[datensicherheit.de, 31.01.2026] Laut einer aktuellen Meldung von Zero Networks ist der weltweite Markt für Cybersicherheitsversicherungen bis 2026 auf rund 20 Milliarden US-Dollar angewachsen – ein Trend, der sich demnach voraussichtlich fortsetzen wird, da immer stärker ausgefeilte Ransomware-Kampagnen, KI-gestützte Angriffe und der regulatorische Druck zunehmen. Da Cyberkriminalität im Jahr 2026 voraussichtlich wirtschaftliche Schäden in Höhe von Billionen US-Dollar verursachen werde, mache eine wachsende Schutzlücke viele Unternehmen anfällig für neue und sich weiterentwickelnde Bedrohungen. Kay Ernst, „Manager DACH“ bei Zero Networks, erläutert in seiner Stellungnahme Möglichkeiten zur Senkung der Versicherungsprämien.

Foto: Zero Networks

Kay Ernst rät zu einer sich selbst schützenden Netzwerkarchitektur, welche das Vertrauen der Versicherer und die Sicherheit der Sicherheitsteams stärkt und gleichzeitig die Prämien senkt

Ein Fünftel der mittleren und großen Unternehmen noch ohne Cyberversicherung

Obwohl Unternehmen Schutz vor Cybersicherheitsbedrohungen als ihr Hauptanliegen einstuften, habe etwa ein Fünftel der mittleren und großen Unternehmen bisher noch keine Cyberversicherung abgeschlossen.

• „Warum? Der Preis der Versicherung ist das am häufigsten genannte Hindernis, da Marktforschungen darauf hindeuten, dass Unternehmen mit 30-prozentigen Prämienerhöhungen konfrontiert sind“, so Ernst.

Da Cyberversicherungen zu einem zentralen Bestandteil der Risikovorsorgestrategie würden, müssten Sicherheitsverantwortliche in Zeiten verschärfter Prüfung durch die Versicherer einen Weg finden, die Prämien zu minimieren.

Voraussetzungen für eine Cyberversicherung

Um sich für eine Cybersicherheitsversicherung zu qualifizieren, müssten Unternehmen in der Regel eine Reihe von technischen Sicherheitskontrollen und operativen „Best Practices“ nachweisen. Die spezifischen Anforderungen variierten je nach Versicherer, Police und Sicherheitslage des einzelnen Unternehmens, umfassten jedoch in der Regel Strategien wie Multi-Faktor-Authentifizierung (MFA), Netzwerksegmentierung, identitätsbasierte Zugriffskontrollen und Pläne für die Reaktion auf Vorfälle.

• „Während solche Kernanforderungen nach wie vor relevant sind, legen Versicherer angesichts der sich wandelnden Bedrohungslage zunehmend Wert auf Cyberhygiene und proaktiven Schutz.“ So sei beispielsweise zu erwarten, „dass Versicherer im Jahr 2026 strengere KI-Risikomanagementprogramme sowie strengere identitätsbasierte Kontrollen verlangen werden, um die Eskalation von Privilegien angesichts einer Welle von Schadensfällen durch kompromittierte Geschäfts-E-Mails zu minimieren“.

Sich überhaupt für eine Cybersicherheitsversicherung zu qualifizieren, könne sich als schwierig erweisen – die Minimierung der Prämien sei eine noch größere Herausforderung. „Sicherheitsverantwortliche, die mit der Verbesserung des Schutzes bei gleichzeitiger Kostensenkung beauftragt sind, können eine mehrdimensionale Verteidigung aufbauen, die das Vertrauen der Versicherer stärkt, indem sie fünf wichtige ,Best Practices’ priorisieren.“

„Best Practices“ zur Senkung der Prämien bei Cyberversicherungen

1. Unterbindung lateraler Bewegungen mittels Mikrosegmentierung:

• Laterale Bewegungen seien ein wichtiger Bestandteil des Erfolgsrezepts von Cyberangreifern. Wie Aaron Goodwin, CISO bei B. Riley Financial, betont habe, könnten Unternehmen durch die Unterbindung lateraler Bewegungen Bedrohungen eindämmen und gleichzeitig die Kosten für Cyberversicherungen senken:
• „Die Mehrheit der Angriffe, die wir heute beobachten, weisen eine Art laterale Bewegung im Verlauf der Angriffssequenz auf, die es ihnen ermöglicht, einen besseren Zugriff oder eine bessere Kontrolle über die Umgebung zu erlangen, was Milliarden von Dollar an Kosten für die Behebung verursacht und dazu führt, dass unsere Versicherungsprämien im Bereich Cybersicherheit weiter in die Höhe schnellen.“
• Mikrosegmentierung sei der „Goldstandard“ bei der Verhinderung lateraler Bewegungen, da sie Bedrohungen sofort isoliere und neutralisiere. Aus diesem Grund gäben fast 70 Prozent der Unternehmen an, dass ihr Cyberversicherungsanbieter eine Netzwerksegmentierung verlange – aber nicht alle Netzwerksegmentierungsstrategien seien gleich.
• Beispielsweise verwendeten viele Unternehmen VLANs als grundlegende Netzwerksegmentierungsstrategie – aber dieser Ansatz sei weit weniger umfassend als die automatisierte Mikrosegmentierung. Aus diesem Grund bewerteten 75 Prozent der Versicherer mittlerweile die Segmentierungslage bei der Risikoprüfung; Unternehmen mit einer höheren Segmentierungsreife gäben an, dass sie niedrigere Versicherungsprämien erhalten haben.

2. Durchsetzung von Zugriff mit geringsten Rechten überall mit granularen identitätsbasierten Kontrollen:

• Der Missbrauch von Anmeldedaten sei nach wie vor der häufigste Erstzugriffsvektor für Datenverletzungen weltweit. In dieser Zeit zunehmender identitätsbasierter Angriffe verändere sich die Sichtweise von Cyberversicherern auf Risiken.
• Jeff Bird, „Cybersecurity Advisory Lead“ beim Versicherungsmakler und Risikomanagementunternehmen Marsh, habe es so ausgedrückt: „Bei den meisten Angriffen, die wir heute beobachten, geht es nicht um Einbrüche. Es geht darum, sich mit gestohlenen Anmeldedaten einzuloggen, um beispielsweise als legitimer Benutzer zu agieren.“
• Inzwischen hätten viele Unternehmen detektionsorientierte Sicherheitsstrategien eingeführt und setzten auf Lösungen wie EDR und SIEM, wodurch identitätsbasierte Taktiken für Angreifer zu einem praktikablen Weg würden, um „unter dem Radar“ zu bleiben. Beispielsweise zielten Angreifer auf Maschinenidentitäten wie Dienstkonten ab, welche mittlerweile über 70 Prozent der vernetzten Identitäten ausmachten, um sich unbemerkt im Netzwerk zu bewegen.
• Anbieter von Cyberversicherungen benötigten den Nachweis, „dass ein gestohlener Zugangsdatensatz keine Katastrophe bedeutet“. Durch die Anwendung granularer Kontrollen auf der Grundlage der Identität von Benutzern, Geräten oder Anwendungen zur Skalierung von Richtlinien für minimalen Zugriff im gesamten Netzwerk könnten Sicherheitsteams einen hervorragenden Schutz vor Identitätsbedrohungen nachweisen.

3. Sicherung des privilegierten Zugriffs mittels Just-in-Time-MFA:

• „Selbst wenn ein Netzwerk keine Fehlkonfigurationen oder übermäßigen Berechtigungen aufweisen würde, blieben bestimmte Konten, Ports und Ressourcen für Hacker ein Ticket zur Eskalation von Berechtigungen.“
• Durch die Anwendung von Just-in-Time-MFA auf alle Administratorkonten und privilegierten Protokolle wie RDP, SSH und WinRM fügten Unternehmen eine wichtige Schutzebene hinzu, um wichtige Wege abzuschneiden, ohne den Betrieb zu stören.
• „Stellen Sie sich vor, Sie könnten einem Prüfer oder Auditor sagen, dass die Anzahl der Administratoren keine Rolle spielt, da diese ohne Zwei-Faktor-Authentifizierung nichts ausrichten können. Das ist eine bahnbrechende Veränderung“, so Christ Turek, CIO bei Evercore.
• Die Kombination aus Netzwerksegmentierung und Identitätssegmentierung, verstärkt durch Just-in-Time-MFA, schaffe eine mehrdimensionale Verteidigung, welche Cyberversicherern zeige, „dass ein Unternehmen darauf vorbereitet ist, Sicherheitsverletzungen in Echtzeit einzudämmen“.

Cyberversicherungen erwarten Priorisierung der Geschäftsresilienz und Transformation der „Incident Response“

Die Planung der Reaktion auf Vorfälle („Incident Response“ / IR) reduziere die durchschnittlichen Kosten einer Datenverletzung um fast 250.000 US-Dollar. Daher sei es nicht verwunderlich, dass Versicherungsanbieter häufig IR-Pläne als Voraussetzung für den Versicherungsschutz verlangten. Im Kontext der heutigen dynamischen „digitalen Landschaften“ seien Vorlagen für die Reaktion auf Vorfälle jedoch schnell veraltet.

• Letztendlich wollten Cyberversicherer den Nachweis, dass ein Unternehmen darauf vorbereitet sei, unvermeidliche Cybervorfälle mit minimalen Auswirkungen zu bewältigen. Anstatt sich ausschließlich auf starre und von Natur aus reaktive IR-Pläne zu konzentrieren, sollten Unternehmen proaktiven Kontrollen Vorrang einräumen, um die Widerstandsfähigkeit ihres Unternehmens zu verbessern.

Über die Demonstration von Erkennungs- und Reaktionsfähigkeiten hinaus könnten Sicherheitsteams nachweisen, „dass eine automatisierte Eindämmung von Bedrohungen die Anforderungen der Versicherer an die Resilienz besser erfüllt“.

Flexibilität der „Compliance“-Strategie Basis einer Cyberversicherung

Die Cyberversicherung des Erstversicherers decke häufig die sich aus einer Verletzung ergebenden Gebühren, Bußgelder oder Strafen ab. Der erhöhte regulatorische Druck bedeute daher, dass Versicherer zunehmend nach Möglichkeiten suchten, Zahlungen aufgrund von Verstößen zu vermeiden.

• Angesichts einer Vielzahl von regulatorischen Anforderungen und bewährten Verfahren der Branche müssten Unternehmen die zentralen Cybersicherheitsstandards implementieren, „die für alle Rahmenwerke gelten, um sowohl Auditoren als auch Versicherer zufrieden zu stellen“.

Diese wichtigen Kontrollen und Verfahren sollten kontinuierlich an Netzwerkänderungen angepasst werden, um zu signalisieren, dass die „Compliance“-Strategie eines Unternehmens flexibel sei, und gleichzeitig sicherzustellen, dass Cyberbedrohungen nicht durch versteckte Sicherheitslücken schlüpfen könnten.

Senkung der Cyberversicherungsprämien und Stärkung der -sicherheit

Cyberversicherer müssten wissen, „dass die Sicherheitslage eines Unternehmens auf der Grundlage einer Zero-Trust-Architektur für die Geschäftskontinuität ausgelegt ist“.

• Eine entsprechende Plattform kombiniere fortschrittliche Lösungen für Netzwerksegmentierung, Identitätssegmentierung und Zero-Trust-Netzwerkzugang, welche durch MFA auf Netzwerkebene verstärkt würden, um einen mehrdimensionalen Schutz zu bieten, der sich dynamisch an veränderte Netzwerke und sich entwickelnde Risiken anpasse.

Ernst führt abschließend aus: „Dies gelingt mit einer sich selbst schützenden Netzwerkarchitektur, die das Vertrauen der Versicherer und die Sicherheit der Sicherheitsteams stärkt und gleichzeitig die Prämien senkt.“

Weitere Informationen zum Thema:

ZERO NETWORKS
Containment by default. Resilient by design. / Contain attacks and stop lateral movement with automated, identity-based microsegmentation.

MIT-BLOG, Zero Networks
Kay Ernst

Instagram, avemio.tech
Steigende Bedrohung durch Cyberkriminalität weltweit / Die Kosten der Cyberkriminalität könnten bis 2026 auf über 20 Billionen Dollar steigen. Globale Sicherheit ist jetzt wichtiger denn je!

Allianz, 24.09.2025
Versicherte Großunternehmen zunehmend resilient gegenüber Cyberattacken

GDV Gesamtverband der Versicherer, Christian Ponzel, 05.09.2024
Cybersicherheit: Mehr Cyberschäden – Prävention wichtiger denn je / Die IT-Bedrohungslage in Deutschland hat sich zuletzt verschärft. Das spüren auch die Cyberversicherer. Die Schäden sind 2023 deutlich gestiegen und zehren die Prämieneinnahmen fast vollständig auf.

datensicherheit.de, 23.01.2025
Cyber-Versicherungen: Neuer KnowBe4-Bericht zeigt dringenden Bedarf angesichts eskalierender digitaler Bedrohungen auf / Die aktuelle Untersuchung unterstreicht die Notwendigkeit an integrierter Cyber-Sicherheit, Mitarbeiterschulungen und strategischen Versicherungspartnerschaften

datensicherheit.de, 25.09.2024
Unternehmen in der Pflicht: IT-Schutz als Türöffner für Cyber-Versicherungen / Versicherer fordern zunehmend, dass Unternehmen Mindeststandards der Cyber-Sicherheit einhalten

datensicherheit.de, 10.04.2024
Basis für Cyber-Versicherungen: NIS-2-Richtlinie treibt IT-Mindestvorgaben für Unternehmen / Ab Oktober 2024 könnte der Abschluss einer Cyber-Versicherung für Unternehmen möglicherweise noch schwieriger werden

datensicherheit.de, 08.02.2023
Cyber-Versicherungen im Umbruch: Ransomware-Lösegeld-Forderungen bedrohen Unternehmen / Versicherer können Kosten der Ransomware-Schadensregulierung bald nicht mehr tragen

datensicherheit.de, 11.11.2022
Cyber-Versicherungen decken kritische Risiken immer seltener ab / Geschäftsführung und Vorstand drängen indes immer häufiger auf den Abschluss einer Cyber-Versicherung

[datensicherheit.de, 27.01.2026] Alexander Ingelheim, CEO und Mitgründer von Proliance nimmt in seiner Stellungnahme zum Jahresbeginn Stellung zu den zentralen Handlungsfeldern und Herausforderungen im Kontext von Fragen des Datenschutzes und und der Informationssicherheit im Jahr 2026: „Datenschutz, Informationssicherheit und ,Compliance’ stehen für Unternehmen künftig nicht mehr nur als regulatorische Pflichtprogramme auf der Agenda – sie werden zu zentralen Erfolgsfaktoren!“ Dies spiegele sich auch im Management wider: „Laut einer internationalen Gartner-Studie sehen 85 Prozent der CEOs Cybersecurity inzwischen als kritischen Faktor für künftiges Unternehmenswachstum.“ Gleichzeitig verdeutlichten Zahlen des Digitalverbands Bitkom die reale Bedrohungslage: „Der Schaden für die deutsche Wirtschaft durch Spionage, Sabotage und Datendiebstahl lag alleine 2025 bei 289,2 Milliarden Euro – rund acht Prozent mehr als im Vorjahr.“ Vor diesem Hintergrund wird 2026 demnach ein Jahr, in dem Unternehmen ihre Prioritäten neu ordnen müssten.

Foto: Proliance

Alexander Ingelheim: Um z.B. Gefahren von „Schatten-KI“ oder Schadcode zu reduzieren, bleiben „Awareness“-Schulungen über die Vor- und Nachteile der Technologie auch 2026 essenziell

NIS-2-Compliance ist 2026 zentrale IT-Sicherheitsaufgabe

Mit dem Inkrafttreten der NIS-2-Richtlinie zum 6. Dezember 2025 ohne jegliche Übergangsfristen seien die Anforderungen an Informations- und IT-Sicherheit deutlich angestiegen.

• Unternehmen müssten nun ein systematisches Risikomanagement etablieren, Cyberresilienz stärken und robuste Business-Continuity-Strukturen schaffen – nicht nur zum Schutz vor aktuellen Angriffen, sondern als Grundlage für nachhaltige digitale Stabilität.

Trotz des Aufwands sehe der Mittelstand den Nutzen: 51 Prozent der deutschen KMU begrüßten diese Richtlinie. „Und das zurecht, denn NIS-2 schafft keine neuen Probleme, sondern adressiert bereits bestehende Risiken. Wer jetzt handelt, vermeidet Haftungsrisiken, hohe Bußgelder und sichert sich Wettbewerbsvorteile!“

Digital-Omnibus der EU erfordert 2026ff anpassungsfähige Compliance-Strukturen

Die im November 2025 vorgestellte „Digital-Omnibus“-Reform der EU adressiere zentrale Bereiche des Datenschutzes, der Datennutzung und der KI-Regulierung und führe zu einer eng verflochtenen „Compliance“-Landschaft.

• Ein Punkt der neuen „To Do“-Liste: „Die innovationsfreundlichere Gestaltung von KI-Regeln und die Modernisierung von Cookie-Regeln.“

Ingelheim führt aus: „Datenschützer sehen hier die Gefahr des Rückschritts in Sachen digitaler Grundrechte. Für KMU könnte das Reformpaket dagegen eine Entlastung darstellen.“ Vorausgesetzt, diese stellten ihre Datenschutz- und „Compliance“-Maßnahmen so auf, „dass diese sich flexibel an Neuerungen anpassen lassen“.

2026 werden Automatisierung und vernetzte Systeme bedeutender Wettbewerbsfaktor

Angesichts der steigenden Komplexität von Regularien und Cyberbedrohungen gewenne die Vernetzung von Datenschutz-, IT-Sicherheits- und „Compliance“-Prozessen erhebliches an Bedeutung:

• „Sie schafft Transparenz, reduziert operative Risiken und ermöglicht eine agile Anpassung an neue Vorgaben.“ Nur so könnten Unternehmen effizient und skalierbar auf Veränderungen reagieren.

Laut einer aktuellen PwC-Umfrage könne ein „Connected Compliance“-Ansatz mit besserer Vernetzung und Koordination Entscheidungen erleichtern, mehr Transparenz schaffen und insgesamt die betriebliche „Compliance“-Kultur stärken.

Digitale Souveränität: „Must Have“ und ebenfalls entscheidender Wettbewerbsfaktor

„Auch 2026 werden geopolitische Spannungen Unternehmen zunehmend dazu bringen, ihre digitale Infrastruktur ,souverän’ zu gestalten. Strategische Unabhängigkeit von globalen Tech-Giganten und die Nutzung europäischer Alternativen werden hier zu einem zentralen Wettbewerbsfaktor – besonders aus ,Compliance’- und IT-Sicherheitsperspektive.“

• Aber auch Konsumenten könnten dies künftig vermehrt fordern: Laut Bitkom wünschten sich 98 Prozent der Bundesbürger mehr digitale Unabhängigkeit Deutschlands. Gleichzeitig schätzten 93 Prozent der Unternehmen Deutschland aktuell „stark abhängig“, bzw. „eher abhängig“, von digitalen Technologien und Leistungen aus dem Ausland ein.

Somit werde Digitale Souveränität in diesem Jahr klar zur strategischen Geschäftsentscheidung. Ingelheim legt nahe: „Verantwortliche sollten bei jeder Software-Implementierung europäische Alternativen in Betracht ziehen und die wichtigsten Bausteine ihres Tech-Stacks auf diese Alternativen umstellen!“

KI-Regulierung rückt 2026 in den Mittelpunkt unternehmerischer Verantwortung

Künstliche Intelligenz (KI) bleibe 2026 sowohl Wachstums- als auch Risikofaktor. Die KI-Regulierung „EU AI-Act“ – der weltweit erste umfassende Rechtsrahmen für KI – bringe neue Anforderungen an Risikomanagement, Transparenz und Dokumentation mit sich. „Nach der formalen Verabschiedung und Vorstellung im Sommer 2024 tritt dieser nun schrittweise in Kraft.“ Unternehmen sollten ihre bisher genutzten Systeme prüfen und eine zentrale Übersicht über den Einsatz aller KI-Technologien im Unternehmen schaffen, etwa in Form eines „Asset Hub“. Ab August 2026 kämen weitere Pflichten für Hochrisiko-KI hinzu – darunter Konformitätsbewertungen, ein strukturiertes Risikomanagement und die Registrierung entsprechender Systeme.

• Zudem rückten Transparenzanforderungen für Deepfakes und Chatbots sowie spezifische Vorgaben für Basismodelle in den Fokus. Unabhängig davon sollten Firmen ihre KI-Risiken konsequent steuern, auf sichere Konfigurationen setzen und den gesamten Lebenszyklus ihrer KI-Systeme nachvollziehbar dokumentieren. Unternehmen müssten KI-Systeme nicht nur regulierungskonform einsetzen, sondern auch systematisch überwachen und in bestehende Sicherheits- und Datenschutzprozesse integrieren.

