Digitalisierung und Cybercrime: Unternehmen im Compliance-Dilemma

Sie müssen gleichzeitig neue Regularien umsetzen und ihre technische Widerstandsfähigkeit gegen Angriffe erhöhen, die gezielt Vertrauenslücken ausnutzen.

Staatliche Initiativen treffen auf private Überforderung

Diese Spannung war auch Thema im Bundesrat. Digitalminister Dr. Karsten Wildberger diskutierte dort am heutigen Mittwoch die Modernisierungsagenda der Bundesregierung. Im Fokus standen der Deutschland-Stack und die EUDI-Wallet, eine digitale Identitätslösung für die gesamte EU. Während solche Projekte Bürokratie abbauen sollen, kämpft die Wirtschaft bereits mit der Einhaltung bestehender Vorgaben.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen — ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Ratgeber jetzt kostenlos herunterladen

Doch die Bedrohungslage verschärft sich. Ein aktueller Fall zeigt, wie verwundbar selbst etablierte Kommunikationskanäle sind. Der Babynahrungshersteller Hipp wurde Ende März per E-Mail erpresst – mit der Androhung, Produkte zu vergiften. Die Mail lag fast drei Wochen unentdeckt in einem kaum überwachten Postfach. Erst am 16. April schaltete das Unternehmen die Polizei ein. Diese fand schließlich fünf manipulierte Gläser mit Rattengift in Filialen in Österreich, Tschechien und der Slowakei. In Deutschland gab es keine Funde. Der Vorfall unterstreicht ein fundamentales Risiko: Selbst bei existenziellen Bedrohungen sind viele Firmenstrukturen nicht darauf ausgelegt, sie rechtzeitig zu erkennen.

Cyber-Angriffe werden professioneller und gefährlicher

Im digitalen Raum nutzen Kriminelle zunehmend professionelle Tools. Eine nordkoreanische Gruppe, bekannt als UNC1069, lockt Krypto-Experten mit gefälschten Videokonferenz-Einladungen auf Zoom oder Microsoft Teams in die Falle. In den Meetings wird dann Malware wie der Cabbage RAT für Windows oder NukeSped RAT für macOS eingeschleust.

Künstliche Intelligenz macht solche Phishing-Angriffe noch gefährlicher. Sie eliminiert Grammatikfehler und imitiert professionelle Kommunikation täuschend echt. Für Mitarbeiter wird es so immer schwieriger, betrügerische Nachrichten von echten zu unterscheiden.

CEO-Fraud und KI-basierte Angriffe nutzen gezielt psychologische Schwachstellen aus, um selbst erfahrene Mitarbeiter in die Falle zu locken. Dieser kostenlose Report enthüllt aktuelle Methoden der Cyberkriminellen und zeigt, wie Sie Ihr Unternehmen in 4 Schritten schützen. Gratis Anti-Phishing-Paket sichern

Gleichzeitig bleibt die technische Basis angreifbar. Zwar sank die Gesamtzahl gemeldeter Microsoft-Schwachstellen auf 1.273. Doch die kritischen Lücken verdoppelten sich im letzten Jahr. Bei Microsoft Office verdreifachten sie sich, bei Azure und Dynamics 365 gab es sogar einen neunfachen Anstieg. Die US-Cybersicherheitsbehörde CISA warnt zudem vor einer aktiv ausgenutzten Schwachstelle in Apache ActiveMQ. Behörden müssen diese bis zum 30. April patchen, da über 8.000 internetfähige Instanzen gefährdet sind.

Regulierungsdruck in USA und EU steigt massiv

Als Reaktion auf diese Bedrohungen verschärfen Staaten weltweit die Gesetze. In den USA erließ Oklahoma als 21. Bundesstaat ein umfassendes Datenschutzgesetz. Der Oklahoma Consumer Data Privacy Act tritt am 1. Januar 2027 in Kraft. Ihm folgte am 16. April das Alabama Personal Data Protection Act, das ab Mai 2027 gilt. Beide Gesetze geben Verbrauchern weitreichende Rechte und werden ausschließlich von den Generalstaatsanwälten durchgesetzt.

