25. Juni 2025 News
Cybersecurity-Studie: Was Schildkröten, KI und Lieferketten gemeinsam haben
Resilienz, Anpassungsfähigkeit und Ausdauer. Eigenschaften, die auch Unternehmen brauchen, um in der digitalen Welt zu bestehen.
Mehr Informationen +
Cybersecurity ist kein Sprint, sondern ein Marathon – auf einem Laufband, das ständig schneller wird. So beschreibt KPMG in ihrer Jubiläumsausgabe der Cyberstudie 2025 die aktuelle Lage. Und tatsächlich: Die digitale Bedrohungslage hat sich in den letzten Jahren dramatisch verändert. Doch was bedeutet das konkret für Unternehmen in Österreich?
Wir haben die aktuelle Studie Kapitel für Kapitel durchleuchtet und präsentieren euch hier die wichtigsten Erkenntnisse – kompakt, verständlich und mit einem Augenzwinkern.
Kapitel 1: 10 Jahre Cybersecurity – eine Zeitreise mit tierischen Begleitern
Seit 2016 begleitet KPMG die Cyberlage in Österreich. 92 % der Unternehmen glaubten bereits damals, dass Cybersecurity kein Hype, sondern Alltag ist. Vom „unbekannten Wesen“ zur strategischen Priorität – die Entwicklung ist beeindruckend. Seit 2022 begleitet die Schildkröte – ein Symbol für Resilienz, Anpassungsfähigkeit und Ausdauer, die Studie. Eigenschaften, die auch Unternehmen brauchen, um in der digitalen Welt zu bestehen.
Fazit: Cybersecurity ist heute Chefsache – und kein reines IT-Thema mehr.
Kapitel 2: Was ist passiert?
Die Bedrohungslage bleibt angespannt. Jeder siebte Cyberangriff in Österreich war 2024 erfolgreich. Besonders alarmierend: 28 % der Angriffe gehen auf staatlich unterstützte Akteur:innen zurück. 41 % der Angriffe kamen aus dem asiatischen Raum – mehr als doppelt so viele wie im Vorjahr. KI-gestützte Deepfakes und Social Engineering nehmen zu. Die Angriffe werden gezielter, raffinierter – und schwerer zu erkennen.
Beispiel: Ein Drittel der Unternehmen konnte die Angreifer:innen nicht identifizieren. Das Wettrennen gegen Cyberkriminelle ist in vollem Gange.
Kapitel 3: Was waren die Folgen?
Cyberangriffe verursachen nicht nur technische, sondern auch psychologische und wirtschaftliche Schäden. 38 % der Unternehmen mussten Kosten für Ermittlungen und Ersatzmaßnahmen stemmen. Jeder zehnte Social Engineering-Versuch nutzt bereits Deepfake-Technologien. Besonders perfide: Fast jeder zweite Social-Engineering-Angriff kam über Messenger-Dienste.
Erkenntnis: Unternehmen müssen nicht nur ihre Systeme, sondern auch ihre Mitarbeitenden schützen – durch Schulungen, Awareness und klare Prozesse.
Kapitel 4: Wie wurde gehandelt?
Nur 47 % der Unternehmen ziehen externe Dienstleister bei Sicherheitsvorfällen hinzu. Und: Nur 32 % planen Penetrationstests zur Wirksamkeitsprüfung ihrer Maßnahmen. Cyberversicherungen? Besitzen nur 19 % – und viele wissen nicht, was diese eigentlich abdecken – gerade dies muss bei uns in der Maklerschaft die Alarmglocken schrillen lassen – Aufklärungsmaßnahmen über das Risiko und Informationen über die möglichen Absicherungen sind erforderlich. 55 % der Unternehmen wünschen sich übrigens, dass Cyberversicherungen auch Lösegeldzahlungen abdecken – bei modernen Cyberversicherungskonzepten heute zum Glück eine Standarddeckung.
Tipp: Vorbereitung ist alles. Wer im Ernstfall nicht weiß, was zu tun ist, verliert wertvolle Zeit – und Geld.
Kapitel 5: Third Party Risk – die Lieferkette als Achillesferse
32 % der Unternehmen bestätigen konkrete Angriffe auf ihre Lieferkette. Und 47 % befürchten, dass ihre Zulieferer nicht dieselben Sicherheitsstandards einhalten wie sie selbst. Besonders kritisch: Nur 36 % haben einen Notfallplan für Vorfälle in der Lieferkette. Dazu passt, dass 64% nicht einmal wissen, welche Auswirkungen Angriffe auf die Lieferkette für sie hatten.
Fazit: Sicherheit endet nicht an der Unternehmensgrenze. Lieferanten müssen Teil der Sicherheitsstrategie sein.
Kapitel 6: Künstliche Intelligenz – Hoffnung und Risiko zugleich
60 % sehen KI (eher) als Chance – aber 78 % glauben auch, dass sie die Bedrohungslage verschärft. Nur 17 % sagen, dass KI ihre Cybersicherheit im letzten Jahr verbessert hat. Die Erwartungen sind hoch, die Realität oft ernüchternd.
