NIS2 trifft auf KI-Bedrohung: Doppelschlag für deutsche Unternehmen

Deutschlands NIS2-Umsetzung ist seit Samstag scharf – ohne Übergangsfrist. Gleichzeitig warnt Großbritanniens Cyber-Zentrum vor einer neuen Angriffswelle durch manipulierte KI-Systeme. Für Geschäftsführer wird es brenzlig: Sie haften jetzt persönlich, während sich die Bedrohungslage radikal verändert.

Die Kombination könnte kaum ungünstiger sein. Während sich Vorstände und Geschäftsführer durch hunderte Seiten Compliance-Anforderungen kämpfen, öffnet sich eine technische Flanke, die in den Gesetzestexten kaum Erwähnung findet. Prompt Injection – so heißt die neue Waffe, mit der Angreifer Unternehmen über deren eigene KI-Assistenten infiltrieren. Und das ausgerechnet jetzt, wo die persönliche Haftung für Führungskräfte gilt.

Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Deutschland in Kraft. Anders als viele gehofft hatten: Es gibt keine Übergangsfrist. Wer seine Hausaufgaben nicht gemacht hat, ist ab diesem Stichtag faktisch nicht konform.

Die Zahlen sprechen Bände. Statt bisher rund 4.500 müssen nun geschätzte 29.000 Unternehmen die strengen Vorgaben erfüllen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erweitert seine Aufsicht massiv – und mit ihm wächst der Druck auf die Unternehmensführungen.

Führungskräfte stehen jetzt zwischen NIS2-Pflichten und neuer KI-Regulierung – Prompt Injection macht technische Lücken zu rechtlichen Risiken. Unser kostenloser Umsetzungsleitfaden zur EU-KI-Verordnung erklärt, welche Kennzeichnungs-, Dokumentations- und Risikoklassen-Pflichten jetzt auf Unternehmen zukommen und wie Sie KI-Systeme richtig klassifizieren und dokumentieren, um Haftungsrisiken zu minimieren. Enthält Checklisten, Schritt-für-Schritt-Maßnahmen und Formulierungsvorschläge für Vorstandsanfragen. Jetzt KI-Umsetzungsleitfaden kostenlos herunterladen

Der entscheidende Unterschied zur Vergangenheit? Paragraf 38 des neuen BSI-Gesetzes macht Schluss mit der Delegation nach unten. Geschäftsführungen müssen Risikomanagement-Maßnahmen nicht nur absegnen, sondern aktiv überwachen. Wer das ignoriert, haftet persönlich. Die Zeiten, in denen Cybersicherheit als reine IT-Angelegenheit betrachtet werden konnte, sind vorbei.

Das BSI plant, sein zentrales Meldeportal im Januar 2026 freizuschalten. Unternehmen haben dann drei Monate Zeit zur Registrierung – die Deadline liegt also voraussichtlich im April 2026. Doch Experten raten dringend, bereits jetzt mit der Bestandsaufnahme zu beginnen. Denn die Frage “Sind wir betroffen?” ist komplexer als gedacht.

Die neue Insider-Gefahr: Wenn die KI zum Komplizen wird

Ausgerechnet am 9. Dezember, nur drei Tage nach Inkrafttreten von NIS2, schlug das britische National Cyber Security Centre (NCSC) Alarm. Thema: Prompt Injection, eine Angriffstechnik, die speziell auf Large Language Models (LLMs) zielt. Und damit auf genau die KI-Tools, die Unternehmen gerade massenhaft einführen.

Worum geht es? Bei Prompt Injection manipulieren Angreifer die Eingaben an KI-Systeme so, dass diese ihre Sicherheitsvorkehrungen umgehen oder vertrauliche Daten preisgeben. Das Tückische: Die KI kann nicht unterscheiden zwischen legitimen Anweisungen des Entwicklers und bösartigen Befehlen, die in Nutzereingaben versteckt sind.

David C., technischer Direktor des NCSC, stellte klar: “Wer Prompt Injection mit SQL Injection gleichsetzt, macht einen gefährlichen Fehler.” Die Verwundbarkeit sei grundlegender Natur – und damit weitaus schwerer zu beheben.

Was bedeutet das konkret? Der “Insider” des Jahres 2025 trägt keine Sonnenbrille und keinen USB-Stick in der Jackentasche. Es ist der Mitarbeiter, der arglos proprietären Code in einen KI-Assistenten kopiert. Oder die automatisierte KI, die eine E-Mail mit versteckten Manipulationsbefehlen verarbeitet und plötzlich das komplette Kundendatenbank-Backup offenlegt.

Das NCSC spricht von einer Zunahme sogenannter “Confused Deputy”-Angriffe. Angreifer nutzen das Vertrauen aus, das Unternehmen ihren eigenen KI-Tools entgegenbringen, um Perimeter-Sicherungen zu umgehen. Die Firewall? Nutzlos, wenn der Feind bereits im eigenen Chatbot sitzt.

Lieferketten unter Beschuss: 156 Prozent mehr Schadcode

Am selben Tag, an dem das NCSC seine Warnung veröffentlichte, wurde eine weitere beunruhigende Zahl bekannt: Die Uploads bösartiger Pakete in Open-Source-Repositories sind 2025 um 156 Prozent gestiegen.

