Cyber-Resilienz-Verordnung: Meldepflicht für Hersteller ab Mitte 2026

Erstmals seit fast zwei Jahrzehnten sind Sicherheitslücken die häufigste Einfallspforte für Hacker – und übertreffen damit gestohlene Zugangsdaten.

Die Zahlen des aktuellen Verizon Data Breach Investigations Report sprechen eine deutliche Sprache: 31 Prozent aller Datenschutzverletzungen gehen mittlerweile auf ausgenutzte Schwachstellen zurück. Künstliche Intelligenz beschleunigt diesen Trend massiv – Angreifer nutzen KI-Tools, um die Zeitspanne zwischen der Entdeckung einer Lücke und dem ersten Angriff auf wenige Stunden zu verkürzen.

Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Gratis-E-Book zu Cyber Security Trends jetzt herunterladen

EU-Gesetze setzen Hersteller unter Druck

Die EU-Cyber-Resilienz-Verordnung (CRA) zwingt Unternehmen zu einem grundlegenden Umdenken. Zwar wird das Gesetz erst am 11. Dezember 2027 vollständig in Kraft treten, doch die ersten wichtigen Fristen rücken näher. Bereits Mitte 2026 müssen Hersteller von Softwarekomponenten – darunter auch kommerzielle WordPress-Plugins – bekannte Sicherheitslücken melden und ein dokumentiertes Verfahren zur Offenlegung von Schwachstellen (Vulnerability Disclosure Program) vorweisen.

Die Strafen sind empfindlich: Bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes drohen bei Verstößen. Das Ausmaß der Herausforderung wird an einer Zahl deutlich: Täglich werden rund 22 neue Sicherheitslücken in WordPress-Plugins entdeckt – mehr als 8.000 pro Jahr. Ab Dezember 2027 dürfen kommerzielle Plugins ohne ein solches Meldeverfahren in der EU nicht mehr vertrieben werden.

Parallel dazu tritt der EU AI Act in Kraft. Die meisten Bestimmungen werden ab dem 2. August 2026 bindend. In Deutschland hat der Bundestag bereits das KI-Mobilisierungsgesetz (KIMoG) verabschiedet und die Bundesnetzagentur als Aufsichtsbehörde benannt. Unternehmen müssen KI-generierte Inhalte kennzeichnen – bei Verstößen drohen Strafen von bis zu 35 Millionen Euro oder 7 Prozent des globalen Umsatzes.

Lieferketten unter Beschuss

Die Dringlichkeit der neuen Sicherheitsvorschriften zeigt sich in einer Welle von Lieferkettenangriffen. Erst am 22. Mai 2026 entdeckten Forscher von Socket eine koordinierte Malware-Kampagne namens "TrapDoor", die sich gegen Paketmanager wie npm, PyPI und Crates.io richtete. Die Angreifer nutzten versteckte Anweisungen für KI-Codierungsassistenten, um über hunderte von Paketversionen hinweg unentdeckt zu bleiben.

Die Zahl solcher Vorfälle ist im vergangenen Jahr um 60 Prozent gestiegen – fast die Hälfte aller registrierten Sicherheitsvorfälle betrifft inzwischen die Lieferkette. Ein weiteres massives Problem: Identitätsdiebstahl. Eine Sophos-Studie unter 5.000 IT-Experten aus 17 Ländern zeigt, dass 71 Prozent der Organisationen im vergangenen Jahr mindestens einen identitätsbasierten Vorfall erlitten haben. In Deutschland liegt der Wert bei 62 Prozent.

Die finanziellen Folgen sind enorm: Die mittleren Kosten für die Behebung eines solchen Vorfalls belaufen sich auf umgerechnet rund 700.000 Euro. Bei 67 Prozent aller Ransomware-Fälle spielte Identitätsdiebstahl eine zentrale Rolle. Hauptursachen sind menschliches Versagen und die mangelhafte Verwaltung nicht-menschlicher Identitäten wie Servicekonten und automatisierter Bots.

Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen jetzt konkret tun? Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf. Kostenlosen Umsetzungsleitfaden zum EU AI Act sichern

Industrie rüstet auf – Sicherheit wird zur Pflicht

Im Industriesektor reagieren Hersteller bereits auf die neuen Anforderungen. HMS Networks hat angekündigt, dass seine Anybus-Kommunikationsgeräte die CRA-Standards erfüllen und ab Frühjahr 2026 ausgeliefert werden. Die Industrie-Gateways verfügen über spezielle Sicherheitschips für kryptografische Schlüssel und Echtzeituhren mit Superkondensatoren für verlässliche Zeitstempel.

Dies markiert einen grundlegenden Wandel in der Sicherheit von Betriebstechnologie (OT). Statt auf abgeschottete Netzwerke zu setzen, bewegt sich die Industrie hin zu identitätsbasierter Kommunikation. Jede speicherprogrammierbare Steuerung (SPS) erhält eine eindeutige, vertrauenswürdige Identität auf Basis der Public-Key-Infrastruktur (PKI). Branchenexperten sehen darin mehr als eine technische Notwendigkeit – PKI wird zum Geschäftstreiber für sichere Fernwartung und authentifizierte Telemetrie in zunehmend vernetzten Industrieanlagen.

Die Bedrohung durch mobile Geräte verschärft sich ebenfalls: Prognosen zufolge könnten die Schäden durch mobile Cyberkriminalität bis Ende 2026 auf 442 Milliarden Euro steigen. Allein die Zahl der Banking-Trojaner-Fälle stieg im ersten Quartal 2026 um 196 Prozent, und "Quishing" – Phishing über manipulierte QR-Codes – legte um 150 Prozent zu.

Deutschlands Unternehmen besonders besorgt

Der Allianz Risk Barometer 2026 bestätigt: Cybervorfälle sind das größte Geschäftsrisiko weltweit. 42 Prozent der Befragten sehen darin ihre Hauptsorge. In Deutschland liegt der Wert mit 52 Prozent sogar noch deutlich höher. Besonders kleine und mittelständische Unternehmen sind verletzlich – ihnen fehlen oft die spezialisierten Ressourcen, um die komplexen Meldevorschriften von CRA und AI Act zu bewältigen.

Eine wachsende Gefahr ist "Shadow AI": 45 Prozent der Mitarbeiter nutzen bereits nicht autorisierte KI-Tools für ihre Arbeit. Damit ist dies die dritthäufigste Ursache für Datenlecks. Und 86 Prozent aller Phishing-Kampagnen sind inzwischen KI-gestützt, was die Erfolgsquote von Social-Engineering-Angriffen massiv erhöht. Mobiles Social Engineering über betrügerische SMS oder Anrufe hat sogar eine um 40 Prozent höhere Erfolgsrate als traditionelles E-Mail-Phishing.

Die Politik reagiert: Ende Mai verabschiedete die Bundesregierung das Digitale-Identitäts-Gesetz, das sicherere Authentifizierungsverfahren ermöglicht. Auch große Technologiekonzerne stellen um – Microsoft ersetzt die SMS-basierte Zwei-Faktor-Authentifizierung durch Passkeys, und Apples iOS 26.5 führt Post-Quanten-Kryptografie ein, um gegen zukünftige Entschlüsselungstechniken gewappnet zu sein.

Der Weg bis 2027

Ein zentraler Meilenstein auf dem Weg zur vollständigen Umsetzung der Cyber-Resilienz-Verordnung ist die Einführung der Europäischen Digitalen Identität (EUDI). Ab dem 2. Januar 2027 soll die Wallet in Deutschland starten. Die mobile Applikation erlaubt es Bürgern, Dokumente wie Führerscheine oder Bildungszertifikate sicher und datensparsam in der gesamten EU zu speichern und vorzuzeigen.

Doch die Akzeptanz ist noch gering: Eine umfrage vom Anfang des Jahres ergab, dass mehr als die Hälfte der deutschen Bevölkerung die EUDI-Wallet nicht kennt. Für Unternehmen steht in den kommenden Monaten vor allem eines auf dem Programm: die Überprüfung ihrer Software-Lieferketten und der Aufbau robuster Prozesse zur Schwachstellenverwaltung. Mit den ersten Meldepflichten der CRA ab 2026 endet die Ära der freiwilligen Sicherheitsoffenlegung – Transparenz und proaktive Verteidigung werden zur gesetzlichen Pflicht.

de | wirtschaft | 69421217 |