Cybersecurity-Expertin Martina Lassl erklärt, welche Maßnahmen mit wenig Aufwand viel bringen, warum Phishing durch KI noch gefährlicher wird – und weshalb Cybersicherheit heute Chefsache ist.
Das Wichtigste in Kürze
- Cybersicherheit muss nicht teuer oder kompliziert starten. Oft bringen einfache Maßnahmen wie automatische Updates, starke Passwörter, klare Zuständigkeiten und funktionierende Backups bereits viel Schutz.
- KMU sind genauso betroffen wie große Unternehmen. Gerade kleinere Betriebe können für Angreifer attraktiv sein, wenn grundlegende Sicherheitsregeln fehlen oder niemand klar verantwortlich ist.
- Der Mensch bleibt ein zentraler Faktor. Viele Angriffe beginnen mit Phishing-Mails, verdächtigen Links oder manipulierten Nachrichten. Deshalb gilt: Im Zweifel nachfragen – nie einfach klicken.
- Im Ernstfall zählt schnelles, strukturiertes Handeln. Betroffene Geräte vom Netzwerk trennen, IT-Verantwortliche oder externe Expert:innen informieren, Passwörter ändern und bei finanziellen Risiken sofort die Bank kontaktieren.
- Cybersecurity ist Führungsaufgabe. Die Geschäftsführung entscheidet, welche Priorität das Thema bekommt, wer zuständig ist und ob Sicherheitsregeln im Alltag wirklich gelebt werden.
Fehlende Basis-Maßnahmen
Viele Unternehmer:innen denken bei Cybersecurity an komplexe Technik und hohe Kosten. Was ist aus deiner Sicht das größte Missverständnis – gerade bei kleinen und mittleren Betrieben?
Martina Lassl: Das größte Missverständnis ist, dass Cybersecurity automatisch komplex, teuer und nur für große Unternehmen relevant sei.
In Wahrheit geht es bei IT-Sicherheit vor allem um Organisation, Aufmerksamkeit und einfache Standards – nicht um High-End-Technologie. Viele erfolgreiche Angriffe passieren nicht wegen fehlender Technik, sondern wegen menschlicher Fehler oder fehlender Grundregeln.
Gerade kleine und mittlere Betriebe unterschätzen, dass sie genauso im Visier stehen – oft sogar leichter angreifbar sind, weil Basismaßnahmen fehlen.
Die meisten Angriffe können jedoch mit grundlegenden Maßnahmen erfolgreich abgewehrt werden.
Informationen dazu gibt es hier: Basismaßnahmen für Informationssicherheit im Unternehmen - WKO
Der Cybersecurity-Check
Cybersecurity schützt Daten, IT-Systeme und Unternehmen. Der Cybersecurity-Check zeigt kompakt, wie Betriebe digitale Risiken senken: mit sicheren Passwörtern, klaren Zugriffsrechten, verlässlichen Backups und Tipps zum Erkennen von Phishing. So lässt sich IT-Sicherheit Schritt für Schritt verbessern.
Diesen gibt es für unterschiedliche Zielgruppen hier:
Einfache Dinge mit großer Wirkung
Wenn ein Unternehmen beim Thema Cybersicherheit ganz am Anfang steht: Welche drei Maßnahmen bringen mit wenig Aufwand die größte Wirkung?
Martina Lassl: Wenn Sie starten, konzentrieren Sie sich auf drei einfache Dinge mit großer Wirkung:
- Halten Sie Ihre Systeme aktuell. Aktivieren Sie automatische Updates – das schließt viele bekannte Sicherheitslücken von selbst.
- Erstellen Sie regelmäßige Backups Ihrer Daten und prüfen Sie auch, ob diese im Notfall funktionieren. Das ist Ihre wichtigste Absicherung gegen Datenverlust.
- Ein geschärftes Bewusstsein im Umgang mit E-Mails, Links und Passwörtern verhindert viele Angriffe, bevor sie überhaupt passieren. Sensibilisieren Sie dazu auch Ihre Mitarbeiter:innen.
Mit diesen drei Schritten kann ein Großteil der Risiken deutlich reduziert werden – ohne großen Aufwand.
iOhne klare Verantwortung bleibt Cybersicherheit oft Stückwerk – und genau das nutzen Angreifer aus.
Der Cybersecurity-Check nennt Themen wie Zuständigkeiten, Schulungen, Zugriffsrechte, Updates, Backups und Notfallplan.
Welche dieser Grundlagen wird in der Praxis am häufigsten unterschätzt – und warum?
Martina Lassl: Am häufigsten unterschätzt wird die klare Zuständigkeit.
In vielen Unternehmen gibt es zwar einzelne Maßnahmen, aber keine Person, die sich durchgehend verantwortlich fühlt. Dadurch werden wichtige Dinge im Alltag schnell vergessen oder nicht konsequent umgesetzt.
Ohne klare Verantwortung bleibt Cybersicherheit oft Stückwerk – und genau das nutzen Angreifer aus.
Cybersecurity funktioniert nur dann wirklich, wenn klar geregelt ist, wer sich kümmert und welche Regeln gelten.
Die wichtigsten Cybersecurity-Maßnahmen
Nummer 1: Klare Zuständigkeiten
Richtlinien für den sorgfältigen Umgang mit Daten, Systemen und Zugriffsrechten müssen für das eigene Unternehmen aufgestellt werden. Eine verantwortliche Ansprechperson für Informationssicherheit muss definiert werden.
