[datensicherheit.de, 22.08.2025] Was als angeblicher Schutz vor Kindesmissbrauch dargeboten wird, könnte zum größten Überwachungsprojekt in Europa werden. Die Bundesregierung zeige sich seit Kurzem nicht länger als klarer Gegner in dem EU-Gesetzgebungsverfahren – und spiele jetzt eine Schlüsselrolle im Entscheidungsprozess. Benjamin Schilz, „Group CEO“ bei der Wire Swiss GmbH, geht in seiner aktuellen Stellungnahme kritisch auf aktuelle Überwachungspläne ein: Er umreißt, welche Folgen tatsächlich drohen, und führt aus, wieso die Chat-Kontrolle zum Scheitern verurteilt ist.

Foto: wire

Benjamin Schilz: Chat-Kontrolle löst keine Probleme. Es schafft neue!

Chat-Kontrolle im Widerspruch zur europäischen Datenschutzgesetzgebung

„Die EU diskutiert seit Jahren über Chat-Kontrolle. Jetzt hat die Bundesregierung ihre Haltung geändert: Statt ,nein’ sagt sie nur noch ,unentschlossen’.“

• Damit nehme die Gefahr zu, „dass die EU den riskanten Vorschlag beschließt“.

Chat-Kontrolle widerspreche nicht nur den europäischen Datenschutzgesetzen, sondern es werde auch praktisch nicht funktionieren. „Im besten Fall bleibt das Gesetz wirkungslos, aber im schlimmsten Fall verschärft es viele Probleme!“, warnt Schilz.

Angebliche Ziele Chat-Kontrolle

Die Chat-Kontrolle solle angeblich Missbrauchsdarstellungen in digitalen Nachrichten erkennen, sogenanntes Child Sexual Abuse Material (CSAM). Die EU-Richtlinie 2011/93/EU schreibe bereits vor, dass -Mitgliedstaaten Folgendes bestrafen müssten:

• Herstellung, Verbreitung, Weitergabe und Besitz von CSAM
• vorsätzlichen Zugriff auf CSAM-Websites
• „Grooming“, also die gezielte Kontaktaufnahme von Erwachsenen zu Minderjährigen mit Missbrauchsabsicht im Internet

Außerdem müssten Anbieter in der EU gehostete CSAM-Seiten löschen und bei Fällen im Ausland mit Partnern zusammenarbeiten.

Verbrechen sind aktiv zu bekämpfen – aber Chat-Kontrolle dafür ungeeignet

Schilz betont ausdrücklich: „Dabei stellt niemand in Frage, dass diese Verbrechen aktiv bekämpft werden müssen! Aber Chat-Kontrolle ist dafür aus unterschiedlichen Gründen ungeeignet.“

Verschiedene Fachgremien der EU und in Deutschland hätten die Chat-Kontrolle bereits geprüft. „Ihr Urteil: Es ist technisch nicht machbar. Der Wissenschaftliche Dienst des Europäischen Parlaments (EPRS) stellte in einer Analyse gravierende technische Lücken fest. Bekannte Inhalte lassen sich meist zuverlässig erkennen.“ Schwieriger werde es aber bei neuem, noch nicht in Datenbanken erfasstem Material und bei „Grooming“-Versuchen. „Hier liefern die Systeme zu viele Fehler.“

Hinzu komme ein unlösbares Problem: Die Überwachung von Ende-zu-Ende-verschlüsselter Kommunikation sei technisch nicht mit dem geplanten Erkennungsauftrag vereinbar. Diese Schwäche werde im Vorschlag der EU-Kommission kaum berücksichtigt. Zudem bestehe laut EPRS die Gefahr, „dass einvernehmliche Kommunikation zwischen Jugendlichen fälschlich als Missbrauch eingestuft wird“.

Absurde Folgen für Polizei und Justiz: Chat-Überwachung könnte allenfalls funktionieren, wenn Betroffene nichts davon wüssten

Die fehlerhafte Technik führe so unmittelbar zu massenhaften Fehlalarmen. Strafverfolgungsbehörden müssten jeden einzelnen Fall prüfen. Das würde Ermittler binden, statt sie zu entlasten – und im schlimmsten Fall zu falschen Verdächtigungen und Verfahren gegen Unschuldige führen.

