EU verschärft Regeln für Künstliche Intelligenz und Cybersicherheit

Am 7. Mai einigten sich Rat und Parlament auf das „Digital Omnibus“-Update, das die Fristen des EU AI Acts anpasst. Einen Tag später legte die EU-Kommission Entwürfe für Transparenzrichtlinien vor. Zeitgleich erreicht die Cyberkriminalität in Deutschland Rekordniveau – mit dramatischen Folgen vor allem für kleine und mittlere Unternehmen.

Neue Fristen für das EU-KI-Gesetz

Die politische Einigung verschafft europäischen Unternehmen mehr Zeit für die strengsten Auflagen des AI Acts (Verordnung EU 2024/1689). Hochriskante KI-Systeme nach Anhang III müssen erst bis zum 2. Dezember 2027 vollständig konform sein. Für KI in Produkten wie Medizingeräten oder Maschinen (Anhang I) gilt sogar der 2. August 2028 als Stichtag.

Die neuen EU-Regeln für künstliche Intelligenz betreffen fast jedes Unternehmen – wer die strengen Fristen des AI Acts ignoriert, riskierte erhebliche Strafzahlungen. Dieser praxisnahe Leitfaden erklärt die wichtigsten Risikoklassen und Pflichten kompakt auf einen Blick. EU AI Act Umsetzungsleitfaden kostenlos herunterladen

Doch Vorsicht: Die Transparenzpflichten nach Artikel 50 kommen früher. Bereits ab dem 2. August 2026 müssen Unternehmen KI-Interaktionen – etwa Chatbots – klar kennzeichnen. Die Kommissionsentwürfe vom 8. Mai verlangen Wasserzeichen oder Metadaten für KI-generierte Inhalte sowie die Offenlegung von Deepfakes. Interessierte können bis zum 3. Juni 2026 Stellungnahmen einreichen.

Die Strafen für Verstöße sind happig: Bis zu 15 Millionen Euro oder drei Prozent des Jahresumsatzes drohen bei Verstößen gegen die Transparenzregeln. Für verbotene Praktiken wie Social Scoring oder biometrische Echtzeitüberwachung sind es sogar 35 Millionen Euro oder sieben Prozent des Umsatzes. In Deutschland wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Aufsicht übernehmen.

Cyberkriminalität auf Rekordniveau

Während die Politik die Regeln schärft, eskaliert die Bedrohungslage. Das Bundeskriminalamt meldet für 2025 einen neuen Höchststand: 333.922 registrierte Cyberstraftaten in Deutschland. Der wirtschaftliche Schaden: 202,4 Milliarden Euro – rund 4,5 Prozent des Bruttoinlandsprodukts. Besonders Ransomware bleibt eine Geißel: 1.041 schwere Angriffe bedeuten einen Anstieg um zehn Prozent. 96 Prozent trafen Unternehmen oder Mittelständler.

Der Trend geht zu Identitätsdiebstahl. Ein aktueller Sicherheitsbericht zeigt: 71 Prozent der Unternehmen erlebten im vergangenen Jahr einen identitätsbezogenen Vorfall. Rund 67 Prozent aller Ransomware-Fälle begannen mit kompromittierten Zugangsdaten. Die durchschnittlichen Kosten für die Schadensbehebung liegen bei umgerechnet rund 1,5 Millionen Euro. In Deutschland bemerkten 17,4 Prozent der Firmen ihren schwersten Angriff erst mit Verzögerung.

Gerade für kleine und mittlere Betriebe ist ein effektiver Schutz vor Ransomware und Datenmissbrauch heute überlebenswichtig. Wie Sie Sicherheitslücken proaktiv schließen und aktuelle gesetzliche Anforderungen ohne riesiges Budget erfüllen, erfahren Sie in diesem Experten-E-Book. Gratis-Ratgeber zur IT-Sicherheit jetzt sichern

Besonders verwundbar sind kleine und mittlere Unternehmen. 43 Prozent aller Cyberangriffe zielen auf kleinere Firmen. Während Großkonzerne oft bessere Abwehr haben, sind 88 Prozent der Sicherheitsverletzungen bei KMU Ransomware-Fälle – bei großen Firmen sind es 39 Prozent. Der durchschnittliche Schaden für Betriebe mit unter 500 Mitarbeitern beträgt umgerechnet rund drei Millionen Euro. Dennoch haben 47 Prozent der Kleinstunternehmen kein eigenes Budget für Cybersicherheit. 40 Prozent der KMU müssten bei einem Verlust von 92.000 Euro um ihre Existenz fürchten.

