Cybersecurity-Förderungen in der Steiermark — SFG, AWS und WKO im Praxisvergleich

Cybersecurity ist eine Investition — und Investitionen können in Österreich gefördert werden. Was viele Geschäftsführungen nicht wissen: Es gibt mehrere Förderprogramme, die genau Cyber-Investitionen finanzieren, mit jeweils unterschiedlichen Konditionen, Berechtigten und Förderquoten. Wer das im Vorfeld richtig kombiniert, kann signifikante Anteile der Beratungs- und Implementierungskosten extern finanzieren.

Dieser Beitrag zeigt die drei wichtigsten Förderhebel für Cybersecurity-Investitionen in Österreich — mit Schwerpunkt auf den Möglichkeiten für steirische Unternehmen.

Cyber-Investition als förderbare Maßnahme — der österreichische Status

In Österreich gibt es keine einzige große „Cybersecurity-Förderung”, sondern eine Landschaft aus mehreren Programmen mit unterschiedlichen Zielgruppen und Mechaniken. Die wichtigsten drei sind:

• SFG „Cyber!Sicher” — Steirische Wirtschaftsförderung, regional auf die Steiermark beschränkt, gerichtet an KMU
• AWS „KMU.Digital” — Austria Wirtschaftsservice, bundesweit, gerichtet an KMU mit Digitalisierungsschwerpunkt (Cybersecurity ist eine förderbare Komponente)
• WKO Steiermark Cyber-Security-Hotline + flankierende Leistungen — keine klassische Förderung, aber kostenlose Erstberatung und Notfallunterstützung für WKO-Mitglieder

Daneben gibt es sektorspezifische Förderungen (z. B. KRITIS-bezogene Maßnahmen über andere Bundesförderungen) und gelegentlich EU-finanzierte Programme über die FFG, die sich aber an andere Zielgruppen richten und für die typische mittelständische Beratungspraxis weniger relevant sind.

SFG-Aktion „Cyber!Sicher” — die steirische Lösung

Die Steirische Wirtschaftsförderungsgesellschaft (SFG) bietet mit der Aktion „Cyber!Sicher” eine direkt cybersecurity-bezogene Förderung für steirische Unternehmen.

Was wird gefördert? Beratungsleistungen und Konzeptarbeiten zur IT-Sicherheit (Sicherheitsanalysen, Konzeptentwicklung, ISMS-Aufbau, Risiko-Assessments) sowie damit verbundene Bewusstseinsbildungsmaßnahmen. Reine IT-Hard- und Softwareinvestitionen sowie Ersatzinvestitionen sind nicht förderbar — technische Komponenten werden nur gefördert, wenn sie Teil eines breiteren Konzepts sind. Pflichtbestandteil jedes geförderten Projekts: eine Bewusstseinsbildungsmaßnahme für alle Mitarbeitenden mit Computerzugang.

Wer ist berechtigt? Kleine und mittlere Unternehmen (KMU) mit Sitz in der Steiermark.

Förderhöhe und Förderquote (aktueller Stand laut SFG):

• Förderquote: max. 30 % der anrechenbaren Projektkosten
• Förderhöhe: max. 15.000 EUR pro Projekt
• Mindestprojektgröße: 5.000 EUR förderfähige Kosten

Praktische Stolpersteine mit SFG „Cyber!Sicher”:

• Antrag vor Maßnahmenbeginn — Wer die Beratung schon beauftragt oder die Hardware schon gekauft hat, bevor der Förderantrag gestellt ist, fällt typischerweise aus der Förderung. Das ist der häufigste Fehler in der Praxis.
• Dokumentationspflichten — Belege, Berater-Stundennachweise und Endabrechnung müssen vollständig sein. Wer das nicht von Beginn an strukturiert führt, verliert nachträglich Förderquoten.
• Rückerstattung nach Abschluss — Die SFG fördert in der Regel nach Maßnahmenabschluss, nicht als Vorabzahlung. Liquiditätsmäßig muss die Investition zunächst vollständig getragen werden.

Die SFG-Geschäftsstelle steht für Vorab-Beratung zur Verfügung und prüft typischerweise im 15-Minuten-Telefonat, ob die geplante Maßnahme grundsätzlich förderbar ist. Diese Vorabklärung sollte vor jeder Antragstellung erfolgen.

AWS „KMU.DIGITAL” — die Bundeslösung mit aktuell unklarer Verfügbarkeit

Die Austria Wirtschaftsservice GmbH (AWS) ist die Förderbank des Bundes. Ihr Programm „KMU.DIGITAL” richtet sich an österreichische KMU, die in Digitalisierungsmaßnahmen investieren — Cybersecurity ist als förderbare Komponente vorgesehen.

