...
Support
Kontakt
Cybersecurity 2025: Zwischen Risiko und Resilienz
KATEGORIEN | Allgemein | Consulting
Lesezeit: 4 min

Was Unternehmen jetzt tun müssen, um digitalen Bedrohungen wirklich standzuhalten

Cybersecurity ist kein IT-Projekt. Sie ist Teil der Unternehmensstrategie – oder sollte es zumindest sein. Das zeigt die aktuelle KPMG Cybersecurity-Studie 2025, die 140 österreichische Unternehmen zu ihrem Umgang mit digitalen Risiken befragt hat. Die Ergebnisse zeichnen ein zwiespältiges Bild: Während das Sicherheitsbewusstsein wächst, bleiben viele Maßnahmen punktuell, technikzentriert und zu wenig nachhaltig verankert.

Dabei stehen Unternehmen an einem Scheideweg: Die Bedrohungslage wird durch KI-gestützte Angriffe, Ransomware und Risiken entlang digitaler Lieferketten komplexer – und die Erwartungen von Kund:innen, Aufsichtsbehörden und Partnern steigen. Wer Vertrauen sichern will, muss mehr tun als Firewalls installieren.

Webinar am 17. Juni 2025 | Cybersecurity im Fokus: Praxiswissen, Strategien und Schutzmaßnahmen

Gemeinsam mit Sophos werfen wir in einem kompakten Fach-Webinar einen klaren Blick auf die aktuelle IT-Sicherheitslage. In nur 60 Minuten zeigen unsere Expert:innen, welche Bedrohungen derzeit besonders relevant sind, wo typische Schwachstellen liegen – und welche Maßnahmen sich in der Praxis bewährt haben. Mit konkreten Beispielen und klaren Strategien erhalten Teilnehmende wertvolle Impulse für eine zukunftsfähige Sicherheitsarchitektur.

Jetzt Anmelden!

Cybersecurity ist unternehmenskritisch – aber oft nicht strategisch verankert

Laut Studie betrachten 91 % der Befragten Cybersecurity als kritischen Erfolgsfaktor für das eigene Unternehmen. Doch nur 49 % haben das Thema klar in ihrer Unternehmensstrategie verankert. Das bedeutet: Die Lücke zwischen Einsicht und Umsetzung ist beträchtlich – und risikobehaftet.

In der Praxis zeigt sich das oft an typischen Symptomen:

  • IT-Security wird als “technische Aufgabe” delegiert – statt im Management verankert.

  • Investitionen erfolgen reaktiv nach Vorfällen – nicht proaktiv nach Risikobewertung.

  • Wichtige Aspekte wie Schulungen, Notfallpläne oder Lieferkettenrisiken werden vernachlässigt.

Empfehlung:

Cybersecurity muss Top-Management-Thema sein – mit klarer Governance, Zielvorgaben und Verantwortlichkeiten. Eine strategische Roadmap hilft, Prioritäten zu setzen und Budgets sinnvoll zu nutzen. Entscheidend ist: Sicherheit ist nicht das Ziel. Sie ist die Voraussetzung für Vertrauen, Compliance und Geschäftserfolg.

Investitionen steigen – aber nicht dort, wo sie am meisten wirken

64 % der Unternehmen haben ihre Cybersecurity-Budgets erhöht. Das klingt positiv – doch der Fokus liegt laut Studie weiterhin stark auf technischen Maßnahmen: Firewalls, Endpoint Protection, Cloud Security.

Nur 33 % investieren gezielt in Awareness-Programme oder Schulungen. Das ist ein Problem, denn:

  • Der Mensch bleibt die größte Schwachstelle.

  • Technische Systeme helfen nur, wenn Mitarbeitende wissen, wie sie funktionieren.

  • Ohne Sicherheitskultur bleibt jede Maßnahme Stückwerk.

Praxisbeispiel:

Ein mittelständisches Unternehmen mit starker Digitalisierungsstrategie investierte 2024 massiv in neue Security-Lösungen – ohne begleitende Schulungen. Das Ergebnis: Ein harmlos wirkender Phishing-Versuch führte zum Abfluss sensibler Kundendaten, weil die betroffenen Mitarbeiter:innen kein Bewusstsein für Social Engineering hatten.

Empfehlung:

Setzen Sie mindestens 20–30 % des Security-Budgets für Awareness, Schulungen und Kommunikation ein. Tools wie phishing simulation platforms, Gamification-Trainings oder E-Learning-Plattformen mit Behavioral Analytics bringen messbaren Fortschritt.