• „Auch der Wissenschaftliche Dienst des Deutschen Bundestages kam in einer Stellungnahme gegenüber dem Digitalausschuss zu einem ähnlichen Urteil: Neben der Sorge vor flächendeckender Internetüberwachung warnten alle neun befragten Experten, dass die Strafverfolgung mit falschen Meldungen überlastet würde.“

Überwachung funktioniere nur, „wenn die Betroffenen nichts davon wissen“. Chat-Kontrolle sei indes das Gegenteil: Es wäre ein öffentlich bekanntes Gesetz. Anbieter müssten ihre Nutzer wahrscheinlich regelmäßig darüber informieren, dass sie auf Verstöße gegen das „Gesetz zum Schutz von Kindern vor sexueller Ausbeutung“ (CSAM) überwacht würden.

Ziel-Personen für die Chat-Kontrolle wären für Behörden nicht mehr auffindbar

Die Folgen seien leicht absehbar: „Kriminelle weichen auf alternative Dienste aus – etwa verschlüsselte Messenger, TOR-Services, VPNs, ,Darknet’-Angebote oder Plattformen, die nicht reguliert werden.“

• Schilz erläutert: „Damit wären gerade die Personen, die die Chat-Kontrolle eigentlich ins Visier nehmen soll, für die Behörden nicht mehr auffindbar.“ Das Konzept der Chat-Kontrolle dürfte zum Scheitern verurteilt sein. „Aber das ist nur das Best-Case-Szenario.“

Das wahrscheinlichste Ergebnis laut Schilz: Die Chat-Kontrolle bleibt wirkungslos. Doch dabei werde es dann nicht bleiben. Eine bereits eingeführte Massenüberwachung lasse sich selten zurückdrehen. „Wenn die erhofften Erfolge ausbleiben, werden die Befürworter nicht aufgeben. Wahrscheinlicher ist, dass sie noch mehr Kontrolle fordern.“

Es drohen zunehmende Zensur, staatliche Kontrolle und schleichender Abbau grundlegender Freiheitsrechte

Das beginne mit Angriffen auf die Ende-zu-Ende-Verschlüsselung. Behörden könnten „Hintertüren“ verlangen, „die zwangsläufig unsicher sind – wie der ,Salt Typhoon’-Hack gezeigt hat, bei dem Angreifer gezielt Schwachstellen in solchen Zugangsmöglichkeiten ausnutzten“.

• Noch gravierender wäre ein weiterer Ausbau der Überwachung – d.h. zunehmende Zensur, staatliche Kontrolle und ein schleichender Abbau grundlegender Freiheitsrechte. Beispiele wie die „Great Firewall“ in China zeigten, wohin dieser Weg führen könnte. „Was heute noch in weiter Ferne erscheint, könnte schneller Realität werden, als man denkt.“

Schilz gibt abschließend zu bedenken: „Wir können also gar nicht vorsichtig genug sein, wenn es um den Schutz unserer Freiheitsrechte geht. Chat-Kontrolle löst keine Probleme. Es schafft neue!“

Weitere Informationen zum Thema:

wire
Über Wire: Sichere Kommunikation aus dem Herzen Berlins

wire, Hauke Gierow, 09.02.204
Wire ernennt Benjamin Schilz als CEO / Neuer CEO wird die internationale Expansion von Wire vorantreiben

datensicherheit.de, 21.06.2024
Chat-Kontrolle: Bitkom unterstützt Schutz der Kinder und Wahrung der Bürgerrechte / Mit der Chat-Kontrolle beabsichtigt die EU-Kommission, dass Web-Plattform-Anbieter ihre Dienste umfassend durchsuchen, um Darstellungen sexueller Gewalt gegen Kinder zu finden

datensicherheit.de, 14.02.2024
Chat-Kontrolle: Bundesdatenschutzbeauftragter fordert Einhaltung der Grundrechte in der EU / Prof. Ulrich Kelber nimmt Stellung zu den Verhandlungen über den EU-Verordnungsentwurf zur CSA-Verordnung