Gleichzeitig könnte der „Digitale Omnibus“ vieles einfacher gestalten, KI-Kompetenzpflichten sollten etwa gelockert werden. Ingelheim betont abschließend: „Trotzdem gilt für Betriebe Vorsicht beim Einsatz von KI. Denn auch Cyberkriminelle beschäftigen sich zunehmend mit dieser Technologie. Um Gefahren von ,Schatten-KI’ oder Schadcode zu reduzieren, bleiben ,Awareness’-Schulungen über die Vor- und Nachteile der Technologie auch 2026 essenziell, genauso wie die enge Zusammenarbeit mit externen KI-Experten, um keine Entwicklung zu verpassen.“

Weitere Informationen zum Thema:

proliance
Über uns: Professional Compliance aus München mit Leidenschaft für kleine und mittlere Unternehmen

prpliance
Alexander Ingelheim – Co-Founder & CEO

Gartner, 22.04.2025
Gartner Survey Finds 85% of CEOs Say Cybersecurity is Critical for Business Growth / Survey Findings Illustrate that Cybersecurity Has Morphed into Critical Driver for Business Growth

bitkom
Studie „Wirtschaftsschutz 2025“

Bundesamt für Sicherheit in der Informationstechnik, 05.12.2025
Cybersicherheitsrecht: NIS-2-Umsetzungsgesetz ab morgen in Kraft

proliance
Cyberresilienz-Studie 2025: Wo steht der deutsche Mittelstand? / 32 % der Mittelständler hatten schwere Security-Vorfälle. 51 % begrüßen strengere Regeln. Zeit für einfache Checks, klare Leitlinien und pragmatische Unterstützung.

European Commission, 19.11.2025
Digital Omnibus Regulation Proposal / The Digital Omnibus proposal includes a set of technical amendments to a large corpus of digital legislation, selected to bring immediate relief to businesses, public administrations, and citizens alike, and to stimulate competitiveness.

pwc, 26.02.2025
PwC’s Global Compliance Survey 2025 / Moving faster: Reinventing compliance to speed up, not trip up

bitkom, 13.11.2025
Europas Weg in die digitale Souveränität

European Commission
AI Act: The AI Act is the first-ever legal framework on AI, which addresses the risks of AI and positions Europe to play a leading role globally.

Bundesamt für Verfassungsschutz
Vorstellung der Bitkom-Studie „Wirtschaftsschutz 2025“

proliance, 26.11.2025
Schatten-KI in Unternehmen: Unterschätzte Gefahr für den Datenschutz?

datensicherheit.de, 26.01.2026
Thales-Kommentar zum Data Privacy Day 2026: Datenschutz im KI-Kontext relevanter als je zuvor / Die meisten Datenschutzverletzungen werden heute nicht von Hackern verursacht – sie finden still und leise innerhalb der IT-Systeme statt

datensicherheit.de, 20.01.2026
Data Readiness Scorecard 2026 als Wegweiser für IT-Führungskräfte / Die „Scorecard“ stellt grüne Signale wie KI-taugliche „Datenpipelines“, tiefe Unveränderbarkeit und „cloud“-unabhängige Resilienz klaren roten Warnzeichen wie „Vendor-Lock-in“, nicht verifizierter Wiederherstellung und fehlender Datenherkunft gegenüber

datensicherheit.de, 08.01.2026
Bitdefender-Rat an Unternehmen: 2026 von Reaktion zur Prävention wechseln / Laut Bitdefender könnte bzw. sollte sogar 2026 zum „Schaltjahr in der Cyberdefensive“ werden

[datensicherheit.de, 22.01.2026] Der 17. Januar 2026 hat den ersten Jahrestag des Inkrafttretens des „Digital Operational Resilience Act“ (DORA) der EU markiert. Zusammen mit den britischen Regeln zur Operationalen Resilienz und dem gesetzlichen Rahmenwerk für Kritische Drittanbieter (Critical Third Parties, CTP) bestimmen diese Vorschriften nun, wie Finanzinstitute in Europa in der digitalen Hemisphäre agieren müssen.

DORA soll Basis bieten, dass Banken und Versicherer Cyberangriffen und IT-Ausfällen standhalten

„Die Absicht von DORA ist ein einheitliches Rahmenwerk für das Management von Drittanbieter-Risiken im Finanzsektor“, erläutert Cynthia Overby, „Director of Strategic Security Solutions, ZCOE“ bei Rocket Software.

• Dieses soll demnach sicherstellen, dass Institutionen wie Banken und Versicherer Cyberangriffen und IT-Ausfällen standhalten, darauf reagieren und sich davon erholen können.

Inzwischen sollte die DORA-„Compliance“ bereits weitgehend in die Unternehmensrichtlinien und Resilienzprogramme aller Finanzinstitute innerhalb der EU sowie derjenigen, die regelmäßig Geschäfte in der Region tätigen, integriert sein.

Auswirkungen von DORA entlang einer vollständig zu schützenden Lieferkette

Overby führt aus: „Die Auswirkungen von DORA gehen über die bloße Funktionsweise von Finanzinstituten hinaus. Obwohl der Großteil der Verantwortung bei ihnen liegt, ist das Ziel des Rahmenwerks eine vollständig geschützte Lieferkette!“

• Daher seien nun auch Kritischen Drittanbietern von Informations- und Kommunikationstechnologie (IKT-Dienstleistern) spezifische und direkte Pflichten auferlegt.

Dazu gehörten die Implementierung von Risikomanagement-Rahmenwerken, die Meldung von Vorfällen, die Gewährleistung der Geschäftskontinuität durch strenge Disaster-Recovery-Pläne und die Einhaltung technischer Standards.

DORA: Schadensfall im Kontext ungenügender „Compliance“ wird teuer

„Diese geteilte Rechenschaftspflicht bedeutet, dass jeder Akteur innerhalb der Kette genau wissen muss, welche Regeln für ihn gelten – was mit einer gründlichen Überprüfung der eigenen Verträge beginnt“, so Overby.

• Sie verwendet eine Analogie: „,Compliance’ ist ein bisschen wie zu schnelles Fahren – ein Autofahrer kann das Tempolimit überschreiten und ungeschoren davonkommen, bis er angehalten wird. Und wenn nichts passiert, erfährt es niemand…“

Abschließend warnt sie indes: „Aber wenn es zu einem Vorfall kommt und man sich außerhalb der ,Compliance’ bewegt, kommen Bußgelder, Reputationsschäden und die finanziellen Kosten der Fehlerbehebung ins Spiel!“ 

Weitere Informationen zum Thema:

Rocket software
About us / Rocket Software powers the world’s most innovative companies

Linkedin
Cynthia Overby: Director Strategic Security Solutions, zCOE at Rocket Software

Rocket software
Don’t wait for DORA / View the Rocket Software webinar, Countdown to DORA

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 28.08.2025
DORA – Digital Operational Resilience Act

datensicherheit.de, 29.09.2025
Alarmstufe DORA: Digital Operational Resilience Act als Weckruf für den Finanzsektor / Das im Januar 2025 eingeführte Gesetz auf DORA-Grundlage konzentriert sich auf die Meldung von Vorfällen, die Überwachung von Drittanbietern und die Prüfung der Widerstandsfähigkeit

datensicherheit.de, 31.07.2025
DORA – Europäische Union präzisiert Umgang mit Lieferketten-Risiken / Die Europäische Kommission hat Anfang Juli eine Ergänzung zur Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) in Form finaler technischer Regulierungsstandards (RTS) veröffentlicht. Damit konkretisiert sie Anforderungen an das Risikomanagement oftmals komplexer IKT-Lieferketten im durch DORA regulierten Bereich. Im Fokus stehen dabei Untervergaben. Der TÜV SÜD fasst die wichtigsten Punkte praxisorientiert zusammen.

datensicherheit.de, 21.07.2025
DORA Oversight Guide publiziert: Finanzunternehmen sollten sich dringend mit Verschlüsselung und Schlüsselhoheit befassen / Am 15. Juli 2025 wurde der neue „DORA Oversight Guide“ von den europäischen Aufsichtsbehörden veröffentlicht – Finanzunternehmen, IT-Dienstleister und „Cloud-Provider“ werden mit teils weitreichenden Auswirkungen konfrontiert

[datensicherheit.de, 21.01.2026] In seiner aktuellen Stellungnahme führt Andy Fielder, CTO bei MetaCompliance, warnend aus, dass die Kosten der Nichteinhaltung von Vorschriften auf dem Gebiet der Cybersicherheit weit über reine Bußgelder hinausgehen – denn auch der Ruf der Firma, der Betrieb selbst, gar die Belegschaft und das langfristige Wachstum des Unternehmens geraten in Gefahr: „Wenn Unternehmen über ,Compliance’-Verstöße nachdenken, neigen sie dazu, in Zahlen zu denken: die Höhe des Bußgeldes, der Prozentsatz der verlorenen Einnahmen, der unmittelbare finanzielle Schaden. Diese Zahlen erzählen jedoch nur einen Teil der Geschichte.“ Fielder erläutert die versteckten Kosten der Nichteinhaltung von Vorschriften in Fragen der Cybersicherheit.

Foto: MetaCompliance

Andy Fielder: Wenn ein „Compliance“-Verstoß Schlagzeilen macht, ist der Schaden bereits entstanden!

Mutmaßliche „Compliance“-Verstöße mit langanhaltender Wirkung

Fielder führt aus: „Die Wahrheit ist, dass die wahren Kosten der Nichteinhaltung von Vorschriften selten in einer Bilanz erfasst werden. Sie liegen in einem geschädigten Ruf, im betrieblichen Chaos, in den schlaflosen Nächten der Mitarbeiter und im anhaltenden Misstrauen, das daraus folgt.“

• Die finanzielle Buße möge eine Schlagzeile wert sein, doch die versteckten Folgen seien es, welche ein Unternehmen wirklich veränderten.

Es dauere eben nicht lange, „bis das Vertrauen schwindet, sobald der Name eines Unternehmens mit einem ,Compliance’-Verstoß in Verbindung gebracht wird“. Nachrichten verbreiteten sich heutzutage schneller als je zuvor – und der Schaden für den Ruf könne sich ausbreiten, „lange bevor die Fakten klar sind“ und zudem lange nach Begleichung der Buße.

„Compliance“ ein notwendiges Kriterium für Integrität eines Unternehmens

Kunden erwarteten heute mehr als nur die Einhaltung von Vorschriften – sie erwarteten Integrität. „Wenn diese Erwartungen enttäuscht werden, dauert es viel länger, das Vertrauen wiederherzustellen, als das ursprüngliche Problem zu beheben.“ Stakeholder, von Investoren bis hin zu Aufsichtsbehörden, würden beginnen, Unternehmensführung, Führungskräfte und Unternehmenskultur in Frage zu stellen.

• „Sobald eine Geschichte öffentlich wird, nimmt sie ein Eigenleben an. Die Empörung in den Sozialen Medien verstärkt die Schlagzeilen und schafft Erzählungen, die selbst die solideste Krisenreaktion in den Schatten stellen können. Ein Unternehmen, das einst für Innovation oder Zuverlässigkeit stand, kann plötzlich als nachlässig oder unethisch angesehen werden.“

Ein guter Ruf sei auch nicht nur für einen einzigen Tag verloren – vielmehr drohe eine langfristige Erosion der Marke. „Mit jedem neuen Artikel, jedem Online-Kommentar und jedem zögernden Kunden, der sich für einen Wettbewerber entscheidet, nimmt der Schaden zu.“ Mit der Zeit drohten Markenwert und Marktanteil zu sinken – und das Unternehmen werde dann nicht mehr durch das definiert, was es aufgebaut hat, sondern durch das, was es verloren hat.

