NIS2-Gesetz, Firmen

NIS2-Gesetz: 29.000 Firmen müssen Mitarbeiter schulen

06.07.2026 - 02:48:48 | boerse-global.de

Verschärfte Gesetze wie NIS2 und KI-gestützte Phishing-Angriffe erhöhen den Druck auf Unternehmen. Gerichte urteilen unterschiedlich zur Haftung bei Rechnungsbetrug.

NIS2 und KI-Betrug: Neue Risiken für deutsche Firmen
NIS2-Gesetz - Eine Person im Kapuzenpullover tippt auf einem Laptop, überlagert von einem leuchtenden digitalen Schloss-Symbol, vor einer unscharfen nächtlichen Stadtkulisse. 06.07.2026 - Bild: über boerse-global.de

Kriminelle nutzen KI für immer raffiniertere Angriffe.

Die Bedrohungslage hat sich dramatisch verschärft. Allein der sogenannte Rechnungsbetrug – Kriminelle tauschen die IBAN in E-Mails aus – verursacht regelmäßig hohe Schäden. Ein Hausbesitzer in Altenholz verlor im August 2024 rund 2.200 Euro, die Stadt Dülmen im März 2025 sogar 400.000 Euro durch eine manipulierte Rechnung. Auch ein Tiefbauunternehmen aus Tensfeld (125.000 Euro) und ein Verein in Dessau-Roßlau (58.310 Euro) waren betroffen.

Wer haftet bei manipulierten Rechnungen?

Die rechtliche Lage ist tückisch. Nach § 362 BGB erlischt eine Geldschuld erst, wenn die Zahlung beim tatsächlichen Gläubiger ankommt. Wer auf ein Betrügerkonto überweist, muss also doppelt zahlen. Die Haftungsfrage entscheiden Gerichte unterschiedlich – die technische Sicherung der Kommunikation spielt dabei eine Schlüsselrolle.

Das OLG Schleswig-Holstein entschied im Dezember 2024: Ein Rechnungssteller haftet voll, wenn er Rechnungen ohne Ende-zu-Ende-Verschlüsselung versendet und diese abgefangen werden. Grundlage war auch Artikel 82 der DSGVO. Anders das OLG Karlsruhe: Es bejahte 2023 die Haftung eines Kunden, weil der Händler ausreichende Sicherheitsmaßnahmen wie aktuellen Virenschutz und komplexe Passwörter nachweisen konnte. Das Landgericht Koblenz urteilte auf eine Haftungsteilung – 75 Prozent zu Lasten des Auftraggebers, 25 Prozent zu Lasten des Unternehmers.

NIS2: 29.000 Unternehmen müssen handeln

Seit dem 6. Dezember 2025 gilt das neue IT-Sicherheitsgesetz in Deutschland. Es setzt die europäische NIS2-Richtlinie um und betrifft schätzungsweise über 29.000 Firmen. Mittelgroße Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz sind genauso betroffen wie Großunternehmen ab 250 Mitarbeitern oder 50 Millionen Euro Umsatz – und das in 18 Sektoren, darunter Abfallwirtschaft, Postdienste und öffentliche Verwaltung.

Die neuen Schulungspflichten sind zentral. Nach § 30 BSIG müssen Mitarbeiter im Onboarding und danach jährlich sensibilisiert werden. Die Geschäftsführung muss laut § 38 BSIG mindestens alle drei Jahre geschult werden. Diese Pflicht ist nicht delegierbar – bei Verstößen droht persönliche Haftung.

Anzeige

Angesichts verschärfter Gesetze wie NIS2 und der steigenden Gefahr durch manipulierte E-Mails müssen Unternehmen ihre IT-Sicherheit heute proaktiver denn je schützen. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Sicherheitslücken effektiv schließen und neue gesetzliche Anforderungen ohne hohe Investitionen erfüllen. IT-Sicherheits-Checkliste für Unternehmer jetzt kostenlos herunterladen

Die Bußgelder sind enorm: Für wesentliche Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Vorjahresumsatzes. Wichtige Einrichtungen müssen mit Strafen von bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes rechnen.

KI-gestützte Angriffe auf dem Vormarsch

Die technische Bedrohungslage unterstreicht die Dringlichkeit. Laut dem „Phishing Threat Trends Report“ sind inzwischen 86 Prozent aller Phishing-Angriffe KI-gestützt. Besonders stark zugenommen haben Attacken über Kalendereinladungen (plus 49 Prozent) und auf Kollaborationsplattformen wie Microsoft Teams (plus 41 Prozent). Im ersten Quartal 2026 täuschten Angreifer bei 30 Prozent der Vorfälle Identitäten interner Teammitglieder vor.

Der „IBM X-Force Threat Intelligence Index 2025“ zeigt einen Anstieg von Phishing-E-Mails mit Infostealern um 84 Prozent im Jahr 2024 – mit einer weiteren Beschleunigung um 180 Prozent zu Beginn des Jahres 2025. Deutschland liegt mit 18 Prozent aller Angriffe in Europa auf Platz zwei hinter dem Vereinigten Königreich.

Anzeige

Besonders perfide sind Angriffe wie der CEO-Fraud, bei dem Kriminelle die Identität von Vorgesetzten vortäuschen, um hohe Überweisungen zu erschleichen. Ein spezialisierter Gratis-Report enthüllt die aktuellen psychologischen Tricks der Cyberkriminellen und bietet einen 4-Schritte-Plan zur erfolgreichen Abwehr solcher Phishing-Attacken. Anti-Phishing-Paket für Unternehmen gratis anfordern

Schutzstrategien für Unternehmen

Experten empfehlen eine Kombination aus technischer und organisatorischer Prävention:

Identitätsschutz: Multi-Faktor-Authentifizierung (MFA) gilt als essenziell. Sie kann 99,9 Prozent der automatisierten Angriffe verhindern.

Kommunikationssicherheit: Ende-zu-Ende-Verschlüsselung und digitale Signaturen für den Rechnungsversand erfüllen NIS2-Vorgaben und reduzieren Haftungsrisiken.

Prozessuale Absicherung: Bei Änderungen von Bankverbindungen in E-Mails sollte eine telefonische Verifikation über bekannte Rufnummern erfolgen. Seit Oktober 2025 unterstützt zudem eine EU-weite Pflicht zum IBAN-Namensabgleich – Banken prüfen vor der Ausführung einer Zahlung auf Unstimmigkeiten.

Risikoanalyse: Ab 2026 wird eine dokumentierte Risikoanalyse (Threat Modeling) für viele KMU zur Pflicht. Sie identifiziert Bedrohungswege systematisch und leitet Gegenmaßnahmen ein.

de | wirtschaft | 69700534 |