SecurityÖsterreichische KMU

Cyberangriffe auf KMU in Österreich: Aktuelle Lage und konkrete Schutzmaßnahmen

Cyberangriffe treffen österreichische KMU heute häufiger über Identitäten, E-Mail und ungepatchte Zugangspunkte. Dieser Artikel zeigt, wo das reale Risiko liegt und welche Schutzmaßnahmen den größten Hebel haben.

EH
Emre Hayta
··10 Min. Lesezeit

Cyberangriffe treffen längst nicht mehr nur Konzerne. Gerade österreichische KMU sind ein attraktives Ziel, weil sie produktive Daten, Kundenzugänge, E-Mail-Konten und oft auch Zahlungsfreigaben verwalten, aber selten ein eigenes Security-Team haben. Dazu kommt eine gefährliche Mischung aus gewachsenen Systemen, Zeitdruck und der Annahme, dass man als kleiner Betrieb für Angreifer nicht interessant genug sei. Diese Annahme ist 2026 schlicht falsch.

In der Praxis wiederholen sich bei kleineren Betrieben dieselben Schwachstellen: Microsoft-365-Konten ohne konsequente Mehrfaktor-Authentifizierung, zu viele lokale Admin-Rechte, ungepflegte Firewalls, Backups ohne Restore-Test und keine klare Verantwortung für den Ernstfall. Wenn dann eine Phishing-Mail durchgeht oder ein altes VPN-Gateway offensteht, wird aus einem kleinen Versäumnis sehr schnell ein echter Betriebsstillstand.

Warum die Lage für KMU gerade angespannt ist

Angreifer arbeiten heute industrialisiert. Phishing-Kits, Ransomware-as-a-Service, Initial-Access-Broker und automatisierte Schwachstellen-Scans senken die Einstiegshürde massiv. Ein Betrieb in Linz, Wels oder Salzburg landet dadurch in denselben Scans wie ein Unternehmen in Wien, Berlin oder Amsterdam. Regionale Größe schützt nicht. Relevant ist nur, ob ein verwertbarer Einstieg gefunden wird.

Zusätzlich verlagert sich das Risiko stark in Richtung Identität. Früher stand oft der einzelne Server im Mittelpunkt. Heute beginnt ein Angriff viel häufiger beim Benutzerkonto, bei Browser-Sessions oder bei einem kompromittierten Postfach. Wer Zugriff auf E-Mail, Cloud-Speicher und Passwort-Reset-Prozesse hat, kann Rechnungsfreigaben manipulieren, Lieferantenkommunikation übernehmen oder interne Daten still abziehen, ohne sofort große technische Spuren zu hinterlassen.

Wichtig: Für KMU ist nicht die perfekte Enterprise-Architektur entscheidend, sondern die saubere Umsetzung weniger Maßnahmen, die Angriffe tatsächlich ausbremsen.

Die häufigsten Einfallstore

1. E-Mail und Identitäten

Business-E-Mail-Compromise, MFA-Fatigue und gestohlene Session-Cookies gehören weiterhin zu den häufigsten Startpunkten. Sobald ein Postfach kompromittiert ist, können Angreifer Weiterleitungsregeln setzen, interne Kommunikation mitlesen und glaubwürdige Folgeangriffe vorbereiten. Für ein kleines Unternehmen ist das oft gefährlicher als ein einzelner Virus auf einem PC.

2. Ungepatchte Edge-Systeme

Firewall-Appliances, VPN-Gateways, Remote-Desktop-Lösungen und Self-Hosted-Webanwendungen sind besonders kritisch. Genau dort reichen wenige Tage Verzögerung bei Sicherheitsupdates, damit ein automatisierter Scan die Schwachstelle erkennt. Wer Sicherheitsupdates nur "bei Gelegenheit" einspielt, verliert hier wertvolle Zeit.

3. Flache Netzwerke

Wenn Büro-PCs, Server, NAS, Drucker und Produktionssysteme im selben Netz hängen, wird aus einem kompromittierten Arbeitsplatz rasch eine Seitwärtsbewegung. Segmentierung klingt nach Konzernprojekt, ist für KMU aber oft gerade der Hebel, der Ransomware lokal begrenzt statt die gesamte Umgebung mitzunehmen.

4. Backups ohne Ernstfall-Test

Ein Backup ist nur dann Schutz, wenn Restore, Aufbewahrung und Offline-Komponente wirklich funktionieren. Viele Unternehmen haben ein NAS oder Cloud-Backup und merken erst im Vorfall, dass Versionen fehlen, der Restore zu lange dauert oder die Sicherung selbst mitverschlüsselt wurde.

