Signal-Hack: 300 Konten von Politikern und Journalisten kompromittiert

Eine ausgeklügelte Phishing-Kampagne gegen den Messengerdienst Signal Ende April 2026 hat die wachsenden Sicherheitsrisiken für Unternehmen und politische Akteure offengelegt. Der Angriff traf rund 300 Konten von Politikern, Militärangehörigen und Journalisten – und das ausgerechnet zu einem Zeitpunkt, an dem europäische Behörden neue Rahmenwerke für digitale Identitäten und souveräne Cloud-Infrastrukturen vorantreiben.

Die Attacke kommt nicht überraschend: Mit der bevorstehenden EU-weiten Einführung der Digitalen Identitäts-Wallet bis Ende 2026 und den neuen C3A-Kriterien des Bundesamts für Sicherheit in der Informationstechnik (BSI) für souveräne Cloud-Dienste vom 27. April 2026 stehen Unternehmen vor einem grundlegenden Umbau ihrer Authentifizierungssysteme.

Angriffe auf die digitale Identität nehmen zu und zeigen, wie wichtig eine proaktive IT-Sicherheit für kleine und mittlere Betriebe geworden ist. Dieser kostenlose Ratgeber unterstützt Sie dabei, Sicherheitslücken zu schließen und aktuelle gesetzliche Anforderungen ohne großes Budget zu erfüllen. IT-Sicherheits-E-Book jetzt gratis herunterladen

Schatten-KI: Wenn Mitarbeiter eigene Wege gehen

Die größte Sicherheitslücke? Sie sitzt oft direkt am Schreibtisch. Laut der Lenovo Work Reborn Studie, für die zwischen Dezember 2025 und Januar 2026 rund 6.000 Beschäftigte befragt wurden, nutzen über 70 Prozent der Arbeitnehmer wöchentlich KI-Tools. Alarmierend: Etwa ein Drittel davon agiert ohne Wissen der IT-Abteilung.

Dieses Phänomen – Fachleute nennen es „Shadow AI“ – lässt sensible Daten durch die Hintertür abfließen. Mitarbeiter verwenden private Zugangsdaten für mächtige KI-Tools, die längst nicht den Unternehmensstandards entsprechen. Die Folgen sind messbar: IT-Verantwortliche berichten von einem Anstieg der Cyber-Bedrohungen um 61 Prozent, die direkt mit KI-Nutzung zusammenhängen.

Die Bandbreite reicht von Prompt-Injection-Angriffen bis zur versehentlichen Preisgabe von Geschäftsgeheimnissen über KI-Trainingsdaten. Experten fordern daher ein umfassendes Nutzungsregister und ein risikobasiertes Klassifizierungssystem für alle KI-Anwendungen.

Am 27. April 2026 veröffentlichte die Open-Source-Community das Tool „complisec“, das Unternehmen helfen soll, das Spannungsfeld zwischen Sicherheit und Compliance zu managen. Ein dringend benötigter Schritt: Der Schaden durch Cyberkriminalität in Deutschland wird 2026 auf 290 Milliarden Euro geschätzt – ein Anstieg um acht Prozent.

Digitale Identität: EU zwingt Mitgliedsstaaten zum Handeln

Die europäischen Behörden setzen auf zentralisierte und überprüfbare Zugangswege. Bis Ende 2026 müssen alle EU-Staaten ihren Bürgern eine Digitale Identitäts-Wallet bereitstellen. Das System soll eine sichere, bidirektionale Identitätsprüfung ermöglichen und das zersplitterte Passwort-Chaos ablösen.

Deutschland ist bereits auf Kurs: Das bestehende BundID-System, seit Oktober 2025 aktiv, soll bis Juli 2026 volle Bidirektionalität unterstützen. Das ermöglicht reibungslosere Interaktionen zwischen Bürgern, Unternehmen und Behörden.

Parallel dazu veröffentlichte das BSI am 27. April 2026 die C3A-Kriterien für souveräne Cloud-Dienste. Sechs Anforderungsgruppen definieren, was Anbieter erfüllen müssen, um sensible europäische Daten zu verarbeiten. Kernpunkt: Der Hauptsitz muss in der EU liegen – nur so unterliegt der Zugriff zur Infrastruktur europäischem Recht, nicht ausländischen Jurisdiktionen.

Die Umsetzung wird kräftig gefördert: Rund 204 Millionen Euro flossen im Dezember 2025 aus dem Programm Digitales Europa in KI, digitale Identität und Gesundheitsinfrastruktur. Doch der Fortschritt hinkt: Laut Monitor Digitalpolitik vom 27. April 2026 sind zwar 53 Prozent der Digitalprojekte in Arbeit, aber nur neun Prozent vollständig abgeschlossen.

