Studie. Die Zahl der Ransomware-Attacken hat sich verdoppelt, doch die Angst der Unternehmen nimmt ab: Ein Fehler, warnt Deloitte.
Die Cyber-Bedrohungslage hat sich in den vergangenen Monaten zugespitzt, heißt es: Wie der „Deloitte Cyber Security Report 2026“ zeigt, ist nicht nur die Zahl der Attacken stark angestiegen, die Angreifenden agieren auch immer professioneller. Dennoch schätze ein Großteil der Betriebe seine Daten und IT-Systeme als sicher ein – auch weil in der Vergangenheit viel in Cyber Security investiert wurde. Gleichzeitig könnte auch die Erfolgsquote der Angreifer in der letzten Zeit gesunken sein – auch wenn darüber mangels harter Zahlen und geringer Aussagebereitschaft keine Aussage getroffen werden könne.
Doch wenn ein Angriff doch erfolgreich ist, sind die Folgen verheerend, warnt Deloitte. Insbesondere deshalb müssen Unternehmen aufpassen, sich angesichts der steigenden Anforderungen nicht in falscher Sicherheit zu wiegen. Das könnte nämlich fatale Folgen haben, heißt es.
Die Studie
Big Four-MultiDeloitte erhebt jährlich mit dem Forschungsinstitut Foresight den Status quo österreichischer Betriebe zum Thema Cyber Security. Für den aktuellen Report wurden kürzlich rund 350 Mittel- und Großunternehmen in Österreich befragt. Die Umfrage zeige, dass Österreichs Wirtschaft in den vergangenen Jahren viel in Cyber Security investiert hat. Doch die Gefahren seien – auch aufgrund aktueller globaler und technischer Entwicklungen – alles andere als gebannt.
„Wir führen mittels persönlicher telefonischer Interviews mit Führungskräften die größte repräsentative Umfrage zu Cyber-Sicherheit in Österreich durch. Dadurch bekommen wir ein aussagekräftiges Bild über die Lage im Land. Das beunruhigende Ergebnis macht deutlich, dass sich die Bedrohungslage in jüngster Zeit spürbar verschärft hat“, so Christoph Hofinger, Geschäftsführer von Foresight.
Die Gefahr des totalen Stillstands
In konkreten Zahlen bedeutet das:
- Nahezu ein Drittel (28%) der österreichischen Unternehmen berichtet aktuell von beinahe täglichen Ransomware-Angriffen. Das sind doppelt so viele wie noch 2024.
- Zwei Drittel (66%) können nicht ausschließen, dass es aufgrund eines Cyber-Angriffes zu einem totalen Stillstand ihres Betriebes kommen könnte.
„Das gefährdet nicht nur die finanzielle Stabilität des Unternehmens, sondern auch Arbeitsplätze. Und die Sicherheit von Kundinnen und Kunden steht dabei ebenfalls auf dem Spiel“, so Karin Mair, Managing Partnerin für die Bereiche Technology & Transformation sowie Strategy, Risk & Transactions bei Deloitte Österreich, bei der Präsentation des Reports vor Journalisten.
„Um die Gefahren zu minimieren, ist ein funktionierendes Business Continuity Management (BCM) mit durchdachten Notfallplänen, klar definierten Verantwortlichkeiten sowie regelmäßigen Übungen unabdingbar“, so Mair.
Trotz erhöhter Gefahr stagnieren Sicherheitsbudgets
Die Angreifer agieren immer professioneller, die Schäden bei erfolgreichen Angriffen werden immer gravierender, heißt es weiter. Zwar können mittlerweile 80% der Unternehmen Attacken mittels technischer Infrastrukturmaßnahmen eindämmen, doch das Wiederherstellen mittels Backups (40%) sowie die Entschlüsselung der Daten (23%) bei erfolgreichem Angriff gelingen immer seltener. Obwohl diese Entwicklung Unternehmen zunehmend in Alarmbereitschaft versetzen sollte, halte die Mehrheit an ihren bereits gesetzten Sicherheitsbudgets fest.
Die Zurückhaltung bei der Ressourcenaufstockung liege auch daran, dass die Unternehmen der Sicherheit ihrer Daten und IT-Systeme zu stark vertrauen. 86% schätzen diese als sehr oder ziemlich sicher ein, 13% bewerten sie sogar als absolut sicher.
