Cyberangriffe auf Rekordhoch: Behörden und Firmen verschärfen Schutzmaßnahmen

Behörden und Unternehmen reagieren mit neuen Sicherheitspflichten und strengeren Regeln.

Zwangs-2FA und steigende Haftungsrisiken

Der Schweizer Geschäftssoftware-Anbieter Bexio macht Zweifaktor-Authentifizierung (2FA) für seine über 100.000 Nutzer verpflichtend. Grund ist ein Phishing-Vorfall, bei dem Angreifer Kontonummern auf Rechnungen manipulierten. CEO Markus Naef bestätigte den Vorfall, der den zuständigen Bundesbehörden gemeldet wurde.

Diese Entwicklung ist kein Einzelfall. Während 74 Prozent der deutschen Nutzer ihre Passwörter für sicher halten, nutzen nur 25 Prozent überhaupt 2FA. Die Dringlichkeit zeigt auch der Aufstieg von „Quishing“ – Phishing per QR-Code, das im ersten Quartal 2026 um 146 Prozent zulegte.

Phishing-Angriffe werden immer raffinierter und zielen verstärkt auf sensible Finanzdaten ab, wie der aktuelle Anstieg von Quishing zeigt. Dieser kostenlose Praxisleitfaden hilft Unternehmen, interne Schutzmechanismen rechtssicher zu organisieren und teure Sicherheitslücken zu schließen. Anti-Phishing-Paket jetzt kostenlos anfordern

Die Haftung verschiebt sich zunehmend zu den Dienstanbietern. Das Landgericht Berlin entschied am 22. April 2026, dass eine Bank für Phishing-Schäden von über 200.000 Euro haften muss.

Aktuelle Daten des Bundesinnenministeriums vom 10. Mai zeigen: Täglich registrieren die Behörden rund 100 schwere DDoS-Angriffe. Als Hauptakteur gilt Russland. Die Angriffe zielen vor allem auf Datendiebstahl und die Sabotage kritischer Infrastruktur.

KI als Waffe und Schutzschild

Am 9. Mai startete Anthropic die öffentliche Beta von „Claude Security“. Das Tool, basierend auf dem Opus-4.7-Modell, soll Schwachstellen im Quellcode aufspüren. Partner sind unter anderem CrowdStrike, Microsoft Security und Palo Alto Networks. Auch die Beratungsriesen Accenture, BCG, Deloitte, Infosys und PwC integrieren die Technologie bereits.

Doch KI birgt auch neue Risiken. Die Zahl der KI- und Machine-Learning-Pakete in Workloads stieg zwischen 2024 und 2025 um 500 Prozent. Experten warnen vor automatisierten KI-Angriffen: Phishing-Kampagnen laufen heute fließend in jeder Sprache. Empfohlen wird ein „Least-Privilege“-Modell und „Zero Trust“-Architekturen speziell für KI-Laufzeitumgebungen.

Die UNESCO-Empfehlung zur KI-Ethik vom 10. Mai betont Transparenz, Nichtdiskriminierung und den Schutz vor Massenüberwachung – Prinzipien, die zunehmend in nationale Strategien und den EU AI Act einfließen.

Datenschutzbehörden unter Sparkurs

Paradox: Während die Bedrohung steigt, werden die Kontrollbehörden ausgedünnt. Baden-Württemberg will 40 Prozent der Stellen beim Landesdatenschutzbeauftragten streichen – begründet mit Haushaltskonsolidierung. Kritiker warnen vor längeren Bearbeitungszeiten und schwächerer Aufsicht.

Der brandenburgische Datenschutzbericht 2025, vorgelegt von Dagmar Hartge am 11. Mai, offenbart eklatante Sicherheitslücken in Behörden. Ein Speichersystem der Polizei lag jahrelang ungeschützt im Netz. Rund 1.600 Beschwerden gingen zur Datenverarbeitung ein. Die verhängten Bußgelder summierten sich auf knapp 109.000 Euro.

Auch Tech-Konzerne wehren sich gegen neue Regeln. Apple kritisierte am 10. Mai den Digital Markets Act der EU: Die geforderte Drittanbieter-Öffnung könne Nutzerdaten wie WLAN-Verläufe gefährden. Meta steht derweil vor einer Mid-Mai-Frist zur DSA-Compliance für WhatsApp Channels, die als „sehr große Online-Plattformen“ eingestuft wurden.

Hinweisgeberschutz: Klare Grenzen

Das Arbeitsgericht Koblenz stellte am 11. Mai klar: Das Hinweisgeberschutzgesetz gewährt keinen automatischen Kündigungsschutz. Arbeitnehmer müssen einen konkreten Kausalzusammenhang zwischen ihrer Meldung und der Kündigung nachweisen.

Für Unternehmen steigen die Compliance-Risiken. Nach Ablauf der Übergangsfrist im Frühjahr 2026 drohen Firmen mit über 50 Mitarbeitern ohne interne Meldekanäle Bußgelder bis zu 50.000 Euro. Geschäftsführer haften persönlich. Mit dem EU AI Act verschärfen sich die Berichtspflichten ab dem zweiten Quartal 2026 weiter.

Angesichts drohender Bußgelder und persönlicher Haftung müssen Unternehmen das Hinweisgeberschutzgesetz nun zügig und rechtssicher umsetzen. Ein kostenloser Praxisleitfaden zeigt Schritt für Schritt, wie Sie interne Meldestellen DSGVO-konform einrichten und Fallstricke vermeiden. Gratis-Leitfaden zum Hinweisgeberschutzgesetz sichern

Ausblick: Multi-Faktor wird Standard

Die kommenden Monate stehen im Zeichen der vollständigen Umsetzung von EU AI Act und Digital Services Act. Multi-Faktor-Authentifizierung dürfte sich als Standard durchsetzen – getrieben von Sicherheitserfordernissen und Haftungspräzedenzfällen.

Das zweite Quartal 2026 wird für mittelständische Unternehmen zur Nagelprobe: Interne Hinweisgebersysteme und Auftragsverarbeitungsverträge müssen finalisiert sein. Während Kriminelle ihre Methoden mit KI und Quishing verfeinern, steigen die Anforderungen an „Stand der Technik“-Sicherheit. Die laufenden Rechtsstreitigkeiten – etwa von WhatsApp gegen Anordnungen des Europäischen Datenschutzausschusses – werden wegweisend sein für den Umgang internationaler Tech-Konzerne mit europäischen Nutzerdaten.

de | wirtschaft | 69306250 |