Die 7 Schutzmaßnahmen mit dem größten Hebel

  1. MFA konsequent erzwingen. Besonders für E-Mail, VPN, Admin-Portale und Passwortmanager. Authenticator-App oder FIDO2-Key sind deutlich robuster als bloße SMS-Codes.
  2. Admin-Konten trennen. Ein Konto für den Alltag, ein separates Konto für Administration. Lokale Admin-Rechte sollten die Ausnahme sein, nicht der Standard.
  3. Patch-Management takten. Betriebssysteme, Browser, Office, Firewalls, Hypervisor, VPN und NAS brauchen einen festen Update-Rhythmus mit klarer Zuständigkeit.
  4. Offline oder immutable Backup ergänzen. Mindestens eine Kopie darf nicht direkt vom Produktivsystem löschbar sein.
  5. Gefährliche Defaults abschalten. Makros, Script-Ausführung und unnötige Remote-Zugänge sollten bewusst reduziert werden.
  6. Netzwerke segmentieren. Server, Clients, Gäste-WLAN, IoT und Verwaltungszugänge sauber trennen.
  7. Alarmierung auf Identitätsereignisse aktivieren. Ungewöhnliche Logins, MFA-Resets, neue Inbox-Regeln und verdächtige Weiterleitungen müssen sofort sichtbar sein.

Microsoft 365 wird oft unterschätzt

Für viele KMU ist Microsoft 365 der operative Kern. Genau deshalb lohnt sich hier das erste Hardening. Die wichtigsten Themen sind Conditional Access, Legacy Authentication deaktivieren und saubere Rollen statt globaler Vollzugriff. Wer nur an einem einzigen Global Admin hängt oder Admin-Rechte nebenbei an mehrere Benutzer verteilt, baut sich unnötige Angriffsfläche.

# Beispielhafte Prüfpunkte für einen M365-Sicherheitsreview
- MFA für alle Benutzer aktiv
- Legacy Authentication deaktiviert
- Mindestens zwei Break-Glass-Konten mit starkem Schutz
- Keine unnötigen Global-Admin-Rollen
- Alarmierung für verdächtige Inbox-Regeln und Weiterleitungen

Auch Mail-Authentifizierung bleibt wichtig. SPF, DKIM und DMARC verhindern keinen vollständigen Angriff, reduzieren aber Spoofing und verbessern die Erkennung. Für KMU ist das ein überschaubarer Aufwand mit spürbarer Wirkung.

Sicherheit ist auch ein Prozessproblem

Technik allein reicht nicht. Ein großer Teil des Schadens entsteht, weil im Vorfall niemand weiß, wer entscheidet, wer informiert und welche Systeme zuerst isoliert werden. Deshalb braucht auch ein kleines Unternehmen ein kurzes Incident-Playbook. Keine 40-seitige Policy, sondern eine Seite mit den ersten 30 Minuten.

  • Wer darf Benutzer sperren oder Tokens widerrufen?
  • Wer trennt VPN-Zugänge oder blockiert verdächtige Endpunkte?
  • Wo liegen Notfallkontakte und Wiederherstellungsinformationen?
  • Wie wird intern kommuniziert, wenn E-Mail selbst betroffen ist?

Diese Fragen wirken banal, sparen im echten Vorfall aber Stunden. Und genau diese Stunden entscheiden darüber, ob nur ein Konto betroffen ist oder die gesamte Umgebung.

Ein realistischer Mindeststandard für 2026

Wenn ein KMU heute von null startet, würde ich keinen riesigen Werkzeugpark empfehlen. Besser ist ein belastbarer Mindeststandard: Identität absichern, Endgeräte sauber verwalten, kritische Systeme patchen, Backups testen, Admin-Rechte minimieren und Kernsysteme protokollieren. Erst danach lohnen sich anspruchsvollere Themen wie Zero Trust, XDR-Tuning oder komplexe SOAR-Automation.

Ein realistischer Zielzustand ist: Ein kompromittiertes Benutzerkonto bleibt lokal begrenzt, Massenverschlüsselung greift nicht auf alle Daten über, Wiederherstellung ist in Stunden statt Tagen möglich und externe Hilfe kann schnell andocken. Das ist kein Hochglanz-Security-Marketing, aber genau der Unterschied zwischen einer Störung und einem existenzbedrohenden Vorfall.

Fazit

Cyberangriffe auf KMU in Österreich werden nicht verschwinden. Aber die wirksamsten Gegenmaßnahmen sind bekannt und für kleine Betriebe erreichbar. Wer Identitäten schützt, Admin-Rechte trennt, Patches ernst nimmt, Backups wirklich testet und den Ernstfall einmal sauber durchdenkt, reduziert das Risiko drastisch. Nicht jede Firma braucht ein SOC, aber jede Firma braucht Hygiene, Klarheit und eine kurze Liste von Maßnahmen, die im Alltag tatsächlich umgesetzt werden.