Rekordstrafen: Wenn Sicherheit zur Chefsache wird

Die finanziellen Konsequenzen mangelhafter Datensicherheit haben neue Dimensionen erreicht. In den USA summierten sich die Datenschutz-Strafen der Bundesstaaten 2025 auf 3,45 Milliarden Dollar – mehr als in den fünf vorangegangenen Jahren zusammen. Ein Konsortium von zehn Staaten hat gemeinsame Durchsetzungsmaßnahmen gestartet, mit Fokus auf automatisierte Entscheidungen und KI-gesteuerte Datenverarbeitung.

In Europa wird der Druck noch größer. Die NIS-2-Richtlinie, seit dem 6. Dezember 2025 in Deutschland in Kraft, betrifft rund 30.000 Unternehmen. Sie müssen robuste Cybersicherheitsmaßnahmen umsetzen und strenge Meldefristen einhalten. Die geplante „Digital Omnibus“-Reform der EU-Kommission vom 19. November 2025 will zudem die DSGVO und das Datengesetz nachschärfen – unter anderem mit einem Wechsel vom Cookie-Opt-in zum Opt-out und einer Verlängerung der Meldefrist bei Datenpannen von 72 auf 96 Stunden.

Den größten Hammer liefert das EU AI Act: Ab dem 2. August 2026 gilt es vollständig für Hochrisikosysteme, etwa bei automatisierter Personalauswahl oder kritischer Infrastruktur. Verstöße gegen verbotene KI-Praktiken können mit bis zu 35 Millionen Euro oder sieben Prozent des globalen Jahresumsatzes geahndet werden. Branchenkenner sind sich einig: Diese Zahlen sollen sicherstellen, dass Zugangssicherheit und Daten-Governance nicht länger IT-Nebensache bleiben, sondern Chefsache werden.

Angesichts der strengen Fristen und hohen Strafen des AI Acts müssen Unternehmen beim Einsatz von KI-Systemen jetzt schnell handeln. Dieser kostenlose Praxis-Leitfaden bietet Ihnen einen kompakten Überblick über alle Pflichten und Risikoklassen der neuen EU-Verordnung. EU AI Act Umsetzungsleitfaden kostenlos anfordern

Gerichtsurteile: Klare Grenzen für Datenzugriff

Auch die Gerichte haben die Spielregeln präzisiert. Am 19. März 2026 entschied der Europäische Gerichtshof (EuGH) im Fall „Brillen Rottler“: Auskunftsersuchen nach Artikel 15 DSGVO können rechtsmissbräuchlich sein, wenn sie nicht dem Datenschutz dienen. Eine Entlastung für Unternehmen, die mit exzessiven oder böswilligen Anfragen kämpfen.

Das Landesarbeitsgericht München stellte 2025 klar: Arbeitnehmer haben Anspruch auf ihre finale Personalakte, aber nicht auf interne Entwürfe oder vorläufige Compliance-Berichte.

Der Europäische Datenschutzausschuss (EDSA) half Mitte April 2026 mit einer standardisierten Vorlage für Datenschutz-Folgenabschätzungen (DPIA) nach – die öffentliche Konsultation läuft bis zum 9. Juni 2026. Neue Leitlinien (1/2026) zur Datenverarbeitung für wissenschaftliche Forschung führten einen „Sechs-Faktoren-Test“ ein und stellten klar: Die unbegrenzte Speicherung personenbezogener Daten ist strikt verboten – klare Lösch- oder Anonymisierungsfristen sind Pflicht.

Ausblick: Das Rennen gegen die Zeit

Der Rest des Jahres 2026 wird von zwei Deadlines bestimmt: dem 2. August für die AI-Act-Compliance und dem Jahresende für die Digitalen Identitäts-Wallets. Während Spanien bereits eine funktionierende „Regulatory Sandbox“ für Hochrisiko-KI-Systeme eingerichtet hat, stecken viele andere Mitgliedsstaaten noch in der Planungsphase.

Der Branchenverband Bitkom schlägt Alarm: 64 Prozent der deutschen Unternehmen nutzen KI ohne formelle Strategie. Für die Wirtschaft wird eine einheitliche Identity & Access Management (IAM)-Strategie zur Überlebensfrage – eine, die sowohl menschliche als auch maschinelle Identitäten berücksichtigt.

Mit der bevorstehenden Umsetzung der Digital-Omnibus-Reformen und den Meldepflichten des Cyber Resilience Act (CRA) ab dem 11. September 2026 ist die integration sicherer Zugriffsprotokolle in jede Ebene des Unternehmens-Stacks keine Option mehr. Der erfolgreiche Einsatz souveräner Cloud-Standards und der Digitalen ID-Wallet wird zum Maßstab für die Widerstandsfähigkeit von Unternehmen in den kommenden Jahren.

de | wirtschaft | 69258327 |