Wichtiger aktueller Status: Die offizielle KMU.DIGITAL-Seite weist das Budget von KMU.DIGITAL 4.0 derzeit als vollständig ausgeschöpft aus, eine Antragstellung ist aktuell nicht mehr möglich. Parallel beschreibt Digital Austria die Förderperiode noch bis 2026 mit Förderhöhen von max. 3.000 EUR für Beratung und 6.000 EUR für Umsetzung — die Stände der beiden Quellen sind aktuell nicht synchron. Vor jeder Planung mit AWS-Förderung sollte daher der Verfügbarkeits- und Budgetstand direkt bei AWS abgefragt werden, weil sich die Situation in den letzten Monaten mehrfach geändert hat.

Was wird gefördert (sofern beantragbar)? Beratungsleistungen zur digitalen Strategie (Erstphase) und konkrete Umsetzungsmaßnahmen (zweite Phase), mit IT-Sicherheit als eigener Förderkomponente.

Wer ist berechtigt? Österreichweit gültig, gerichtet an KMU mit unterschiedlichen Schwellwerten je Säule.

Im Vergleich zur SFG (sofern KMU.DIGITAL aktuell beantragbar ist):

• AWS bietet bundesweite Verfügbarkeit (für Steiermark-Unternehmen sind beide Wege grundsätzlich nutzbar — sofern AWS-Budget vorhanden)
• AWS-Beratungs-Förderung erfordert oft, dass der Berater auf der AWS-Beraterliste steht (Vorab-Akkreditierung)
• Die Bearbeitungszeit bei AWS ist in der Regel länger als bei der SFG

Eine mögliche Konstellation: Ein steirisches Unternehmen, das eine größere Cybersecurity-Investition plant, kann eine SFG-Förderung für die regionale Beratungskomponente mit einer AWS-Förderung für eine getrennte Umsetzungskomponente verbinden — sofern beide Programme zum Antragszeitpunkt tatsächlich beantragbar sind. Doppelförderungen derselben Kosten sind nicht erlaubt; eine saubere Aufteilung in unterschiedliche Maßnahmen-Komponenten ist möglich, aber keine Garantie und im Einzelfall vorab abzuklären.

WKO Steiermark — flankierende Leistungen

Die Wirtschaftskammer Steiermark fördert nicht im klassischen Sinne — aber sie bietet WKO-Mitgliedern (also de facto allen gewerblichen Unternehmen in der Steiermark) zwei strukturelle Leistungen, die in einer Cybersecurity-Strategie wirken können:

Die Cyber-Security-Hotline 0800 888 133 — eine 24/7-Erstanlaufstelle bei Cybersicherheitsvorfällen, für WKO-Mitglieder kostenlos. Sie ersetzt keinen Incident-Response-Plan, aber sie ist der erste Knopf, den ein WKO-Mitglied im Notfall drücken kann. Über die Hotline werden Erstberatung, Verweise an spezialisierte Forensiker und Behörden-Kontakte koordiniert. Wichtig: Das telefonische Erstgespräch ist im WKO-Mitgliedsbeitrag enthalten — ein darüber hinausgehender Vor-Ort-Einsatz oder eine vertiefte Forensik- oder Wiederherstellungs-Begleitung danach ist kostenpflichtig und wird auf Honorarbasis abgerechnet.

Die UBIT Steiermark Beratungs-Netzwerke — die Fachgruppe Unternehmensberatung, Buchhaltung und Informationstechnologie der WKO Steiermark unterhält thematische Arbeitskreise. Der Arbeitskreis IT-Security pflegt einen NIS2-Beraterpool ↗ mit mehreren qualifizierten Berater:innen für NIS2-Compliance. Wer einen geeigneten Berater sucht, findet hier eine kuratierte Liste mit Spezialisierungen — Wermescher Advisory ist Teil dieses Pools.

Diese Leistungen sind für WKO-Mitglieder grundsätzlich kostenlos enthalten in der Mitgliedschaft. Sie sind keine direkte Förderung, aber sie reduzieren die Suchkosten und das Schadenrisiko in der Akutphase eines Vorfalls.

Was sich kombinieren lässt — Praxis-Empfehlungen

Drei Kombinationsmuster sind in der mittelständischen Beratungspraxis am häufigsten anzutreffen:

Muster 1 — SFG plus Eigenleistung. Klassisch für kleine bis mittelgroße steirische Unternehmen mit überschaubarer Investition (10.000 bis 50.000 EUR). SFG fördert die Beratungs- und Konzeptkomponente; das Unternehmen finanziert die Hardware/Software-Komponenten zu großen Teilen selbst. Antrag und Abwicklung sind überschaubar, Bearbeitungszeit kurz.

