SeebrunnerkreisSeebrunnerkreis
SeebrunnerkreisSeebrunnerkreis
Kontakt
zurück zu den News
27.4.2026

Cybersecurity ist Chefsache – KI macht sie nicht einfacher

Podium.

Cybersecurity ist keine Frage der IT-Abteilung mehr, sondern eine unternehmerische Überlebensfrage – und mit Künstlicher Intelligenz hat sich die Schlagzahl noch einmal dramatisch erhöht. Wie Angriffe heute aussehen, wie große Unternehmen sich absichern und welche Rolle KI in Angriff und Verteidigung spielt, darüber diskutierten beim Seebrunner Kreis drei Praktiker aus sehr unterschiedlichen Branchen: Herwig Struber (Vorstand Salzburg AG), Stefan Klinglmair (COO Biogena) und Andreas Sartori (Expert Security Architect, Porsche Informatik). Moderiert wurde die Runde von Nicolai Czink, Geschäftsführer des IT-Dienstleisters Bacher Systems.

Die Bedrohungslage hat sich fundamental verändert

Drei Entwicklungen haben das Thema Cybersecurity in den vergangenen Jahren grundlegend verändert. Erstens: Angriffe sind professioneller, schneller und durch den Einsatz von KI oft täuschend echt. Zweitens: Die regulatorischen Anforderungen sind mit der NIS-2-Richtlinie und deren österreichischer Umsetzung im NISG 2026 massiv gestiegen – betroffen sind allein in Österreich zwischen 3.000 und 5.000 Unternehmen aus 18 Sektoren, und Geschäftsführer haften persönlich. Und drittens: KI ist längst nicht mehr nur Werkzeug der Angreifer, sondern sitzt als Chatbot, Copilot und Assistent mitten in den Unternehmen selbst. Genau diese drei Stränge zogen sich durch die Diskussion.

Deepfakes: Wenn die Stimme des Vorstands plötzlich anruft

Dass KI-generierte Inhalte die Qualität von Angriffen massiv verändern, demonstrierte Nicolai Czink gleich zu Beginn: Aus einem öffentlich verfügbaren Antrittsinterview von Herwig Struber hatte er mit wenigen Klicks ein Deepfake-Audiodatei erzeugt, in dem der Salzburg AG-Vorstand Sätze sagt, die er nie gesagt hat – akustisch kaum vom Original zu unterscheiden. „Stell dir vor, jemand ruft bei euch in der Salzburg AG an und klingt exakt wie Herwig Struber“, gab Czink zu bedenken.

Struber machte deutlich, dass die Salzburg AG diese Bedrohung sehr ernst nimmt und mit Trainings für Führungskräfte sowie regelmäßigen E-Mail-Phishing-Schulungen für die gesamte Belegschaft adressiert. Entscheidend sei aber nicht die Technik allein, sondern die Haltung an der Spitze: „Was für die Mitarbeiter gilt, muss für das oberste Management auch gelten – sonst macht keiner mit“, so Struber. Cybersecurity funktioniere nur, wenn die Führungsmannschaft das Thema nicht bloß dulde, sondern aktiv unterstütze: „Wenn das Management nicht voll dabei ist, kann das nichts werden.“ Ein Punkt, den Struber über den Abend hinweg mehrfach unterstrich.

DDoS am Karsamstag: Wenn der Angriff den denkbar schlechtesten Zeitpunkt trifft

Stefan Klinglmair schilderte eindrücklich, dass auch gut aufgestellte Unternehmen nicht vor Angriffen gefeit sind. Biogena, österreichischer Marktführer bei Premium-Nahrungsergänzungsmitteln, vertreibt einen wesentlichen Teil seiner Produkte online – die Website ist damit geschäftskritisch. Und genau diese wurde an einem Karsamstag durch ein Botnetz per DDoS-Angriff lahmgelegt. Mitarbeitende und Partner waren schwer erreichbar, das Problem konnte dennoch kurzfristig gelöst werden.

Die zentrale Lehre aus dem Vorfall formulierte Klinglmair pointiert: „Auch wenn man gut aufgestellt ist, darf man sich nie zu sicher fühlen, und muss immer mit dem Ernstfall rechnen.“ Was in der Praxis häufig unterschätzt werde, sei die Kommunikation: „Vorbereitung auf den Ernstfall ist alles – nicht nur Technik, sondern auch Kommunikation mit Kunden vorbereiten“, so Klinglmair. Wer informiert Kunden, Partner und Öffentlichkeit in welcher Reihenfolge, mit welchen Botschaften, über welche Kanäle – wenn die eigenen Systeme gerade nicht verfügbar sind? Diese Drehbücher müssten vor dem Vorfall stehen, nicht während.

