Zu dieser Meldung gibt es: 2 Bilder 1 Dokument
  • 47 Prozent der österreichischen Unternehmen sehen ein hohes Risiko für Cyberangriffe – deutlich mehr als im Vorjahr (35 %)
  • Dennoch: Fast jedes dritte Unternehmen verfügt über kein festes Cybersecurity-Budget (34 %) 
  • 32 Prozent berichten von Angriffen auf Netzwerke oder Daten in den letzten fünf Jahren – zehn Prozent mehr als 2024
  • Phishing bleibt mit 73 Prozent die häufigste Angriffsart, dennoch fehlen vielen Unternehmen strukturierte Notfallpläne
  • KI in der Cyberabwehr ist noch kaum verbreitet – nur 15 Prozent der Unternehmen setzen derzeit entsprechende Technologien ein
  • Der Großteil der Angriffe betrifft Finanzabteilungen, Vertrieb und Geschäftsleitung

Wien, 30. September 2025. Cyberangriffe sind heute eine der größten Bedrohungen für Unternehmen weltweit. Während 2024 lediglich 35 Prozent der Entscheider:innen in Österreich das Risiko eines Cyberangriffs als hoch einschätzten, ist dieser Anteil 2025 auf 47 Prozent gestiegen. Noch klarer zeigt sich die Realität bei den Vorfällen: 32 Prozent der Unternehmen hatten in den letzten fünf Jahren konkrete Hinweise auf Angriffe, ein Plus von zehn Prozentpunkten gegenüber dem Vorjahr. Besonders große Unternehmen sind betroffen: In der Umsatzklasse über 51 Mio. Euro berichten 33 Prozent von wiederholten Angriffen. 90 Prozent aller Befragten erwarten, dass sich die Bedrohungslage künftig weiter verschärfen wird. „Die steigende Zahl an Angriffen macht deutlich, dass Cyberrisiken keine theoretische Gefahr mehr sind. Unternehmen müssen Cybersicherheit endlich als Teil ihrer Geschäftsstrategie begreifen – wer zu spät reagiert, riskiert finanzielle Schäden und Vertrauensverlust“, sagt Gottfried Tonweber, Leiter Cybersecurity und Partner bei EY Österreich. 

Das sind Ergebnisse einer Studie der Prüfungs- und Beratungsorganisation EY Österreich. Dafür wurden 200 Geschäftsführer:innen sowie Führungskräfte aus den Bereichen IT-Sicherheit und Datenschutz von österreichischen Unternehmen ab 20 Mitarbeiter:innen befragt. 

Cyberabwehr ohne Kompass: Vielen fehlt eine übergreifende Strategie
Trotz der hohen Risikowahrnehmung fehlt vielen Unternehmen eine klare Gesamtstrategie für Cybersicherheit. Maßnahmen werden punktuell umgesetzt, doch ein strukturierter Fahrplan ist selten vorhanden. Ohne strategischen Rahmen bleiben Investitionen unkoordiniert – und die Wirksamkeit der Abwehr gering. Die fehlende Steuerung zeigt sich besonders bei den Budgets. 34 Prozent der Unternehmen verfügen über kein festes Cybersecurity-Budget, weitere 42 Prozent können ihre Ausgaben nicht beziffern. Nur neun Prozent investieren mehr als 25.000 Euro jährlich in IT-Sicherheit. Immerhin plant ein Fünftel der Befragten eine Erhöhung der Ausgaben in den kommenden zwei Jahren. 

„Das Fehlen klarer Budgets ist ein Alarmsignal. Ohne ausreichende und gezielt eingesetzte Mittel bleiben selbst die besten Sicherheitskonzepte Theorie. Unternehmen sollten Cybersicherheit als Dauerinvestment verstehen – vergleichbar mit Versicherungen oder Qualitätsmanagement“, so Bernhard Zacherl, Senior Manager bei EY Österreich. 

Phishing dominiert – doch viele Unternehmen ohne Notfallpläne
Phishing ist mit 73 Prozent die am häufigsten genannte Angriffsart. Malware (44 %) und Ransomware (19 %) folgen mit deutlichem Abstand. Auffällig ist, dass organisatorische Gegenmaßnahmen oft fehlen: Nur 57 Prozent der Unternehmen haben Notfallpläne oder Incident-Response-Teams eingerichtet. Angriffe zielen gezielt auf sensible Abteilungen: 38 Prozent betreffen Finanz- und Kreditabteilungen, 30 Prozent den Vertrieb, 25 Prozent das Management. Auch das Personalwesen (24 %) ist zunehmend gefährdet. Zwar sind 71 Prozent der Angreifer kürzer als einen Tag aktiv und 95 Prozent der betroffenen Unternehmen konnten die Qualität des Betriebs rasch wiederherstellen – doch viele reagieren noch ohne klaren Prozess. 

