Cyberangriffe auf Rekordniveau: Deutsche Firmen im Visier

Ransomware steckt in 44 Prozent aller dokumentierten Datenpannen – und die Zeit der IT-Teams wird zunehmend von Bürokratie gefressen. Fast 40 Prozent ihrer Arbeitszeit entfallen inzwischen auf Compliance-Aufgaben statt auf aktive Abwehr.

2.090 Angriffe pro Woche – ein neuer Rekord

Die Zahlen sind alarmierend: Laut aktuellen Daten von SentinelOne sind Unternehmen im Schnitt mit 2.090 Attacken pro Woche konfrontiert – ein Anstieg um 17 Prozent im Vergleich zu früheren Zeiträumen. Die finanziellen Folgen sind enorm: Ein einzelner Datenverstoß kostet im Durchschnitt umgerechnet rund 4,5 Millionen Euro.

Angesichts der rasant steigenden Bedrohung durch professionalisierte Cyberkriminelle müssen Unternehmen ihre IT-Sicherheit heute proaktiv und ohne riesige Budgets stärken. Dieses kostenlose E-Book enthüllt, wie Sie Sicherheitslücken effektiv schließen und neue gesetzliche Anforderungen erfüllen. IT-Sicherheit stärken und Unternehmen langfristig schützen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht längst von einer „halbautomatisierten Industrie" des Cyberverbrechens. BSI-Präsidentin Claudia Plattner beschreibt die Lage als angespannt. Die Behörde treibt deshalb den Aufbau eines nationalen Schutzschirms voran – den sogenannten „Cyberdome". Ziel ist es, die Abwehrkräfte gegen eine professionalisierte Kriminellen-Szene zu bündeln, die vor allem mit gestohlenen Zugangsdaten und Phishing arbeitet.

Doch die Angreifer werden nicht nur zahlreicher, sondern auch raffinierter. Branchenprognosen sagen voraus, dass KI-gestützte Phishing-Attacken bis Ende 2026 für mehr als 42 Prozent aller Cyberangriffe verantwortlich sein werden. Die Erkennung solcher Einbrüche bleibt eine enorme Herausforderung: Im Schnitt dauert es 181 Tage, bis ein Angriff entdeckt wird – und weitere 60 Tage, bis er vollständig eingedämmt ist.

Der Compliance-Tsunami: IT-Teams am Limit

Während die technische Bedrohung wächst, ersticken die Sicherheitsteams in Papierkram. Eine Studie von Sophos unter 5.000 IT-Managern aus 17 Ländern zeigt: 39 Prozent der Arbeitszeit gehen für Compliance-Aufgaben drauf. Besonders hart trifft es kleine und mittelständische Unternehmen (KMU), die denselben Standards wie Großkonzerne genügen müssen – aber mit deutlich weniger Personal.

Die Studie offenbart ein erschreckendes Bild: 82 Prozent der IT-Verantwortlichen befürchten, nicht alle gesetzlichen Anforderungen erfüllen zu können. Im Schnitt müssen Unternehmen fünf verschiedene Compliance-Standards gleichzeitig bedienen. Fast 80 Prozent der Befragten geben an, dass das ständige Nachjustieren bei neuen Regulierungen zum größten Hindernis geworden ist.

Die Politik versucht gegenzusteuern. Anfang der Woche einigten sich die europäischen Unterhändler auf den sogenannten „AI Act Omnibus". Das Gesetzespaket soll bestimmte Regeln vereinfachen und mehr Zeit für die Umsetzung geben. Konkret: Die strengen Auflagen für eigenständige KI-Systeme treten erst am 2. Dezember 2027 in Kraft. Für eingebettete Systeme – etwa in Medizinprodukten oder Fahrzeugen – gilt sogar eine Frist bis zum 2. August 2028.

