Cybersicherheit, GeschĂ€ftsfĂŒhrer

Cybersicherheit: GeschĂ€ftsfĂŒhrer haften persönlich bis 15 Millionen Euro

Veröffentlicht: 16.07.2026 um 00:22 Uhr, Redaktion boerse-global.de

Zehntausende Unternehmen mĂŒssen sich bis Ende Juli beim BSI registrieren. Besonders der Mittelstand hinkt hinterher, wĂ€hrend die persönliche Haftung der GeschĂ€ftsfĂŒhrung droht.

NIS2-Frist bis Juli: Viele deutsche Firmen noch nicht registriert
Ein stilisiertes digitales VorhĂ€ngeschloss auf einem Server-Rack, das Cybersicherheit und Datenschutz symbolisiert, mit verschwommenen GeschĂ€ftsleuten im Hintergrund. Illustration mit AI erstellt ĂŒbermittelt durch boerse-global.de

Die Cybersicherheit rĂŒckt fĂŒr die GeschĂ€ftsfĂŒhrung vieler deutscher Unternehmen endgĂŒltig zur Chefsache auf. Das Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) hat die Daumenschrauben angezogen: Wer unter die NIS2-Richtlinie fĂ€llt, muss sich bis Monatsende registrieren. Die ursprĂŒngliche Frist vom 6. MĂ€rz 2026 wurde bereits verlĂ€ngert – doch der RĂŒckstand ist enorm.

Nach aktuellen Erhebungen hatten sich bis Ende Mai nur rund 18.500 der betroffenen Einrichtungen registriert. Besonders im Mittelstand klafft eine LĂŒcke. Parallel dazu erschwert das BSI den Zugang: Seit dem 15. Juli ist das Meldeportal nur noch ĂŒber „Mein Unternehmenskonto“ mit einem ELSTER-Organisationszertifikat erreichbar.

Persönliche Haftung: GeschĂ€ftsfĂŒhrer in der Verantwortung

Die NIS2-Gesetzgebung macht Cyber-Resilienz zur unĂŒbertragbaren Leitungsaufgabe. GemĂ€ĂŸ § 38 des BSIG haftet die GeschĂ€ftsfĂŒhrung bei grober FahrlĂ€ssigkeit persönlich. Die Bußgelder sind empfindlich: bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes.

Die Bedrohungslage rechtfertigt diese HĂ€rte. Laut Bitkom waren 87 Prozent der deutschen Unternehmen in den letzten zwölf Monaten von Cyberangriffen betroffen. Der Gesamtschaden: 289,2 Milliarden Euro. Eine Studie von HarfangLab unter 750 europĂ€ischen FĂŒhrungskrĂ€ften zeigt zudem: Über 70 Prozent erwarten schwere BeeintrĂ€chtigungen des Betriebs durch CybervorfĂ€lle. Rund die HĂ€lfte rechnet bereits am ersten Tag eines Ausfalls mit finanziellen Konsequenzen.

Anzeige

Angesichts der enormen Schadenssummen durch Cyberangriffe mĂŒssen Unternehmen heute proaktiv handeln, um ihre Existenz zu sichern. Experten erklĂ€ren im kostenlosen E-Book, wie Sie sich wirksam absichern, bevor es zu spĂ€t ist. Kostenlose Checkliste zur Cyber-Security jetzt herunterladen

Strategische LĂŒcke: Risikomanagement oft nur auf dem Papier

Trotz der verschĂ€rften Lage offenbaren Marktanalysen erhebliche Defizite. Das SMK Risikobarometer zeigt: 80 Prozent der Entscheider halten ihre IT-Sicherheit fĂŒr gut organisiert. Doch das BSI stellt fest, dass kleine und mittlere Unternehmen im Schnitt nur 56 Prozent der Basisanforderungen erfĂŒllen. 60 Prozent der befragten Betriebe haben kein strukturiertes Risikomanagement.

Hinzu kommt ein nachlassendes Engagement der FĂŒhrungsebene. Eine Studie von MetaCompliance unter 200 europĂ€ischen IT-Sicherheitsverantwortlichen (CISOs) belegt: 79 Prozent beklagen eine abnehmende UnterstĂŒtzung durch das Management. Das wiegt besonders schwer, da 68 Prozent der Fachleute die Belegschaft als grĂ¶ĂŸte Schwachstelle identifizieren – zunehmend unter Druck durch KI-gestĂŒtztes Social Engineering.

KI als Katalysator: Angreifer werden schneller

Der technologische Fortschritt verschĂ€rft die Situation. Der SANS AI Survey 2026 zeigt: Der Einsatz von KĂŒnstlicher Intelligenz in der Cyberabwehr stieg von 33 auf 61 Prozent. Doch 63 Prozent der Fachleute berichten von Defiziten bei der KI-basierten Bedrohungserkennung.

Angreifer nutzen KI bereits fĂŒr autonome Attacken. In einem dokumentierten Fall gelang es mit KI-Tools, in Systeme mehrerer Regierungsbehörden einzudringen. Das Zeitfenster fĂŒr die Ausnutzung von Schwachstellen schrumpfte von Tagen auf wenige Stunden. Die offensive Sicherheitsforschung reagiert: Horizon3.ai nutzt im Rahmen einer Kooperation mit Anthropic KI-Modelle wie Claude Mythos, um Schwachstellen wie CVE-2026-34197 und CVE-2026-48558 zu identifizieren – bevor Kriminelle sie ausnutzen können.

Anzeige

Die rasante Entwicklung von KI verschĂ€rft nicht nur die Bedrohungslage, sondern bringt auch neue rechtliche Pflichten fĂŒr die Unternehmensleitung mit sich. Dieser kostenlose Report klĂ€rt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen mĂŒssen. Gratis-Report zu neuen KI-Gesetzen und Cyberrisiken anfordern

Lieferketten unter Druck: Auch Zulieferer mĂŒssen liefern

Die NIS2-Regulierung verlangt eine kontinuierliche Risikobewertung der gesamten Lieferkette. Das setzt auch Betriebe unter Druck, die unterhalb der gesetzlichen Schwellenwerte liegen. Andreas LĂŒning von G Data betont: Ein bloßer Notfallplan reicht nicht. Zwar verfĂŒgen 97 Prozent der deutschen Unternehmen ĂŒber ein solches Dokument, doch weniger als die HĂ€lfte fĂŒhrt regelmĂ€ĂŸige Übungen durch oder nutzt fortgeschrittene technische EindĂ€mmungsmaßnahmen.

Angesichts des FachkrĂ€ftemangels gewinnen Modelle wie „Fractional CISOs“ oder externe Incident-Response-Teams an Bedeutung. Nur so lassen sich die geforderten Meldepflichten einhalten – etwa die 24-Stunden-FrĂŒhwarnung bei VorfĂ€llen.

Weitere regulatorische Anforderungen stehen bereits fest: Ab September 2026 verschĂ€rft der EU Cyber Resilience Act die Anforderungen an die Produktsicherheit digitaler Komponenten. Ein tieferer Austausch zu diesen Themen wird unter anderem auf der ISACA Europe Conference erwartet, die vom 7. bis 9. Oktober 2026 in MĂŒnchen stattfindet.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Änderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.

de | wirtschaft | 69775828 |