datensicherheit.de, 26.09.2023
Sofortiger Stopp der Chat-Kontrolle: Digitalcourage unterstreicht Forderung / In einer investigativen Recherche hat ZEIT ONLINE das umfangreiche Lobby-Geflecht zur geplanten Chat-Kontrolle offengelegt

datensicherheit.de, 10.02.2023
Chat-Kontrolle: Deutscher Anwaltverein warnt vor Totalüberwachung unter Deckmantel des Kinderschutzes / Gefährdung det Grundrechte aller Bürger durch EU-Pläne zur Chat-Kontrolle

datensicherheit.de, 19.10.2022
Chat-Kontrolle: Protest verbreitet sich europaweit / European Digital Rights startet Kampagne gegen Chat-Kontrolle unter dem Motto „Stop Scanning Me!“

datensicherheit.de, 10.10.2022
EU-Pläne zur Chat-Kontrolle: 20 zivilgesellschaftliche Organisationen üben Kritik in einem gemeinsamen öffentlichen Aufruf / Überwachungsinfrastruktur von erschreckendem Ausmaß könnte in der EU etabliert werden

datensicherheit.de, 18.08.2022
Chat-Kontrolle: Guter Zweck, zweifelhafte Mittel und verhängnisvolle Folgen / IT-Sicherheitsexpertin Patrycja Schrenk warnt vor anlassloser Chat-Massenüberwachung durch Echtzeit-Scans

[datensicherheit.de, 05.08.2025] hensec hat nach eigenen Angabe „eine neue Generation ziviler Luftraumüberwachung vorgestellt, die vollständig passiv arbeitet und damit ohne aktive Aussendungen oder Lizenzpflichten auskommt“. Ebenfalls wichtig sei in diesem Zusammenhang, dass sämtliche Systeme aus der EU stammten, also keinen für hiesige Firmen relevanten Export- bzw. Import-Bestimmungen unterlägen. Die Lösung richte sich an Betreiber Kritischer Infrastrukturen (KRITIS) wie Flughäfen, Energieanlagen, Tanklager oder Forschungseinrichtungen und basiere auf einem mehrschichtigen Sensorprinzip. Erfasst und klassifiziert werden demnach Flugobjekte aller Art – darunter Drohnen, Ultraleichtflugzeuge, Helikopter und sogar große Vögel – gar in Echtzeit. Dieses System könne stationär installiert oder mobil betrieben werden.

Gemeinsames Lagebild auf Basis dreier Sensorquellen

„Im Zentrum der Technologie stehen komplementäre Sensorquellen: Funkanalyse, passives Radar und Radiotelemetrie. Drei mobile Sensor-Einheiten werden strategisch um das zu überwachende Gebiet platziert.“ Ohne selbst Signale auszusenden, erfassten sie alles, was sich im Luftraum bewegt – sei es eine funkgesteuerte Drohne, ein Segelflugzeug oder ein Vogelschwarm.

• Die Daten aus Funk-, Radar- und Telemetriequellen würden dann in Echtzeit zu einem gemeinsamen Lagebild zusammengeführt, welches ein kontinuierliches Monitoring des unteren Luftraums ermögliche. „Diese Dreier-Kombination ist in dieser Form neu auf dem Markt“, erläutert hensec-Firmengründer Kevin Heneka hervor.

Bei der Funkdetektion kooperiert hensec eng mit dem deutschen Unternehmen Aaronia aus der Pfalz, beim passiven Radar mit Parasol aus Schleswig-Holstein. Die Radiotelemetrie kommt von airsenso aus Niedersachsen. Die Rechenzentren in Hessen und Thüringen sowie die Lagezentren in Baden-Württemberg und in Bayern bieten echte Digitale Souveränität. Alle beteiligten Partner seien in der EU ansässig.

hensec-Lösung verzichtet vollständig auf aktive Signale

Ergänzt werde das System durch eine GNSS-Schutzkomponente, welche auf Sensorik des polnischen Herstellers GPSPatron basiere. Damit ließen sich gezielte Störmanöver wie „GPS-Jamming“ oder „Spoofing“ frühzeitig erkennen. Besonders im Umfeld sensibler Infrastrukturen, wo Präzision und Integrität satelliten­gestützter Navigation von hoher Bedeutung seien, ergebe dies einen entscheidenden Sicherheitsvorteil.