Da die EU-KI-Verordnung bereits weitreichende Pflichten für Unternehmen mit sich bringt, ist ein klarer Überblick über Risikoklassen und Fristen unerlässlich. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act hilft Ihrer Rechts- und IT-Abteilung, die neuen Anforderungen rechtzeitig zu verstehen. Kostenlosen Leitfaden zum EU AI Act jetzt sichern

Neue Hürden für Cloud-Dienste und grenzüberschreitende Daten

Die europäische Regulierungswelle erfasst auch die Cloud-Infrastruktur. Ende April 2026 veröffentlichte das BSI den „C3A"-Kriterienkatalog – einen neuen Sicherheitsstandard für Cloud-Dienste. Das Regelwerk misst die digitale Souveränität von Anbietern in sechs Dimensionen, darunter rechtliche, technische und operative Unabhängigkeit.

Der Zeitpunkt ist kein Zufall: Im Jahr 2025 erlebten 32 Prozent der EU-Unternehmen einen Vorfall im Zusammenhang mit Datensouveränität. Die Reaktion der Wirtschaft folgt auf dem Fuß: 55 Prozent der Organisationen planen Investitionen in automatisierte Compliance-Prozesse.

Parallel dazu ist das EU-E-Evidence-Gesetz in Kraft getreten. Es erlaubt Strafverfolgungsbehörden, Daten direkt bei Dienstanbietern in anderen EU-Staaten anzufordern – ohne den Umweg über Rechtshilfeabkommen. Unternehmen müssen einen bevollmächtigten Vertreter benennen und innerhalb von zehn Tagen auf Datenanfragen reagieren. In Notfällen schrumpft die Frist auf acht Stunden. Bei Verstößen drohen Bußgelder von bis zu 500.000 Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Die neue Verantwortung: Widerstandsfähigkeit als Chefsache

Die Zeiten, in denen Cybersicherheit allein ein Thema für die IT-Abteilung war, sind vorbei. Die NIS2-Richtlinie und das deutsche KRITIS-Dachgesetz haben die Geschäftsführung in die Pflicht genommen. Wer kritische Infrastruktur betreibt, muss sich beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren – und zwar innerhalb von drei Monaten, nachdem das Gesetz greift.

Die Auflagen sind streng: Alle vier Jahre ist eine umfassende Risikoanalyse fällig. Dazu kommen dokumentierte Maßnahmen für Prävention, Schutz, Reaktion und Wiederherstellung. Das NIS2-Regelwerk sieht zudem ein dreistufiges Meldeverfahren vor: eine erste Frühwarnung binnen 24 Stunden, einen detaillierten Bericht nach 72 Stunden und einen vollständigen Abschlussbericht nach einem Monat.

Experten betonen: Die wahre Widerstandsfähigkeit eines Unternehmens zeigt sich in den ersten 72 Stunden eines Angriffs. Klare Verantwortlichkeiten und vordefinierte Kommunikationswege sind entscheidend, um Eskalationen und Dokumentationslücken zu vermeiden.

Ausblick: Was auf Unternehmen zukommt

Die kommenden Monate bringen weitere wichtige Termine. Der Europäische Datenschutzausschuss (EDPB) hat seinen koordinierten Prüfrahmen für 2026 auf die Transparenzpflichten fokussiert – insbesondere auf die Rechte der Betroffenen nach den Artikeln 12 bis 14 der DSGVO.

Ein richtungsweisendes Urteil erwartet die Branche am 30. Juli 2026: Der Bundesgerichtshof verhandelt über DSGVO-Schadensersatzansprüche nach der Weiterleitung privater Chat-Nachrichten. Das Urteil wird klären, wie weit die sogenannte „Haushaltsausnahme" im Datenschutzrecht reicht – und könnte die Haftung bei geleakten internen Kommunikationen neu definieren.

Während einige KI-Gesetze verschoben wurden, treten andere Verbote bereits früher in Kraft. Ab dem 2. Dezember 2026 gelten neue Regeln gegen KI-generierte nicht-einvernehmliche sexuelle Inhalte sowie Transparenzpflichten für KI-erzeugte Medien. Der Druck auf IT-Teams, Compliance zu automatisieren, wird weiter steigen. Immer mehr Unternehmen setzen auf KI-gestützte Tools – um genau die Risiken zu managen, die KI-gestützte Angreifer verursachen.

de | wirtschaft | 69295830 |