✨ AI Kontextualisierung
Phishing, KI-Angriffe und veraltete Systeme: Die neue A1 Business Security Studie 2025, durchgeführt vom Meinungsforschungsinstitut Integral im Auftrag von A1, zeigt, wo Österreichs Unternehmen bei IT-Sicherheit noch Nachholbedarf haben und warum digitale Souveränität zur Standortfrage wird.
Unterschätztes Risiko Mensch
Fast jedes zweite Unternehmen sieht das unvorsichtige Verhalten von Mitarbeiter:innen als größte Gefahr für die eigene Sicherheit – noch vor KI-Angriffen (45 %) und veralteten Systemen (44 %).
„Das größte Risiko sind die eigenen Mitarbeiter:innen, die nicht wissen, welche Bedrohungen auf sie zukommen“, sagt Martin Mayr, Mitglied der Geschäftsführung bei Integral. Besonders kleine Betriebe organisieren ihre IT-Sicherheit oft ausschließlich intern: „45 Prozent machen alles im Haus – bei Kleinstbetrieben sind es sogar über 60 Prozent.“
Viele Firmen unterschätzen laut Mayr auch, was ein Cyberangriff kosten kann. Nur ein Drittel hat die potenziellen Finanzfolgen tatsächlich durchgerechnet. „Wer die Folgen eines Angriffs nicht kennt, kann auch keine Prioritäten setzen. Dabei können die Schäden schnell in die Millionen gehen.“
Veraltete und ungepatchte Systeme
Neben menschlichen Fehlern zählen veraltete Systeme zu den größten Schwachstellen. „Rund 40 Prozent der Betriebe haben keine moderne Sicherheitsarchitektur implementiert“, so Mayr.
Von „ungepatchten Systemen“ spricht man, wenn Software nicht regelmäßig aktualisiert wird. Diese Updates – sogenannte Patches – schließen bekannte Sicherheitslücken, über die Angreifer ins System eindringen können. Besonders kleine Unternehmen verzichten oft aus Unsicherheit oder Ressourcengründen auf Updates – ein Risiko, das massiv unterschätzt wird.
KI verändert das Bedrohungsbild
84 Prozent der Unternehmen erwarten eine Zunahme von Phishing-Angriffen, 82 Prozent rechnen mit KI-gestützten Attacken. Für Martin Resel, stellvertretender Vorstandsvorsitzender von A1 Österreich , ist das Ausdruck einer neuen Realität: „Früher ging es um Ransomware und Lösegeldforderungen. Heute sehen wir zunehmend staatlich gestützte Angriffe, die Lieferketten stören oder Standorte schwächen.“ KI erleichtere solche Angriffe: Durch Deepfakes oder automatisierte Phishing-Mails können Angriffe massenhaft erfolgen.
Digitale Souveränität als Standortfrage
78 Prozent der befragten Unternehmen erwägen laut Studie, künftig auf europäische Cloud-Alternativen umzusteigen. Hintergrund sind rechtliche Risiken durch den US CLOUD Act, der US-Behörden potenziell Zugriff auf Daten gewährt – auch wenn diese in Europa liegen.
„Viele Kunden fragen heute ganz konkret: Unterliegt das Rechenzentrum dem US-Recht oder nicht?“, erklärt Resel.
A1 setzt daher auf eine hybride Cloud-Strategie: Neben globalen Hyperscalern wie Microsoft oder AWS bietet das Unternehmen mit Exoscale eine europäische Cloud-Plattform mit Rechenzentren in Wien, Zürich, Frankfurt, Zagreb und Sofia. Damit können Daten vollständig innerhalb der EU bleiben – sicher, DSGVO-konform und unabhängig von amerikanischer Judikatur.
Kosten und Grenzen europäischer Lösungen
Resel betont, dass europäische Lösungen nicht nur sicherer, sondern oft auch kostengünstiger seien: „Viele basieren auf Open Source und verrechnen nicht nach Volumen, sondern nach Lizenz – das ist ökonomisch attraktiver.“ A1 betreibt etwa seine Contact-Center-Anwendungen mit europäischen Modellen wie Mistral oder Aleph Alpha auf Exoscale – aus Gründen der Souveränität und der Kosteneffizienz.
Technologisch seien die USA und Asien jedoch noch voraus. „Sie investieren um ein Vielfaches mehr in Daten und Entwicklung. Europäische Modelle sind günstiger, aber oft weniger tief integriert“, sagt Resel. Besonders bei Microsoft Copilot zeige sich das: „Wer auf Microsoft setzt, bekommt eine nahtlos eingebundene Lösung“. Das könnten europäische Systeme derzeit kaum leisten.
Hybride Strategie als realistischer Weg
Eine komplette Abkehr von US-Anbietern hält Resel daher für unrealistisch. „Eine digitale Autarkie Europas ist aktuell wirtschaftlich nicht möglich. Aber: Für sensible Unternehmensdaten braucht es eine hybride Strategie, die sich an der Kritikalität der Daten orientiert.“
Kritische Applikationen sollen auf europäischen Plattformen laufen, produktive Tools mit hoher Integration könnten hingegen global betrieben werden. Entscheidend sei, so Resel, „dass Unternehmen genau wissen, welche Daten wo liegen und welche rechtlichen Rahmenbedingungen gelten“.
