Was Unternehmen jetzt tun müssen, um digitalen Bedrohungen wirklich standzuhalten

Cybersecurity ist kein IT-Projekt. Sie ist Teil der Unternehmensstrategie – oder sollte es zumindest sein. Das zeigt die aktuelle KPMG Cybersecurity-Studie 2025, die 140 österreichische Unternehmen zu ihrem Umgang mit digitalen Risiken befragt hat. Die Ergebnisse zeichnen ein zwiespältiges Bild: Während das Sicherheitsbewusstsein wächst, bleiben viele Maßnahmen punktuell, technikzentriert und zu wenig nachhaltig verankert.

Dabei stehen Unternehmen an einem Scheideweg: Die Bedrohungslage wird durch KI-gestützte Angriffe, Ransomware und Risiken entlang digitaler Lieferketten komplexer – und die Erwartungen von Kund:innen, Aufsichtsbehörden und Partnern steigen. Wer Vertrauen sichern will, muss mehr tun als Firewalls installieren.

Webinar am 17. Juni 2025 | Cybersecurity im Fokus: Praxiswissen, Strategien und Schutzmaßnahmen

Gemeinsam mit Sophos werfen wir in einem kompakten Fach-Webinar einen klaren Blick auf die aktuelle IT-Sicherheitslage. In nur 60 Minuten zeigen unsere Expert:innen, welche Bedrohungen derzeit besonders relevant sind, wo typische Schwachstellen liegen – und welche Maßnahmen sich in der Praxis bewährt haben. Mit konkreten Beispielen und klaren Strategien erhalten Teilnehmende wertvolle Impulse für eine zukunftsfähige Sicherheitsarchitektur.

Jetzt Anmelden!

Cybersecurity ist unternehmenskritisch – aber oft nicht strategisch verankert

Laut Studie betrachten 91 % der Befragten Cybersecurity als kritischen Erfolgsfaktor für das eigene Unternehmen. Doch nur 49 % haben das Thema klar in ihrer Unternehmensstrategie verankert. Das bedeutet: Die Lücke zwischen Einsicht und Umsetzung ist beträchtlich – und risikobehaftet.

In der Praxis zeigt sich das oft an typischen Symptomen:

• IT-Security wird als “technische Aufgabe” delegiert – statt im Management verankert.

• Investitionen erfolgen reaktiv nach Vorfällen – nicht proaktiv nach Risikobewertung.

• Wichtige Aspekte wie Schulungen, Notfallpläne oder Lieferkettenrisiken werden vernachlässigt.

Empfehlung:

Cybersecurity muss Top-Management-Thema sein – mit klarer Governance, Zielvorgaben und Verantwortlichkeiten. Eine strategische Roadmap hilft, Prioritäten zu setzen und Budgets sinnvoll zu nutzen. Entscheidend ist: Sicherheit ist nicht das Ziel. Sie ist die Voraussetzung für Vertrauen, Compliance und Geschäftserfolg.

Investitionen steigen – aber nicht dort, wo sie am meisten wirken

64 % der Unternehmen haben ihre Cybersecurity-Budgets erhöht. Das klingt positiv – doch der Fokus liegt laut Studie weiterhin stark auf technischen Maßnahmen: Firewalls, Endpoint Protection, Cloud Security.

Nur 33 % investieren gezielt in Awareness-Programme oder Schulungen. Das ist ein Problem, denn:

• Der Mensch bleibt die größte Schwachstelle.

• Technische Systeme helfen nur, wenn Mitarbeitende wissen, wie sie funktionieren.

• Ohne Sicherheitskultur bleibt jede Maßnahme Stückwerk.

Praxisbeispiel:

Ein mittelständisches Unternehmen mit starker Digitalisierungsstrategie investierte 2024 massiv in neue Security-Lösungen – ohne begleitende Schulungen. Das Ergebnis: Ein harmlos wirkender Phishing-Versuch führte zum Abfluss sensibler Kundendaten, weil die betroffenen Mitarbeiter:innen kein Bewusstsein für Social Engineering hatten.

Empfehlung:

Setzen Sie mindestens 20–30 % des Security-Budgets für Awareness, Schulungen und Kommunikation ein. Tools wie phishing simulation platforms, Gamification-Trainings oder E-Learning-Plattformen mit Behavioral Analytics bringen messbaren Fortschritt.

KI: Werkzeug oder Waffe? Beides!

Künstliche Intelligenz prägt die Sicherheitslage 2025 maßgeblich. Die KPMG-Studie zeigt:

• 41 % der Unternehmen sehen in generativer KI eine neue Form der Bedrohung, etwa durch täuschend echte Phishing-Mails, Deepfakes oder automatisiertes Social Engineering.

• Gleichzeitig erkennen 39 % das Potenzial von KI zur Angriffserkennung und Analyse.

Die Realität: KI ist ein zweischneidiges Schwert. Cyberkriminelle nutzen sie für effizientere Angriffe, während Sicherheitsverantwortliche sie zur Anomalie-Erkennung, Verhaltensanalyse und Threat Hunting einsetzen können.

