Bild: ImageFlow / Shutterstock.com

Cybersicherheit ist längst kein Nischenthema für IT-Abteilungen mehr. Trotzdem scheint genau das in vielen deutschen Unternehmen noch nicht angekommen zu sein. Wie Heise Online berichtet, zeigt eine aktuelle Untersuchung von Schwarz Digits ein alarmierendes Bild: Viele Firmen wissen schlicht nicht, dass sie längst neue Pflichten erfüllen müssen – und riskieren damit empfindliche Strafen.

Seit dem 6. Dezember 2025 gilt in Deutschland die neue NIS2-Richtlinie. Sie soll kritische Infrastruktur und wichtige Unternehmen besser vor Cyberangriffen schützen. Doch in der Praxis herrscht erstaunliche Unkenntnis.

Große Wissenslücken bei Unternehmen

Der Cyber Security Report 2026 von Schwarz Digits basiert auf einer Umfrage unter 1.001 deutschen Unternehmen. Das Ergebnis ist deutlich: 48 Prozent der Firmen unterschätzen ihre Verpflichtungen unter NIS2.

Besonders problematisch ist die Lage bei kleineren, aber wirtschaftlich starken Betrieben. Unternehmen mit 10 bis 49 Mitarbeitenden und mehr als 10 Millionen Euro Jahresumsatz gehen zu 92 Prozent davon aus, nicht unter die Richtlinie zu fallen. Tatsächlich sind viele von ihnen jedoch reguliert.

Das bedeutet: Zahlreiche Unternehmen sind verpflichtet, Sicherheitsmaßnahmen umzusetzen, Vorfälle zu melden und klare Zuständigkeiten für IT-Sicherheit festzulegen – ohne überhaupt zu wissen, dass sie betroffen sind.

Hohe Strafen bei Verstößen

Wer die Anforderungen ignoriert, geht ein erhebliches Risiko ein. Die Richtlinie sieht deutliche Sanktionen vor.

Das geht so weit, dass je nach Einstufung der Einrichtungen Strafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängt werden können.

Christian Müller, Co-CEO von Schwarz Digits, bringt die Bedeutung auf den Punkt:
„Cybersicherheit ist im Jahr 2026 keine IT-Aufgabe mehr, sondern eine Existenzfrage für jede Geschäftsführung“.

Viele Unternehmen fühlen sich allerdings schlecht vorbereitet. 62 Prozent der Befragten geben an, dass sie bei der Umsetzung der NIS2-Vorgaben zu wenig Unterstützung durch Behörden erhalten. Nur 21 Prozent sehen staatliche Maßnahmen als ausreichend an.

Neue Gefahr: Angriffe mit künstlicher Intelligenz

Parallel wächst eine weitere Bedrohung: Cyberangriffe mit Hilfe von künstlicher Intelligenz.

Dr. Alexander Schellong von Schwarz Digits warnt vor einer neuen Angriffskategorie:
„In den nächsten zwölf Monaten werden autonome KI-Angriffe unsere heutigen Sicherheitsansätze überrennen. Ein zentrales Ziel wird dabei die Manipulation von KI-Entscheidungen in der realen Welt sein – der sogenannte kinetische Prompt-Hack.“

Gemeint sind Angriffe, bei denen manipulierte Eingaben KI-Systeme zu falschen Entscheidungen bringen – etwa in autonomen Maschinen, Robotern oder industriellen Steuerungssystemen.

Lieferketten werden zum Sicherheitsproblem

Eine weitere Schwachstelle liegt in den Lieferketten. Jedes zweite Unternehmen berichtet bereits von Angriffen auf Zulieferer.

Trotzdem verzichten 75 Prozent der Firmen auf regelmäßige Sicherheitsprüfungen ihrer Partner. Gleichzeitig weiß nur etwa ein Drittel genau, von welchen Dienstleistern oder Softwarelieferanten es tatsächlich abhängig ist.

Europas digitale Abhängigkeit bleibt hoch

Auch die Frage der digitalen Souveränität wird zunehmend diskutiert. Laut dem Bericht erfüllen nur 10 von 27 untersuchten Enterprise-Produkten die Mindestanforderungen eines europäischen Cloud-Souveränitätsmodells.

Trotzdem gehen 80 Prozent der Softwareausgaben in der EU an US-Anbieter. Abhängigkeiten von ausländischen Plattformen bleiben damit ein strukturelles Risiko.

Rolf Schumann, Co-CEO von Schwarz Digits, sieht darin eine strategische Herausforderung:
„Digitale Souveränität ist zur strategischen Notwendigkeit gereift“.

Kommentar

Erstaunlich ist weniger, dass Cyberangriffe immer professioneller werden. Das war absehbar. Wirklich bemerkenswert ist etwas anderes: Viele Unternehmen beschäftigen sich erst mit IT-Sicherheit, wenn es gesetzlich vorgeschrieben wird – und manchmal nicht einmal dann.

NIS2 ist keine theoretische Regulierung, sondern eine direkte Reaktion auf reale wirtschaftliche Schäden in Milliardenhöhe. Trotzdem scheint ein Teil der Wirtschaft die Regeln noch immer als entfernte Bürokratie wahrzunehmen.

Das eigentliche Risiko sind daher nicht nur Hackergruppen oder KI-basierte Angriffe. Das größere Problem ist oft eine Mischung aus Selbstüberschätzung, fehlender Information und trügerischer Ruhe im Alltag.

Wer erst aktiv wird, wenn ein Vorfall passiert oder eine Behörde nachfragt, hat die wichtigste Lektion der letzten Jahre nicht verstanden: Digitale Sicherheit ist längst Teil der Unternehmensführung – nicht nur ein IT-Thema im Keller.

 

Quelle: heise.de

Zum Newsletter anmelden

und immer aktuell im Datenschutz informiert.

Weitere Artikel lesen

Phishing-Imperium gestoppt: Ermittler legen Tycoon2FA lahm

Phishing-Imperium gestoppt: Ermittler legen Tycoon2FA lahm

6. März 2026
Kinderschutz vernachlässigt: 16,5 Millionen Euro Strafe gegen Reddit

Kinderschutz vernachlässigt: 16,5 Millionen Euro Strafe gegen Reddit

6. März 2026
KI außer Kontrolle: Openclaw löscht plötzlich das komplette E-Mail-Postfach

KI außer Kontrolle: Openclaw löscht plötzlich das komplette E-Mail-Postfach

4. März 2026