Cybersicherheit: 44% deutscher Unternehmen von KI-Angriffen betroffen

Der Bundestag verabschiedete das NIS2UmsuCG am 13. November 2025, der Bundesrat stimmte am 21. November 2025 zu. Betroffen sind Unternehmen aus Energie, Verkehr und verarbeitendem Gewerbe – sofern sie mindestens 50 Mitarbeiter oder einen Jahresumsatz von zehn Millionen Euro aufweisen.

IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen

Wer ist betroffen? Die neue Unternehmenskategorisierung

Das Gesetz unterscheidet zwischen „wesentlichen" und „wichtigen" Einrichtungen. Als wesentlich gelten Unternehmen in bestimmten Sektoren ab 250 Mitarbeitern oder 50 Millionen Euro Jahresumsatz. Unabhängig von der Einstufung müssen alle betroffenen Firmen drei zentrale Pflichten erfüllen: die Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI), die Einführung eines Risikomanagements nach Paragraf 30 des BSI-Gesetzes sowie strenge Meldefristen für Sicherheitsvorfälle.

Neue Kritis-Verordnung: Konkrete Schwellenwerte

Das Bundesinnenministerium hat einen Entwurf für eine neue Kritisverordnung (KritisV) vorgelegt. Sie soll vor der Sommerpause 2026 verabschiedet werden und legt fest, ab wann Unternehmen als Betreiber kritischer Infrastrukturen gelten. Die vorgeschlagenen Schwellenwerte sind präzise:

• Krankenhäuser: 30.000 stationäre Fälle jährlich
• Lebensmittelbranche: 434.500 Tonnen Produktionsvolumen
• LNG-Terminals: Kapazität ab 5.190 GWh
• Internet-Knoten (IXPs): Mindestens 100 angeschlossene autonome Systeme

Haftung der Geschäftsführung: Persönliche Verantwortung

Ein zentraler Punkt des Regelwerks ist die ** persönlichen Haftung der Unternehmensleitung**. Artikel 20 macht die Führungsebene direkt für die Umsetzung und Überwachung von Cybersicherheitsmaßnahmen verantwortlich. Die Meldefristen für Sicherheitsverstöße sind strikt: eine erste Frühwarnung binnen 24 Stunden, eine detaillierte Meldung nach 72 Stunden und ein umfassender Abschlussbericht innerhalb eines Monats.

Experten empfehlen, die Anforderungen aus NIS-2, DSGVO, Digital Operational Resilience Act (DORA), KI-Verordnung und Cyber Resilience Act in ein einheitliches internes Kontrollsystem zu integrieren. Besondere Aufmerksamkeit gilt dem Identitätsmanagement, Zugriffsrechten und regelmäßigen Tests der Incident-Response-Prozesse.

„Hackback"-Befugnisse: Kabinett billigt aktive Cyberabwehr

Ende Mai 2026 gab das Bundeskabinett grünes Licht für einen Gesetzentwurf zur aktiven Cyberabwehr. Das BSI, die Bundespolizei und das Bundeskriminalamt erhalten erweiterte Befugnisse, um bei Cyberangriffen einzugreifen – inklusive der Möglichkeit, Daten zu lesen, zu löschen oder zu verändern sowie Datenverkehr umzuleiten.

Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen jetzt konkret tun? Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf. EU AI Act in 5 Schritten verstehen: Fristen, Pflichten und Risikoklassen kompakt erklärt

Innenminister Alexander Dobrindt betonte, die Maßnahmen zielten darauf ab, Bedrohungen an der Quelle zu beseitigen. Doch die Industrieverbände Bitkom und BDI üben scharfe Kritik: Die „Hackback"-Befugnisse seien zu weit gefasst. Sie warnen vor Kollateralschäden und fordern mehr Kooperation zwischen Staat und Privatwirtschaft statt eigenmächtiger Eingriffe.

Bedrohungslage: Deutschland unter den Top-Zielen

Die Notwendigkeit verschärfter Regeln zeigt ein Lagebericht des BKA aus dem Jahr 2025. Deutschland gehört demnach zu den drei weltweit am häufigsten angegriffenen Ländern. Der wirtschaftliche Schaden durch Cyberangriffe belief sich auf rund 202,4 Milliarden Euro.

KI als Einfallstor: Deutsche Unternehmen besonders verwundbar

Ein Bericht von Okta aus dem Frühjahr 2026 offenbart eine alarmierende Schwachstelle: 44 Prozent der deutschen Unternehmen erlitten Sicherheitsverstöße im Zusammenhang mit Künstlicher Intelligenz – der höchste Wert weltweit. Überraschend: Obwohl nur 32 Prozent unerlaubte „Shadow AI" nutzen, wenden lediglich 34 Prozent der Firmen dieselben Zugriffskontrollen für KI-Agenten an wie für menschliche Mitarbeiter.

Die Studie zeigt zudem ein kulturelles Problem: Deutsche Angestellte stellen oft die Effizienz über die Sicherheit. Nur 28 Prozent gaben an, dass Sicherheit für sie oberste Priorität habe.

de | wirtschaft | 69445680 |