Cybersecurity in Wien: Was Unternehmen und Privatpersonen tatsächlich wissen müssen

Laut der aktuellen Studie „Cybersecurity in Österreich 2026" von KPMG und dem Kompetenzzentrum Sicheres Österreich (KSÖ) wurden 1.396 österreichische Unternehmen befragt und die Ergebnisse sind alarmierend:

Malware über E-Mail-Anhänge (78%)

Phishing (69%)

und die Ausnutzung bekannter Schwachstellen (58%)

gehören zu den häufigsten Angriffsarten.

Bei 22 Prozent der Unternehmen führten kompromittierte Dienstleister oder Lieferanten zu einem Angriff auf das eigene Unternehmen, was eine Verdoppelung gegenüber dem Vorjahr darstellt.

Die finanziellen Schäden belaufen sich häufig auf über eine Million Euro.

Und Wien, als wirtschaftliches Zentrum mit hoher Dichte an Unternehmen, Behörden und Bildungseinrichtungen, ist dabei kein Sonderfall, sondern ein bevorzugtes Ziel.

Cybersecurity in Wien: Die Bedrohungslage in Österreich - was CERT.at und das BKA berichten

CERT.at, das nationale Computer Emergency Response Team, verfolgt und dokumentiert die österreichische Sicherheitslage systematisch. Die wichtigsten Erkenntnisse aus den jüngsten Berichten:

Ransomware: Die teuerste Bedrohung

Ransomware ist eine Schadsoftware, die Daten verschlüsselt und dann Lösegeld fordert, um diese wieder freizugeben. Wirtschaftlich gesehen, bleibt dies die folgenreichste Angriffsmethode gegen Unternehmen. Laut dem Cybercrime Report des Bundeskriminalamts bleibt die Zahl der Cybercrime-Delikte auf konstant hohem Niveau, bei einer Aufklärungsquote von nur 31,7 Prozent. Die Dunkelziffer liegt erheblich höher, da viele Unternehmen Vorfälle nicht melden, um Reputationsschäden zu vermeiden.

Besonders aufschlussreich ist die Angriffsstruktur: Als häufigste Einfallstore wurden gestohlene Zugangsdaten, Phishing-E-Mails sowie Schwachstellen in nicht gepatchter Software identifiziert. Faktoren, die mit konsequentem Basis-Schutz größtenteils geschlossen werden könnten. 2025 waren auch österreichische Krankenhäuser und Gesundheitseinrichtungen von Ransomware betroffen, was zeigt, dass kein Sektor als sicher gilt.

Phishing und Social Engineering: Der Mensch als Angriffspunkt

Phishing ist der Versuch, über gefälschte E-Mails oder Websites an Zugangsdaten oder Zahlungsinformationen zu gelangen und war laut BKA auch 2025 eine der häufigsten Angriffsmethoden. Alle größeren österreichischen Bankinstitute waren von Phishing-Kampagnen betroffen.

Besonders auffällig: die Zunahme von O365-Phishing-Angriffen, die nicht auf den privaten Nutzer, sondern direkt auf Unternehmenszugangsdaten abzielen.

Verwandt damit ist Business E-Mail Compromise (BEC): Angreifer kompromittieren oder fälschen eine geschäftliche E-Mail-Adresse und manipulieren damit Zahlungsanweisungen oder interne Genehmigungsprozesse. Der KSÖ-Bericht nennt BEC und CEO-Betrug explizit als eine der häufigsten Angriffsmethoden gegen österreichische Unternehmen.

Lieferkettenangriffe: Wenn der Angriff beim Dienstleister beginnt

Laut der aktuellen KPMG/KSÖ-Studie 2026 gibt mehr als jedes fünfte österreichische Unternehmen (22%) an, dass es im Zusammenhang mit einem Angriff auf Dienstleister oder Lieferanten zu einem Angriff auf das eigene Unternehmen kam - eine Verdoppelung gegenüber dem Vorjahr. Bei 39 Prozent waren Dienstleister oder Lieferanten innerhalb der vergangenen zwölf Monate Opfer eines Cyberangriffs, bei weiteren 14 Prozent gab es zumindest einen Verdacht.

Das ist die besonders heimtückische Variante moderner Cyberangriffe: Die eigene IT ist möglicherweise sauber, aber ein Partner oder Dienstleister in der Lieferkette ist es nicht. Diese Erkenntnis ist auch ein zentrales Element der neuen NISG-Regulierung (dazu später mehr).

