EY Cybersecurity Studie 2025: Wie gut Österreichs Unternehmen auf Cyberangriffe vorbereitet sind

Welche Cyberangriffe treffen Unternehmen am häufigsten – und welche Rolle spielt KI dabei?

Die EY Cybersecurity Studie 2025 zeigt deutlich, welche Angriffsarten aktuell dominieren: Drei von vier Cyberangriffen, von denen die Befragten berichten, waren Phishing-Angriffe. Bei Phishing-Angriffen versuchen Cyberkriminelle, persönliche oder finanzielle Informationen von Opfern zu stehlen, indem sie sich als vertrauenswürdige Quellen ausgeben. 73 Prozent der Befragten waren in der Vergangenheit von einem solchen Angriff betroffen, ein Plus von sechs Prozentpunkten im Vergleich zum Vorjahr. Malware-Angriffe wurden indes weniger, von 51 Prozent im Jahr 2024 auf 44 Prozent in diesem Jahr.

Und auch die KI hält in diesem Bereich Einzug. Drei Prozent der Befragten waren bereits von Deepfakes betroffen, Tendenz steigend. Und auch bei den eingangs zitierten Phishing-Angriffen dürfte mittlerweile verstärkt KI zum Einsatz kommen.

Wie setzen Unternehmen künstliche Intelligenz zur Cyberabwehr ein?

Wie erwähnt spielt auch KI eine wachsende Rolle – bei neuen Angriffsmethoden ebenso wie bei der Abwehr. Im Vergleich zum Vorjahr ist die Anzahl an Unternehmen, die bereits konkrete Pläne zum Einsatz von KI-Technologien zur Cyberabwehr haben, zwar um neun Prozentpunkte gestiegen, insgesamt bejahen diese Frage aber lediglich elf Prozent. Weitere 18 Prozent planen den Einsatz, haben dafür aber noch keine genaueren Vorstellungen – vor allem jene der Energiebranche, des Handels sowie der Pharma- und Gesundheitsbranche. 35 Prozent der Unternehmen planen indes keinen Einsatz von KI für die Cyberabwehr, 36 Prozent sind noch unschlüssig.

Unternehmen sehen sich mit einigen Herausforderungen konfrontiert, wenn es um die Implementierung von KI-Technologien in diesem Bereich geht. Bedenken über hohe Kosten fallen geringer aus als jene bezüglich des Datenschutzes und der Ethik, über die technische Integration machen sich die Befragten die wenigsten Sorgen. Insgesamt liegen die Werte deutlich unter den Vorjahresergebnissen, die Herausforderungen scheinen also kleiner zu werden. Dennoch: Fast die Hälfte der Unternehmen hat derzeit keine Änderungen hinsichtlich des KI-Einsatzes geplant; ein Viertel wird immerhin bestehende Technologien erweitern. Lediglich zehn Prozent planen die Einführung neuer KI-Technologien.

Wie gut sind Unternehmen auf die NIS2-Richtlinie vorbereitet?

Letztlich geht es für viele Unternehmen nicht nur um die Bedrohungen, sondern um Strategien, Compliance und neue Technologien zur Abwehr. Hier lässt sich ansetzen – Stichwort NIS2 . Dabei handelt es sich um die überarbeitete EU-Richtlinie für Netz- und Informationssicherheit. Sie soll ein einheitlich hohes Niveau an Cybersecurity in der EU schaffen und ersetzt die ursprüngliche NIS-Richtlinie von 2016. Die Umsetzung in nationales Recht hätte bis eigentlich Oktober 2024 stattfinden sollen, Österreich plant diesen Schritt immerhin noch dieses Jahr. Betroffen davon sind alle mittleren und großen Unternehmen (ab 50 Mitarbeitenden oder mehr als 10 Millionen Euro Umsatz).

16 Prozent der befragten Unternehmen sind direkt von NIS2 betroffen, weitere zehn Prozent immerhin noch indirekt. Satte 47 Prozent sehen sich als nicht betroffen und wissen auch nicht, worum es bei der Richtlinie geht. Der Rest (28 %) ist nicht betroffen, kennt aber immerhin die Inhalte von NIS2. Luft nach oben ist auch bei der Implementierung: Ein Viertel der betroffenen und befragten Unternehmen hat die entsprechenden Vorgaben bereits „vollständig durchgeführt“, 45 Prozent immerhin „teilweise“, 29 Prozent planen die Durchführung. Zumindest zwei von drei Unternehmen haben die Umsetzung im Bereich „Technische Sicherheit“ bereits abgeschlossen.

Wie steht es um Schulungen, Awareness und Budgets für Cybersecurity in Österreich?

Ein zentrales Ergebnis der EY Cybersecurity Studie 2025: Schulungsmaßnahmen nehmen deutlich zu. Während 2024 noch 42 Prozent der Befragten keinerlei Schulungs- bzw. Fortbildungsmaßnahmen für ihre Mitarbeiter:innen angeboten haben, sind es heute nur noch 22 Prozent der Unternehmen. Hauptsächlich werden allgemeine und regelmäßige Schulungen zum Thema Cybersicherheit angeboten (56 %), ein Drittel berichtet auch von spezifischen Trainings, 36 Prozent von Simulationen von Phishing-Angriffen. Rund ein Viertel der Unternehmen setzt zudem auf weitere Maßnahmen zur Steigerung der Awareness der Mitarbeiter:innen.

Das alles kostet auch Geld – und auch darum werden manche Maßnahmen nur zögerlich umgesetzt. Ein Drittel gibt an, kein Budget für IT-Sicherheit zu haben, neun Prozent haben ein Budget von über 25.000 Euro (2024: 14 %), 16 Prozent unter 25.000 Euro (2024: 36 %). 42 Prozent beantworteten die Frage mit „weiß nicht“. Dennoch gibt ein Fünftel an, das Budget werde in den nächsten zwei Jahren erhöht, in 23 Prozent der Unternehmen soll es unverändert bleiben, 25 Prozent können die Frage „derzeit nicht einschätzen“. Reduzieren will das vorhandene Budget indes kein einziges Unternehmen.

Fazit

Die EY Cybersecurity Studie 2025 zeigt: Österreichs Unternehmen sind sich der wachsenden Gefahr durch Cyberangriffe zunehmend bewusst und reagieren mit verbesserten Schutzmaßnahmen. Besonders größere Betriebe setzen auf mehrstufige Sicherheitsstrategien, während kleinere Unternehmen noch deutlichen Aufholbedarf haben. Phishing bleibt die häufigste Angriffsform, KI-gestützte Methoden wie Deepfakes nehmen zu. Die NIS2-Richtlinie soll einheitliche Standards schaffen, doch viele Unternehmen kennen sie nicht oder haben sie noch nicht umgesetzt – Österreich hinkt allerdings bei der Umsetzung in nationales Recht hinterher. Klar ist aber: Die zentrale Schwachstelle bleibt der Mensch. Gezielte Schulungen und klare Notfallpläne sind entscheidend, um langfristig widerstandsfähiger gegenüber Cyberbedrohungen zu werden.

FAQ