• Die von hensec entwickelte Lösung verzichte vollständig auf aktive Signale, was nicht nur regulatorische Vorteile biete, sondern auch die Einsatzmöglichkeiten erheblich erweitere. Betreiber könnten das System beispielsweise temporär auf Veranstaltungen oder dauerhaft in Sicherheitszonen einsetzen, ohne mit Frequenzvergabe oder Genehmigungsverfahren konfrontiert zu werden.

Da die gesamte Entwicklung und Fertigung in Europa erfolge, unterliege die Technologie keinen Exportbeschränkungen und sei rechtlich unproblematisch im Hinblick auf Datenschutz und Systemhoheit. Heneka betont: „Wir sind wohl der einzige Anbieter auf dem Markt, der keinen ausländischen Konzern hinter sich hat oder wesentliche Komponenten von außerhalb der EU bezieht.“

Erprobtes hensec-System in Produktion und Logistik

Erprobt worden sei und werde das System bereits an mehreren Standorten. Darunter in energieintensiven Produktionsanlagen sowie in Bereichen der KRITIS-Sektoren Verkehr und Energie. Dort hätten sowohl autorisierte als auch nicht genehmigte Drohnenflüge eindeutig klassifiziert und in Echtzeit dokumentiert werden können.

• Eine Besonderheit sei die Möglichkeit zur automatisierten Unterscheidung zwischen genehmigten Einsätzen – etwa durch Rettungsdienste oder Presse – und potenziellen Bedrohungen, was die Luftraumkoordination erheblich vereinfache. So würden beispielsweise bei einem Rettungseinsatz alle Multikopter der verschiedenen beteiligten Organisationen wie Polizei und Feuerwehr gemeinsam auf einem einheitlichen Lagebild visualisiert.

Im Kontext wachsender Bedrohungslagen durch Drohnen und gezielte Signalstörungen biete das neue hensec-System einen Beitrag zur robusteren Absicherung des zivilen Luftraums. „Wir bieten für Unternehmen ein modulares, skalierbares Sicherheitskonzept, das auf europäische Anforderungen zugeschnitten ist und gleichzeitig flexibel in unterschiedlichen Szenarien eingesetzt werden kann“, so Heneka.

Bedrohung durch immer mehr Drohnen im zivilen Luftraum

Das Thema sei indes drängend: Immer häufiger würden Drohnen im zivilen Luftraum gesichtet – vor allem über Bereichen, die zur KRITIS zählten. Die jüngsten Vorfälle über Industrie- und Hafengeländen in Niedersachsen hätten Behörden alarmiert und eine Debatte über Luftraumsicherheit ausgelöst.

• In Wilhelmshaven seien z.B. im Mai und Juni 2025 mehrfach Drohnen über einem abgeschirmten Hafengelände beobachtet worden. Die Polizei habe schließlich mehrere Hobbypiloten ermittelt, welche ihre Fluggeräte offenbar aus Unwissenheit oder Fahrlässigkeit über sensiblen Zonen gesteuert hätten.

Auch an weiteren Standorten sei es in den vergangenen Monaten zu Zwischenfällen mit Drohnen gekommen, welche sich unautorisiert in als sicherheitsrelevant geltenden Lufträumen bewegt hätten. So habe es in Rheinland-Pfalz nach offiziellen Angaben in den ersten sechs Monaten dieses Jahres – 2025 – bereits fast genauso viele Meldungen wie im gesamten Vorjahr gegeben.

hensec empfiehlt umfassende Strategie zur Detektion potenziell gefährlicher Drohnen im zivilen Bereich

„Deutschland braucht eine umfassende Strategie zur Detektion potenziell gefährlicher Drohnen im zivilen Bereich“, fordert Heneka. Dabei müssten neben Flughäfen insbesondere Energieanlagen, große Industriekomplexe, Logistik-Knotenpunkte und Verkehrsinfrastruktur im Mittelpunkt stehen.

• In der Politik diskutiert würden derzeit vor allem technische Aufrüstungen, etwa durch stationäre Detektionssysteme, sowie mobile Überwachungseinheiten, die flexibel an sensiblen Orten eingesetzt werden könnten.

