Cybercrime kostet Deutschland 290 Milliarden Euro – Behörden verschärfen Regeln

Die deutsche Digitalwirtschaft steht vor einem fundamentalen Wandel: Angesichts eines Rekordanstiegs von Cyberkriminalität ziehen Bundesbehörden und EU-Institutionen die Zügel an. Die wirtschaftlichen Schäden digitaler Angriffe sollen 2026 auf bis zu 290 Milliarden Euro steigen – ein drastischer Sprung gegenüber dem bisherigen Jahresdurchschnitt von rund 200 Milliarden Euro.

Angesichts steigender Cyberrisiken wird der proaktive Schutz für Firmen immer wichtiger. Dieses kostenlose E-Book zeigt Unternehmern, wie sie aktuelle Bedrohungen abwenden und Sicherheitslücken ohne hohe Investitionen schließen können. IT-Sicherheits-Leitfaden für Unternehmen gratis anfordern

Neue Hürden für Cloud-Dienste und Kryptografie

Am 27. April veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Katalog C3A (Criteria enabling Cloud Computing Autonomy). Dieses Regelwerk definiert Souveränitätsanforderungen für Cloud-Dienste und ergänzt die bestehenden C5-Kriterien. Eine deutsche Version des Katalogs soll bis Ende des zweiten Quartals 2026 vorliegen.

Bereits am 22. April aktualisierte das BSI seine C5:2026-Standards um verpflichtende Anforderungen zur Post-Quanten-Kryptografie (PQC). Hintergrund: Quantencomputer könnten künftig gängige Verschlüsselungsmethoden knacken. Parallel dazu veröffentlichte die EU-Agentur für Cybersicherheit (ENISA) das überarbeitete NCAF 2.0-Rahmenwerk. Die Zahl strategischer Ziele für Mitgliedstaaten steigt von 17 auf 20 – mit Fokus auf operative Wirksamkeit nationaler Strategien und das Peer-Review-Verfahren der NIS2-Richtlinie.

Die neuen Regeln kommen nicht zu früh. Laut dem Swisscom Cybersecurity Threat Radar 2026 verschärfen geopolitische Spannungen und KI-gesteuerte Angriffe die Bedrohungslage. Besonders brisant: „Shadow AI“ – die unerlaubte Nutzung von KI-Tools durch Mitarbeiter. Studien zufolge setzen über 70 Prozent der Beschäftigten wöchentlich KI ein, aber rund ein Drittel dieser Anwendungen läuft ohne Aufsicht der IT-Abteilung.

EU AI Act: Milliardenstrafen drohen

Der größte Brocken für Compliance-Abteilungen bleibt der EU AI Act, der am 2. August 2026 vollständig in Kraft tritt. Das Gesetz sieht ein abgestuftes Risikosystem vor – mit drastischen Strafen: bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes. Eine Bitkom-Studie zeigt jedoch: Obwohl 41 Prozent der deutschen Unternehmen KI einsetzen, fehlt bei rund 64 Prozent eine formale KI-Strategie.

Die neuen EU-KI-Pflichten stellen viele Firmen vor große Herausforderungen bei der rechtssicheren Dokumentation. Ein kostenloser Umsetzungsleitfaden bietet jetzt einen kompakten Überblick über alle Anforderungen, Fristen und Risikoklassen des AI Acts. Gratis E-Book zum EU AI Act herunterladen

Um den Übergang zu erleichtern, brachte die EU-Kommission im November 2025 das Reformpaket „Digital Omnibus“ auf den Weg. Es soll die Anforderungen von Data Act, DSGVO und AI Act harmonisieren. Geplant ist unter anderem: KI-Training mit personenbezogenen Daten auf Basis „berechtigter Interessen“ sowie eine Verlängerung der Meldefrist für Datenpannen von 72 auf 96 Stunden. Zudem könnte das „Cookie-Opt-in“ durch ein „Opt-out“-Modell ersetzt werden.

Doch die nationale Umsetzung sorgt für Reibung. Im Frühjahr 2026 äußerten zehn EU-Mitgliedstaaten, darunter Frankreich und die Niederlande, Bedenken gegen Deutschlands geplantes AI-MIG (KI-Medizinprodukte-Informations- und Transparenzgesetz). Kritiker warnen vor einer Zersplitterung des EU-Binnenmarkts durch nationale Sonderregeln für KI-basierte Medizinprodukte. Die Bundesregierung verteidigt das Gesetz als notwendigen Schritt für die Patientensicherheit.

