Cyberkrise: Unternehmen droht der perfekte Sturm aus Hacking und Bürokratie

Deutschlands Unternehmen stehen vor einer doppelten Herausforderung: Während sich die Angriffsmethoden professionalisieren, zwingen neue EU-Gesetze die Firmen zu einer grundlegenden Neuausrichtung ihrer Sicherheitsstrategien. Am heutigen Donnerstag betonten Experten der IDD GmbH, dass Datenschutz, IT-Sicherheit und KI-Compliance künftig als einheitliches Problemfeld betrachtet werden müssen.

Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Kostenloses Cyber-Security E-Book herunterladen

Wenn der zweite Faktor versagt

Die Zeiten, in denen ein Passwort und eine SMS ausreichten, sind endgültig vorbei. Sicherheitsforscher von Okta Threat Intelligence schlagen Alarm: Spezialisierte Phishing-Kits ermöglichen es Kriminellen, Login-Daten in Echtzeit abzugreifen. Die Täter spiegeln legitime Anmeldeseiten und passen sie während des laufenden Gesprächs mit dem Opfer dynamisch an. Besonders perfide: Selbst Multi-Faktor-Authentifizierung (MFA) wird auf diese Weise ausgehebelt, indem die Authentifizierungstoken im Moment ihrer Erzeugung abgefangen werden.

Die Zahlen belegen die Dramatik der Lage. Im ersten Quartal 2026 griffen rund 119 verschiedene Gruppierungen insgesamt 3.300 Industrieunternehmen an – ein Anstieg um 49 Prozent im Vergleich zum Vorjahr. Die Täter setzen dabei vermehrt auf „Double Extortion": Statt Daten nur zu verschlüsseln, stehlen sie sie gleich mit. Ein besonders spektakulärer Fall ereignete sich im April 2026, als ein Einbruch bei der Indigo Group schätzungsweise 27.000 Organisationen traf.

Die 72-Stunden-Falle

Das eigentliche Problem für viele Firmen liegt jedoch in der Zeitverzögerung. Zwischen einem erfolgreichen Angriff und seiner öffentlichen Bekanntmachung vergehen im Schnitt 73 Tage. Die Datenschutz-Grundverordnung (DSGVO) schreibt dagegen eine Meldepflicht binnen 72 Stunden vor. Eine gefährliche Lücke, die Unternehmen teuer zu stehen kommen kann.

Sicherheitsexperten raten daher zum Umstieg auf phishing-resistente Verfahren – etwa hardwarebasierte Sicherheitsstandards oder Passkeys. Die traditionellen Methoden, so die einhellige Meinung, taugen nicht mehr.

Regulierungswelle erreicht die Chefetagen

Doch nicht nur die Hacker werden aktiver – auch die Gesetzgeber legen nach. Die Anforderungen aus NIS2, DORA und dem EU AI Act machen eine isolierte Betrachtung einzelner Sicherheitsbereiche unmöglich. Die IDD GmbH empfiehlt daher kombinierte Schulungskonzepte und integrierte Managementsysteme. Bewährte Strukturen wie ISO 27001 oder die DSGVO sollen als Fundament für die neuen Regelwerke dienen.

Besonders spannend: Im Finanzsektor lockert die geplante 9. MaRisk-Novelle die Vorgaben. Compliance-Funktionen dürfen künftig direkt an das ICT-Risikocontrolling oder den Datenschutzbeauftragten angebunden werden. Bei kleineren Instituten mit einer Bilanzsumme unter einer Milliarde Euro kann sogar ein Vorstandsmitglied die Compliance-Rolle übernehmen.

Countdown für die KI-Transparenz

Der EU AI Act, seit August 2024 in Kraft, erreicht nun seine erste kritische Phase. Bis zum 2. August 2026 müssen Unternehmen bestimmte Transparenzpflichten erfüllen: KI-generierte Inhalte müssen klar gekennzeichnet, Chatbots als solche erkennbar sein. Die Bundesnetzagentur wird die Einhaltung überwachen.

