IT-Sicherheitsgesetz: 29.500 Firmen plötzlich betroffen, 48% irren sich
23.06.2026 - 13:09:05 | boerse-global.de
Wer jetzt nicht handelt, riskiert Millionenstrafen.
29.500 Firmen plötzlich betroffen
Seit Dezember 2025 gilt das neue IT-Sicherheitsgesetz (BSIG). Der Kreis der betroffenen Unternehmen explodierte von rund 4.500 auf etwa 29.500. Neu dabei: Fertigungsindustrie, Weltraumsektor sowie Abfall- und Lebensmittelwirtschaft. Insgesamt fallen nun 15 Sektoren unter die verschärften Regeln.
Anzeige: Seit Dezember 2025 sind plötzlich 29.500 Firmen vom neuen IT-Sicherheitsgesetz betroffen – 48% schätzen ihre Lage falsch ein. Mit der persönlichen Haftung für die Geschäftsleitung wird Compliance zur Chefsache. Jetzt kostenlose Checkliste anfordern
Doch viele Firmen schätzen ihre Lage falsch ein. Der Cyber Security Report von Schwarz Digits vom März 2026 zeigt: 48 Prozent der Unternehmen irren sich bei ihrer Betroffenheit. Besonders brisant: Bei umsatzstarken Kleinunternehmen mit über 10 Millionen Euro Jahresumsatz liegt die Fehleinschätzung bei satten 92 Prozent.
Persönliche Haftung für Chefs
Die Strafen bei Verstößen sind happig. Bei besonders wichtigen Einrichtungen drohen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Noch gravierender: Die Geschäftsleitung haftet persönlich für die Umsetzung der Sicherheitsmaßnahmen. Ein teurer Blindflug also.
KI-Kriminelle auf dem Vormarsch
Parallel dazu verschärft sich die Bedrohungslage dramatisch. Die Cybersicherheitsbehörden der Five Eyes (Australien, Neuseeland, Großbritannien, Kanada, USA) warnten am 22. Juni 2026 gemeinsam vor KI-gestützten Angriffen. Die Technologie senke die Einstiegshürden für Angreifer massiv. Herkömmliche Risikoannahmen? Innerhalb weniger Monate überholt.
Der Global Cybersecurity Outlook 2026 des Weltwirtschaftsforums (WEF) bestätigt den Trend: Phishing hat Ransomware als größtes Cyberrisiko abgelöst. Rund 73 Prozent der befragten Führungskräfte waren bereits betroffen. Treiber Nummer eins: Deepfakes. Der Fall Arup zeigt die Dimension: Eine manipulierte Videokonferenz kostete das Unternehmen 23 Millionen Euro. Laut Gartner-Erhebungen von 2025 verzeichneten bereits 62 Prozent der Organisationen Vorfälle mit Deepfakes.
EU AI Act: Countdown läuft
Ab dem 2. August 2026 greifen die Compliance-Anforderungen für Hochrisiko-KI-Systeme. Die Strafen sind drastisch: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Transparenzpflichten gelten bereits seit August 2025 stufenweise.
Ein wachsendes Problem ist die sogenannte Schatten-KI. Rund die Hälfte der Mitarbeiter nutzt öffentliche KI-Tools ohne Freigabe der IT-Abteilung. Das schafft Einfallstore für Datenverluste. Nur 38 Prozent der IT-Sicherheitsverantwortlichen (CISOs) geben an, dass ihre KI- und Cybersicherheitsstrategien aufeinander abgestimmt sind.
Schlankere Wege zur Sicherheit
Für kleine und mittlere Unternehmen (KMU) empfehlen Experten einen stufenweisen Aufbau eines Informationssicherheits-Managementsystems (ISMS). ISO 27001 ist für viele zunächst zu hoch. Alternativen wie CISIS12 bieten einen leichteren Einstieg – strukturell vergleichbar, aber praxisnäher.
Auch technisch tut sich was. Cloudflare und namhafte Browser-Hersteller arbeiten am Protokoll „Private-Access-Control-Tokens“ (PACT). Ziel: Legitimen Nutzerverkehr von schädlichen KI-Agenten unterscheiden – ohne Privatsphäre durch Tracking zu verletzen.
Anzeige: KI-gestützte Angriffe und Deepfakes sind die neue Realität: 73% der Führungskräfte waren bereits betroffen. Der EU AI Act droht mit Strafen bis zu 35 Millionen Euro. Wer jetzt nicht handelt, riskiert existenzielle Bußgelder. 5 Sofortmaßnahmen gegen KI-Phishing sichern
Rechtliche Grauzonen bei Datenpannen
Das Sozialgericht Nürnberg stellte am 10. Juni 2026 klar: Die DSGVO fordert Risikomanagement, aber kein absolutes Schadensvermeidungsversprechen. Ein erfolgreicher Hackerangriff beweist nicht automatisch unzureichende Schutzmaßnahmen – besonders bei Zero-Day-Lücken in Drittanbieter-Software.
Doch der wirtschaftliche Schaden bleibt enorm. Behördenberichte für 2025 beziffern den Gesamtschaden in Deutschland auf über 200 Milliarden Euro – rund 4 Prozent des BIP. Dass die Gefahr real ist, zeigt der Cyberangriff auf den Europarat am 22. Juni 2026. Eine Erpressergruppe droht mit der Veröffentlichung von fast 300 Gigabyte sensibler Mitarbeiterdaten.