KI: Werkzeug oder Waffe? Beides!

Künstliche Intelligenz prägt die Sicherheitslage 2025 maßgeblich. Die KPMG-Studie zeigt:

  • 41 % der Unternehmen sehen in generativer KI eine neue Form der Bedrohung, etwa durch täuschend echte Phishing-Mails, Deepfakes oder automatisiertes Social Engineering.

  • Gleichzeitig erkennen 39 % das Potenzial von KI zur Angriffserkennung und Analyse.

Die Realität: KI ist ein zweischneidiges Schwert. Cyberkriminelle nutzen sie für effizientere Angriffe, während Sicherheitsverantwortliche sie zur Anomalie-Erkennung, Verhaltensanalyse und Threat Hunting einsetzen können.

Empfehlung:

Unternehmen sollten in KI-gestützte Detection & Response Tools investieren – z. B. in SIEM-Systeme mit ML-Komponenten oder Cloud-native Sicherheitslösungen mit adaptivem Monitoring. Parallel braucht es klare Richtlinien zur internen Nutzung generativer KI, inklusive Schulungen, Prompt-Guidelines und Risikobewertung.

Übergabe des Sophos Platinum Partners

Artaker IT ist Sophos Platinum Partner und steht Ihnen gerne als IT-Sicherheitsexperte zur Seite

 

Menschliches Versagen bleibt Risiko Nummer 1

Trotz aller Technik: 61 % der Sicherheitsvorfälle sind auf menschliches Fehlverhalten zurückzuführen – das zeigt die Studie klar. Hauptursachen:

  • Unachtsamkeit bei E-Mails und Links

  • Verwendung unsicherer Passwörter

  • Fehlende Kenntnisse zu aktuellen Angriffsmethoden

  • Mangelhafte Sicherheitsrichtlinien im Unternehmen

Security Awareness ist also kein “Nice-to-have”, sondern ein zentrales Element digitaler Resilienz.

Best Practices:

  • Rollenspezifische Schulungen statt Einheits-Content

  • Regelmäßige Phishing-Tests mit Feedback

  • Integration in den Onboarding-Prozess

  • Messbare KPIs wie Click-Rate, Reporting-Rate oder Lernfortschritt

Empfehlung:

Schaffen Sie eine Sicherheitskultur, in der jede:r Mitarbeitende Sicherheit als Teil der eigenen Verantwortung versteht. Transparente Kommunikation, Führung durch Vorbild und kontinuierliches Lernen machen hier den Unterschied.

Kostenfreies Whitepaper: Cyberangriffe auf dem Vormarsch – Wie kleine und mittlere Unternehmen ins Visier geraten

Kleine und mittlere Unternehmen (KMUs) in Österreich und Deutschland stehen zunehmend im Fadenkreuz von Cyberkriminellen. Dieses Whitepaper beleuchtet die aktuelle Bedrohungslage, zeigt konkrete Angriffsmuster auf und erklärt, warum KMUs heute nicht mehr davon ausgehen können, „zu klein für ein Ziel“ zu sein.

Neben fundierten Zahlen und aktuellen Studien liefert das Dokument praxisnahe Empfehlungen zur Risikominimierung und stellt erprobte Strategien für einen besseren Schutz vor Ransomware, Phishing und anderen Bedrohungen vor.

Jetzt Downloaden!

Cloud & Drittanbieter: Mehr Agilität, neue Risiken

Cloud Services, SaaS-Anwendungen und externe IT-Partner sind heute Standard – und gleichzeitig potenzielle Einfallstore für Angriffe.

Laut Studie sehen 45 % der Unternehmen signifikante Risiken in ihrer digitalen Lieferkette, doch nur 27 % verfügen über ein formelles Third-Party-Risk-Management.

Das bedeutet:

  • Sicherheitsstandards der Anbieter werden nicht geprüft oder regelmäßig überwacht

  • Datenflüsse sind unklar dokumentiert

  • Verträge enthalten oft keine konkreten Sicherheitsvorgaben

Empfehlung:

Erstellen Sie ein Third-Party-Risk-Framework, das Anbieter nach Kritikalität bewertet, regelmäßige Audits vorsieht und Mindeststandards durchsetzt. Tools für Vendor Risk Management (z. B. ServiceNow, OneTrust) können hier Prozesse automatisieren.

Zudem: Zero Trust auch gegenüber Partnern denken – jede Schnittstelle ist potenziell verwundbar.

