen. Das sind doppelt so viele wie noch 2024. „Zwei Drittel (66 %) können zudem nicht ausschließen, dass es aufgrund eines Cyber-Angriffes zu einem totalen Stillstand ihres Betriebes kommt. Das gefährdet nicht nur die finanzielle Stabilität des Unternehmens, sondern auch Arbeitsplätze. Und die Sicherheit von Kundinnen und Kunden steht dabei ebenfalls auf dem Spiel“, betont Karin Mair, Managing Partnerin für die Bereiche Technology & Transformation sowie Strategy, Risk & Transactions bei Deloitte Österreich.
Ransomware: Wiederherstellung gelingt immer seltener
Um die Gefahren zu minimieren, sei ein funktionierendes Business Continuity Management (BCM) mit durchdachten Notfallplänen, klar definierten Verantwortlichkeiten sowie regelmäßigen Übungen unabdingbar. Dieses gibt es allerdings bei weitem nicht in allen Unternehmen. Dabei gewinnt ein funktionierendes BCM gewinnt auch deshalb immer mehr an Bedeutung, weil die Angreifenden zunehmend professioneller agieren – und dabei u.a. auch auf KI-Anwendungen setzen.
Zwar können mittlerweile 80 % der Unternehmen Attacken mittels technischer Infrastrukturmaßnahmen eindämmen, doch das Wiederherstellen mittels Backups (40 %) sowie die Entschlüsselung der Daten (23 %) bei erfolgreichem Angriff gelingen immer seltener. Obwohl diese Entwicklung Unternehmen zunehmend in Alarmbereitschaft versetzen sollte, hält die Mehrheit an ihren bereits gesetzten Sicherheitsbudgets fest.
„60 % der Befragten wollen ihre Ausgaben für Technik und Prozesse in der Cyber Security auf dem Niveau des letzten Jahres halten. Über zwei Drittel (69 %) planen die Personalaufwendungen am Stand von 2025 zu belassen. Denn eines ist klar: Wer auch morgen gut aufgestellt bleiben will, muss Budgets entsprechend anpassen. Investitionen in Cyber Security sind ein Muss“, wie Mair ausführte.
Trügerisches SIcherheitsgefühl
Die Zurückhaltung bei der Ressourcenaufstockung liegt auch daran, dass die Unternehmen der Sicherheit ihrer Daten und IT-Systeme zu stark vertrauen. 86 % schätzen diese als sehr oder ziemlich sicher ein, 13 % bewerten sie sogar als absolut sicher. „Ein hohes Sicherheitsgefühl ist grundsätzlich positiv. Gleichzeitig zeigt sich hier aber eine Diskrepanz, da die Mehrheit einen mehrwöchigen Betriebsstillstand nicht ausschließen kann. Unternehmen müssen aufpassen, sich nicht in falscher Sicherheit zu wiegen, denn das führt oft zu falschen Prioritäten und aufgeschobenen Investitionen“, erklärt Georg Schwondra, Partner / Cyber Leader bei Deloitte Österreich.
Umsetzung zentraler Richtlinien gilt nicht als oberste Priorität
Für die Stärkung der Cyber Security gibt es inzwischen einige Richtlinien wie NIS II oder den EU AI Act, die dieses Jahr in Kraft treten. Viele Unternehmen wissen allerdings nicht, ob diese Vorgaben auf sie zutreffen. Dabei werden von Großunternehmen viele der sich daraus ergebenden Verpflichtungen zur Cyber Security entlang der Lieferkette weitergegeben, woraus sich auch persönliche Haftungen für Geschäftsführer ergeben können.
Die Zeit drängt jedenfalls: Hinsichtlich NIS II, die am 1. Oktober 2026 in Kraft tritt, haben erst 23 % der Betroffenen ihre Vorbereitungen abgeschlossen. 16 % planen die Umsetzung in naher Zukunft und 9 % haben noch keine konkreten Pläne dazu. „Unsere Erfahrung aus der Beratung zeigt: Die Umsetzung solcher Richtlinien dauert nicht Monate, sondern Jahre. Mit Blick auf die nahenden Verpflichtungen bleibt Unternehmen also kaum noch Zeit zu handeln“, warnt Georg Schwondra. „Doch nicht nur die Wirtschaft steht in der Verantwortung – auch der Gesetzgeber muss Tempo machen. Es braucht klare Rahmenbedingungen und gezielte Aufklärung, damit Unternehmen endlich die Planungssicherheit erhalten, die sie benötigen.“
Kommentare