Cybersicherheit: Rekordstrafe von 100 Millionen Euro setzt neue Maßstäbe

Die digitale Bedrohungslage zwingt Unternehmen zu radikalen Umdenken im Risikomanagement.

Die finanziellen und operativen Folgen von Sicherheitslücken haben das Thema Cybersicherheit endgültig zur Chefsache gemacht. Ein aktuelles Beispiel: Im Mai 2026 verhängte die Europäische Union eine Rekordstrafe von 100 Millionen Euro gegen MLU B.V., die Muttergesellschaft von Yango, wegen illegaler Datentransfers nach Russland. Die Botschaft ist klar – Aufsichtsbehörden weltweit verschärfen den Kurs.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Ratgeber kostenlos herunterladen

Exorbitante Strafen im ersten Quartal 2026

Allein die US-Behörden verhängten in den ersten drei Monaten des Jahres Strafen in Höhe von umgerechnet rund 250 Millionen Euro. Besonders ins Gewicht fiel eine 74-Millionen-Euro-Strafe gegen Canaccord Genuity wegen langjähriger Verstöße gegen das Bankgeheimnisgesetz.

Doch auch in Europa hat die Bußgeldwelle längst Fahrt aufgenommen. Nach der Yango-Strafe folgten weitere spektakuläre Fälle: 42 Millionen Euro musste Iliad SA in Frankreich zahlen – Folge eines Cyberangriffs 2024, bei dem Daten von 24 Millionen Kunden abflossen. Die italienische Großbank Intesa Sanpaolo traf es mit 17,6 Millionen Euro wegen unerlaubter Verarbeitung von Kundendaten.

Die Zahlen des Bundesamts für Sicherheit in der Informationstechnik (BSI) untermauern den Ernst der Lage: 88 Prozent aller Cybercrime-Opfer erleiden direkte finanzielle Verluste. Der Digitalverband Bitkom berichtet, dass 81 Prozent der deutschen Unternehmen bereits von Cyberangriffen betroffen waren. Branchenexperten schätzen, dass allein die Schäden durch mobile Cyberkriminalität 2026 weltweit rund 410 Milliarden Euro erreichen werden – befeuert durch einen Anstieg der sogenannten Quishing-Fälle (QR-Code-Phishing) um 150 Prozent.

Aufsichtsräte verlagern Verantwortung in Prüfungsausschüsse

Die wachsende Bedrohung verändert die Unternehmensstrukturen grundlegend. Eine Studie von Zscaler vom März 2026 zeigt: 79 Prozent der S&P-500-Unternehmen überwachen Cyberrisiken inzwischen über ihre Prüfungsausschüsse – ein deutlicher Anstieg von 71,2 Prozent im Jahr 2024. Die direkte Kontrolle durch den gesamten Vorstand sank dagegen auf 3,8 Prozent.

Im Finanzsektor haben rund 39 Prozent der Institute spezielle Risikoausschüsse eingerichtet. Die Studienautoren warnen jedoch vor einer zu engen Fokussierung: Werde Cybersicherheit nur als Compliance-Thema behandelt, drohe der Blick für das große Ganze verloren zu gehen. Zudem bestehe die Gefahr, dass Prüfungsausschüsse schlicht überlastet werden.

Unternehmen wie Rivedix bieten daher detaillierte Sicherheits- und Compliance-Scores an – für über 50 Organisationen weltweit. Die aktuellen Kennzahlen zeigen hohe Akzeptanz etablierter Standards: ISO-27001-Zertifizierungen liegen bei 98 Prozent, die DSGVO-Compliance bei 94 Prozent. Der EU AI Act erreicht immerhin 82 Prozent.

Personalmangel: Tausende Stellen unbesetzt

Der Fachkräftemangel bleibt die Achillesferse der deutschen Sicherheitsstrategie. Allein in Österreich sind laut Indeed-Daten rund 3.000 Stellen für Cybersicherheitsexperten offen. Siemens, Accenture, Deloitte und die ÖBB suchen händeringend nach Personal. Siemens inserierte kürzlich eine Stelle als Cybersecurity Officer in Thane, Indien – mit der Anforderung von fünf Jahren Erfahrung und tiefgehenden Kenntnissen der ISO-27000- und NIST-Frameworks.

Die Wirtschaftsprüfungsbranche reagiert: Consilia, eine Steuer- und Prüfungskanzlei, die 2026 ihr 65-jähriges Bestehen feiert, gründete eine eigene IT-Audit-Sparte. Seit dem Beitritt zum internationalen HLB-Netzwerk 2023 wuchs das Unternehmen auf über 175 Mitarbeiter.

Auch die Weiterbildung boomt. Anbieter wie Wisstor boten Mitte Mai spezielle DSGVO-Compliance-Kurse an, während Banking.Vision für Juni 2026 Experten-Seminare zu technischen und organisatorischen Maßnahmen (TOM) für Finanzinstitute ankündigte.

Neue Regularien ab Sommer 2026

Die zweite Jahreshälfte bringt zusätzliche Herausforderungen. Ab dem 2. August 2026 tritt der EU AI Act in Kraft – mit Transparenzpflichten und möglichen Strafen von bis zu 15 Millionen Euro oder drei Prozent des globalen Umsatzes. Die EU-Entgelttransparenzrichtlinie gewährt Arbeitnehmern ab dem 7. Juni 2026 ein Auskunftsrecht über Gehaltsstrukturen. Juristen sehen hier einen Zielkonflikt mit der DSGVO: In kleineren Unternehmen könnten anonymisierte Daten zur Wiedererkennung Einzelner führen.

In den USA treten 2025 und 2026 mehrere bundesstaatliche Datenschutzgesetze in Kraft – in Delaware, Iowa, Maryland und Nebraska. Maryland verbietet etwa Geofencing um Gesundheitseinrichtungen, während Iowas Gesetz bemerkenswerterweise kein Recht auf Datenkorrektur vorsieht.

Angesichts neuer Risikoklassen und Dokumentationspflichten durch den EU AI Act sollten Unternehmen rechtzeitig vorsorgen. Dieser kostenlose Umsetzungsleitfaden bietet Ihrer IT- und Rechtsabteilung den notwendigen Überblick über alle relevanten Übergangsfristen. Kostenloses E-Book zur KI-Verordnung sichern

Ausblick: Regulierer setzen auf Wirkung

Die Aufsichtsbehörden ändern ihre Strategie: Statt Kleinkriminalität zu verfolgen, konzentrieren sie sich auf spektakuläre Fälle mit Signalwirkung. Die SEC fokussiert sich unter ihrer aktuellen Führung auf „enforcement for impact" – durchschlagskräftige Verfahren statt Bagatellen. Ein neuer Brennpunkt ist „AI Washing": Unternehmen, die die Fähigkeiten ihrer KI-Systeme übertreiben, müssen mit Sanktionen rechnen.

Die deutschen Digitalminister plädieren derweil für einen Paradigmenwechsel hin zu „one-checks-for-all" – weniger Bürokratie bei gleichbleibend hohen Standards. Doch das Berliner Landgericht hat klargestellt: Banken haften grundsätzlich für Phishing-Schäden, es sei denn, der Kunde handelt grob fahrlässig. Die Botschaft ist eindeutig: Robuste, cloudbasierte Sicherheitsarchitekturen bleiben für absehbare Zeit alternativlos.

de | wirtschaft | 69353913 |