Cybersicherheit: GeschĂ€ftsfĂŒhrer haften persönlich bis 15 Millionen Euro
Veröffentlicht: 16.07.2026 um 00:22 Uhr, Redaktion boerse-global.de
Die Cybersicherheit rĂŒckt fĂŒr die GeschĂ€ftsfĂŒhrung vieler deutscher Unternehmen endgĂŒltig zur Chefsache auf. Das Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) hat die Daumenschrauben angezogen: Wer unter die NIS2-Richtlinie fĂ€llt, muss sich bis Monatsende registrieren. Die ursprĂŒngliche Frist vom 6. MĂ€rz 2026 wurde bereits verlĂ€ngert â doch der RĂŒckstand ist enorm.
Nach aktuellen Erhebungen hatten sich bis Ende Mai nur rund 18.500 der betroffenen Einrichtungen registriert. Besonders im Mittelstand klafft eine LĂŒcke. Parallel dazu erschwert das BSI den Zugang: Seit dem 15. Juli ist das Meldeportal nur noch ĂŒber âMein Unternehmenskontoâ mit einem ELSTER-Organisationszertifikat erreichbar.
Persönliche Haftung: GeschĂ€ftsfĂŒhrer in der Verantwortung
Die NIS2-Gesetzgebung macht Cyber-Resilienz zur unĂŒbertragbaren Leitungsaufgabe. GemÀà § 38 des BSIG haftet die GeschĂ€ftsfĂŒhrung bei grober FahrlĂ€ssigkeit persönlich. Die BuĂgelder sind empfindlich: bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes.
Die Bedrohungslage rechtfertigt diese HĂ€rte. Laut Bitkom waren 87 Prozent der deutschen Unternehmen in den letzten zwölf Monaten von Cyberangriffen betroffen. Der Gesamtschaden: 289,2 Milliarden Euro. Eine Studie von HarfangLab unter 750 europĂ€ischen FĂŒhrungskrĂ€ften zeigt zudem: Ăber 70 Prozent erwarten schwere BeeintrĂ€chtigungen des Betriebs durch CybervorfĂ€lle. Rund die HĂ€lfte rechnet bereits am ersten Tag eines Ausfalls mit finanziellen Konsequenzen.
Angesichts der enormen Schadenssummen durch Cyberangriffe mĂŒssen Unternehmen heute proaktiv handeln, um ihre Existenz zu sichern. Experten erklĂ€ren im kostenlosen E-Book, wie Sie sich wirksam absichern, bevor es zu spĂ€t ist. Kostenlose Checkliste zur Cyber-Security jetzt herunterladen
Strategische LĂŒcke: Risikomanagement oft nur auf dem Papier
Trotz der verschĂ€rften Lage offenbaren Marktanalysen erhebliche Defizite. Das SMK Risikobarometer zeigt: 80 Prozent der Entscheider halten ihre IT-Sicherheit fĂŒr gut organisiert. Doch das BSI stellt fest, dass kleine und mittlere Unternehmen im Schnitt nur 56 Prozent der Basisanforderungen erfĂŒllen. 60 Prozent der befragten Betriebe haben kein strukturiertes Risikomanagement.
Hinzu kommt ein nachlassendes Engagement der FĂŒhrungsebene. Eine Studie von MetaCompliance unter 200 europĂ€ischen IT-Sicherheitsverantwortlichen (CISOs) belegt: 79 Prozent beklagen eine abnehmende UnterstĂŒtzung durch das Management. Das wiegt besonders schwer, da 68 Prozent der Fachleute die Belegschaft als gröĂte Schwachstelle identifizieren â zunehmend unter Druck durch KI-gestĂŒtztes Social Engineering.
KI als Katalysator: Angreifer werden schneller
Der technologische Fortschritt verschĂ€rft die Situation. Der SANS AI Survey 2026 zeigt: Der Einsatz von KĂŒnstlicher Intelligenz in der Cyberabwehr stieg von 33 auf 61 Prozent. Doch 63 Prozent der Fachleute berichten von Defiziten bei der KI-basierten Bedrohungserkennung.
Angreifer nutzen KI bereits fĂŒr autonome Attacken. In einem dokumentierten Fall gelang es mit KI-Tools, in Systeme mehrerer Regierungsbehörden einzudringen. Das Zeitfenster fĂŒr die Ausnutzung von Schwachstellen schrumpfte von Tagen auf wenige Stunden. Die offensive Sicherheitsforschung reagiert: Horizon3.ai nutzt im Rahmen einer Kooperation mit Anthropic KI-Modelle wie Claude Mythos, um Schwachstellen wie CVE-2026-34197 und CVE-2026-48558 zu identifizieren â bevor Kriminelle sie ausnutzen können.
Die rasante Entwicklung von KI verschĂ€rft nicht nur die Bedrohungslage, sondern bringt auch neue rechtliche Pflichten fĂŒr die Unternehmensleitung mit sich. Dieser kostenlose Report klĂ€rt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen mĂŒssen. Gratis-Report zu neuen KI-Gesetzen und Cyberrisiken anfordern
Lieferketten unter Druck: Auch Zulieferer mĂŒssen liefern
Die NIS2-Regulierung verlangt eine kontinuierliche Risikobewertung der gesamten Lieferkette. Das setzt auch Betriebe unter Druck, die unterhalb der gesetzlichen Schwellenwerte liegen. Andreas LĂŒning von G Data betont: Ein bloĂer Notfallplan reicht nicht. Zwar verfĂŒgen 97 Prozent der deutschen Unternehmen ĂŒber ein solches Dokument, doch weniger als die HĂ€lfte fĂŒhrt regelmĂ€Ăige Ăbungen durch oder nutzt fortgeschrittene technische EindĂ€mmungsmaĂnahmen.
Angesichts des FachkrĂ€ftemangels gewinnen Modelle wie âFractional CISOsâ oder externe Incident-Response-Teams an Bedeutung. Nur so lassen sich die geforderten Meldepflichten einhalten â etwa die 24-Stunden-FrĂŒhwarnung bei VorfĂ€llen.
Weitere regulatorische Anforderungen stehen bereits fest: Ab September 2026 verschĂ€rft der EU Cyber Resilience Act die Anforderungen an die Produktsicherheit digitaler Komponenten. Ein tieferer Austausch zu diesen Themen wird unter anderem auf der ISACA Europe Conference erwartet, die vom 7. bis 9. Oktober 2026 in MĂŒnchen stattfindet.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Ănderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.