Was wirksamer Schutz tatsächlich bedeutet

Sicherheitssoftware allein reicht nicht. Das zeigt die Statistik und das bestätigen Unternehmen, die trotz installierter Antivirensoftware Opfer von Angriffen wurden. Wirksamer Schutz ist ein Zusammenspiel aus Technik, Prozessen und Verhalten.

Die technische Grundausstattung

Einige Maßnahmen sind nicht optional, sie sollten als Mindeststandard gelten:

• Mehrfaktorauthentifizierung (MFA) für alle kritischen Systeme, insbesondere E-Mail, VPN und Cloud-Dienste. MFA allein verhindert einen Großteil der Angriffe, die auf gestohlenen Zugangsdaten basieren.

• Regelmäßiges Patchen: Viele erfolgreiche Angriffe nutzen Schwachstellen aus, für die bereits Sicherheitsupdates verfügbar waren, die aber nicht eingespielt wurden. Das gilt für Betriebssysteme ebenso wie für Netzwerkgeräte und Drittanbieter-Software.

• Backup-Strategie nach der 3-2-1-Regel: drei Kopien der Daten, auf zwei unterschiedlichen Medien, davon eine offline. Ein offline gesichertes Backup ist das wirksamste Mittel gegen Ransomware, es entzieht Angreifern die Grundlage für ihre Forderungen.

• Netzwerksegmentierung: Kritische Systeme sollten vom Rest des Netzwerks getrennt sein. Wenn Ransomware sich ausbreitet, macht die Segmentierung den Unterschied zwischen einem eingegrenzten Vorfall und einem vollständigen Betriebsausfall.

Passwörter und Zugangsverwaltung

Schwache oder mehrfach verwendete Passwörter sind nach wie vor einer der häufigsten Einfallstore. Die Empfehlung ist einfach und dennoch selten vollständig umgesetzt: Ein Passwort-Manager: NordPass, Bitwarden oder KeePass sind bewährte Optionen und machen es praktisch möglich, für jeden Dienst ein einzigartiges, starkes Passwort zu verwenden, ohne sich diese merken zu müssen.

Mindeststandards für Passwörter:

• Mindestlänge 12 Zeichen, Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen

• Kein Wort aus dem Wörterbuch, kein Name, kein Datum

• Pro Dienst ein eigenes Passwort, niemals dasselbe für mehrere Konten(!)

Zusätzlich zur MFA empfiehlt sich das Prinzip der minimalen Rechtevergabe (Least Privilege): Mitarbeitende erhalten nur die Zugriffsrechte, die sie für ihre konkrete Tätigkeit benötigen - nicht mehr. Das begrenzt den Schaden im Fall einer Kompromittierung erheblich.

Verhalten und Sensibilisierung - der unterschätzte Faktor

Technische Maßnahmen können nur das abwehren, was durch sie läuft. Ein Mitarbeiter, der auf eine gut gemachte Phishing-Mail hereinfällt, umgeht die Firewall, den Virenscanner und die Netzwerksegmentierung in einem Zug. Deshalb ist Sensibilisierung kein Luxus, sondern Teil der Sicherheitsarchitektur.

Das bedeutet konkret:

• Regelmäßige Phishing-Simulationen: Kontrollierte Testangriffe, die zeigen, wie Mitarbeitende reagieren und wo Nachschulungsbedarf besteht

• Klare interne Prozesse: Wie wird eine verdächtige E-Mail gemeldet? Wer ist für Sicherheitsfragen zuständig? Diese Fragen müssen vorab beantwortet sein

• Vier-Augen-Prinzip bei Zahlungsfreigaben - insbesondere bei Änderungen von Kontodaten oder unerwarteten Anfragen, egal ob per E-Mail oder Telefon

Datenschutz und Recht in Österreich: Was jetzt gilt

DSGVO und Datenschutzgesetz

Seit 2018 gilt in Österreich die EU-Datenschutz-Grundverordnung (DSGVO), ergänzt durch das österreichische Datenschutzgesetz (DSG). Für Unternehmen bedeutet das: Wer personenbezogene Daten verarbeitet und das ist praktisch jedes Unternehmen mit Kunden, Mitarbeitenden oder Lieferanten, muss geeignete technische und organisatorische Schutzmaßnahmen nachweisen können.

Eine Datenschutzverletzung muss binnen 72 Stunden an die österreichische Datenschutzbehörde (DSB) gemeldet werden, sofern sie zu einem Risiko für die betroffenen Personen führt. Verstantwortliche, die das säumig handhaben, riskieren Strafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes.

NISG 2026: Die neue Pflicht für tausende österreichische Unternehmen

Eine besonders relevante Entwicklung für österreichische Unternehmen: Das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026), die österreichische Umsetzung der EU-Richtlinie NIS2 (Network and Information Security Directive 2), wurde am 23. Dezember 2025 im Bundesgesetzblatt veröffentlicht und tritt am 1. Oktober 2026 in Kraft.