Cyber Resilience statt Cyber Reaktion

Was in der Studie durchscheint: Viele Unternehmen handeln reaktiv statt resilient. Ein echter Wandel erfordert jedoch:

  • Strategisches Risikomanagement

  • Integrierte Incident-Response-Pläne

  • Redundante Systeme & Notfallkommunikation

  • Regelmäßige Penetrationstests und Red Team Exercises

Digitale Resilienz bedeutet: Angriffe sind nicht vermeidbar, aber ihre Auswirkungen sind kontrollierbar. Nur resiliente Organisationen können schnell wieder in einen sicheren Zustand zurückkehren.

Fazit: Jetzt handeln – bevor der Vorfall passiert

Die KPMG-Studie 2025 zeigt unmissverständlich: Das Sicherheitsbewusstsein ist da – aber die Umsetzung bleibt oft lückenhaft. Der Fokus liegt zu stark auf Technik, zu wenig auf Strategie, Mensch und Prozess.

Cybersecurity muss sich weiterentwickeln – von einer technischen Disziplin zur Management-Verantwortung. Denn nur so lässt sich Vertrauen in einer zunehmend digitalen Welt erhalten.

✅ Handlungsempfehlungen auf einen Blick

Bereich Sofortmaßnahme
Strategie Cybersecurity fest in der Unternehmensstrategie verankern
Budget Investitionen ausbalancieren: Technik + Mensch
Awareness Schulungen, Simulationen & KPIs implementieren
KI & Tools KI-gestützte Detection & Monitoring-Lösungen evaluieren
Drittanbieter Third-Party-Risk-Management strukturieren
Resilienz Incident-Response-Pläne testen & kontinuierlich verbessern

 

Statement von Martin Böck

Vom Artaker IT Sophos Platinum Partner Status profitieren auch unsere Kund:innen, detaillierte Informationen dazu erhalten Sie hier. 

Noch Fragen? Wir freuen uns darauf, von Ihnen zu hören!

Jetzt Termin vereinbaren und durchstarten!

FAQ und Zusammenfassung

Was sind die größten Cybersecurity-Risiken für Unternehmen im Jahr 2025?

Im Jahr 2025 gehören zu den größten Risiken:

  • Ransomware-Angriffe mit zunehmender Professionalität und Automatisierung,

  • Phishing- und Social-Engineering-Angriffe, insbesondere über KI-generierte Inhalte,

  • Zero-Day-Exploits, die kritische Infrastrukturen bedrohen,

  • Insider-Bedrohungen, oft durch mangelnde Schulung oder hohe Fluktuation,

  • sowie Lieferketten-Angriffe, bei denen Dienstleister oder Zulieferer kompromittiert werden.

Diese Bedrohungen erfordern ganzheitliche Sicherheitsstrategien, die über klassische Schutzmaßnahmen hinausgehen.

Was versteht man unter Cyberresilienz – und warum ist sie 2025 so wichtig?

Cyberresilienz bezeichnet die Fähigkeit eines Unternehmens, Cyberangriffe zu überstehen, sich schnell zu erholen und dabei betriebsfähig zu bleiben. 2025 reicht es nicht mehr aus, nur auf Angriffe zu reagieren – Unternehmen müssen sich proaktiv auf Ausfälle, Datenverluste und Störungen vorbereiten.

Das umfasst:

  • robuste Backup- und Wiederherstellungsprozesse,

  • Business-Continuity-Management,

  • Krisenkommunikation,

  • sowie gezielte Red Team/Blue Team-Übungen zur Vorbereitung auf reale Bedrohungen.

Warum ist der Fachkräftemangel im Bereich IT-Security ein strategisches Risiko?

Laut aktuellen Studien fehlen in Europa zehntausende qualifizierte IT-Security-Fachkräfte. Der Mangel an Expertise führt zu verzögerten Updates, fehlerhaften Sicherheitskonfigurationen und unzureichender Vorfallsreaktion – besonders kritisch in Sektoren mit hoher Regulierungsdichte.

Viele Unternehmen setzen deshalb auf:

  • Managed Security Services,

  • Security Automation,

  • interne Schulungen und Awareness-Kampagnen,

  • sowie den gezielten Aufbau von Cyber-Kompetenz im eigenen Team.

Welche Rolle spielt Künstliche Intelligenz in der Cybersecurity 2025?