„Ein hohes Sicherheitsgefühl ist grundsätzlich positiv. Gleichzeitig zeigt sich hier aber eine Diskrepanz, da die Mehrheit einen mehrwöchigen Betriebsstillstand nicht ausschließen kann. Unternehmen müssen aufpassen, sich nicht in falscher Sicherheit zu wiegen, denn das führt oft zu falschen Prioritäten und aufgeschobenen Investitionen“, so Georg Schwondra, Partner / Cyber Leader bei Deloitte Österreich.
Dokumentieren für NIS II oder EU AI Act
Investitionen seien auch notwendig, um die anstehenden Fristen bei zentralen Vorgaben wie der NIS II oder dem EU AI Act einzuhalten. Derzeit herrsche allerdings unter den Unternehmen noch große Unsicherheit, ob und in welchem Umfang die neuen europäischen Regulierungen die eigene Organisation überhaupt betreffen. Hinsichtlich NIS II, die am 1. Oktober 2026 in Kraft tritt, haben erst 23% der Betroffenen ihre Vorbereitungen abgeschlossen. 16% planen die Umsetzung in naher Zukunft und 9% haben noch keine konkreten Pläne dazu.
„Unsere Erfahrung aus der Beratung zeigt: Die Umsetzung solcher Richtlinien dauert nicht Monate, sondern Jahre. Mit Blick auf die nahenden Verpflichtungen bleibt Unternehmen also kaum noch Zeit zu handeln“, so Schwondra: „Doch nicht nur die Wirtschaft steht in der Verantwortung – auch der Gesetzgeber muss Tempo machen. Es braucht klare Rahmenbedingungen und gezielte Aufklärung, damit Unternehmen endlich die Planungssicherheit erhalten, die sie benötigen.“ Den Unternehmen rät er, die getroffenen Sicherheitsmaßnahmen schon jetzt in Hinblick auf die künftigen Vorgaben genau zu dokumentieren.
Zero Trust konsequent umsetzen
Im Zusammenhang mit Cyber Security legen die Deloitte-Experten den Unternehmen die konsequente Umsetzung des „Zero Trust“-Sicherheitskonzepts nahe. Dieses sieht jedes Gerät als grundsätzlich verdächtig an – egal ob es sich im Netzwerk des Unternehmens befindet oder von außerhalb Verbindung aufnimmt. Konsequenterweise muss sich das Gerät also bei allen Aktivitäten legitimieren – und ihm bzw. seinem Besitzer sind nur jene Aktivitäten erlaubt, die für seine konkrete Aufgabe innerhalb des Betriebs unbedingt nötig sind.
Dagegen geht die „klassische“ Sicherheitsphilosophie davon aus, dass nur Computer oder Smartphones außerhalb des Firmennetzwerks verdächtig sind – während alle innerhalb des Firewalls automatisch zu den Guten gehören, und ihren Aktivitäten kaum oder wenig Grenzen gesetzt werden. Der Unterschied zwischen den beiden Strategien ist, dass ein Angreifer, der erfolgreich ins Firmennetzwerk eingedrungen ist, dort deutlich weniger Schaden anrichten kann, wenn ihm per „Zero Trust“ weiterhin Grenzen gesteckt sind.
Eine Frage der Reife und die Rolle von KI
Die Umsetzung des Zero Trust-Konzepts ist weniger eine Frage der Kosten als der Bereitschaft des Teams, sich mit den unvermeidlichen Unbequemlichkeiten abzufinden. „Fehlende strukturelle, technologische und organisatorische Reife“, nennt der Deloitte-Report das. Neu ist das Zero Trust-Konzept übrigens nicht, es wurde bereits in den 1990er Jahren entwickelt. Dennoch ist es laut den Angaben bei 20 Prozent der befragten Unternehmen unbekannt, weitere 21 Prozent planen keine Umsetzung.
Ein relativ neues Phänomen ist dagegen der Einsatz von KI in der Cybersecurity – und in der Cyberkriminalität. Hier weicht die Gesamteinschätzung der Befragten von den Erwartungen von Deloitte ab, wie bei der Präsentation deutlich wurde: Die Unternehmen setzen teilweise bereits KI in ihrer IT-Sicherheit ein und erwarten sich unterm Strich mehr Sicherheit davon. Angst vor mit übermächtiger KI ausgestatteten Cyber-Gangstern hat dagegen nur ein kleiner Teil der Befragten. Deloitte hingegen mahnt, die Bedrohungen durch neue KI-Angriffstools nicht zu unterschätzen.
Jetzt den Newsletter von Extrajournal.Net abonnieren
Täglich gratis in Ihrer Mailbox.
Zu diesem Thema:
