NIS2-Gesetz: Geschäftsführer müssen persönlich Sicherheit schulen
05.07.2026 - 19:45:28 | boerse-global.de
Eine aktuelle Studie zeigt: Zwei Drittel der deutschen Unternehmen haben ihre IT-Infrastruktur nicht im Griff. KI-gesteuerte Angriffe steigen rasant, während Sicherheitsteams überfordert und Cloud-Abhängigkeiten kritisch sind.
Die Bedrohungslage hat eine neue Dimension erreicht. Im Juli 2026 dokumentierten Sicherheitsanalysten von Sysdig mit „JadePuffer“ den ersten vollständig autonomen Ransomware-Angriff. Ein KI-Agent nutzte selbstständig eine Sicherheitslücke aus, führte Aufklärungsmaßnahmen durch und verschlüsselte über 1.300 Konfigurationseinträge in einer Datenbank.
Das ist kein Einzelfall. Ein aktueller Bericht von KnowBe4 zeigt: 86 Prozent aller Phishing-Angriffe erfolgen inzwischen KI-gestützt. Besonders alarmierend: Die Täuschung interner Teammitglieder machte im ersten Quartal 2026 rund 30 Prozent der Vorfälle aus. Der Diebstahl von Zugangsdaten für Microsoft-365-Konten via Reverse-Proxys stieg um 139 Prozent.
Deutsche Sicherheitsteams im Blindflug
Die Unternehmen sind darauf nicht vorbereitet. Eine am heutigen Sonntag veröffentlichte Studie von Armis belegt: 66 Prozent der deutschen Firmen haben keine vollständige Kontrolle über ihre Netzwerk-Assets. Bei durchschnittlich 47.000 täglich verbundenen Geräten pro Unternehmen beträgt die vollständige Sichtbarkeit gerade mal 29 Prozent – global der schlechteste Wert.
38 Prozent der befragten Sicherheitsteams fühlen sich mit der Auswertung von Bedrohungsinformationen überfordert. Nahezu jedes zweite Unternehmen wurde in den letzten zwölf Monaten Opfer eines Cyberangriffs. Und das, obwohl bereits 2024 die Zahl der Phishing-E-Mails mit Datendiebstahl-Schadsoftware um 84 Prozent stieg.
Besonders erschreckend: Nur 6 Prozent der deutschen Firmen haben Zero-Trust-Architekturen vollständig implementiert. Der globale Durchschnitt liegt bei 25 Prozent.
Cloud-Ausfall droht zum Betriebsstillstand zu führen
Die Abhängigkeit von Cloud-Diensten wird zur Achillesferse. Eine Bitkom-Untersuchung vom 3. Juli zeigt: 46 Prozent der deutschen Unternehmen müssten bei einem dauerhaften Cloud-Ausfall ihren Betrieb einstellen. Die durchschnittliche Überlebensdauer ohne Cloud-Dienste beträgt nur 78 Stunden. Für 9 Prozent droht der sofortige Stillstand.
Geschäftsführer haften persönlich für NIS2-Verstöße – doch 66% der deutschen Firmen haben keine Netzwerkkontrolle. Unser Report liefert die Checkliste für sofortige Compliance und jährliche Schulungspflichten. Jetzt kostenlosen NIS2-Compliance-Report anfordern
Die Relevanz belegen aktuelle Vorfälle: Im Juni und Anfang Juli 2026 kam es zu signifikanten IT-Ausfällen an der TU Dresden, in der bayerischen Justizverwaltung und bei der Stadtverwaltung Darmstadt. Dort war die E-Mail-Kommunikation tagelang unterbrochen.
Trotz dieser Risiken nutzen nur 8 Prozent der Unternehmen einen zweiten Cloud-Anbieter zur Absicherung.
Remote Ransomware auf dem Vormarsch
Ein weiterer Trend macht Sicherheitsexperten Sorgen: Remote-Ransomware-Angriffe nehmen zu. Laut Sophos stieg die Zahl seit 2022 um 62 Prozent. Angreifer nutzen ein einzelnes ungeschütztes Gerät im Netzwerk, um Daten auf anderen, eigentlich gesicherten Systemen fernzuverschlüsseln. Kriminelle Gruppierungen setzen vermehrt auf diese Taktik, da sie Sicherheitslösungen auf den Zielservern teilweise umgeht.
Die wirtschaftlichen Folgen sind enorm: Ransomware-Schäden in Deutschland stiegen seit 2019 um 358 Prozent. Und trotz aller Technik bleibt der Mensch die größte Schwachstelle: Über 80 Prozent der Sicherheitsvorfälle gehen auf menschliches Fehlverhalten zurück.
NIS2 setzt neue Standards
Über 80% der Sicherheitsvorfälle gehen auf menschliches Fehlverhalten zurück – genau hier setzt NIS2 an. Mit unserem Leitfaden für simulierte Phishing-Tests und Mitarbeiter-Schulungen senken Sie Ihr Haftungsrisiko messbar. NIS2-Schulungsleitfaden jetzt sichern
Das NIS2-Umsetzungsgesetz reagiert auf diese Entwicklung. Die Paragrafen 30 und 38 des BSIG konkretisieren die Pflichten für Unternehmen. Die Geschäftsleitung muss künftig persönlich und regelmäßig an Schulungen zum Risikomanagement teilnehmen – delegierbar ist das nicht.
Zudem sind jährliche Mitarbeiterschulungen in Bereichen wie Cyberhygiene, Phishing-Erkennung und Passwortmanagement Pflicht. Experten empfehlen simulierte Phishing-Angriffe, um das Bewusstsein zu schärfen und die Widerstandsfähigkeit messbar zu erhöhen.
