Lieferkettengesetz: 97% der Firmen haben Risikosysteme etabliert

Die Kombination aus strengeren Auflagen und rasanter KI-Integration zwingt deutsche Firmen zu einem grundlegenden Umbau ihres Risikomanagements. Während die Einhaltung der Lieferkettengesetze Fortschritte macht, bereiten unerlaubte KI-Nutzung und neue Cybersicherheitsvorgaben erhebliche finanzielle und operative Probleme.

Lieferkettengesetz: Hohe Akzeptanz, aber Lücken bei Kontrollen

Eine umfassende Studie des UN Global Compact Network Deutschland vom 2. Juni 2026 zeigt: Das Lieferkettensorgfaltspflichtengesetz (LkSG) hat einen tiefgreifenden Wandel in der Unternehmenskultur ausgelöst. Die Auswertung von 313 öffentlichen Berichten, die beim Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) eingereicht wurden, offenbart beeindruckende Zahlen.

Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf, welche KI-Systeme als Hochrisiko gelten und was Unternehmen jetzt konkret tun müssen. EU AI Act in 5 Schritten verstehen

Die Analyse umfasste 254 Unternehmen und 42.000 Datenpunkte. Das Ergebnis: Zwischen 97 und 98 Prozent der teilnehmenden Organisationen haben mittlerweile formelle Risikomanagementsysteme etabliert. Ein enormer Sprung – unter dem vorherigen Nationalen Aktionsplan (NAP) lag die Quote bei gerade einmal 13 bis 17 Prozent. Doch die Strukturen allein reichen nicht: Rund 29 Prozent der Unternehmen meldeten Verstöße in ihren Lieferketten. Besonders deutlich wurde: Beschwerdemechanismen sind das wichtigste Instrument, um Risiken bei indirekten Zulieferern zu erkennen. Proaktive Überwachungsprozesse allein versagten in diesen Bereichen.

NIS-2: Mittelstand unter Druck

Die Umsetzung des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) setzt die deutsche Industrie zusätzlich unter Zugzwang. Seit dem Ende der offiziellen Registrierungsfrist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) im März 2026 müssen Unternehmen aus 18 Sektoren – darunter Energie, Transport und Fertigung – ihre Compliance nachweisen.

Die Regulierung betrifft nicht nur Großkonzerne. Auch mittelständische Unternehmen mit mindestens 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz sind in der Pflicht. Rechtsexperten betonen seit Anfang Juni 2026: Zulieferer müssen zunehmend ihren Kunden gegenüber die Einhaltung der Vorschriften nachweisen, um Geschäftsbeziehungen nicht zu gefährden. Die Strafen sind empfindlich: Bei Verstößen gegen Risikomanagement- und Meldepflichten drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Zudem haften Geschäftsführer persönlich. Als Reaktion auf diese Anforderungen haben die Firmen LEGANTA und top.legal am 2. Juni 2026 eine Kooperation bekannt gegeben. Sie wollen vertragliche Anforderungen per automatisierter Analyse auf NIS-2-Konformität prüfen.

„Shadow AI": Die unterschätzte Gefahr aus dem Unternehmen

Sicherheitsforscher schlagen Alarm: „Shadow AI" – die unerlaubte Nutzung von KI-Tools durch Mitarbeiter ohne Zustimmung der IT-Abteilung – wird zum ernsten Problem. Laut IBM-Daten verursachen solche Praktiken durch Datenlecks und Compliance-Verstöße durchschnittliche Zusatzschäden von 670.000 Euro pro Vorfall.

Die Bedrohungslage wird durch die Geschwindigkeit KI-gesteuerter Angriffe weiter verschärft. Ein Bericht des SANS Institute und der Cloud Security Alliance (CSA) vom 3. Juni 2026 zeigt: Die „Zero-Day-Uhr" – die Zeitspanne zwischen Entdeckung einer Sicherheitslücke und ihrer Ausnutzung – ist 2026 auf weniger als einen Tag geschrumpft. 2019 lag dieser Wert noch bei 2,3 Jahren.

Neue KI-Gesetze und rasant wachsende Cyberrisiken fordern Unternehmer heute stärker denn je. Dieser kostenlose Report klärt auf, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen rechtssicher erfüllen. Gratis-E-Book zur Cyber Security jetzt herunterladen

Das KI-Modell „Mythos" des Unternehmens Anthropic demonstrierte das Ausmaß des Problems eindrucksvoll: Es identifizierte in Sekundenschnelle 1.726 Schwachstellen in Open-Source-Projekten. Darunter befanden sich eine 27 Jahre alte Denial-of-Service-Lücke in OpenBSD und ein 16 Jahre alter Bug in FFmpeg. Während KI diese Lücken sofort findet, brauchen Unternehmen im Schnitt 43 Tage, um die notwendigen Patches einzuspielen. CrowdStrike berichtet, dass KI-basierte Angriffe um 89 Prozent zugenommen haben – doch nur 32 Prozent der Firmen setzen KI derzeit für ihre Verteidigung ein.

Risiken in Euro berechnen: Neue Methoden für mehr Sicherheit

Um diese komplexen Bedrohungen zu managen, setzen einige deutsche Unternehmen auf quantitative Risikoanalyse. Der Logistikkonzern Jungheinrich meldete am 2. Juni 2026 die erfolgreiche Integration der Cyber Risk Quantification (CRQ) in sein unternehmensweites Risikomanagement. Mit einem gemeinsam mit Deloitte und Squalify entwickelten Modell kann das Unternehmen die Rendite von Sicherheitsinvestitionen jetzt in Euro berechnen – das ermöglicht eine präzisere Finanzplanung.

Parallel dazu hat die Deutsche Cyberagentur am 30. April 2026 das ARCH-Projekt gestartet. Ziel ist die Entwicklung einer zweistufigen Skala zur Bewertung von Schäden durch Cyberkriminalität. Gemessen werden sollen sowohl monetäre Verluste als auch qualitative Auswirkungen wie Vertrauensverlust und psychische Belastung der Mitarbeiter.

Um die Risiken autonomer Systeme in den Griff zu bekommen, hat KnowBe4 am 3. Juni 2026 das Abwehrsystem „Agent Risk Manager" vorgestellt. Das Tool überwacht das Verhalten von KI-Agenten in Echtzeit und erkennt Prompt-Injection-Angriffe sowie den unbefugten Umgang mit sensiblen Daten in hybriden Mensch-KI-Belegschaften.

de | wirtschaft | 69478350 |