Erst gestern veröffentlichte die EU-Kommission einen Entwurf zur Einstufung von „Hochrisiko-KI-Systemen". Demnach fallen bestimmte Anwendungen in Wearables – etwa die Emotionserkennung in Smartwatches – vorerst in diese Kategorie. Eine öffentliche Konsultation läuft bereits.

Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – welche Systeme gelten als Hochrisiko und was müssen Unternehmen jetzt konkret tun? Dieser kostenlose Umsetzungsleitfaden zum EU AI Act verschafft Ihnen den nötigen Überblick über alle Fristen und Pflichten. EU AI Act Ratgeber kostenlos sichern

Rekordschäden und überraschende Urteile

Die wirtschaftlichen Folgen sind immens. Laut Bitkom verursachte Cyberkriminalität der deutschen Wirtschaft im Jahr 2024 Schäden in Höhe von rund 178,6 Milliarden Euro. Das Bundeskriminalamt zählte 131.391 registrierte Fälle. Phishing allein war für etwa 31 Prozent der Sicherheitsvorfälle verantwortlich.

Doch die Rechtslage ist komplexer geworden. Das Oberlandesgericht Celle senkte Ende 2025 ein DSGVO-Bußgeld gegen den Händler notebooksbilliger.de drastisch – von ursprünglich 10,4 Millionen Euro auf 900.000 Euro. Grund waren Verfahrenskomplikationen: In Deutschland können Datenschutzbehörden die Kontrolle über einen Fall an die Staatsanwaltschaft verlieren, sobald Einspruch eingelegt wird.

Das Amtsgericht Nürnberg stellte zudem klar: Die Kopplung von Einwilligung und Vertrag ist nicht automatisch unwirksam, wenn der Verbraucher eine Wahl zwischen Anbietern hat. Auch Datenübermittlungen an Auskunfteien können durch „berechtigtes Interesse" zur Betrugsprävention gerechtfertigt sein. Bloßes „Unwohlsein" bei der Datenverarbeitung, so das Gericht, begründe keinen Schadensersatzanspruch.

Die Kosten der Compliance

Für kleine und mittlere Unternehmen bleibt die Bürokratie eine enorme Hürde. Während 2025 bereits 57 Prozent der Großkonzerne KI einsetzten, waren es bei den KMU nur 25 Prozent. Die anfänglichen Compliance-Kosten für den AI Act können bis zu 600.000 Euro betragen, die jährlichen Folgekosten rund 150.000 Euro.

Politische Initiativen wie der „Digital Omnibus", der am 7. Mai 2026 einen Konsens erreichte, sollen Abhilfe schaffen. Ziel ist es, Widersprüche zwischen dem AI Act und bestehenden Branchenregularien – etwa der EU-Maschinenverordnung – aufzulösen.

Ausblick: Digitale Souveränität als neues Leitbild

Der Trend ist klar: Cybersicherheit ist kein reines IT-Thema mehr, sondern rückt ins Zentrum der Unternehmensführung. Die aktualisierten C5:2026-Kriterien des BSI für Cloud-Sicherheit schreiben zertifizierte Dienste für den öffentlichen Sektor, das Gesundheitswesen und KRITIS-Betreiber vor. Ab August 2027 müssen zudem Rechenzentren ab 500 Kilowatt Leistung Energieeffizienzlabel vorweisen.

Die Botschaft der Sicherheitsexperten ist unmissverständlich: Wer seine Systeme nicht umstellt, wird sowohl von Hackern als auch von Aufsichtsbehörden überrollt. Der Schutz der Unternehmenskonten bleibt eine menschliche und technische Herausforderung – doch mit hardwarebasierten Lösungen und einem ganzheitlichen Compliance-Ansatz ist der Angreifern zumindest ein Schritt voraus.

de | wirtschaft | 69391905 |