„Phishing-Mails sind oft der Türöffner für weitergehende Attacken. Ohne strukturierte Notfallpläne verlieren Unternehmen im Ernstfall wertvolle Zeit – und riskieren, dass ein lokaler Vorfall zur systemweiten Krise eskaliert“, erklärt Tonweber. 

Regelmäßige Schwachstellen-Tests gehören zu den effektivsten Maßnahmen gegen Cyberangriffe. Dennoch verzichten 31 Prozent der Unternehmen vollständig darauf. Nur 13 Prozent testen monatlich, 29 Prozent einmal jährlich. Insgesamt führen nur 61 Prozent Penetrationstests oder Audits durch. Diese Versäumnisse stehen im Widerspruch zur hohen Risikowahrnehmung. Wer Risiken erkennt, sie aber nicht überprüft, verschiebt die Verteidigung in die Theorie. 

KI zur Cyberabwehr – ein Nischenthema
Trotz der zunehmenden Bedrohung setzen nur 15 Prozent der Unternehmen auf KI-Technologien zur Abwehr von Cyberangriffen. Diese Zahl ist zwar ein kleiner Anstieg im Vergleich zum Vorjahr (12 %), bleibt jedoch insgesamt niedrig. Die häufigste Verwendung von KI liegt in der automatisierten Sicherheitsüberwachung (52 %) und Anomalieerkennung (48 %). Fast jedes dritte Unternehmen plant aber den Einstieg, davon elf Prozent bereits mit konkreten Projekten. „Die Implementierung von KI-gestützten Sicherheitslösungen hat enormes Potenzial, um Bedrohungen frühzeitig zu erkennen. Der geringe Einsatz von KI zeigt jedoch, dass viele Unternehmen hier erst am Anfang stehen“, erklärt Zacherl.

Faktoren, die die Anwendung von KI in der Cyberabwehr einschränken, sind Bedenken hinsichtlich Datenschutz und Ethik (28 %) sowie hohe Implementierungskosten (21 %). Auch der Mangel an qualifiziertem Personal (14 %) wird als Herausforderung angesehen. 

NIS2-Richtlinie: Umsetzung stockt in Österreich
Ein Viertel der befragten Unternehmen ist zudem direkt oder indirekt von der neuen NIS2-Richtlinie betroffen. Von diesen haben zwar 70 Prozent begonnen, die Vorgaben umzusetzen, aber erst 25 Prozent haben die Anforderungen vollständig erfüllt. Besonders weit sind Unternehmen bei technischer Sicherheit (67 %), Personalsicherheit (61 %) und Risikomanagement (58 %). Gleichzeitig kennen 47 Prozent der Befragten die Details der Richtlinie noch nicht. „NIS2 ist nicht nur regulatorische Pflicht, sondern Chance, Sicherheitsstandards auf ein neues Niveau zu heben. Wer hier proaktiv handelt, stärkt nicht nur die Compliance, sondern die gesamte Resilienz des Unternehmens“, so Tonweber.

Seite drucken Link mailen

EY im Überblick

EY* ist eine der führenden Prüfungs- und Beratungsorganisationen in Österreich. Das Unternehmen beschäftigt mehr als 1.500 Mitarbeiter:innen an fünf Standorten und erzielte im Geschäftsjahr 2023/2024 einen Umsatz von 229 Millionen Euro. Gemeinsam mit den insgesamt über 400.000 Mitarbeiter:innen der internationalen EY-Organisation betreut EY Kund:innen überall auf der Welt.

Weitere Informationen finden Sie unter www.ey.com/at 

*Der Name EY bezieht sich in diesem Profil auf alle österreichischen Mitgliedsunternehmen von Ernst &Young Global Limited (EYG), einer Gesellschaft mit beschränkter Haftung nach englischem Recht. Jedes EYG Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen.

Kontakt

EY Bettina Loidhold

Bettina Loidhold
Comms & Engagement Lead | Brand, Marketing & Communications Austria
EY
Wagramer Str. 19
A-1220 Wien
Tel.: +43 1 211 70 4251
E-Mail: presse@at.ey.com

Susanne Hudelist
ikp Wien
Kirchengasse 7/18
A-1070 Wien
Tel.: +43 1 524 77 90 19
E-Mail: ey@ikp.at

eingetragen beim HG Wien, FN 444694m

Alle Inhalte dieser Meldung als .zip:

Sofort downloaden In die Lightbox legen

Bilder (2)

EY_Gottfried Tonweber
EY_Gottfried Tonweber
1 080 x 1 614 © EY/Robert Herbst
EY_Bernhard Zacherl
EY_Bernhard Zacherl
850 x 1 190 © EY/Christina Häusler

Dokumente (1)