In der EU gehen ab Mai 2026 mehrere Verordnungen in eine strengere Phase. Der Cyber Resilience Act (CRA) startet seine Konformitätsbewertung. Hersteller müssen Zertifizierungstermine sichern, um Verkaufsverbote ab 2027 zu vermeiden. Bei Verstößen drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Umsatzes. Die neue EU-Geldwäscherichtlinie (AMLR) ersetzt nationale Gesetze durch ein einheitliches Regelwerk. Strafen können hier bis zu 10 Prozent des Jahresumsatzes betragen.

Auch in Deutschland schreitet die digitale Gesetzgebung voran. Im Rechtsausschuss des Bundesrats wurden heute 26 Punkte behandelt, darunter die Digitalisierung der Zwangsvollstreckung. Ziel ist ein „Single Point of Compliance“, wie ein neuer Leitfaden vom 21. April erläutert. Er soll Firmen helfen, die sich überschneidenden Anforderungen aus NIS-2-Richtlinie, DORA und KI-Gesetz zu bewältigen.

Große Lücke zwischen Gesetz und Wirklichkeit

Trotz der vielen neuen Regeln klafft eine gewaltige Umsetzungslücke. Eine Analyse von 121 DSGVO-Auskunftsersuchen seit 2018 zeigt Ernüchterndes: 83,5 Prozent der Antworten waren rechtlich unzureichend. Fast 30 Prozent der Anfragen blieben unbeanswered, über die Hälfte führte zu unvollständigen Datengaben.

Diese hohe Nichtbefolgung könnte Konsequenzen haben. Die EU-Kommission erwägt mit dem „Digital Omnibus“, bestimmte Auskunftsrechte einzuschränken, um mutmaßlichen Missbrauch zu verhindern.

Die finanziellen Risiken bei Datenschutzverstößen bleiben enorm. Die durchschnittlichen Kosten eines Datenlecks liegen bei 4,1 Millionen Euro. In etwa 60 Prozent der Vorfälle spielt der menschliche Faktor eine Rolle. Gleichzeitig stehen die Budgets unter Druck: Nur 29 Prozent der Finanzchefs planen für 2026, die Personaletats aufzustocken. Manche Firmen wollen Verwaltungskosten sogar um 20 bis 40 Prozent senken. Diese Ressourcenknappheit erschwert es, spezielle US-Standards wie FedRAMP oder CMMC termingerecht umzusetzen.

Resilienz wird zum neuen Leitbild

Die Strategie von Aufsichtsbehörden verschiebt sich daher von reiner Prävention hin zu operativer Widerstandsfähigkeit. Die britische Cybersicherheitsbehörde NCSC betont, dass Führungskräfte lernen müssen, trotz schwerer Störungen zu operieren – anstatt alle Angriffe verhindern zu wollen.

Dieser ergebnisorientierte Ansatz spiegelt sich im neuen britischen Resilienz-Rahmenwerk für Finanzfirmen ab März 2027 wider. In den USA priorisiert die Handelsaufsicht FTC in ihrem Strategieplan 2026-2030, Tech-Giganten für Schäden an Kindern und irreführende Datenschutzpraktiken haftbar zu machen.

Für Unternehmen bedeutet das: Die kommenden Monate erfordern rigorose Audits von Zulieferern und die Einführung maschinenlesbarer Berechtigungspakete, besonders bei Staatsaufträgen. Mit den ersten großen Fristen für den Cyber Resilience Act und US-Datenschutzänderungen Mitte 2026 wird sich zeigen, wer in der zunehmend regulierten Digitalwirtschaft langfristig bestehen kann.

de | boerse | 69233144 |