Betriebliche Unterbrechungen als Folge eines „Compliance“-Verstoßes

Bei einer Nichteinhaltung von Vorschriften trete das Tagesgeschäft in den Hintergrund: „Ermittlungen beginnen. Systeme werden geprüft. Projekte werden gestoppt. Plötzlich werden Teams, die eigentlich innovativ sein oder Kunden betreuen sollten, von Eindämmungsmaßnahmen und administrativem Aufwand gebunden.“

• Er unterstreicht: „Interne Untersuchungen und Audits binden erhebliche Ressourcen!“ Die Reaktion auf einen „Compliance“-Verstoß erfordere oft die Umleitung interner Teams, die Beauftragung externer Berater und die intensive Einbindung der Führungsebene. Routinearbeiten könnten verzögert oder zurückgestellt werden – mitunter über Monate hinweg.

Unter Beobachtung gerate auch die Innovation ins Stocken. „Ein neues Produkt oder eine Fusion kann später eingeführt, eine Partnerschaft auf Eis gelegt oder eine Fusion verschoben werden, bis sich der Staub gelegt hat.“ Je länger die Unterbrechung andauert, desto höher sind demnach auch die Kosten für die entgangenen Chancen.

Hinter jedem „Compliance“-Verstoß stehen Menschen – Warnung vor Schuldzuweisungen

„Sobald die Aufsichtsbehörden involviert sind, wird die Überwachung intensiviert.“ Was mit einem einzigen Verstoß begonnen habe, könne tiefgreifende Prüfungen, erweiterte Audits oder strengere Überwachungsanforderungen auslösen. Das Gleiche gelte für Partner in der Lieferkette, die nun möglicherweise zusätzliche Zusicherungen und Zertifizierungen verlangten, „bevor sie Geschäfte machen“. Selbst eine einzige Lücke bei der Einhaltung von Vorschriften könne sich zu einer ausgewachsenen Betriebskrise ausweiten. „Was klein beginnt, bleibt selten klein!“

• „Hinter jedem ,Compliance’-Vorfall stehen Menschen. Es sind die Mitarbeiter, die erklären, reagieren und sich erholen müssen.“ Wenn Schuldzuweisungen kursierten, sinke die Moral. Wenn Unsicherheit herrsche, verließen gute Leute das Unternehmen. Nach einem „Compliance“-Versagen könne sich Angst schneller verbreiten als Fakten.

Die Mitarbeiter sorgten sich um die Sicherheit ihres Arbeitsplatzes oder ihre persönliche Haftung. „Führungskräfte werden zurückhaltend, Teams werden still!“ Anstelle von Zusammenarbeit tritt „Compliance“-Müdigkeit auf – „das Gefühl, dass es unabhängig vom eigenen Handeln nie ausreicht“.

Reaktiver „Compliance“-Ansatz mit guter Absicht kann dennoch Mitarbeiter brüskieren

Hinzu kämen erhöhte Fluktuation und Schwierigkeiten bei der Gewinnung neuer Talente. Leistungsträger verließen oft nach großen Skandalen das Unternehmen auf der Suche nach Stabilität. Gleichzeitig zögerten potenzielle Bewerber, in ein noch unter behördlicher Prüfung stehendes oder negativ von den Medien dargestelltes Unternehmen einzutreten. „Langfristig beeinträchtigt dieser Talentverlust Innovation, Kultur und Leistung!“

• „Auf einen Sicherheitsvorfall reagieren Unternehmen in der Regel umgehend mit zusätzlichen Schulungen, neue Richtlinien und strengeren Kontrollen.“ Dieser reaktive „Compliance“-Ansatz sei zwar gut gemeint, könne Mitarbeiter jedoch überfordern und auf Unmut stoßen.

„Compliance“ werde nicht mehr als gemeinsame Verantwortung wahrgenommen, sondern als Sanktion. „In einem Umfeld aus Angst, Überlastung und Unklarheit steigt jedoch genau das Risiko menschlicher Fehler, die die Compliance verhindern soll!“, gibt Fielder zu bedenken.

„Compliance“-Verstoß mit juristischen Folgen und Konsequenzen bei der Versicherung

Sobald sich der unmittelbare Vorfall gelegt hat, tauche eine weitere Kostenwelle auf – das rechtliche Risiko. Zivil- und Sammelklagen drohten. „Kunden, Partner oder Investoren, die von der Nichteinhaltung betroffen sind, können rechtliche Schritte einleiten.“ Selbst bei außergerichtlichen Einigungen setzten sich finanzielle und reputationsbezogene Schaden fort.

• Hinzu komme die persönliche Haftung seitens der Führungskräfte und Vorstandsmitglieder. In einigen Branchen sei die Nichteinhaltung von Vorschriften eben nicht nur ein Unternehmensdelikt, sondern auch ein persönliches. Führungskräfte und Direktoren müssten mit Ermittlungen, Sanktionen oder dem Ausschluss aus dem Unternehmen rechnen. „Verantwortung beginnt an der Spitze!“

Nach einem schwerwiegenden „Compliance“-Vorfall könnten die Versicherer die Prämien erhöhen oder die Deckung einschränken, insbesondere für die Cyber- oder Organhaftung. „Was einst eine routinemäßige Erneuerung war, wird zu einer Verhandlung unter Druck.“ Letztendlich könne das rechtliche Risiko den Vorfall selbst überdauern. „Auch lange nachdem die Schlagzeilen verblasst sind, bleiben Papierkram und Konsequenzen bestehen.“

„Compliance“-Risiken rechtzeitig vor einem Schadenseintritt erkennen

Fielder verdeutlicht: „Wenn ein ,Compliance’-Verstoß Schlagzeilen macht, ist der Schaden bereits entstanden! Das Vertrauen ist erschüttert, die Abläufe sind gestört, Mitarbeiter überlastet und Rechtskosten steigen. Unternehmen befinden sich nun nicht mehr in der Prävention, sondern Krisenmanagement.“

• Die eigentliche Herausforderung für Unternehmen bestehe darin, die ersten Signale zu erkennen, „bevor sie zu etwas weitaus Kostspieligerem eskalieren“. Einer der häufigsten „blinden Flecken“ befinde sich still im Hintergrund – offengelegte Mitarbeiter-Zugangsdaten.

Jährlich tauchten Millionen von E-Mail-Adressen und Passwörtern in verifizierten Datenpannen auf. „Oft betreffen sie Mitarbeiter, die Passwörter wiederverwenden, Aktualisierungen hinauszögern oder nicht bemerken, dass ihre Daten kompromittiert worden sind.“ Für sich genommen schienen diese Sicherheitslücken vielleicht harmlos – unentdeckt schafften sie jedoch ideale Einstiegspunkte für die Übernahme von Konten, Phishing und umfassendere Sicherheitsvorfälle.

Umstieg von reaktiver auf proaktive „Compliance“ mittels „Exposure Monitoring“

„Hier setzt ,Exposure Monitoring’ an. Anstatt auf verdächtige Aktivitäten oder fehlgeschlagene Anmeldungen zu warten, gibt ,Exposure Monitoring’ Unternehmen Einblick in verifizierte Datenschutzverletzungen, die ihre Mitarbeiter betreffen.“ Es zeige, wie viele Unternehmensadressen in bekannten Verstößen aufgetaucht sind, und wie hoch das tatsächliche Risiko ist, bevor es aktiv genutzt wird.

• Noch wichtiger sei der Umstieg von reaktiver auf proaktive „Compliance“: Unternehmen könnten frühzeitig handeln, Mitarbeiter gezielt unterstützen, Verhaltensweisen ändern, und Zugangsdaten absichern, solange das Risiken noch kontrollierbar sind.

„Die versteckten Kosten der Nichteinhaltung von Vorschriften beginnen oft mit mangelnder Transparenz.“ Erkenntnis sei jedoch nur ein Teil der Lösung. Entscheidend sei, welche Maßnahmen daraus abgeleitet werden. Unternehmen profitierten von professioneller Unterstützung, um Risikoanalysen in sinnvolle Maßnahmen umzusetzen.

„Exposure Monitoring“ als Komponente eines umfassenden „Compliance“Systems

„Exposure Monitoring“ sei hierbei eingebettet in ein umfassendes „Compliance-Ökosystem“ im Umfeld vom „Human Risk Management“ (HRM), welches darauf abziele, menschliches Risiko zu reduzieren, bevor es zu einem Vorfall wird.

• „Werden Zugangsdaten kompromittiert, werden die Mitarbeiter weder beschuldigt oder im Unklaren gelassen. Stattdessen erhalten sie rechtzeitig klare, handlungsorientierte Hinweise, die erklären, was passiert ist, warum es relevant ist, und welche Schritte nun erforderlich sind.“ Dadurch werde sicheres Verhalten genau dann gestärkt, wenn es am wirksamsten sei – und nicht erst Monate später in einer allgemeinen Schulung.

Neben der Risikoüberwachung biete eine „Exposure Monitoring“-Plattform rollenspezifische Schulungen, automatische Richtlinienverwaltung und realistische Phishing-Simulationen. Das Ergebnis sei ein zusammenhängender Überblick über das „Compliance“-Risiko, mehr Transparenz für Führungskräfte und weniger Belastung für Mitarbeiter. „Dies alles ist entscheidend für eine nachhaltige Compliance, die auf Transparenz, Verantwortlichkeit und Vertrauen basiert“, kommentiert Fielder abschließend.

Weitere Informationen zum Thema:

MetaCompliance
Über uns: Die Zukunft des menschlichen Risikomanagements gestalten / Bei MetaCompliance verwandeln wir menschliches Risiko in Widerstandsfähigkeit. Durch die Kombination von Personalisierung, Innovation und menschlicher Unterstützung liefern wir Lösungen für das Sicherheitsbewusstsein und die Einhaltung von Vorschriften, die nicht einfach nur Kästchen abhaken, sondern dauerhafte Verhaltensänderungen bewirken.

MetaCompliance, Company News, 05.09.2025
MetaCompliance Appoints Andy Fielder as Chief Technology Officer

MetaCompliance
Warum MetaCompliance? Wir gehen über das Abhaken von Schulungen hinaus. Unsere Plattform für das menschliche Risikomanagement und unsere Lösungen für das Sicherheitsbewusstsein sind darauf ausgerichtet, Verhaltensweisen zu ändern, Risiken zu verringern und eine dauerhafte Veränderung der Unternehmenskultur zu bewirken – und das alles, während Sie Zeit sparen und Ihr Unternehmen schützen.

datensicherheit.de, 19.12.2025
Reduzierung menschlicher Fehler als Erfolgsfaktor zur Senkung der IT-Risiken / MetaCompliance rät mit Blick auf den „Faktor Mensch“ zu mehr personalisiertem Sicherheitstraining im neuen Jahr 2026

datensicherheit.de, 12.09.2025
Human Risk Management: KnowBe4-Whitepaper verfolgt ganzheitlichen Ansatz / KnowBe4 hat am 10. September 2025 das Whitepaper „A Strategic Framework for Human Risk Management” veröffentlicht

datensicherheit.de, 23.03.2025
State of Human Risk: Aktueller Mimecast-Report veröffentlicht / 75 Prozent der deutschen Unternehmen befürchten laut Report KI-gestützte Cyber-Attacken

[datensicherheit.de, 10.01.2026] Prof. Dr. Ivo Keller, Studiendekan „Security Management“ im Fachbereich „Wirtschaft“ der Technischen Hochschule Brandenburg (TH Brandenburg), lädt zum „18. Security Forum“ am 15. Januar 2026 ein – dieses steht unter dem Motto „In der Praxis: Unternehmenssicherheit, Compliance und Resilienz“ und findet wieder im Audimax der TH in Brandenburg a. d. Havel statt. Da Unternehmen heute unter Druck stehen – denn Cyberangriffe, regulatorische Pflichten und operative Risiken gewinnen an Bedeutung und treffen dabei auf knappe Ressourcen – steht die Frage im Raum, wie Sicherheit unter diesen Bedingungen überhaupt funktionieren kann.

Foto: TH Brandenburg

Prof. Dr. Ivo Keller: Sicherheit funktioniert nicht im luftleeren Raum – sie braucht Verantwortung, klare Strukturen und praktikable Ansätze, die in der täglichen Unternehmenspraxis umsetzbar sind!

18. Security Forum der Technischen Hochschule Brandenburg

„In der Praxis: Unternehmenssicherheit, Compliance und Resilienz “
Donnerstag, 15. Januar 2026, 9.00 bis ca. 17.00 Uhr
Audimax der Technischen Hochschule Brandenburg
Magdeburger Straße 50 in 14770 Brandenburg a. d. Havel
Teilnahme kostenfrei – Online-Anmeldung erforderlich.

Das „18. Security Forum“ beleuchtet demnach, wie „Governance“, „Compliance“ und „Resilience“ zusammenwirken, um Organisationen krisenfest und handlungsfähig zu halten. Im Fokus sollen hierbei Führung, Verantwortung und Umsetzbarkeit stehen – von der Strategie bis zum Vorgehen im Ernstfall.

Themenfelder 2026:

• Führungskultur und „Security Governance“
• Unternehmenswert-gesteuertes Risikomanagement
• niederschwelliges „Business Continuity Management“
• Mittelstandsgerechte IT-Sicherheit

Agenda (ohne Gewähr)

Unter der Moderation durch Oliver Nyderle, „General Manager Cluster Digital Trust/Security, Data Privacy & Blockchain“, Deutsche Telekom MMS GmbH, stehen folgende Beiträge auf dem Programm:

• 09.00 Uhr Begrüßung
  – Prof. Dr. Bernd Schnurrenberger, Dekan des Fachbereichs Wirtschaft
  – Prof. Dr. Ivo Keller, Studiengangsdekan „Security Management“ (M.Sc.): „Unternehmenssicherheit geht aufs Ganze“
• 09.30 Uhr „Governance“
  – Dr. Stefan Saatmann, „Senior Director Innovation Policy“, Siemens Energy AG: „Security Governance als Führungsaufgabe – für Konzerne, Mittelstand und Kleinunternehmen“
  – David Fuhr, CTO, intCube GmbH: „Wie bekomme ich NIS-2 wirklich in die ganze Organisation?“
• 10.15 Uhr „Compliance“
  – Annegrit Seyerlein-Klug, TH Brandenburg: „KI-Einsatz und KI-Gesetz – Gefahr für den Mittelstand?“
  – Tim Wolters, CSO, TargoBank: „Vom Regelwerk zur Wirkung: Warum gute Compliance oft schlechte Sicherheit erzeugt“
  – Martin Wölfel, Club of 42 / AG „KRITIS“: „Anforderungen aus NIS-2 und CER“
  – Prof. Dr. Eberhard von Faber, ehem. „Chief Security Advisor“, T-Systems AG: „Wie man Multi-Compliance in die Bereitstellung von IT-Services integriert“
• 13.30 Uhr „Resilience“
  – Deniz Arigümüs, Cyber-Competence-Center LKA Brandenburg: „Tatort Internet: Ein Cybercrime-Fall aus der Praxis“
  – Sebastian Harrand, Geschäftsführer harrand consulting gmbh, und Bernd Schulz, Geschäftsführer F1 GmbH: „Aus dem Nähkästchen: Wie steht es mit der Informationssicherheit in KMU?“
  – Jakob Winter, HiSolutions AG: „Gute Vorbereitung ist die halbe Miete – in 7 Schritten zu einer soliden Notfallplanung“
• 16:15 „Strategie“
  – Johann Loran, DB InfraGO: „Security Strategie als Unternehmensauftrag im Kontext von NIS2“
  – Falko Nowak, NOWAK Negotiation & Consulting: „Wie Entscheider unter Druck die richtigen Deals abschließen – mit praxiserprobten Methoden“

Zur Online-Anmeldung und weitere Informationen zum Thema:

Technische Hochschule Brandenburg
Willkommen zum 18. Security Forum der Technischen Hochschule Brandenburg!

Technische Hochschule Brandenburg
Der Master-Studiengang Security Management

Technische Hochschule Brandenburg
Prof. Dr. rer. nat. Ivo Keller

idw Nachrichten Informationsdienst Wissenschaft, 19.12.2025
Wissenschaftliche Tagungen: Unternehmenssicherheit im Fokus beim 18. Security Forum

datensicherheit.de, 08.01.2026
Bitdefender-Rat an Unternehmen: 2026 von Reaktion zur Prävention wechseln / Laut Bitdefender könnte bzw. sollte sogar 2026 zum „Schaltjahr in der Cyberdefensive“ werden

datensicherheit.de, 11.12.2025
NIS-2 offiziell in Kraft: Proliance-Handlungsempfehlungen für Unternehmen / Am 13. November 2025 ist das NIS-2-Maßnahmenpaket final im Bundestag beschlossen worden – ein Wendepunkt für den deutschen Mittelstand

datensicherheit.de, 10.12.2025
NIS-2: Vielen Unternehmen fehlt es an Kapazitäten zur Umsetzung und zum Nachweis / Greg Hansbuer rät im Kontext der NIS-2-Umsetzung zur Nutzung von „Remote Managed Services“ zur professionellen Bereitstellung der Technologie und Verantwortungsübernahme für definierte Betriebsprozesse

[datensicherheit.de, 14.11.2025] Künstliche Intelligenz (KI) führt offensichtlich auch zu einer Veränderung der Spielregeln in der Softwarewirtschaft. Hersteller reagierten darauf mit neuen Monetarisierungsstrategien, um den steigenden Kosten und dem wachsenden Wettbewerbsdruck zu begegnen. Revenera führt in einer aktuellen Stellungnahme aus, dass beim Bemühen der Branche zur Realisierung stabiler Umsätze durch ein altbekanntes Problem der Erfolg geradezu ausbremst wird – die illegale bzw. unlizenzierte Software-Nutzung.

Abbildung: Revenera

Revenera-Untersuchung zur unlizenzierten Softwarenutzung: Ursachen für Umsatzverluste

Für fast ein Drittel der Softwareanbieter ist -piraterie ein massives Problem

Laut dem aktuellen Revenera-Report „Monetization Monitor: Software Piracy and License Compliance 2026 Outlook“ bleiben „Compliance“-Verstöße ein „Umsatzkiller für die Branche“.

• Für rund ein Drittel (31%) sei Softwarepiraterie – also das illegale Vervielfältigen, Verbreiten und Nutzen von Software – ein massives Problem. 25 Prozent kämpften darüber hinaus mit bewussten Lizenzverstößen, „etwa wenn Anwender gezielt Schutzmechanismen umgehen oder Lizenzen manipulieren“ (z.B. Klonen von virtuellen Maschinen).

Selbst legitim erworbene Software sorge für Umsatzeinbußen, „nämlich dann, wenn Kunden die Anwendung weit über die vertraglich vereinbarten Richtlinien hinaus nutzen (23%)“.

Verstöße bei Engineering-Simulationen und CAD-Software in Deutschland

Auf Basis von „Compliance Intelligence“-Daten seiner Kunden habe Revenera zudem die zwanzig Länder mit der höchsten Zahl an Lizenzverstößen und Softwarepiraterie ermittelt. Für eine Überraschung auf der Länderliste sorgt demnach in diesem Jahr Deutschland: „Hier ist die Zahl der Fälle von Missbrauch und Piraterie deutlich gestiegen.“

• Im aktuellen weltweiten Ranking belege Deutschland nun Platz 6, nachdem es im vergangenen Jahr, 2024, noch auf Rang 11 gelegen habe. Dieser Anstieg lasse sich insbesondere auf Verstöße bei Lösungen im Bereich Engineering-Simulationen und CAD-Software zurückführen, welche offenbar nicht oder nicht vollständig lizenziert in deutschen Unternehmen zum Einsatz kämen.

Auch im internationalen Vergleich zeigten sich deutliche Verschiebungen: China und Russland führten das Ranking zwar weiterhin an, doch Indien habe die USA in Sachen Softwarepiraterie inzwischen überholt und belege nun Platz 3.

Mehr als ein Viertel der Softwareanbieter plant Automatisierung der Kontroll- und Durchsetzungsmechanismen

Unabhängig von der Art des Verstoßes – ob Piraterie, Missbrauch oder Übernutzung – seien die Folgen für Softwarehersteller erheblich: „Nach Angaben der Studie sehen 21 Prozent der befragten Unternehmen unlizenzierte Nutzung als eines der größten Hindernisse für ein wachsendes, wiederkehrendes Umsatzvolumen (ARR).“

• Insgesamt beziffert Revenera das entgangene Umsatzpotenzial in Ländern mit starken IP-Gesetzen und funktionierenden „Compliance“-Programmen auf 17,1 Milliarden US-Dollar.

Mehr als ein Viertel der Softwareanbieter (27%) plane daher, seine Kontroll- und Durchsetzungsmechanismen zu automatisieren oder zu verbessern, um diesen Umsatzverlust einzudämmen.

Nur 31% der Softwareanbieter nutzen bisher Telemetriedaten

„Parallel gewinnen Initiativen zur Lizenz-,Compliance’ an Bedeutung, mit denen sich entgangene Erlöse teilweise zurückholen lassen.“ Eine Schlüsselrolle spielten dabei Nutzungsdaten.

• Diese zeigten nicht nur, wo Übernutzung bereits stattfindet, sondern auch, wo sinkende Nutzung oder eine drohende Abwanderung zu erwarten sei.

Derzeit erfassten jedoch nur rund 31 Prozent der Anbieter entsprechende Telemetriedaten, und weniger als ein Drittel (30%) nutze diese gezielt für weiterführende Analysen.

Aktuelle Trends, Herausforderungen und Strategien rund um Software-Monetarisierung, Piraterie und Lizenz-„Compliance“

„Das mangelnde Bewusstsein bleibt ein Problem – selbst im Zeitalter von KI und Datenanalysen“, betont Nicole Segerer, „General Manager“ bei Revenera. Sie führt aus: „In Unternehmen, die keine Lösungen für ,Entitlement Management’ einsetzen, arbeitet rund die Hälfte im Blindflug: Sie wissen weder, wo noch in welchem Umfang sie Umsätze durch unlizenzierte Nutzung und Piraterie verlieren.“

• Hersteller müssten anfangen, das Problem nicht nur als „Compliance“-Thema zu sehen. Tatsächlich seien solche Verstöße ein Signal für Produktwert und ungenutzte Nachfrage. „Wer diese Nutzer strategisch anspricht, kann sie zumindest langfristig in loyale, zahlende Kunden verwandeln“, empfiehlt Segerer.

Der Vorliegende Report zum „Revenera Monetization Monitor: 2026 Outlook“ basiert laut Revenera auf einer von April bis Juni 2025 unter Softwareherstellern weltweit durchgeführten Umfrage. Ziel sei es gewesen, aktuelle Trends, Herausforderungen und Strategien rund um Software-Monetarisierung, Piraterie und Lizenz-„Compliance“ zu beleuchten. Insgesamt hätten 501 Fach- und Führungskräfte aus Unternehmen verschiedener Größen und Branchen teilgenommen.

Weitere Informationen zum Thema:

revenera
About Revenera: Become a Digital Leader / Software and technology companies want to make the most out of their products. Their goal is to accelerate time to market and innovate as quickly as possible, build products that customers like, understand how they are being used and monetize what matters. Revenera provides the enabling technology and the experts to do just that.

revenera
Leadership: Our Leadership Team / Want to know about the future of the software industry? Ask one of the members of our executive team. They’re not only leading our company, they’re leading the industry.

revenera
eBook: Revenera Monetization Monitor: Software Piracy and License Compliance 2026 Outlook / Tracking unlicensed use is essential for capturing revenue opportunities.

datensicherheit.de, 28.01.2021
Revenera Statusreport 2021 zu Open Source Lizenzierung und Compliance / Zahl der Compliance-Verstöße und Sicherheitsschwachstellen in Open Source Software mit 1.959 Vorfällen pro Audit im Vergleich zum Vorjahr verdreifacht

[datensicherheit.de, 01.08.2025] Mittels der Datenschutz-Grundverordnung (DSGVO) hat die Europäische Union (EU) offensichtlich den regulatorischen Druck auf IT- und Sicherheitsprozesse bereits spürbar erhöht. Die neuen NIS-2-Richtlinien verschärften nun diese Tendenz zu mehr „Compliance“ Kritischer Infrastrukturen (KRITIS) und digitaler Prozesse. Organisationen, welche bereits DSGVO-konforme Strukturen etabliert haben, scheinen nun klar im Vorteil zu sein. Ihre Anstrengungen rund um Datenschutz werden nämlich zu De-Facto-Vorarbeiten, um die neuen Anforderungen und Maßnahmen zur Risikoprävention schneller erfüllen zu können. Ricardo José Garrido Reichelt, „Principal Security Technologist EMEA, Office of the CTO“ bei Commvault, erläutert in seiner aktuellen Stellungnahme, welche bestehenden Prozesse sich fortführen lassen, welche neuen Pflichten auf Unternehmen zukommen und wie sich die beiden „Compliance“-Projekte sinnvoll miteinander verzahnen lassen.

Foto: Commvault

Ricardo José Garrido Reichelt: Haben Unternehmen bei DSGVO-Verstößen 72 Stunden Zeit, fordern die NIS-2-Vorgaben die Information des BSI über gravierende Cybersicherheitsvorfälle innerhalb eines Tages

Mit NIS-2 führt die EU den Kurs IT-Prozesse strenger zu regulieren resolut weiter

Reichelt ruft in Erinnerung: „Sieben Jahre ist es her, dass die DSGVO in Kraft getreten ist. Damit startete 2018 der Trend, IT-Prozesse strenger zu regulieren.“ Mit NIS-2 führe die EU diesen Kurs resolut weiter; die Bundesregierung arbeite an der Umsetzung und habe erst jüngst einen Referentenentwurf des Bundesministeriums des Innern (BMI) von Ende Juni 2025 bekanntgegeben.

• „Auch wenn offen ist, wie NIS-2 hierzulande ein Gesetz wird, das Ziel ist bereits klar: Die Infrastrukturen und digitalen Prozesse in Unternehmen sollen widerstandsfähiger sein. Ein langer Weg und Vorarbeit lohnen sich.“ Wer die Maßgaben der DSGVO schon jetzt entschlossen und zielstrebig verfolgt hat, um Datensicherheit und Datenschutz zu berücksichtigen, habe es leichter, wenn NIS-2 auf die Agenda rückt.

Um die Konsequenzen erfolgreicher Angriffe souveräner abzufedern und effektiver zu beseitigen, müsse Cybersicherheit eine größere Rolle spielen. Der Nachholbedarf sei enorm angesichts der kontinuierlichen Cyberattacken der jüngsten Zeit, welche Datenverluste, große Schäden und sogar Totalausfälle verursachten, auch große Unternehmen träfen und in Einzelfällen sogar in ein Insolvenzverfahren trieben.

Um NIS-2 zum Durchbruch zu verhelfen, ist ebenfalls ein Bußgeldkonzept geplant

Immerhin, so Reichelt: „Dank DSGVO verwenden Datenschutzverantwortliche in der Wirtschaft personenbezogene Daten inzwischen mit mehr Bedacht – nicht zuletzt, da Verstöße zu einer kostspieligen Angelegenheit geworden sind.“ Seit die DSGVO in Kraft getreten ist, verhängten Richter laut der „GDPR Fines and Data Breach Survey“ der Wirtschaftskanzlei DLA Piper Sanktionen in einer Höhe von insgesamt 5,88 Milliarden Euro – in Deutschland seien es allein 2024 über 89,1 Millionen Euro gewesen.

• Um nun NIS-2 zum Durchbruch zu verhelfen, planten die Verantwortlichen ein entsprechendes Bußgeldkonzept. Darüber hinaus sollten Unternehmensinhaber und Geschäftsführer mit ihrem privaten Vermögen bürgen. „Deshalb arbeiten manche Organisationen bereits seit einiger Zeit an der NIS-,Compliance’ und haben sich externe Hilfe ins Boot geholt.“

Experten von KPMG wüssten, dass Unternehmen mit verschiedensten Schwierigkeiten zu kämpfen hätten, da die Vorschrift viel Raum für Interpretation lasse und nur für ein individuelles Unternehmensumfeld zu realisieren sei. „Zu sehr kommt es auf Details an: Welche Organe sind verantwortlich? Wie geht man mit Meldepflichten bei Angriffen um? Wer stellt im Ernstfall die für den Betrieb notwendigen Technologien, Werkzeuge und Ressourcen bereit?“

NIS-2 setzt strengere Maßstäbe zur Meldung von Vorfällen

NIS-2 lege strengere Maßstäbe an, Vorfälle zu melden. Reichelt erläutert: „Haben Unternehmen bei Verstößen gegen die DSGVO 72 Stunden Zeit, fordern die NIS-2-Vorgaben die Information des Bundesamtes für Sicherheit in der Informationstechnik (BSI) über gravierende Cybersicherheitsvorfälle innerhalb eines Tages.“ Notwendige Abläufe sollten also seit dem Inkrafttreten der DSGVO vorhanden sein. „Wer aber die einschlägigen Nachrichtenwege schon vordefiniert hat, tut sich jetzt leichter, diese noch weiter zu beschleunigen.“

• Gleichermaßen wichtig sei es aber zu wissen, welche Informationen über einen Schaden bereitzustellen sind. „Dafür sind automatisierte Prozesse nötig, mit denen IT-Verantwortliche nachvollziehen können, welche Daten im Unternehmen überhaupt vorhanden sind.“ Die zweite Frage, die es zu beantworten gelte, lautet: „Welche Informationen sind für die NIS-2-Compliance zu kategorisieren?“

Reichelt unterstreicht: „Nur wer unverzüglich in die Analyse des Schadens übergehen kann, kann die knappe Meldepflicht einhalten und relevante sowie notwendige Informationen wahrheitsgetreu liefern.“

NIS-2 setzt auch kontinuierliches Testen der Wiederherstellung von Systemen und Daten auf die Agenda

Während die DSGVO eine Datenschutz-Folgenabschätzung (DSFA) für Hochrisikoverarbeitungen beanspruche, erwarte NIS-2 ein Risikomanagement für die IT-Infrastruktur, „wie etwa Risikoanalysen und Strategien für die Beständigkeit der Arbeitsabläufe“. Dafür könnten Unternehmen für die DSGVO implementierte Analyseprozesse verwenden und gleichermaßen ausbauen.

• „Verantwortliche für die IT-Sicherheit sollten etwa ihren Datenbestand auf Gefahren überprüfen. Damit sie ihre produktive IT dabei möglichst wenig beeinträchtigen, rentiert es sich, Sicherungskopien zu überprüfen.“ Auch hierbei ließen sich Auffälligkeiten als Alarmzeichen eines beginnenden Angriffs bereits frühzeitig erkennen und unterbinden.

NIS-2 rufe aber auch das kontinuierliche Testen der „Recovery“ von Systemen und Daten auf die Agenda. „Das Training der Interaktion aller Mitwirkenden kann hierfür in einem digitalen ,Cleanroom’ als einer wirklichkeitsgetreuen Teststruktur anhand der relevanten Assets erfolgen“, erläutert Reichelt. Ergebnis sei dann ein realistisches Zeugnis der „Recovery“-Strategie und ihrer Abläufe.

NIS-2 erfordert, unentbehrliche Prozesse, Anwendungen und Umgebungen für den Notbetrieb zu identifizieren

Essenziell sei es zudem, auch während eines erfolgreichen Angriffs arbeitsfähig zu bleiben – oder es so schnell wie möglich wieder zu werden. „Ein ,Minimum-Viabel-Company’-Ansatz hilft, im Vorfeld genau zu bestimmen, welche Prozesse, Anwendungen und Umgebungen für den Notbetrieb unentbehrlich sind.“

• Im Idealfall träfen die Verantwortlichen in jeder Abteilung eine für ihre spezifischen IT- und Geschäftsprozesse relevante Entscheidung. Ein daraus resultierendes, an einem separaten Ort manipulationsgeschützt gesichertes Notfallpaket sei dann die Basis, um Daten, Applikationen und Systeme in einem digitalen Reinraum sauber wiederherzustellen.