Heneka hebt abschließend hervor: „Genau das bieten wir heute schon an, und zwar komplett ,made in the EU’!“

Weitere Informationen zum Thema:

hensec secure solutions
In einer vernetzten und komplexen Welt muss Sicherheit ganzheitlich gedacht werden. / Ihre Sicherheit ist unsere Aufgabe.

LUFTRAUMÜBERWACHUNG
Unsichtbares sichtbar machen. / Zivile Luftraumüberwachung in Echtzeit. Komplett passiv. Lizenzfrei betreibbar. Made in EU. Ideal für kritische Infrastrukturen.

datensicherheit.de, 01.08.2025
Thailand: Plötzliches totales Drohnen-Verbot verhängt / Urlaubern drohten bei Missachtung Haft, hohe Strafen und Zerstörung der Drohne

datensicherheit.de, 10.07.2025
Schutz vor Auswirkungen von GNSS-Störungen: Kevin Heneka begrüßt EU-Vorschlag / Höchste Zeit, dass sich die Politik der zunehmenden Bedrohung durch GNSS-Störungen annimmt

datensicherheit.de, 15.04.2025
Luftfahrt-Infrastruktur unter Druck: Flugreisen in den Osterferien erhöhen Herausforderungen / Ostern als eine der Hauptreisezeiten könnte Probleme für Urlauber mit sich bringen, denn die Flugsicherungszentren haben u.a. mit Personalknappheit zu kämpfen

datensicherheit.de, 31.01.2025
Fokus der Unternehmen auf Cybersecurity vernachlässigt deren physische Sicherheit / Kevin Heneka warnt: Viele Unternehmen und Behörden konzentrieren ihre Sicherheits­maßnahmen zu einseitig auf Cybersecurity

datensicherheit.de, 21.08.2024
Cyber-Sicherheit in der Luftfahrt: Schutz vor digitalen Bedrohungen muss mit Transformation einhergehen / Untersuchungen von BlueVoyant zeigen deutlichen Anstieg digitaler Bedrohungen gegen die Luftfahrtindustrie

datensicherheit.de, 19.06.2018
Luftsicherheit in Deutschland: Einheitliche Standards und Vorgaben gefordert / Bundesverband für Luftsicherheit schlägt ständigen Bund-Länder-Ausschuss vor

datensicherheit.de, 28.06.2017
Bitkom-Positionspapier zur Cyber-Sicherheit in der Luftfahrt veröffentlicht / Branchenverband sieht bei der Pilotenausbildung Handlungsbedarf

[datensicherheit.de, 31.07.2025] Mit der NIS-2-Richtlinie beabsichtigt die Europäische Union (EU), die Cybersicherheit der europäischen Wirtschaft zu stärken und auf ein einheitlich hohes Niveau zu bringen. Die eigentliche Umsetzungsfrist im Oktober 2024 hat Deutschland verpasst – nun hat das Bundeskabinett am 30. Juli 2025 das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung beschlossen. Der Bitkom-Präsident, Dr. Ralf Wintergerst, kommentiert: „Die neue Bundesregierung kommt beim Thema Cybersicherheit voran. Die NIS-2-Richtlinie kann nicht nur einen einheitlichen Rahmen für Cybersicherheit in der ganzen EU schaffen, sondern auch die Sicherheit vor Cyberangriffen insgesamt erhöhen. Wichtig dafür ist, dass wir in Deutschland für eine Eins-zu-eins-Umsetzung der europäischen Vorgaben sorgen und auch in Einzelaspekten keinen nationalen Sonderweg einschlagen – die Unternehmen brauchen europaweit einheitliche Bedingungen!“

Foto: Bitkom

Dr. Ralf Wintergerst mahnt, auch in Einzelaspekten der NIS-2-Umsetzung keinen nationalen Sonderweg einzuschlagen

Gerade Bund und öffentliche Verwaltung müssten Vorreiter bei der Cybersicherheit gemäß NIS-2 sein

Allerdings gebe es im vorliegenden Regierungsentwurf noch dringenden Änderungsbedarf. Die Bundesverwaltung nehme sich weiterhin selbst von den strengeren Cybersicherheitsvorgaben aus.

