NIS2-Umsetzung: 29.500 Unternehmen, doch nur 11.500 gemeldet

Die neuen Regelungen geben Sicherheitsbehörden weitreichende Befugnisse im digitalen Raum – und das zu einer Zeit, in der KI-gestützte Angriffe explosionsartig zunehmen.

Staatliche Eingriffsbefugnisse massiv ausgeweitet

Der Entwurf erlaubt dem Bundesamt für Sicherheit in der Informationstechnik (BSI), dem Bundeskriminalamt (BKA) und der Bundespolizei künftig aktive Maßnahmen im Netz. Dazu gehören die Stilllegung bestimmter IT-Systeme, die Umleitung von Datenverkehr sowie das gezielte Löschen oder Manipulieren von Daten zur Abwehr unmittelbarer Gefahren.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – dieses Experten-Wissen hilft Ihnen, es zu verhindern. Erfahren Sie im kostenlosen E-Book, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen proaktiv erfüllen. Gratis-E-Book zur Cyber-Security jetzt herunterladen

Bundesinnenminister Alexander Dobrindt betonte, die neuen Befugnisse seien notwendig, um Bedrohungen wirksam „zurückschlagen und beseitigen“ zu können. Für die Umsetzung sind 37 neue Stellen in den betroffenen Behörden vorgesehen.

Der Vorstoß stößt jedoch auf erheblichen Widerstand. Die Digitalverbände Bitkom und BDI kritisieren den Entwurf als zu eingriffsintensiv und fordern mehr Kooperation mit der Privatwirtschaft. Der Internetverband eco warnt vor einem „Paradigmenwechsel hin zu staatlichen Netzeingriffen“ – Maßnahmen, die eher aus autoritären Staaten bekannt seien. eco-Vorstand Landefeld plädiert für strikte verfassungsrechtliche Grenzen und eine klare Priorität defensiver Maßnahmen gegenüber sogenannten „Hackbacks“.

KI entdeckt Sicherheitslücken in industriellem Maßstab

Die Verschärfung der Abwehr kommt nicht von ungefähr. Am 27. Mai meldete die Google Threat Intelligence Group den ersten dokumentierten Fall, bei dem Hacker KI zur Entdeckung einer Zero-Day-Lücke in einem Verwaltungstool einsetzten. Der Fehler ermöglichte die Umgehung der Zwei-Faktor-Authentifizierung – eine Massenattacke konnte jedoch verhindert werden. Laut Google nutzen staatliche Gruppen aus China und Nordkorea KI bereits in industriellem Maßstab für die Schwachstellenforschung, während russische Gruppen damit polymorphe Schadsoftware entwickeln.

Parallel dazu veröffentlichte das KI-Unternehmen Anthropic am 26. Mai Ergebnisse seines Projekts Glasswing. Das Modell „Claude Mythos Preview“ identifizierte über 10.000 Schwachstellen in Software, darunter 6.202 Fehler in mehr als 1.000 Open-Source-Projekten. Als besonders kritisch erwies sich eine Lücke in der Bibliothek WolfSSL (CVE-2026-5194) mit einem CVSS-Score von 9,1 – die höchste Risikostufe.

Auf der Sicherheitskonferenz ESET World 2026 in Berlin warnten Experten am Montag, dass KI die Fehlererkennung derart beschleunige, dass traditionelle Patch-Zyklen von Tagen auf Stunden schrumpfen müssten.

Banken und Tech-Konzerne rüsten auf

Die Finanzbranche reagiert bereits. Die französische Großbank BNP Paribas gab am 26. Mai eine erweiterte Partnerschaft mit dem KI-Startup Mistral bekannt. Konzern-Informationschef Marc Camus erklärte, Modelle wie die von Mistral oder Anthropic beschleunigten die Erkennung von Schwachstellen fundamental. Die Bank integriert die Werkzeuge in interne Systeme, Kundenassistenten und Compliance-Prozesse.

Microsoft startete am selben Tag eine Vorschau auf eine neue Funktion namens „Automatic Device Isolation“ in Microsoft Defender for Endpoint. Das Tool trennt infizierte Rechner automatisch vom Netzwerk, um eine seitliche Ausbreitung von Angreifern zu verhindern.

Deutsche Unternehmen unter Druck: NIS2, DORA und CRA

Für deutsche Firmen wird die regulatorische Schraube immer weiter angezogen. Seit der Umsetzung der NIS2-Richtlinie und des DORA-Rahmenwerks im Dezember 2025 gelten verschärfte Meldepflichten. Die Finanzaufsicht BaFin verzeichnete seitdem über 600 schwerwiegende Vorfälle im Finanzsektor.

Besonders alarmierend: Von den rund 29.500 Unternehmen in Deutschland, die unter die NIS2-Richtlinie fallen, hatten sich bis zum Ablauf der Registrierungsfrist im März 2026 nur etwa 11.500 beim BSI gemeldet. Die Lücke ist gewaltig.

Die Bußgelder sind empfindlich: Bei Verstößen drohen bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Hinzu kommt der Cyber Resilience Act (CRA). Zwar ist die Verordnung seit Dezember 2024 in Kraft, doch die ersten obligatorischen Meldepflichten für Hersteller und Anbieter beginnen erst am 11. September 2026. Die Zeit zum Handeln wird knapp.

Neue KI-Gesetze und verschärfte Regularien wie der EU AI Act stellen Unternehmen vor enorme Herausforderungen. Dieser kostenlose Umsetzungsleitfaden bietet einen kompakten Überblick über alle neuen Anforderungen, Pflichten und Fristen für Ihre Rechts- und IT-Abteilung. Kostenlosen KI-Verordnung-Guide jetzt sichern

Mittelstand hinkt hinterher

Während die Bedrohungslage steigt, klafft eine Lücke in der Vorbereitung kleinerer Unternehmen. Eine IDC-Studie vom April 2026 zeigt: Zwar betrachten 52 Prozent der kleinen und mittleren Unternehmen (KMU) Cybersicherheit als Top-Priorität, doch etwa die Hälfte aller KMU erlebte 2025 einen Sicherheitsvorfall.

In Deutschland verfolgen nur 25 Prozent der KMU einen proaktiven Sicherheitsansatz. Besonders dramatisch: 84 Prozent der Kleinstunternehmen sind auf KI-gestützte Angriffe nicht vorbereitet. Die neue Gesetzeslage dürfte für viele von ihnen zur Zerreißprobe werden.

de | wirtschaft | 69431475 |