Nummer 2: Mitarbeitende sensibilisieren
Du und deine Mitarbeiter:innen solltet regelmäßig Pflichtschulungen absolvieren und das Wissen über aktuelle Risiken und sicheres Verhalten kontinuierlich auffrischen.
Nummer 3: Zugriffsrechte einschränken
Vergib nur jene Zugriffsrechte, die die Mitarbeiter:innen für ihre Aufgaben benötigen.
Konfiguriere die Geräte sicher mit nur aktivierten, notwendigen Funktionen und verwende starke Passwörter gemäß den Richtlinien.
Nummer 4: IT-System & Netzwerke schützen
Installiere zeitnah Sicherheitsupdates und schütze dein Netzwerk durch Firewall, Virenscanner und Anti-Malware-Lösungen. Sorge auch für einen abgesicherten Internetauftritt.
Nummer 5: Daten sichern
Erstelle regelmäßig Backups und prüfe, ob die Wiederherstellung der Daten jederzeit zuverlässig funktioniert.
Nummer 6: Im Notfall richtig handeln
Definiere einen Notfallplan und befolge die vorgesehenen Schritte, um bei IT-Sicherheitsvorfällen schnell und richtig zu reagieren.
Typische Warnsignale
Phishing-Mails werden immer professioneller, auch durch KI. Woran können Unternehmer:innen und Mitarbeiter:innen verdächtige Nachrichten trotzdem erkennen – und welche einfache Regel sollte im Betrieb gelten?
Martina Lassl: Auch wenn Phishing-Mails immer professioneller werden, gibt es weiterhin typische Warnsignale:
- Unerwarteter Handlungsdruck ("sofort klicken", "dringend zahlen")
- Ungewohnte Absender oder leicht veränderte E-Mail-Adressen
- Unpassende Sprache oder ungewöhnliche Anfrage
- Links oder Anhänge, die nicht logisch erscheinen
Die wichtigste Regel im Betrieb: Im Zweifel immer nachfragen – nie klicken. Eine kurze Rückfrage per Telefon oder separater E-Mail kann oft großen Schaden verhindern.
Was sollten Unternehmen im Ernstfall sofort tun, wenn jemand auf einen verdächtigen Link geklickt hat, ein E-Mail-Postfach gehackt wurde oder unbekannte Banktransaktionen auftauchen?
Und was sollte man auf keinen Fall tun?
Martina Lassl: Im Ernstfall zählt vor allem eines: rasch, aber strukturiert handeln.
Trennen Sie betroffene Geräte vom Netzwerk, informieren Sie Ihre IT-Verantwortlichen oder externe Expert:innen und ändern Sie umgehend wichtige Passwörter. Wenn finanzielle Risiken bestehen, kontaktieren Sie zusätzlich Ihre Bank.
Ganz wichtig: Versuchen Sie nicht, das Problem selbst "nebenbei" zu lösen oder abzuwarten. Das kann den Schaden vergrößern. Holen Sie sich umgehend Hilfe bei Expert:innen.
Je rascher Sie reagieren, desto besser lassen sich Auswirkungen begrenzen.
Cybersicherheit betrifft das gesamte Unternehmen
Warum ist Cybersicherheit längst nicht mehr nur ein IT-Thema, sondern eine Führungsaufgabe?
Martina Lassl: Cybersicherheit betrifft heute das gesamte Unternehmen – und damit auch die Geschäftsführung.
Es geht nicht nur um Technik, sondern um Risiken für den Betrieb: Ausfälle, Datenverlust oder Reputationsschäden können existenzielle Folgen haben.
Die Führungsebene entscheidet, wie ernst das Thema genommen wird, welche Priorität es bekommt und ob klare Regeln im Alltag gelebt werden.
Deshalb ist Cybersecurity Teil strategischer unternehmerischer Verantwortung – ähnliche wie Finanzen oder rechtliche Themen.
GLOSSAR
Anti-Malware / Virenscanner: Software, die Geräte vor schädlichen Programmen schützt, indem sie diese erkennt und entfernt.
Backup / Datensicherung: Regelmäßige Sicherung wichtiger Daten zur Wiederherstellung im Notfall.
Bedrohungserkennung (Threat Detection): Erkennen ungewöhnlicher Aktivitäten oder Angriffe, um Schäden früh zu verhindern.
Firewall: Filtert Netzwerkverkehr und blockiert unerlaubte Zugriffe.
Netzwerksicherheit: Maßnahmen zum Schutz von Computern und Netzwerken vor Angriffen.
Passwort-Richtlinie: Regeln für starke, regelmäßig erneuerte Passwörter.
Phishing: Betrugsnachrichten, die sensible Daten erschleichen sollen.
Social Engineering: Manipulation von Personen, um vertrauliche Informationen zu erlangen.
Zugriffsrechte (Access Control): Bestimmen, welche Personen auf welche Dateien oder Programme notwendigerweise zugreifen dürfen.
Zwei-Faktor-Authentifizierung (2FA): Sicherheitsverfahren, bei dem zusätzlich zum Passwort ein zweites Element (z. B. SMS-Code) eingegeben werden muss, um Zugriff zu erhalten