Ransomware und neue Datentreuhänder

Ransomware bleibt die größte wirtschaftliche Bedrohung. Der BKA Cybercrime Report 2024 verzeichnete 950 schwere Ransomware-Vorfälle in Deutschland. Der durchschnittliche Schaden pro Fall bei kleinen und mittleren Unternehmen (KMU) liegt inzwischen bei über 200.000 Euro. Als Reaktion brachte Eye Security am 27. April das Open-Source-Tool „complisec“ auf den Markt, das Unternehmen bei der Einhaltung von Sicherheitsanforderungen helfen soll.

Auch die Datengovernance verändert sich: Das hessische Digitalisierungsministerium fördert den Aufbau eines Daten-Treuhand- und Transferzentrums für Gesundheitsdaten an der Technischen Hochschule Mittelhessen (THM) with 850.000 Euro. Das Zentrum soll sensible Patientendaten aus Krankenhäusern und Versicherungen pseudonymisieren und für die Forschung bereitstellen – unter strikter Wahrung der Datensouveränität der ursprünglichen Eigentümer. Vollständig landesweit betriebsbereit soll es bis 2029 sein.

Die EU-Kommission erhöht zudem den Druck auf große Plattformen. Am 27. April forderte sie erweiterte Optionen für KI-Dienste auf Android – etwa dass Drittanbieter-KI-Assistenten integrierte Aufgaben wie E-Mails versenden oder Essen bestellen können. Dies folgt auf eine Entscheidung vom 15. April, wonach Meta Drittanbieter-KI-Assistenten kostenlos in WhatsApp integrieren lassen muss, um Marktmachtmissbrauch zu verhindern.

Bußgelder und internationale Trends

Die Aufsichtsbehörden zeigen zunehmende Härte. Das britische ICO verhängte eine Strafe von 14,47 Millionen Pfund gegen Reddit, der Identitätsdienst YOTI musste in Spanien 950.000 Euro zahlen. In Deutschland billigte das Bundeskabinett am 22. April eine Maßnahme zur Speicherung von IP-Adressen für drei Monate zur Bekämpfung schwerer Straftaten.

Der EU Digital Identity Wallet bleibt ein Prestigeprojekt: Die Mitgliedstaaten müssen bis Ende 2026 eine funktionierende Lösung bereitstellen. Doch die Sicherheitshürden sind hoch: Am 25. April wurde bekannt, dass eine europäische Altersverifikations-App bei Tests in weniger als zwei Minuten kompromittiert wurde.

Auch international verschärft sich die Regulierung. In den USA wurde am 21. April der SECURE Data Act (H.R. 8413) eingebracht, und der Bundesstaat Connecticut führt ab 1. Juli 2026 strengere Regeln für KI-Training ein.

Ausblick: Zweite Jahreshälfte wird teuer

Mit der August-Frist für den AI Act vor Augen dürften deutsche Unternehmen ihre IT-Sicherheitsausgaben deutlich erhöhen. Branchenanalysten empfehlen, dass Cybersicherheitsbudgets idealerweise 15 bis 25 Prozent der gesamten IT-Ausgaben betragen sollten. Am 11. September 2026 tritt zudem der Cyber Resilience Act (CRA) in Kraft, der „Secure-by-Design“-Anforderungen für Hardware und Software im EU-Markt vorschreibt.

Für die rund 30.000 bis 40.000 deutschen Unternehmen, die von der NIS2-Richtlinie betroffen sind – sie gilt seit Dezember 2025 –, steht der Rest des Jahres im Zeichen strenger Meldefristen: eine erste „Frühwarnung“ innerhalb von 24 Stunden nach einem schwerwiegenden Vorfall, ein vollständiger Abschlussbericht innerhalb eines Monats. Mit dem für Juli 2026 erwarteten „AI Act Omnibus“-Paket zur weiteren Bürokratieentlastung zeichnet sich ab: Die zweite Jahreshälfte wird von einer beispiellosen branchenweiten Anpassung an die neuen Regeln geprägt sein.

de | boerse | 69251950 |