Beispiel: KI kann helfen, Anomalien zu erkennen – aber sie kann auch von Angreifer:innen genutzt werden, um Phishing-Mails realistischer zu gestalten.
Kapitel 7: Des- und Missinformation – die unsichtbare Gefahr
83 % der Unternehmen sehen in Desinformation eine Bedrohung für die gesellschaftliche Resilienz. Besonders perfide: Angriffe über Fake News, Deepfakes oder manipulierte Bewertungen. Die Grenzen zwischen Wahrheit und Manipulation verschwimmen. 59 % sehen politische Hacktivist:innen als Bedrohung (durch Des- und Missinformation).
Erkenntnis: Unternehmen müssen lernen, nicht nur technische, sondern auch narrative Angriffe abzuwehren.
Kapitel 8: Regulatorik – Pflicht oder Kür?
NIS-2, DORA, CRA, AI Act – die Liste der neuen EU-Regularien ist lang. Doch 44 % der Unternehmen glauben, nicht betroffen zu sein. Ein gefährlicher Irrtum. Denn viele sind indirekt betroffen – etwa als Zulieferer kritischer Infrastrukturen. 39 % der Unternehmen glauben, bei der Umsetzung organisatorischer Maßnahmen bereits weit fortgeschritten zu sein.
Tipp: Compliance ist kein Selbstzweck. Wer heute investiert, spart morgen – und schützt sein Unternehmen nachhaltig.
Kapitel 9: Organisation und Ressourcen – der Mensch im Mittelpunkt
65 % der Unternehmen haben einen guten Überblick über ihre schützenswerten Assets. Doch nur 52 % wissen, wie sie bei einem großen Cyberangriff reagieren würden. Der Fachkräftemangel bleibt ein Problem: Im Schnitt dauert es 4–6 Monate, um IT-Expert:innen zu rekrutieren. Dazu kommt, dass nur ein sehr geringer Anteil der Cybersecurity-Fachkräfte in Unternehmen Frauen sind – hier bestehen große Karrierepotentiale.
Fazit: Technik ist wichtig – aber ohne Menschen, die sie verstehen und bedienen, bleibt sie wirkungslos.
Kapitel 10: Ausblick – was kommt?
Die Bedrohungen werden nicht weniger – im Gegenteil. Quantencomputing, KI, geopolitische Spannungen: Die Herausforderungen wachsen. Doch auch die Chancen. Wer heute in Resilienz, Zusammenarbeit und Innovation investiert, ist morgen besser gewappnet.
Fazit: Cybersecurity ist Teamarbeit
Die KPMG-Studie 2025 zeigt: Cybersicherheit ist kein Zustand, sondern ein Prozess. Ein Prozess, der Technik, Organisation und Menschen gleichermaßen betrifft. Und der nur funktioniert, wenn alle an einem Strang ziehen – Unternehmen, Staat, Gesellschaft.
Oder wie es die Schildkröte vormacht: langsam, aber stetig – und mit einem dicken Panzer.
Sie möchten sich in die Studie weiter vertiefen – dann fordern Sie unter folgendem Link die Studie bei KPMG an:
https://kpmg.com/at/de/home/insights/2025/05/cybersecurity-studie-2025.html
TEILEN SIE DEN ARTIKEL
Unsere Produkte
D&O
Für Unternehmen, Stiftungen, Vereine, einzelne Personen & D&O mit Strafrechtschutz
CYBER
Für Dienstleister & Gewerbe, Versicherungs-Vermitttler, Produktions-Unternehmen etc.
SPEZIAL STRAF-RECHTSSCHUTZ
Strafrechtsschutz, Manager-Rechtsschutz, Steuerberater & Wirtschaftsprüfer
CRIME
Finanzinstitutionen,
Kommerzielle Kunden
VERMÖGENSSCHADEN-HAFTPFLICHT
Finanzinstitute, Private Equity, Werbung & Medien etc.
Lesen Sie hier weiter
News
Cybersicherheit für KMU: Sofortmaßnahmen, um Ihr Unternehmen 2025 sicherer zu machen
Für kleine und mittlere Unternehmen (KMU) ist die Frage nicht mehr ob, sondern wann sie ins Visier von Cyberkriminellen geraten.
WEITERLESEN
News
Cybersicherheitsstrategie 2025: Umfassende Verteidigung für eine neue Digitalära
Wie kann eine Cybersicherheitsstrategie aussehen, die sowohl aktuelle als auch aufkommende Risiken meistert und regulatorische wie auch technologische Trends integriert?
WEITERLESEN
News
Die Achillesferse der Cyberversicherung: Der Risikofragebogen
Ein „Ja“ im Risikofragebogen kann bereits eine folgenschwere Falschangabe sein.
WEITERLESEN← ZURÜCK ZUR ÜBERSICHT
INFINCO FINANCIAL
LINES BROKERS