Gruppenfoto Podium und SBK-Kurator.

Im Bild v.l.n.r.:
Stefan Klinglmair (BIOGENA), Philipp Schmölzer (SBK), Andreas Sartori (Porsche Informatik), Herwig Struber (Salzburg AG) und Nicolai Czink (Bacher Systems).

Passwortlos in die Zukunft: Passkeys statt Phishing-Einfallstor

Andreas Sartori ist für die Absicherung einer besonders komplexen Landschaft mitverantwortlich: Porsche Informatik betreibt nicht nur die IT einer Bank, sondern auch die eines weltweiten Händlernetzwerks mit sehr unterschiedlichen IT-Reifegraden. Eine Angriffsoberfläche, bei der klassische Passwörter längst nicht mehr ausreichen. „Rein nur mit Passwörtern zu arbeiten, ist sinnlos, die können immer leichter gehackt werden“, brachte es Sartori auf den Punkt.

Porsche Informatik rollt deshalb in einem laufenden Projekt den Zugang zu IT-Systemen passwortlos aus – etwa über Passkeys, bei denen ein sicherer Schlüssel auf einem registrierten Mobiltelefon hinterlegt wird. Zunächst werde das in der eigenen IT umgesetzt, „eine große Umstellung für die Kollegen“, wie Sartori einräumte. Der Aufwand ist beträchtlich – in einer Welt KI-gestützter Phishing-Angriffe ist die Investition in phishing-resistente Authentifizierung aber alternativlos.

KI gegen KI: Das neue Wettrüsten

Der zweite große Trend, den Sartori skizzierte, betrifft die Angriffsseite selbst. KI-Agenten, die Schwachstellen in Programmcode selbstständig entdecken und unmittelbar ausnutzen, würden nach seiner Einschätzung in den kommenden Jahren deutlich zunehmen – und damit die Zeit zwischen Bekanntwerden einer Lücke und ihrem Exploit dramatisch verkürzen. Die einzige realistische Antwort darauf sei wiederum KI-Unterstützung auf der Verteidigerseite: um Angriffe automatisiert zu erkennen, abzuwehren und zu entscheiden, welche Lücken schnellstmöglich geschlossen werden müssen. Hierzu bedarf es auch spezieller Notfallprozesse um Schwachstellen gezielt und schnell zu schließen. Sartori fasste es nüchtern zusammen: Wer hier ohne KI operiere, verliere schlicht den Geschwindigkeitswettlauf.

KI im eigenen Unternehmen: Datenschutz beginnt bei der Haltung

Genau an diesem Punkt schloss die zweite Runde an – denn die Frage ist nicht mehr nur, wie sich Unternehmen gegen KI-gestützte Angriffe wehren, sondern wie sie die KI-Systeme absichern, die sie längst selbst einsetzen.

Bei Biogena ist KI in der Kundenbetreuung produktiv im Einsatz, wie Klinglmair erläuterte: Im Hintergrund verarbeitet ein KI-System sämtliche verfügbaren Kundeninformationen und Bestellhistorien und unterstützt die Mitarbeitenden dabei, passgenau auf Kundenbedürfnisse einzugehen – der Kundenkontakt selbst bleibt beim Menschen. Auch für die Erstellung von Texten und Produktinformationen wird KI genutzt, um einen einheitlichen Markenauftritt sicherzustellen.

Klinglmair nannte zwei Erfolgsfaktoren, die in der Praxis häufig unterschätzt werden. Erstens die Haltung der Mitarbeitenden: Biogena achte bereits im Recruiting darauf, dass neue Kolleginnen und Kollegen KI-Tools gegenüber grundsätzlich positiv eingestellt sind. Zweitens – und sicherheitsseitig entscheidend – müsse das Unternehmen die passenden, datenschutzkonformen Werkzeuge aktiv bereitstellen. „Würden wir das nicht machen, könnten Mitarbeiter Daten einfach nach Hause mitnehmen und durch irgendein KI-Modell schicken. Und damit hätten wir ein Problem“, so Klinglmair. Wer KI-Nutzung im Unternehmen verbiete oder verzögere, erzeuge Schatten-KI – und verliere die Kontrolle über die eigenen Daten.