Compliance wird Chefsache

Die NIS-2-Richtlinie macht Cybersicherheit zur Managementpflicht. In Deutschland sind rund 30.000 Unternehmen betroffen – darunter bereits Firmen ab 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz. Das BSI schreibt spezielle Schulungen für Geschäftsführer vor, die bei Verstößen persönlich haften können. Obwohl die erste Meldefrist im März 2026 ablief, haben viele Unternehmen ihre Registrierung noch nicht abgeschlossen.

Experten empfehlen eine Fünf-Schritte-Strategie: lückenloses IT-Inventar, regelmäßige Simulationen wie Penetrationstests und Phishing-Übungen, externe Sicherheitsdienstleister sowie strenge Lieferkettenkontrollen mit Multi-Faktor-Authentifizierung und regelmäßigen Audits.

Die Technikbranche reagiert: Am 12. Mai veröffentlichte Apple iOS 26.5 mit über 50 Sicherheitsupdates, darunter drei Fernzugriffs-Lücken. Am 13. Mai führte der Messenger Signal neue Anti-Phishing-Funktionen ein. Der Hintergrund: Quishing (QR-Code-Phishing) und Smishing (SMS-Phishing) boomen. Allein im ersten Quartal 2026 stiegen Quishing-Fälle um 150 Prozent auf 18 Millionen Vorfälle weltweit.

Hintergrund: Die neue Bedröhungsrealität

Ein Vorfall im April 2026 zeigt, wie raffiniert Angreifer vorgehen: Mitglieder des Bundestages wurden Opfer von IT-Support-Phishing auf Signal. Die Täter nutzten keine technischen Lücken, sondern Social Engineering – sie überzeugten ihre Opfer, eine schädliche App per QR-Code zu installieren. Die Lehre: Menschliches Fehlverhalten und Identitätsdiebstahl bleiben die Haupteinfallstore.

Auch staatlich gesteuerte Angriffe nehmen zu. Im Februar 2026 attackierte die APT-Gruppe MuddyWater neun Organisationen, darunter einen südkoreanischen Elektronikkonzern. Das BSI warnt deutsche Unternehmen vor erhöhter Gefahr durch solche staatlichen Akteure. Künstliche Intelligenz senkt zudem die Hürde für weniger versierte Kriminelle – sie automatisieren die Erstellung täuschend echter Phishing-Inhalte und Schadsoftware. Für 2026 werden weltweit Schäden durch mobile Cyberkriminalität in Höhe von umgerechnet rund 410 Milliarden Euro erwartet.

Ausblick: Die kommenden 24 Monate

Bis zum 2. August 2026 müssen Unternehmen ihre KI-Transparenzmaßnahmen umsetzen – inklusive Kennzeichnung maschinell erstellter Inhalte. Für bestehende Systeme gilt eine Übergangsfrist bis zum 2. Dezember 2026. Bis August 2027 sollen regulatorische Sandboxen für KI-Innovationen entstehen. Die vollständige Durchsetzung des AI Acts endet im August 2028 mit der letzten Frist für integrierte Hochrisiko-Produkte.

Wer jetzt nicht handelt, gerät unter Druck – nicht nur von Aufsichtsbehörden, sondern auch vom Versicherungsmarkt. Cyber-Policen werden zunehmend an nachgewiesene Sicherheitsreife gekoppelt. Die Integration von Risikomanagement, menschlicher Kontrolle und lückenloser Dokumentation wird zum entscheidenden Wettbewerbsfaktor.

de | wirtschaft | 69345575 |