„Gemeinsam arbeiten IT-Ops und Sec-Ops daran, die Produktions-IT gehärtet neu aufzuspielen – und parallel den Angriff, betroffene Informationen sowie die ausgenutzten und existierenden Hintertüren zu untersuchen und zu schließen“, führt Reichelt aus.

DSGVO-Konformität als Vorarbeit für NIS-2 verstehen

Viele Prozesse, die IT-Verantwortliche aus Anlass der DSGVO etabliert haben, ließen sich auch für die NIS-2-„Compliance“ weiterführen:

• Weiterentwicklung der „Governance“-Organisation
  Die DSGVO habe den Datenschutzbeauftragten und andere „Governance“-Strukturen eingeführt. Nun verlange NIS-2 eindeutige Zuständigkeiten für Cybersicherheit – so verpflichtend die Position eines „Chief Information Security Officers“ (CISO) oder vergleichbarer Funktionsträger. Unternehmen könnten die im Rahmen der DSGVO etablierten „Governance“-Strukturen adaptieren oder ausbauen.
• Weiterführung der Sichereitsmaßnahmen
  Die DSGVO fordere unter anderem Standards zu Pseudonymisierung, Verschlüsselung, Authentifikation und Zugangskontrolle. NIS-2 erwarte vergleichbare, aber eher operativ eingestellte Cybersicherheitschecks. Viele der DSGVO-Sicherheitskontrollen realisierten die NIS-2-Vorgaben vollständig oder zumindest zum Teil. So genüge es häufig bereits, vorhandene IT-Sicherheitsmaßnahmen auszubauen.
• Umfassende Dokumentation der Arbeit mit personenbezogenen Daten
  DSGVO-Meldungen müssten dokumentieren, wie Unternehmen Daten verarbeiten und Datenschutz-Folgebewertungen liefern. NIS-2 verlange Belege über Vorfallreaktionen, Sicherheitsrichtlinien und Auditergebnisse. Verantwortliche für die Datensicherheit könnten die für eine DSGVO-„Compliance“ aufgebauten zentralisierten Dokumentationssysteme zum Zweck der NIS-2-Konformität weiterbenutzen und ausbauen.

NIS-2 bietet große Chance, Sicherheitslevel insgesamt zu steigern

Verantwortliche hätten mit NIS-2 viel zu tun. „Doch wer sich bereits für die DSGVO gut aufgestellt hat, kann sich jetzt die erbrachten Vorarbeiten zunutze machen!“

• NIS-2 biete eine große Chance, dass der Sicherheitslevel insgesamt ansteige. „Wer seine Cyberresilienz dadurch stärkt, erarbeitet sich zudem einen klaren Wettbewerbsvorteil!“

Bisher seien Cyberangriffe Alltag. „NIS-2-Compliance mit geprüften und getesteten Strukturen und Prozessen kann es erreichen, echte Cyberresilienz zur Gewohnheit zu machen“, gibt Reichelt abschließend zu bedenken.

Weitere Informationen zum Thema:

Commvault
What Commvault Does for Our Customers / Commvault gives you an unfair advantage to enable resilience in the face of ransomware and other advanced threats in today’s hybrid world – and tomorrow’s

Industrie.de, 27.01.2025
Datenschutzgrundverordnung: Europaweit 1,2 Milliarden Euro DSGVO-Bußgelder in 2024 verhängt

KPMG
Network and Information Systems Directive (NIS2) / What NIS2 means for business: Practical insights from KPMG’s global work

datensicherheit.de, 15.07.2025
Erfahrungsbericht WienIT: Reduzierung des Backup-Datenspeichers um 50 Prozent und NIS-2-Konformität / WienIT sorgt im Hintergrund dafür, dass die IT-Infrastruktur der Wiener Stadtwerke-Gruppe nebst wichtiger Back-Office-Prozesse und Services möglichst reibungslos zur Verfügung steht

datensicherheit.de, 07.07.2025
Neuer ISACA-Leitfaden: Navigationshilfe für Unternehmen durch NIS-2- und DORA-Vorschriften / Selbst nach der ersten Jahreshälfte 2025 haben viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden

datensicherheit.de, 06.07.2025
NIS-2: Vereinheitlichung der Meldewege für IT-Sicherheitsvorfälle und Datenpannen gefordert / Die unabhängigen Datenschutzaufsichtsbehörden der Länder sprechen sich für deutliche Entlastung der Verantwortlichen bei Erfüllung der NIS-2-Meldepflichten aus

datensicherheit.de, 06.07.2025
NIS-2: DAV-Forderung nach Einbindung der Cloud-Anbieter / Mit der NIS-2-Richtlinie soll ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union EU geschaffen werden

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

Von unserem Gastautor Greg Hansbuer, Regional Manager Germany Austria Switzerland at DataManagement

[datensicherheit.de, 31.03.2025] Die Umfrage „Preparedness Gap: Warum Cyber-Recovery einen anderen Ansatz erfordert als Disaster Recovery“ von Commvault und ESG aus dem Jahr 2024 unterstreicht die große Komplexität moderner Cyberresilienz. Nur 26 % der Befragten sind zuversichtlich, alle geschäftskritischen Anwendungen und Daten schützen zu können. Und nur 20 % sind überzeugt, alle für den Betrieb erforderlichen Apps und Daten zu schützen. 85 % geben an, dass eine Wiederherstellung ohne die Einrichtung einer Cleanroom-Umgebung ein erhebliches Risiko einer erneuten Infektion birgt. Ähnlich viele Befragte (83 %) befürchten, dass eine überstürzte Wiederherstellung nach einem Cyber-Vorfall wertvolle Beweise zerstören könnte. Die Lehre daraus? Konforme und zuverlässige Cyber-Resilienz und Backups sind keine leichte Aufgabe.

Cyberresilienz als Antwort auf immer raffiniertere Cyberangriffe

Mangelndes Risikobewusstsein bei gleichzeitig zunehmenden und immer raffinierteren Cyberangriffen machen eine solide Backup- und Recovery-Strategie für die Kontinuität des Geschäftsbetriebs unerlässlich. Die Bedrohung durch Ransomware, der anhaltende Trend zu SaaS-Anwendungen wie Office 365 und Salesforce und die Frage nach der Sicherheit von Cloud-Daten zeigen, dass ein funktionierendes Backup wichtiger denn je ist.

Greg Hansbuer, Regional Manager Germany Austria Switzerland at DataManagement Professionals, Bild: privat

Diese fünf Tipps helfen bei der Auswahl einer Backup-Lösung

1. Eine einzige Backup-Lösung einsetzen.
   Wenn sich Unternehmen bei einem Vorfall auf mehrere Backup-Pakete verlassen müssen, wirkt sich dies oft negativ auf die Qualität aus. Da Backups in Unternehmen lange Zeit vernachlässigt wurden, sind die Managementkapazitäten oft nicht ausreichend, um die Lösung ordnungsgemäß zu warten. Darüber hinaus kostet eine Lösung mit mehreren Paketen zusätzlichen Speicherplatz, da globale Effizienztechniken fehlen.
2. Sicherstellen, dass das Backup vollständig ist.
   Es klingt einfach, aber es passiert immer noch viel zu oft, dass IT-Teams vergessen, einen neuen Server in das Backup aufzunehmen. Dies kann aus verschiedenen Gründen geschehen, wie Arbeitsüberlastung oder Kommunikationsfehler. Ein vollständiges Backup ist jedoch unerlässlich, um Datenverluste zu vermeiden. Das Backup muss zu einem festen Bestandteil von Projekten und Implementierungen werden.
3. Eine Backup-Richtlinie erstellen.
   Auch dies ist eine Selbstverständlichkeit, aber allzu oft entspricht die Praxis nicht den Erwartungen. Grundlegende Fragen wie die Häufigkeit und Aufbewahrung von Backups gilt es zu besprechen und die Ergebnisse festzuhalten. Ebenso ist darauf zu achten, dass die Anforderungen und Wünsche jährlich mit dem Setup übereinstimmen.
4. Neueste Technologie für die Backup-Lösung einsetzen.
   Infrastruktur, Virtualisierung, Container, Microservices, Cloud und Serverless – dies sind nur einige der Stichworte des modernen IT-Alltags. Geschäftskritische Daten in allen Umgebungen müssen gesichert werden. Die IT-Abteilung muss sicherstellen, dass ihre Backup-Lösung dafür eingerichtet ist. Dies erfordert es, bei der Einführung neuer Technologien frühzeitig in einem Projekt oder Prozess das Thema Backup aktiv anzusprechen. Zu berücksichtigen sind auch Aspekte wie Deduplizierung, Live-Wiederherstellung und Speicherintegration, um das Backup gut und effizient zu machen.
5. Testen, testen, testen
   Mindestens zweimal im Jahr ist es sinnvoll, eine Reihe von Szenarien zu testen. Nichts ist ärgerlicher, als nicht zu wissen, ob eine Wiederherstellung funktioniert oder wie lange sie dauert, wenn man sie wirklich braucht. Wenn möglich, ist es vorteilhaft, diese Tests zu automatisieren und sich Berichte erstellen zu lassen.
   Vermehrte Cyberkriminalität, die wachsende Unverzichtbarkeit digitaler Daten für den Geschäftsbetrieb und die wachsende Beliebtheit von Cloud-Services haben sich auch die Anforderungen für das Backup erweitert. Recovery muss sicherstellen, dass die Anforderungen der Behörden erfüllt werden und dass nur kontaminationsfreie Daten wiederhergestellt werden. Gerade für die Bereiche Disaster Recovery und Cyber Recovery bieten sich Cloud-Backups an, weil sie einem vom betroffenen Unternehmen getrennten Standort liegen. Die Daten sind meistens mit Air Gap und Verschlüsselungen besonders „gehärtet“ worden. Auch kann die Wiederherstellung eins Cloud-Backups in der Cloud effizient die Geschäftskontinuität sicherstellen.

Spezialisierte Anbieter stellen unterschiedliche Varianten der Offsite-Cloud-Speicherung bereit. Darüber hinaus bieten Hybrid-Cloud-Lösungen die Produktion der Apps, Files und Datenbanken als Notfallbetrieb an. Weitere wichtige Funktionen sind Compliance und Sicherheit. Cloud-Backups erfüllen gesetzliche Anforderungen (z.B. DSGVO) und bieten durch Verschlüsselungen sowie physische Sicherheitsmaßnahmen Schutz vor unbefugtem Zugriff.