KI wird 2025 sowohl als Angriffs- als auch Verteidigungswerkzeug eingesetzt. Auf der einen Seite nutzen Angreifer KI für:

  • automatisierte Phishing-Mails mit hoher Trefferquote,

  • Deepfakes zur Täuschung von Entscheidungsträgern,

  • sowie schnelle Exploiterstellung bei neuen Schwachstellen.

Auf der Verteidigungsseite hilft KI bei:

  • Anomalie-Erkennung in Echtzeit,

  • automatisierten Incident-Response-Prozessen,

  • Risikoanalyse und Priorisierung von Schwachstellen,

  • sowie der Verhaltensanalyse von Benutzeraktivitäten (UEBA).

Wie bereiten sich Unternehmen 2025 optimal auf Cyberangriffe vor?

Empfohlene Maßnahmen sind:

  1. Zero-Trust-Architektur: Kein Zugriff ohne Prüfung – unabhängig vom Standort.

  2. MFA (Multi-Factor Authentication) und Identity & Access Management (IAM).

  3. Patch- und Schwachstellenmanagement mit automatisierten Tools.

  4. Sicheres Backup nach dem 3-2-1-Prinzip.

  5. Simulierte Angriffsszenarien (z. B. Red Teaming) zur Überprüfung der Widerstandsfähigkeit.

  6. Klar definierter Notfallplan inklusive Verantwortlichkeiten und Kommunikationswegen.

Welche gesetzlichen Anforderungen beeinflussen Cybersecurity-Strategien 2025?

Die wichtigsten Regulierungen in Europa sind:

  • NIS2-Richtlinie (Netz- und Informationssicherheit), die ab Oktober 2024 gilt und 2025 aktiv umgesetzt sein muss,

  • DORA-Verordnung (Digital Operational Resilience Act) für den Finanzsektor,

  • sowie branchenspezifische Vorgaben, etwa im Gesundheitswesen oder in der Energieversorgung.

Diese Vorschriften erfordern dokumentierte Sicherheitsmaßnahmen, Vorfallsmanagement und Risikobewertungen – oft mit sehr kurzen Reaktionszeiten.

Wie verändert NIS2 die Anforderungen an mittelständische Unternehmen?

NIS2 betrifft nicht mehr nur große Betreiber kritischer Infrastrukturen, sondern auch viele mittelständische Unternehmen in systemrelevanten Branchen – etwa IT-Dienstleister, Telekommunikation, Maschinenbau oder Logistik. Sie müssen unter anderem:

  • eine verantwortliche Sicherheitsorganisation benennen,

  • regelmäßig Sicherheitsvorfälle melden,

  • Schwachstellen- und Risikomanagement betreiben,

  • und Mitarbeiter regelmäßig schulen.

Die Nichteinhaltung kann zu hohen Geldstrafen und Reputationsverlust führen.

Wie können Unternehmen trotz Fachkräftemangel ihre Cyberabwehr stärken?

Ansätze sind:

  • der Einsatz von Managed Detection & Response (MDR)-Anbietern,

  • Security Operations Center as a Service (SOCaaS),

  • der Aufbau von automatisierten Playbooks für Reaktionsszenarien,

  • sowie der gezielte Einsatz von Security Orchestration, Automation and Response (SOAR)-Lösungen.

Gleichzeitig bleibt Sensibilisierung der Mitarbeitenden ein Schlüsselfaktor zur Reduktion menschlicher Fehler.

Welche Rolle spielt Artaker in der Cybersecurity-Begleitung?

Artaker unterstützt Unternehmen mit einem praxisnahen, technologieunabhängigen Sicherheitsansatz, unter anderem durch:

  • Security Audits und Risikoanalysen,

  • Begleitung bei der Umsetzung von NIS2 und anderen Vorschriften,

  • Implementierung von Microsoft Security-Lösungen (z. B. Defender, Sentinel, Purview),

  • sowie Beratung zur strategischen Security-Roadmap im Kontext von Digitalisierung und Cloud.

Dabei steht die Balance zwischen Schutz, Wirtschaftlichkeit und Zukunftsfähigkeit im Mittelpunkt.

Warum reicht klassische IT-Security nicht mehr aus?

2025 genügt es nicht mehr, einzelne Systeme abzusichern. Unternehmen brauchen eine ganzheitliche Strategie, die auch umfasst:

  • Supply Chain Security,

  • Governance, Risk & Compliance (GRC),

  • Resilienzplanung und Wiederanlaufstrategien,

  • sowie die Integration von Cybersecurity in Geschäftsentscheidungen.

Nur so lassen sich die heutigen und kommenden Bedrohungen effektiv bewältigen.

Kategorien