Conversational AI in kritischer Infrastruktur: klare Grenzen, klare Haltung

Die Salzburg AG ist mit ihrer digitalen Assistentin LEA seit 2019 österreichische Vorreiterin beim Einsatz von Conversational AI – LEA beantwortet inzwischen über 400 Themen und unterstützt bei Bestellungen oder bei Energieberatungen. Auf die provokante Frage, ob LEA sich durch geschickte Gesprächsführung oder Prompt Injection zu Aussagen bewegen ließe, die sie nicht treffen sollte, antwortete Struber bestimmt: „LEA, unser KI-System für Kunden, ist mit öffentlichen Informationen trainiert. Bei uns laufen hier noch keine Kundendaten hinein.“ Und weiter: „Als Unternehmen der kritischen Infrastruktur muss bei uns natürlich immer alles gut abgesichert sein. Das ist unser Anspruch.“

Auch hier kam Struber auf seinen roten Faden zurück: Ob Awareness-Training, Phishing-Simulation oder der Umgang mit generativer KI – all das sei letztlich ein Haltungsthema. „Und auch das beginnt wieder beim Management“, so Struber.

Die Nadel im Heuhaufen – und das Reporting an den Vorstand

Wie KI auf der Verteidigerseite konkret Wirkung entfaltet, zeigte Andreas Sartori an zwei Beispielen aus dem Alltag eines Security Operations Teams. In einem SOC liefen täglich tausende potenzielle Angriffsmeldungen auf; rund 90 Prozent davon seien unkritisch, doch der kritische Rest müsse geprüft, eingeordnet und bearbeitet werden, berichtete Sartori. Diese Suche nach der Nadel im Heuhaufen laufe heute bereits weitgehend automatisiert ab – KI-gestützte Systeme würden diesen Prozess weiter beschleunigen und künftig auch automatisiert erste Abwehrmaßnahmen einleiten, damit sich ein potentieller Angreifer nicht weiter ausbreiten kann.

Einen zweiten, in der Praxis sehr wirkungsvollen Anwendungsfall sieht Sartori dort, wo technische Exzellenz und Management-Kommunikation aufeinandertreffen: im Reporting nach einem Sicherheitsvorfall. Die besten Techniker sprächen üblicherweise nicht „die Sprache des Managements“ – die Aufbereitung von Ursachen, Auswirkungen und Gegenmaßnahmen sei für beide Seiten mühsam. „Seit wir KI für die Aufbereitung dieser Informationen nutzen, hat sich die Situation völlig entspannt“, so Sartori. Ein Befund, der weit über die Security-Abteilung hinausweist und exemplarisch zeigt, wo KI im Unternehmen heute echten Mehrwert schafft – ohne dass dafür sensible Daten das Unternehmen verlassen müssen.

Kernbotschaften des Abends

Trotz unterschiedlicher Branchen – Energie und kritische Infrastruktur, B2C-Konsumgüter, IT-Dienstleister für Finanz- und Handelsbetrieb – zeigten sich bemerkenswerte Schnittmengen. Drei Kernbotschaften lassen sich festhalten:

Security beginnt an der Spitze. Unabhängig von Branche und Reifegrad betonten alle drei Panelisten, dass Cybersecurity ohne aktive Rückendeckung und Vorbildfunktion des Top-Managements nicht funktioniert. Tools und Prozesse sind notwendig, aber nicht hinreichend – entscheidend ist die Haltung.

Der Ernstfall ist eine Frage des „Wann“, nicht des „Ob“. Vorbereitung auf den Vorfall umfasst weit mehr als Technik: Notfallprozesse, Kommunikationsdrehbücher für Kunden und Partner, geklärte Entscheidungswege. Wer diese Themen erst während des Angriffs bearbeitet, ist zu spät dran.

KI ist Angriffs- und Verteidigungswaffe zugleich – und bereits im Haus. Deepfakes, KI-gestützte Phishing-Kampagnen und automatisierte Exploit-Suche erhöhen das Tempo auf der Angriffsseite massiv. Gleichzeitig ist KI längst produktiv im eigenen Unternehmen im Einsatz. Wer KI-Nutzung nicht aktiv gestaltet und mit geeigneten, datenschutzkonformen Werkzeugen unterstützt, riskiert Schatten-KI und unkontrollierten Datenabfluss.

Ausblick

Die Diskussion machte deutlich: Das Thema Cybersecurity entwickelt sich schneller, als viele Unternehmen ihre Strukturen anpassen können. Der regulatorische Rahmen – NIS-2, NISG 2024, EU AI Act, DSGVO – setzt Leitplanken, beantwortet aber nicht die operative Frage, wie Unternehmen mit endlichen Ressourcen die richtigen Prioritäten setzen. Der Erfahrungsaustausch zwischen Unternehmen, wie ihn der Seebrunner Kreis ermöglicht, ist dabei selbst Teil der Antwort: Wer aus den Vorfällen anderer lernt, muss seltener aus eigenen lernen.

Die klarste Botschaft des Abends an die Geschäftsführung fasste Nicolai Czink zum Schluss zusammen: Cybersecurity ist Chefsache – und KI macht sie nicht einfacher, aber umso wichtiger. Die gute Nachricht: Niemand muss das allein lösen.

Fotos: Seebrunner Kreis