Cybersecurity in Österreich: Zwischen wachsender Bedrohung und schleppender Resilienz

Cybersecurity in Österreich:
Zwischen wachsender Bedrohung und schleppender Resilienz

Digitale Sicherheit ist ein zentraler Wettbewerbsfaktor für Wirtschaft, Gesellschaft und Politik. Ob kritische Infrastrukturen, Finanzdienstleister, Einzelhandel oder staatliche Stellen – Cyberangriffe bedrohen Stabilität, Vertrauen und Innovationskraft. 

Umso alarmierender ist der Blick auf die neuesten Ergebnisse des Global Cybersecurity Index: Österreich verliert im internationalen Vergleich deutlich an Momentum und ist von Platz 36 auf Rang 67 gefallen, trotz bestehender rechtlicher und technischer Grundlagen. Damit bleibt Österreich zwar im Mittelfeld, verliert jedoch deutlich an internationaler Wettbewerbsfähigkeit im Bereich Cybersecurity. Gesunken ist die Bewertung in allen fünf Dimensionen: Recht, Organisation, Technik, Kooperation und Kapazitätsentwicklung.

Die Ursachen dafür sind vielschichtig. Mastercard Österreich hat zahlreiche Studien analysiert und eigene Erhebungen durchgeführt und die Ergebnisse zeigen unter anderem, dass 33 % der österreichischen Unternehmen unklare rechtliche Anforderungen als wesentliches Hindernis nennen. Insbesondere europäische Vorgaben wie die NIS2-Richtlinie, die DORA-Verordnung oder der geplante Cyber Resilience Act (CRA) stellen Unternehmen vor Herausforderungen.

Die Anforderungen gelten als komplex, fragmentiert und schwer in bestehende Strukturen integrierbar. Vor allem jene Unternehmen, die direkt unter die Regularien fallen, sehen sich damit überfordert. Aber auch viele kleine und mittlere Unternehmen (KMUs), die häufig indirekt betroffen sind (etwa über Lieferketten oder durch die Erwartung größerer Partner) benötigen praktische Unterstützung. Während große Unternehmen eigene Fachabteilungen besitzen oder externe Berater:innen beiziehen können, fehlt KMUs oft schlicht die Kapazität, regulatorische Texte zu interpretieren und in ihre Strukturen zu überführen.

Investitionen und Realität: Wo Sicherheitsbewusstsein an Grenzen stößt

Geld für Cybersecurity wird in Österreich zwar durchaus in die Hand genommen, doch im internationalen Vergleich reicht das nicht aus. Der österreichische Cybersecurity-Markt wächst mit einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 6,6 % und soll bis 2031 ein Volumen von 860 Millionen USD erreichen. Dennoch liegt die Investition pro Mitarbeiter:in in Österreich bei nur 118 USD – damit 33% deutlich weniger als in Deutschland (176 USD) und sogar 38 % weniger als in der Schweiz (189 USD).

Besonders problematisch zeigt sich hier die Kluft zwischen Wahrnehmung und Realität. Ein großer Anteil der Unternehmen in Österreich fühlt sich sicher und ausreichend geschützt, obwohl 22 % tägliche Angriffe melden und 23 % keine Schulungen mit ihren Mitarbeitenden durchführen.

Damit fehlt einer der wichtigsten Bausteine für wirksame Abwehrmaßnahmen – das Bewusstsein und die Kompetenz der Menschen, die tagtäglich mit sensiblen Daten arbeiten. Moderne Sicherheitstechnologien sind nur so stark wie die Personen, die sie bedienen. Ohne Bewusstsein für Phishing, Social Engineering oder Passwortsicherheit bleiben selbst teure Systeme anfällig. Cybersecurity ist kein „Add-on“, sondern muss in die DNA eines Unternehmens integriert werden.

Zwischen politisch motivierten Angriffen und kritischen Infrastrukturen

Die Bedrohungslage für heimische Unternehmen verschärft sich mit rasanter Geschwindigkeit. Zwischen dem ersten und dritten Quartal 2024 stieg die Zahl der Angriffe um 97 %. Besonders betroffen sind kritische Infrastrukturen, Lieferketten und der Einzelhandel – Segmente, die oft über begrenzte Ressourcen und geringe Awareness für das Thema verfügen. Hinzu kommt eine wachsende politische Dimension: Gruppen wie NoName057 nutzten zum Beispiel die Nationalratswahl 2024 für gezielte DDoS-Kampagnen. Dabei wird ein Server, eine Website oder ein Netzwerk gezielt mit einer Flut von Anfragen überlastet, um dessen normalen Betrieb zu stören oder lahmzulegen.