Darüber hinaus skalieren Cloud-Lösungen besser als On-prem-Backups, die weiterhin für operationale Backup- und Restore-Tätigkeiten mit LAN-Geschwindigkeit notwendig bleiben, falls Unternehmen sich noch in der Cloud-Transformation befinden. Last but not least werden Kosten für den Betrieb eines weiteren Rechenzentrums sowie Hardware- und Admin-Kosten eingespart. In Summe muss eine Backup-Strategie die Risiken minimieren, Daten sicher speichern und langfristig den Geschäftsbetrieb gewährleisten.

Compliance-Fragen beim Backup

Ein aktuell kontrovers diskutiertes Thema ist die Fragestellung, ob deutsche bzw. europäische Unternehmen in erster Linie auf heimische Anbieter setzen sollten, wenn es um Backups in- bzw. aus der Cloud geht. Die klassischen US-Anbieter unterliegen dem CLOUD Act, der US-Behörden Zugriffsrechte auf gespeicherte Daten einräumt. Dies steht in krassem Widerspruch zur DSGVO. Das Trans Atlantic Data Privacy Framework (TADPF) sollte diesen Widerspruch überwinden, steht jedoch – auch aufgrund der aktuellen politischen Lage in den USA – auf instabilem Fundament. Fällt das TADPF, so entsteht quasi über Nacht ein Compliance-Risiko. Europäische Unternehmen sind also gut beraten, sich jetzt über alle Aspekte ihrer Cyber-Resilienz-Strategie Gedanken zu machen.

Weitere Informationen zum Thema:

DMP–Data Management Professionals
Your data in safe hands

[datensicherheit.de, 26.03.2025] Mit den neuen EU-Regularien NIS-2, DORA und dem Cyber Resilience Act (CRA) setzt Europa neue Maßstäbe für den Schutz digitaler Infrastrukturen. Unternehmen, die die Anforderungen an die Cybersecurity unterschätzen, riskieren nicht nur hohe Strafen, sondern auch ihre Wettbewerbsfähigkeit.

Strengere EU-Regularien für mehr Cybersicherheit

2025 markiert einen Wendepunkt für IT-Sicherheit in Europa. Die EU führt mit drei zentralen Regulierungen schärfere Sicherheitsanforderungen für Unternehmen ein:

• Mit NIS-2 (Network and Information Security Directive) werden die Regeln für IT-Sicherheit drastisch verschärft und auf eine breitere Unternehmenslandschaft ausgeweitet. Während sich die Vorgängerrichtlinie primär auf kritische Infrastrukturen konzentrierte, betrifft die neue Version nun auch zahlreiche mittelständische Unternehmen – darunter Hersteller, IT-Dienstleister, Pharmaunternehmen und Logistikbetriebe. Die betroffenen Organisationen müssen Angriffe innerhalb von 24 Stunden melden, geeignete Sicherheitsmaßnahmen etablieren und sich auf strengere Kontrollen einstellen. Verstöße können Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes nach sich ziehen.
• Für den Finanzsektor bringt der Digital Operational Resilience Act (DORA) umfassende neue Pflichten mit sich. Banken, Versicherungen und Fintechs müssen ihre gesamte IT-Lieferkette absichern und sich regelmäßigen Cyber-Resilienz-Tests unterziehen. Besonders betroffen sind auch externe IT-Dienstleister, die mit Finanzunternehmen zusammenarbeiten – sie müssen nun strenge Sicherheitsstandards nachweisen, um weiterhin als Geschäftspartner zugelassen zu werden.
• Der Cyber Resilience Act (CRA) zielt auf die Hersteller von Hard- und Software ab. Digitale Produkte müssen künftig Sicherheitsstandards von Beginn an („Security-by-Design“) erfüllen und über ihren gesamten Lebenszyklus hinweg mit Sicherheitsupdates versorgt werden. Wer Cybersecurity-Lücken zu spät schließt oder nicht konsequent nachbessert, riskiert hohe Strafen und Marktbarrieren.

Was das für Unternehmen bedeutet

Mit den neuen Regularien geht Europa über reine Schutzmaßnahmen hinaus – sie sind Teil einer langfristigen Strategie zur Stärkung der digitalen Souveränität. Unternehmen stehen nicht nur vor höheren Sicherheitsanforderungen, sondern auch vor einem veränderten Marktumfeld. Kunden und Geschäftspartner müssen verstärkt auf nachweisbare Sicherheitsstandards achten, und gleichzeitig nimmt die regulatorische Kontrolle zu.

Ari Albertini, CEO von FTAPI, Bild: FTAPI

„Die Zeiten, in denen Cybersicherheit eine rein technische Entscheidung war, sind vorbei. Jetzt geht es um wirtschaftliche Resilienz, digitale Souveränität und letztlich auch um persönliche Haftung“, sagt Ari Albertini, CEO von FTAPI. „Die neuen Regularien zwingen Unternehmen, Cybersicherheit strategisch zu denken – wer nicht handelt, wird abgehängt.“

Besonders für Geschäftsführer und IT-Verantwortliche haben die neuen Regeln weitreichende Konsequenzen. Neben Bußgeldern droht in einigen Fällen eine persönliche Haftung. Cybersicherheit wird zur Management-Aufgabe: Wer IT-Risiken nicht strategisch bewertet und absichert, riskiert nicht nur finanzielle Folgen, sondern auch den Verlust von Vertrauen und Marktanteilen.

Fünf konkrete Maßnahmen, die Unternehmen jetzt ergreifen sollten

1. Security-Standards überprüfen: Unternehmen sollten ihre bestehenden Sicherheitsmaßnahmen mit den neuen gesetzlichen Anforderungen abgleichen und identifizieren, wo es Nachholbedarf gibt. Besonders wichtig sind Risikoanalysen, Audits und Notfallpläne.
2. Meldeprozesse und Compliance-Strukturen etablieren: Klare Abläufe für die Meldung von Sicherheitsvorfällen und die Erfüllung von Dokumentationspflichten sind essenziell, um regulatorische Anforderungen zu erfüllen.
3. Cybersecurity als Unternehmensstrategie verankern: IT-Sicherheit ist keine reine IT-Aufgabe mehr, sondern eine strategische Verantwortung, die aktiv von der Geschäftsführung gesteuert werden muss.
4. Auf europäische Anbieter setzen: Mit den neuen Regularien rückt digitale Souveränität stärker in den Fokus. Unternehmen, die frühzeitig auf europäische IT- und Security-Dienstleister setzen, profitieren von besserer Compliance und langfristiger Stabilität.
5. Frühzeitig investieren und Wettbewerbsvorteile nutzen: Unternehmen, die ihre Sicherheitsstandards bereits jetzt verbessern, sind nicht nur regulatorisch auf der sicheren Seite, sondern gewinnen auch Vertrauen bei Kunden und Geschäftspartnern.

Cybersecurity als Wettbewerbsvorteil

Mit den neuen EU-Regularien wird Cybersicherheit zur Chefsache. Unternehmen müssen sich jetzt intensiv mit ihren Sicherheitsstrategien auseinandersetzen, um gesetzeskonform zu bleiben und sich gegen zunehmende Cyberangriffe zu wappnen.

„Cybersicherheit ist kein notwendiges Übel, sondern ein Wettbewerbsvorteil. Wer frühzeitig in IT-Sicherheit investiert, gewinnt nicht nur regulatorische Sicherheit, sondern stärkt auch das Vertrauen von Kunden und Partnern“, so Ari Albertini.

[datensicherheit.de, 04.02.2024] „Um auf die stetige und schnelle Weiterentwicklung der Bedrohungslandschaft erfolgreich reagieren zu können, werden Unternehmen weitgehend autonome Funktionen in ihre IT-Sicherheitsstrategie implementieren müssen, die Cyber-Sicherheitssysteme in Echtzeit unterstützen können“, so Zac Warren, „Chief Security Advisor EMEA“ bei Tanium, in seiner aktuellen Stellungnahme. Angesichts der laufenden Entwicklungen im Bereich der Künstlichen Intelligenz (KI), welche Hackern schnelle und präzise Angriffe ermögliche, müssten Unternehmen ähnliche Technologien einsetzen – dann könnten sie Angreifern immer einen Schritt voraus sein.

Foto: Tanium

Zac Warren rät, auf Echtzeit-Sicherheitslösungen zu setzen und autonome Mechanismen zu etablieren

Komplizierte neue Cyber-Bedrohungen frühzeitig erkennen und entschärfen!

„Während sich die Compliance-Landschaft weiterentwickelt, müssen Unternehmen erkennen, dass ein Mangel an Bereitschaft eine ernsthafte Bedrohung für den eigenen Erfolg darstellen könnte“, unterstreicht Warren. Die Integration eines autonomen Systems werde Unternehmen dazu befähigen, komplizierte neue Cyber-Bedrohungen frühzeitig zu erkennen und zu entschärfen. Nur so werde es Unternehmen möglich sein, ihre Verteidigungsmechanismen an die aktuelle Bedrohungslage anzupassen.

Warren prognostiziert: „Angriffe werden auch zukünftig an Geschwindigkeit und Präzision gewinnen, wodurch sich Echtzeit-Sicherheitslösungen als unerlässlich erweisen werden.“ Unternehmen, denen es an Automatisierung und damit Reaktionsschnelligkeit fehlt, würden dadurch angreifbar sein. Die Verbesserung der grundlegenden „IT-Hygiene“ und der Automatisierung seien deshalb wichtige erste Schritte, um das eigene Unternehmen abzusichern. Dieser strategische Ansatz erleichtere nicht nur den Übergang zu Echtzeitdaten, sondern ebne auch den Weg für eine autonome Bedrohungsjagd.

Anpassungsunwilligen Unternehmen droht massive Beeinträchtigung ihres Cyber-Schutzes

Die sogenannte Blockchain-Technologie sei entscheidend, um die Einhaltung der bevorstehenden Netzwerk- und Informationssystem-Richtlinie (NIS2) und des „Digital Operational Resilience Act“ (DORA) sicherzustellen. Warren erläutert: „Durch die Nutzung der ,Blockchain’ können Unternehmen compliance-bezogene Aktivitäten sicher aufzeichnen und verifizieren, um Regulierungsbehörden transparente und fälschungssichere Informationen zu liefern.“ Beide Verordnungen verlangten einen hohen Standard an betrieblicher Widerstandsfähigkeit und Sicherheitsmaßnahmen. „Um diese zu erfüllen, ist die Aufrechterhaltung der ,IT-Hygiene’ von zentraler Bedeutung!“

Auf die ständige Anpassung ihrer Sicherheitssysteme an die technischen Standards zu verzichten, bedeute für Unternehmen eine massive Beeinträchtigung ihres Schutzes vor Cyber-Angriffen. Warrens Empfehlung zum Abschluss: „Es ist deshalb unerlässlich, auf Echtzeit-Sicherheitslösungen zu setzen und autonome Mechanismen zu etablieren!“