Was das in Zahlen bedeutet: Statt bisher einigen hundert betroffenen Betreibern „wesentlicher Dienste“ fallen nun geschätzt 4.000 österreichische Unternehmen und Einrichtungen unter die Regelung.

Wer betroffen ist, hängt von zwei Faktoren ab:

• Unternehmensgröße: Mindestens 50 Beschäftigte oder Jahresumsatz und Jahresbilanzsumme von jeweils mehr als 10 Millionen Euro

• Sektorzugehörigkeit: 18 definierte Sektoren, darunter Energie, Gesundheit, Verkehr, Finanzwesen, digitale Infrastruktur, öffentliche Verwaltung und weitere

Auch Unternehmen, die selbst unter diesen Schwellenwerten liegen, können indirekt betroffen sein: Wer als IT-Dienstleister oder Lieferant für ein NISG-pflichtiges Unternehmen tätig ist, wird über Vertragsanforderungen zunehmend in die Pflicht genommen.

Die Pflichten im Überblick:

• Technische und organisatorische Risikomanagementmaßnahmen (Backups, Zugangskontrolle, Verschlüsselung, Incident-Response-Prozesse)

• Meldepflicht bei erheblichen Sicherheitsvorfällen: Frühwarnung binnen 24 Stunden, Erstbericht binnen 72 Stunden, Abschlussbericht innerhalb von 30 Tagen

• Registrierungspflicht bis 31. Dezember 2026

• Selbstdeklaration bis 30. September 2027

Die Strafen für Verantwortliche sind nicht ohne: Wesentliche Einrichtungen riskieren Geldbußen von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Wichtig: Das Gesetz knüpft ausdrücklich an Pflichtverletzungen von Leitungsorganen an. Geschäftsführerinnen und Geschäftsführer können damit persönlich haftbar gemacht werden, wenn Cyberrisiken durch mangelnde Aufsicht ermöglicht wurden.

Eine erste Orientierung, ob das eigene Unternehmen betroffen ist, bietet der Online-Ratgeber der Wirtschaftskammer Österreich (WKÖ) sowie die Selbstauskunft des Bundesamts für Cybersicherheit (BACS). Für eine verbindliche Einschätzung empfiehlt sich rechtliche Fachberatung.

Ressourcen für Unternehmen und Privatpersonen

CERT.at ist die erste Anlaufstelle bei IT-Sicherheitsvorfällen in Österreich. Das Team stellt öffentlich zugängliche Warnmeldungen, Leitfäden und aktuelle Sicherheitshinweise bereit. Wer keine Zeit hat, alle Meldungen zu verfolgen, kann sich für die Mailingliste mit priorisierten Warnungen registrieren.

Das Nationale Koordinierungszentrum für Cybersicherheit (NCC-AT) bietet in Zusammenarbeit mit der FFG (Forschungsförderungsgesellschaft) geförderte Unterstützung bei der Umsetzung von Schutzmaßnahmen für Unternehmen an, die unter die NIS2 Richtlinie fallen.

Empfehlenswerte Tools:

• Passwörter-Manager: Bitwarden (Open Source), NordPass oder KeePass

• MFA-Apps: Microsoft Authenticator oder Google Authenticator

• VPN (Virtual Private Network) für öffentliche Netzwerke: NordVPN oder Mullvad

• Windows Defender ist für Privatanwender in den meisten Fällen ausreichend

Fazit: Sicherheit ist kein Zustand, sondern ein Prozess

Cyberangriffe in Österreich haben ein Volumen erreicht, das keinen Sektor und keine Unternehmensgröße mehr ausschließt. Was die KSÖ-Studie, der BKA-Cybercrimereport und die CERT.at-Jahresberichte gemeinsam zeigen: Die häufigsten Angriffe sind selten hochgradig sophistiziert, sie setzen auf bekannte Schwachstellen, die noch nicht behoben wurden, und auf menschliche Fehler, die ohne Sensibilisierung passieren.

Das ist eine gute Nachricht, weil es bedeutet: Wer Basis-Sicherheitsmaßnahmen konsequent umsetzt - MFA, Patching, Backups, klare Prozesse - und sein Team regelmäßig schult, schließt einen Großteil der realen Angriffsvektoren. Absolute Sicherheit gibt es nicht. Aber das Ziel ist nicht Unverwundbarkeit, es ist Resilienz: Angriffe erkennen, eingrenzen und sich davon erholen, bevor der Schaden existenzbedrohend wird.