Dahinter steckt eine perfide Strategie. Angreifer setzen KI ein, um polymorphen Schadcode zu schreiben, der sich selbst umschreibt und damit Erkennungsmuster umgeht. Sie fluten Entwickler-Ökosysteme mit kompromittiertem Code. Für Unternehmen, die unter NIS2 ihre Lieferketten absichern müssen, ein Albtraum.

Ein aktuelles Beispiel: CVE-2025-55182, bekannt als “React2Shell”. Diese kritische Schwachstelle in einer weit verbreiteten JavaScript-Bibliothek wird bereits aktiv von staatlich unterstützten Akteuren ausgenutzt. Solche Vorfälle treffen die NIS2-Anforderungen an “Incident Handling” und “Vulnerability Disclosure” mit voller Wucht.

Kann man eine Lieferkette überhaupt noch sichern, wenn KI-generierte Malware schneller neue Varianten produziert, als Sicherheitsteams sie analysieren können? Das traditionelle Playbook für Web-Sicherheit, so Experten Anfang Dezember, sei “gefährlich veraltet”.

Die Compliance-Lücke: Auf dem Papier sicher, technisch verwundbar

Hier entsteht eine gefährliche Diskrepanz. NIS2 bietet einen robusten Rahmen für Governance, Meldepflichten und organisatorische Sicherheit. Doch die Risikomanagemententsprechungen wurden formuliert, bevor KI-Agenten und Prompt Injection zum Standard-Angriffsvektor wurden.

Das Risiko: Unternehmen könnten “Papier-Compliance” erreichen – die richtigen Policies, die korrekten Meldestrukturen – und gleichzeitig technisch völlig offen für KI-gestützte Angriffe sein. Ein Beispiel: Ein Unternehmen überprüft brav die ISO-27001-Zertifizierung eines Lieferanten (Häkchen bei “Lieferkettenkontrolle”), testet aber dessen KI-Chatbot nicht auf Prompt-Injection-Schwachstellen. Das Einfallstor bleibt weit offen.

“NIS2 schafft das Skelett der Resilienz, aber KI verändert Muskeln und Gewebe der Bedrohung”, sagt Dr. Elena Kovic, Cybersicherheitsanalystin aus Berlin. “Die Tatsache, dass Management jetzt persönlich haftet, bedeutet: CEOs müssen heute spezifische Fragen zur KI-Nutzung stellen, nicht erst 2027 auf eine BSI-Richtlinie warten.”

Genau hier liegt die Crux für Geschäftsführer. Die persönliche Haftung nach Paragraf 38 verlangt aktive Aufsicht. Doch wie soll man etwas überwachen, das sich schneller entwickelt als regulatorische Leitfäden erscheinen?

Die nächsten Monate: Was jetzt ansteht

Januar 2026 wird das digitale Meldeportal des BSI online gehen. Dann beginnt der große Ansturm: Zehntausende Unternehmen müssen ihren Status als “wesentliche” oder “wichtige” Einrichtung registrieren. IT-Abteilungen werden die Belastung spüren.

Im ersten Quartal 2026 erwarten Beobachter die ersten “Testfälle” bei den neuen Meldeschwellen. Bedeutsame Vorfälle müssen innerhalb von 24 Stunden als Frühwarnung und innerhalb von 72 Stunden vollständig gemeldet werden. Security Operations Centers stehen vor einer Bewährungsprobe.

Parallel arbeitet die EU an spezifischen Cybersicherheits-Richtlinien für “General Purpose AI”-Modelle im Rahmen des AI Act. Das BSI wird voraussichtlich vor Sommer 2026 eine Übergangsleitlinie veröffentlichen, die NIS2-Anforderungen mit KI-Sicherheit verknüpft. Bis dahin navigieren Unternehmen im Nebel.

Was können CISOs jetzt tun? Zunächst eine ehrliche Bestandsaufnahme: Welche KI-Tools sind im Einsatz – offiziell und inoffiziell? Welche haben Zugriff auf sensible Daten? Wie werden Prompt-Injection-Risiken bewertet? Und vor allem: Versteht die Geschäftsführung diese Risiken gut genug, um ihrer Überwachungspflicht nachzukommen?

Die Botschaft des 10. Dezember 2025 ist unmissverständlich: Compliance ist Pflicht, aber sie reicht nicht aus. Wer NIS2 ernst nimmt, aber KI-Bedrohungen ignoriert, erfüllt vielleicht den Buchstaben des Gesetzes – wird aber dennoch gehackt. Und muss dann erklären, warum die persönliche Sorgfaltspflicht nicht ausgereicht hat.

PS: NIS2 verlangt aktive Überwachung – und KI-Tools sind die neue Angriffsfläche. Dieser kostenlose Leitfaden zur KI-Verordnung hilft Ihnen, Prompt-Injection-Risiken in Lieferketten zu erkennen, Verantwortlichkeiten klar zuzuordnen und technische wie organisatorische Maßnahmen priorisiert umzusetzen. Ideal für Entscheider, die Haftungsfallen vermeiden und Compliance praktisch umsetzen wollen; inklusive Praxisbeispielen und Vorlagen für Vorstandsdokumentation. KI-Verordnung-Guide für Entscheider herunterladen