Cyberangriffe zählen längst zu den größten Risiken für Unternehmen und stellen Betriebe angesichts zunehmender Professionalität der Täter:innen vor immer komplexere Herausforderungen. Obwohl in den vergangenen Jahren vielfach in den Schutz von Daten und IT-Systemen investiert wurde, wächst mit der verschärften Bedrohungslage zugleich die Gefahr, sich in falscher Sicherheit zu wiegen. Wie ernst die Situation ist, zeigt der aktuelle "Cyber Security Report 2026" des Beratungsunternehmens Deloitte und des Forschungsinstituts Foresight, für die rund 350 Mittel- und Großunternehmen in Österreich zum Status quo ihrer Cybersecurity befragt wurden.
Cyberangriffe in vielen Unternehmen fast schon Alltag
"Wir führen mittels persönlicher telefonischer Interviews mit Führungskräften die größte repräsentative Umfrage zu Cybersicherheit in Österreich durch. Dadurch bekommen wir ein aussagekräftiges Bild über die Lage im Land. Das beunruhigende Ergebnis macht deutlich, dass sich die Bedrohungslage in jüngster Zeit spürbar verschärft hat", fasst Christoph Hofinger, Geschäftsführer von Foresight, zusammen.
Konkret bedeutet das, dass Ransomware-Angriffe für viele heimische Unternehmen inzwischen beinahe zum Alltag gehören: Laut der Erhebung ist derzeit bereits mehr als ein Viertel der österreichischen Betriebe (28 %) nahezu täglich mit derartigen Attacken konfrontiert – und damit doppelt so viele wie noch 2024. Zudem können zwei Drittel (66 %) nicht ausschließen, dass es aufgrund eines Cyberangriffs zu einem totalen Stillstand ihres Betriebs kommt. "Das gefährdet nicht nur die finanzielle Stabilität des Unternehmens, sondern auch Arbeitsplätze. Und die Sicherheit von Kund:innen steht dabei ebenfalls auf dem Spiel", hält Karin Mair, Managing Partnerin für die Bereiche Technology & Transformation sowie Strategy, Risk & Transactions bei Deloitte Österreich, fest – und betont: "Um die Gefahren zu minimieren, ist ein funktionierendes Business Continuity Management (BCM) mit durchdachten Notfallplänen, klar definierten Verantwortlichkeiten sowie regelmäßigen Übungen unabdingbar."
Professionellere Angriffe treffen auf stagnierende Budgets
Die wachsende Bedeutung eines funktionierenden BCM hängt auch damit zusammen, dass Cyberangriffe zunehmend professionell durchgeführt werden. Zwar gelingt es mittlerweile vier von fünf Unternehmen (80 %), Attacken durch technische Schutzmaßnahmen einzudämmen – doch wenn es zu einem erfolgreichen Angriff kommt, stoßen viele an ihre Grenzen: Sowohl die Wiederherstellung über Backups (40 %) als auch die Entschlüsselung betroffener Daten (23 %) gelingen immer seltener.
Trotz dieser Entwicklung, die eigentlich ein klares Warnsignal sein müsste, bleibt die Bereitschaft, zusätzliche Mittel bereitzustellen, in vielen Unternehmen überschaubar. "60 Prozent der Befragten wollen ihre Ausgaben für Technik und Prozesse in der Cyber Security auf dem Niveau des letzten Jahres halten. Über zwei Drittel (69 %) planen, die Personalaufwendungen am Stand von 2025 zu belassen", so Mair, und ergänzt: "Denn eines ist klar: Wer auch morgen gut aufgestellt bleiben will, muss Budgets entsprechend anpassen. Investitionen in Cyber Security sind ein Muss."
Ein Grund für diese Zurückhaltung dürfte aber auch in der vergleichsweise hohen Zuversicht vieler Betriebe liegen: 86 Prozent bewerten ihre Daten und IT-Systeme als sehr oder ziemlich sicher, 13 Prozent sehen diese sogar als absolut sicher an. Genau darin liegt jedoch ein Spannungsfeld: "Ein hohes Sicherheitsgefühl ist grundsätzlich positiv. Gleichzeitig zeigt sich hier aber eine Diskrepanz, da die Mehrheit einen mehrwöchigen Betriebsstillstand nicht ausschließen kann. Unternehmen müssen aufpassen, sich nicht in falscher Sicherheit zu wiegen, denn das führt oft zu falschen Prioritäten und aufgeschobenen Investitionen", erklärt Georg Schwondra, Partner / Cyber Leader bei Deloitte Österreich.
Neue EU-Regeln setzen Unternehmen unter Zugzwang
Zusätzliche Investitionen werden auch deshalb immer wichtiger, weil Unternehmen zentrale europäische Vorgaben wie NIS II und den EU AI Act rechtzeitig umsetzen müssen. In vielen Betrieben ist allerdings noch unklar, ob die neuen Regulierungen überhaupt greifen und welche Anforderungen sich daraus konkret ergeben. Besonders bei NIS II, die am 1. Oktober 2026 wirksam wird, zeigt sich noch deutlicher Aufholbedarf: Nur 23 Prozent der betroffenen Unternehmen haben ihre Vorbereitungen bislang abgeschlossen, 16 Prozent wollen die Umsetzung erst in nächster Zeit angehen und neun Prozent verfügen dazu noch über keinerlei konkrete Pläne.
"Unsere Erfahrung aus der Beratung zeigt: Die Umsetzung solcher Richtlinien dauert nicht Monate, sondern Jahre. Mit Blick auf die nahenden Verpflichtungen bleibt Unternehmen also kaum noch Zeit zu handeln", warnt Schwondra, und betont: "Doch nicht nur die Wirtschaft steht in der Verantwortung – auch der Gesetzgeber muss Tempo machen. Es braucht klare Rahmenbedingungen und gezielte Aufklärung, damit Unternehmen endlich die Planungssicherheit erhalten, die sie benötigen."
Den gesamten Deloitte Cyber Security Report 2026 finden Sie hier.
www.deloitte.com
www.foresight.at
>
>
>
Kommentar veröffentlichen