Deutsche Unternehmen: Gefährliche Kluft zwischen Sicherheitsgefühl und Realität

Rund 80 Prozent der deutschen Führungskräfte halten ihre Firmen für gut gegen Cyberangriffe gewappnet – doch die Wirklichkeit sieht anders aus. Der Beazley Risk & Resilience Report 2026 offenbart eine besorgniserregende Diskrepanz zwischen gefühlter und tatsächlicher Sicherheit. Während die Manager optimistisch in die Zukunft blicken, steigt die Zahl der KI-gestützten Angriffe rasant. Für die größte Volkswirtschaft der EU wird dies zunehmend zum Standortrisiko.

Die trügerische Sicherheit der Chefetagen

Die Studie des Versicherers Beazley, veröffentlicht am 11. Mai 2026, zeigt ein paradoxes Bild. Zwar sehen 32 Prozent der Vorstände Cyberbedrohungen als größte Gefahr für ihr Geschäft. Gleichzeitig aber glauben drei Viertel der deutschen Führungskräfte an eine vollständige finanzielle Erholung nach einem Angriff. „Die Kluft zwischen subjektivem Sicherheitsgefühl und objektiver Widerstandsfähigkeit ist bei vielen Unternehmen eklatant“, warnt Gesine Froese von Beazley DACH.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenloses E-Book zur Cyber Security jetzt herunterladen

Diese Fehleinschätzung hat fatale Folgen. Eine zeitgleich veröffentlichte Gigamon-Studie belegt: 2025 erlebten 76 Prozent der deutschen Firmen mindestens einen Sicherheitsvorfall – ein Anstieg um 21 Prozent im Vergleich zum Vorjahr. Dennoch halten 61 Prozent der Betroffenen ihre aktuellen KI-Schutzmaßnahmen für ausreichend. Ein gefährlicher Trugschluss, denn 97 Prozent der Unternehmen nutzen inzwischen autonome Systeme, die selbst zum Angriffsziel werden.

Künstliche Intelligenz als Brandbeschleuniger

Die Bedrohungslage hat sich fundamental gewandelt. KI ist längst vom theoretischen Risiko zur praktischen Waffe der Angreifer geworden. 82 Prozent aller Sicherheitsvorfälle in Deutschland werden inzwischen durch KI unterstützt. Das ermöglicht selbst wenig qualifizierten Tätern, Schwachstellen mit professioneller Effizienz auszunutzen. Ein Beispiel: Das KI-gesteuerte Tool OpenClaw identifizierte kürzlich 23 Sicherheitslücken in nur drei Stunden.

Besonders perfide: Phishing-Angriffe werden zunehmend schwerer erkennbar. 82,6 Prozent aller Phishing-Mails werden heute von künstlicher Intelligenz generiert. Die Betrugsversuche wirken täuschend echt. Als Reaktion auf eine massive Welle von IBAN-Manipulationen führte der Dienstleister Bexio am 10. Mai 2026 die Zwei-Faktor-Authentifizierung für seine 100.000 Kunden verpflichtend ein.

Die Sorge vor der „Ernte jetzt, entschlüssle später“-Strategie treibt 80 Prozent der deutschen Unternehmen um. Dabei werden verschlüsselte Daten bereits heute gestohlen, um sie später mit leistungsfähigeren Computern zu knacken. Besonders betroffen: Firmen mit Cloud-Workloads. 72 Prozent zögern, sensible Daten in die öffentliche Cloud zu verlagern. Der jüngste Vorfall bei Skoda Auto bestätigt diese Ängste: Hacker erbeuteten Namen, Adressen und Passwort-Hashes aus dem Online-Shop.

NIS-2: Persönliche Haftung für Vorstände

Seit Dezember 2025 gilt in Deutschland das NIS-2-Umsetzungsgesetz – und zwar ohne Übergangsfrist. Betroffen sind alle Unternehmen mit mehr als 50 Mitarbeitern oder über 10 Millionen Euro Jahresumsatz. Der entscheidende Unterschied zu früheren Regelungen: Geschäftsführer haften jetzt persönlich. Bei Verstößen drohen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes.

Die neuen Meldefristen sind knapp bemessen: Eine Erstmeldung muss innerhalb von 24 Stunden erfolgen, ein Zwischenbericht nach 72 Stunden, der Abschlussbericht nach einem Monat. Seit dem 6. Januar 2026 müssen betroffene Firmen zudem im BSI-Portal registriert sein. Für kleine und mittlere Unternehmen bieten Anbieter wie BORGWARE und Digimojo spezielle Readiness-Checks an, die die Einhaltung der Standards dokumentieren.

Parallel dazu verschärft die EU ihr KI-Recht. Am 7. Mai 2026 einigten sich die Mitgliedstaaten auf ein „Omnibus-Paket“ zur Überarbeitung des AI Act. Ziel ist es, die Compliance-Kosten um 20 bis 30 Prozent zu senken – bei gleichzeitig höheren Transparenzanforderungen. Schwere Verstöße können mit bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes geahndet werden.

Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen jetzt konkret tun? Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf. EU AI Act Umsetzungsleitfaden kostenlos sichern

Strategische Lücken und systemische Probleme

Die mangelnde Reife der Governance-Strukturen ist alarmierend. Eine Censuswide-Studie für Red Hat unter 100 deutschen IT-Entscheidern ergab: Nur 30 Prozent der Unternehmen verfügen über einen ausgereiften Governance-Rahmen für Systeme wie Agentic AI. Immerhin 57 Prozent haben eine Exit-Strategie für ihre KI-Anbieter – ein Zeichen wachsender Sorge um digitale Souveränität.

Jörg von der Heydt von Bitdefender DACH betont den geopolitischen Druck: „Die Konflikte in der Ukraine und im Iran haben die Dringlichkeit digitaler Souveränität massiv erhöht.“ Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht alle Marktteilnehmer in der Pflicht. Doch der Fachkräftemangel bremst die Umsetzung.

Systemische Versäumnisse offenbaren sich auch auf Landesebene. In Brandenburg stand ein landeseigenes Sicherheitsnetzwerk für Bürgerhinweise jahrelang ungeschützt im Internet. In Nordrhein-Westfalen meldeten 12 von 33 befragten Kliniken für 2023 und 2024 gar keine Datenschutzverstöße – eine Zahl, die die Datenschutzbehörde als „unwahrscheinlich“ bezeichnet und auf mangelhafte interne Meldeverfahren zurückführt.

Ausblick: Der Druck steigt

Die regulatorische Zange wird sich 2026 weiter zuziehen. Im September tritt der Cyber Resilience Act (CRA) in Kraft, der Hersteller zu verpflichtenden Meldungen zwingt. Die Europäische Datenschutzkonferenz (EDSA) plant für die zweite Jahreshälfte eine koordinierte Aktion zur Transparenz von Datenverarbeitungen.

Für deutsche Vorstände wird die Zeit knapp. Verbotene KI-Praktiken sind bereits jetzt untersagt, Hochrisiko-KI-Systeme müssen bis August 2026 konform sein, und ab Dezember 2026 ist eine Pflichtkennzeichnung für KI-generierte Inhalte vorgeschrieben. Die zentrale Herausforderung: die Lücke zwischen aktueller Sicherheitslage und den strengen gesetzlichen Anforderungen zu schließen. Cybersicherheit ist kein IT-Thema mehr – sie ist zur Chefsache und damit zur grundlegenden Betriebserlaubnis im europäischen Markt geworden.

de | wirtschaft | 69314204 |