Ein Blick auf die Branchen zeigt dabei eine Besonderheit: In Österreich stellt der Finanzsektor das am häufigsten attackierte Ziel dar – noch vor dem öffentlichen Sektor und der Technologiebranche. Damit unterscheidet sich Österreich vom europäischen Durchschnitt, wo Finanzdienstleister „nur“ auf Platz drei liegen. Die Folgen sind gravierend, denn Banken und Zahlungsdienstleister bilden das Rückgrat der wirtschaftlichen Stabilität und des Vertrauens in digitale Finanzsysteme.

Auch die Methoden der Cyberkriminellen entwickeln sich weiter. Malware bleibt die häufigste Angriffsform, dicht gefolgt von Reconnaissance – also der Vorbereitungsphase eines Cyberangriffs, bei dem Informationen gesammelt und Schwachstellen identifiziert werden – und DDoS-Attacken. Letztere nahmen im dritten Quartal 2024 besonders stark zu, häufig mit politischem Hintergrund.

Ein besorgniserregender Trend ist zudem die wachsende Zahl an Angriffen auf physische Infrastruktur und personenbezogene Daten. 37 % aller Attacken zielten auf IoT-Geräte oder Identitätsinformationen von Kund:innen ab – eine Entwicklung, die vor allem den Einzelhandel mit der zunehmenden Nutzung von digitalen Plattformen unter Druck setzt.

Künstliche Intelligenz: Risiko und Chance zugleich

Kaum ein Thema prägt die aktuelle Cybersecurity-Diskussion so stark wie Künstliche Intelligenz (KI). Angreifer:innen nutzen KI, um hochgradig personalisierte Phishing-Mails zu erstellen, Deepfakes zu generieren oder automatisiert nach Schwachstellen zu suchen. Damit sinken Eintrittsbarrieren für Cyberkriminalität, und die Geschwindigkeit der Angriffe steigt.

Gleichzeitig eröffnet KI auch neue Verteidigungsstrategien. Unternehmen setzen auf intelligente Systeme, die Muster erkennen, Angriffe in Echtzeit abwehren und automatisiert reagieren. 47 % der österreichischen Unternehmen haben generative KI bereits in ihre Abwehrmechanismen integriert. Doch auch hier entstehen neue Hürden: 75 % sehen in den hohen Compliance-Kosten ein erhebliches Problem.

Die Herausforderung für Österreich liegt darin, den Spagat zu meistern und KI konsequent als Sicherheitsfaktor zu nutzen, ohne durch regulatorische oder finanzielle Belastungen an Wettbewerbsfähigkeit zu verlieren.

Fazit: Handeln, bevor es zu spät ist

Die Daten zeigen deutlich: Österreich steht an einem kritischen Punkt seiner Cybersecurity-Entwicklung. Während Bedrohungen exponentiell zunehmen, verliert das Land im internationalen Vergleich kontinuierlich an Boden. Entscheidend sind klare Prioritäten, ausreichende Investitionen und digitale Resilienz.

Für Unternehmen bedeutet das, in drei Dimensionen aktiv zu werden:

• Klarheit schaffen: Regulatorische Anforderungen müssen verständlich und umsetzbar kommuniziert werden
• Ausbildungen & Awareness: Regelmäßige Schulungen und Awareness-Programme sind ebenso wichtig wie technische Lösungen.
• Technologien nutzen: Künstliche Intelligenz kann zum Schlüssel für Echtzeitabwehr und Effizienzsteigerung werden – wenn sie klug und verantwortungsvoll eingesetzt wird.

Österreich steht an einem Wendepunkt: Die Bedrohungen wachsen schneller als die Resilienz. Wer jetzt Prioritäten klärt, in Kompetenzen investiert und Technologie gezielt einsetzt, verkürzt die Reaktionszeit und stärkt Wettbewerbsfähigkeit. Cybersecurity ist kein Zusatzprojekt, sondern Grundvoraussetzung für stabile digitale Wertschöpfung.

Autor: Country Manager Michael Brönner

Quellen Angabe für die Daten ist die Mastercard Advisor Studie “Cybersecurity in Austria – A study on the preparedness of Austrian retailers”