Empfehlung:

Unternehmen sollten in KI-gestützte Detection & Response Tools investieren – z. B. in SIEM-Systeme mit ML-Komponenten oder Cloud-native Sicherheitslösungen mit adaptivem Monitoring. Parallel braucht es klare Richtlinien zur internen Nutzung generativer KI, inklusive Schulungen, Prompt-Guidelines und Risikobewertung.

Artaker IT ist Sophos Platinum Partner und steht Ihnen gerne als IT-Sicherheitsexperte zur Seite

Menschliches Versagen bleibt Risiko Nummer 1

Trotz aller Technik: 61 % der Sicherheitsvorfälle sind auf menschliches Fehlverhalten zurückzuführen – das zeigt die Studie klar. Hauptursachen:

• Unachtsamkeit bei E-Mails und Links

• Verwendung unsicherer Passwörter

• Fehlende Kenntnisse zu aktuellen Angriffsmethoden

• Mangelhafte Sicherheitsrichtlinien im Unternehmen

Security Awareness ist also kein “Nice-to-have”, sondern ein zentrales Element digitaler Resilienz.

Best Practices:

• Rollenspezifische Schulungen statt Einheits-Content

• Regelmäßige Phishing-Tests mit Feedback

• Integration in den Onboarding-Prozess

• Messbare KPIs wie Click-Rate, Reporting-Rate oder Lernfortschritt

Empfehlung:

Schaffen Sie eine Sicherheitskultur, in der jede:r Mitarbeitende Sicherheit als Teil der eigenen Verantwortung versteht. Transparente Kommunikation, Führung durch Vorbild und kontinuierliches Lernen machen hier den Unterschied.

Kostenfreies Whitepaper: Cyberangriffe auf dem Vormarsch – Wie kleine und mittlere Unternehmen ins Visier geraten

Kleine und mittlere Unternehmen (KMUs) in Österreich und Deutschland stehen zunehmend im Fadenkreuz von Cyberkriminellen. Dieses Whitepaper beleuchtet die aktuelle Bedrohungslage, zeigt konkrete Angriffsmuster auf und erklärt, warum KMUs heute nicht mehr davon ausgehen können, „zu klein für ein Ziel“ zu sein.

Neben fundierten Zahlen und aktuellen Studien liefert das Dokument praxisnahe Empfehlungen zur Risikominimierung und stellt erprobte Strategien für einen besseren Schutz vor Ransomware, Phishing und anderen Bedrohungen vor.

Jetzt Downloaden!

Cloud & Drittanbieter: Mehr Agilität, neue Risiken

Cloud Services, SaaS-Anwendungen und externe IT-Partner sind heute Standard – und gleichzeitig potenzielle Einfallstore für Angriffe.

Laut Studie sehen 45 % der Unternehmen signifikante Risiken in ihrer digitalen Lieferkette, doch nur 27 % verfügen über ein formelles Third-Party-Risk-Management.

Das bedeutet:

• Sicherheitsstandards der Anbieter werden nicht geprüft oder regelmäßig überwacht

• Datenflüsse sind unklar dokumentiert

• Verträge enthalten oft keine konkreten Sicherheitsvorgaben

Empfehlung:

Erstellen Sie ein Third-Party-Risk-Framework, das Anbieter nach Kritikalität bewertet, regelmäßige Audits vorsieht und Mindeststandards durchsetzt. Tools für Vendor Risk Management (z. B. ServiceNow, OneTrust) können hier Prozesse automatisieren.

Zudem: Zero Trust auch gegenüber Partnern denken – jede Schnittstelle ist potenziell verwundbar.

Cyber Resilience statt Cyber Reaktion

Was in der Studie durchscheint: Viele Unternehmen handeln reaktiv statt resilient. Ein echter Wandel erfordert jedoch:

• Strategisches Risikomanagement

• Integrierte Incident-Response-Pläne

• Redundante Systeme & Notfallkommunikation

• Regelmäßige Penetrationstests und Red Team Exercises

Digitale Resilienz bedeutet: Angriffe sind nicht vermeidbar, aber ihre Auswirkungen sind kontrollierbar. Nur resiliente Organisationen können schnell wieder in einen sicheren Zustand zurückkehren.

Fazit: Jetzt handeln – bevor der Vorfall passiert

Die KPMG-Studie 2025 zeigt unmissverständlich: Das Sicherheitsbewusstsein ist da – aber die Umsetzung bleibt oft lückenhaft. Der Fokus liegt zu stark auf Technik, zu wenig auf Strategie, Mensch und Prozess.

Cybersecurity muss sich weiterentwickeln – von einer technischen Disziplin zur Management-Verantwortung. Denn nur so lässt sich Vertrauen in einer zunehmend digitalen Welt erhalten.

✅ Handlungsempfehlungen auf einen Blick

Vom Artaker IT Sophos Platinum Partner Status profitieren auch unsere Kund:innen, detaillierte Informationen dazu erhalten Sie hier. 

Noch Fragen? Wir freuen uns darauf, von Ihnen zu hören!

Jetzt Termin vereinbaren und durchstarten!