Muster 2 — AWS „KMU.Digital” für strategische Beratung plus eigenständige Investition. Für Unternehmen, die ein größeres Cybersecurity-Programm planen (>50.000 EUR) und eine externe Strategieberatung als Einstieg möchten. AWS fördert die Beratungs-Phase mit anerkannten Beratern; die Implementierung wird vom Unternehmen selbst getragen oder in einer zweiten AWS-Säule beantragt.

Muster 3 — Mögliche Kombination SFG + AWS. Für mittelgroße Unternehmen mit klar trennbaren Maßnahmenkomponenten kann eine Kombination der beiden Förderungen sinnvoll sein — sofern keine Doppelförderung derselben Kosten erfolgt und die Maßnahmen sauber getrennt sind. Sowohl die aktuelle Verfügbarkeit beider Programme als auch die Vereinbarkeit der konkreten Maßnahmen müssen vorab geklärt werden; eine Kombination ist nicht garantiert.

Antragstellung — die typischen Stolpersteine

In den letzten Jahren haben sich vier wiederkehrende Probleme bei Cybersecurity-Förderungsanträgen herauskristallisiert:

Stolperstein 1 — „Wir haben schon angefangen”. Wer Beratung beauftragt, Hardware beschafft oder Verträge abgeschlossen hat, bevor der Antrag bewilligt ist, fällt in den meisten Programmen aus der Förderung. Die Antragstellung muss zwingend VOR Maßnahmenbeginn erfolgen.

Stolperstein 2 — Unklare Abgrenzung. Wenn ein Cybersecurity-Projekt mit allgemeiner Digitalisierung verknüpft ist (z. B. neue Server-Infrastruktur, neue Software-Plattform), sind die Cybersecurity-spezifischen Kosten oft nicht sauber abgegrenzt. Förderstellen verlangen aber spezifische Beträge für die förderfähige Komponente. Eine klare Trennung in den Angeboten und Rechnungen muss von Beginn an mitgedacht werden.

Stolperstein 3 — Berater-Akkreditierung. Einige Programme (insbesondere AWS) fördern nur Beratungsleistungen von vorab akkreditierten Beratern. Wer einen nicht-akkreditierten Berater beauftragt, kann die Beratungs-Förderung nicht beantragen — selbst wenn die Beratung inhaltlich passen würde. Die Akkreditierungsfrage muss VOR der Beraterauswahl geklärt sein.

Stolperstein 4 — Endabrechnung und Belege. Förderprogramme zahlen typischerweise nach Maßnahmenabschluss und gegen Vorlage von Belegen, Rechnungen und Stundennachweisen. Wer die Dokumentation während der Projektlaufzeit nicht strukturiert führt, verliert in der Endabrechnung Förderquoten — manchmal vollständig.

Wann sich Beratung VOR Antrag rechnet

Die Frage stellt sich in der Praxis häufig: Soll man die Antragstellung selbst übernehmen oder Beratung dafür hinzuziehen?

Für kleinere Anträge (< 20.000 EUR Investition) ist die Eigenleistung in der Regel der bessere Weg — der Förderbetrag rechtfertigt keine externe Beratung für den Antrag. Die SFG-Geschäftsstelle und der AWS-Online-Antragsprozess sind so strukturiert, dass eine sorgfältige Eigenleistung möglich ist.

Für mittlere und größere Anträge (> 30.000 EUR) zahlt sich häufig eine kurze beratende Begleitung aus — typischerweise 1 bis 3 Beratertage für Konstellation, Antragsverfeinerung und Endabrechnungs-Vorbereitung. Der Mehrertrag durch klarere Strukturierung übersteigt in der Regel die Beratungskosten.

Eine Cyber Reality Check ist häufig schon der erste Schritt in Richtung Förderung: Sie liefert die strukturierte Bestandsaufnahme, die für jeden Antrag als Ist-Analyse mitgeliefert werden muss — und ist selbst förderbar in den meisten Programmen.

Fazit

Cybersecurity-Förderungen in Österreich sind kein Allheilmittel, aber sie können signifikante Anteile der Investitionskosten extern finanzieren. Wer in der Steiermark ein Cybersecurity-Programm plant, sollte vor der ersten Beauftragung 30 Minuten investieren, um SFG-Geschäftsstelle und ggf. AWS-Beratung zu kontaktieren — diese Vorabklärung verhindert die häufigsten Stolpersteine.

Die Beratung in der Steiermark bringt diese Förderlogik routinemäßig in das Erstgespräch ein. Welche Förderung wann passt, hängt am konkreten Investitionsplan — eine pauschale Antwort ist nicht möglich, aber eine konstruktive Vorprüfung in 15 bis 30 Minuten oft schon.