Gerade der Bund und die öffentliche Verwaltung sollten und müssten aber Vorreiter bei der Cybersicherheit sein – „wir können uns angesichts der Bedrohungslage keine Sicherheitslücken leisten!“

Umsetzung von NIS-2 viel zu lange verschleppt

Für Unternehmen, bei denen nur ein Teil der Tätigkeit in Kritischen Geschäftsfeldern erfolgt, herrsche aufgrund unklarer Formulierungen Ungewissheit, „ob sie unter NIS-2 fallen werden oder nicht“. Weiterhin fehle eine erkennbare Abstimmung mit der geplanten Umsetzung der europäischen CER-Richtlinie.

Das parlamentarische Verfahren müsse jetzt genutzt werden, um diese Punkte zügig anzupassen und klarzustellen: „Nachdem die Umsetzung von NIS-2 viel zu lange verschleppt wurde und bereits ein Vertragsverletzungsverfahren der EU gegen Deutschland läuft, muss das Umsetzungsgesetz nach der Sommerpause im Bundestag beschlossen werden!“, fordert Wintergerst abschließend.

Weitere Informationen zum Thema:

Bundesministerium des Innern, 30.07.2025
Stärkerer Schutz vor Cyberangriffen: Bundesregierung bringt neues IT-Sicherheitsgesetz auf den Weg / Rund 29.500 Unternehmen sollen aktiv zur Cybersicherheit beitragen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält mehr Möglichkeiten zur Unterstützung und Kontrolle.

datensicherheit.de, 31.07.2025
NIS-2: eco begrüßt Kabinettsbeschluss – und moniert noch offene Fragen / Damit kehrt das Thema Cybersicherheit endlich auf die politische Bühne zurück – überfällig angesichts der sicherheitspolitischen Lage, so Ulrich Plate, Leiter der eco-Kompetenzgruppe „KRITIS“

datensicherheit.de, 30.07.2025
NIS-2: Nationales Umsetzungsgesetz soll Cybersicherheit der deutschen Wirtschaft stärken / Der TÜV-Verband begrüßt NIS-2-Umsetzung und fordert Nachbesserungen: Ausnahmeregelungen seien zu schärfen oder zu streichen, damit Unternehmen klare Vorgaben erhalten, wie Nachweise für die Umsetzung zu erbringen sind

datensicherheit.de, 15.07.2025
Erfahrungsbericht WienIT: Reduzierung des Backup-Datenspeichers um 50 Prozent und NIS-2-Konformität / WienIT sorgt im Hintergrund dafür, dass die IT-Infrastruktur der Wiener Stadtwerke-Gruppe nebst wichtiger Back-Office-Prozesse und Services möglichst reibungslos zur Verfügung steht

datensicherheit.de, 07.07.2025
Neuer ISACA-Leitfaden: Navigationshilfe für Unternehmen durch NIS-2- und DORA-Vorschriften / Selbst nach der ersten Jahreshälfte 2025 haben viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden

datensicherheit.de, 06.07.2025
NIS-2: Vereinheitlichung der Meldewege für IT-Sicherheitsvorfälle und Datenpannen gefordert / Die unabhängigen Datenschutzaufsichtsbehörden der Länder sprechen sich für deutliche Entlastung der Verantwortlichen bei Erfüllung der NIS-2-Meldepflichten aus

datensicherheit.de, 06.07.2025
NIS-2: DAV-Forderung nach Einbindung der Cloud-Anbieter / Mit der NIS-2-Richtlinie soll ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union EU geschaffen werden

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

[datensicherheit.de, 31.07.2025] Auch der eco – Verband der Internetwirtschaft e.V. hat sich zu der von der Bundesregierung am 30. Juli 2025 beschlossenen Verabschiedung des Kabinettsbeschlusses zur Umsetzung der NIS-2-Richtlinie positioniert: Damit rücke Cybersicherheit nun wieder auf die politische Agenda – mit spürbaren Auswirkungen für Unternehmen in Kritischen Sektoren. „Die Bundesregierung hat heute endlich geliefert: Der Kabinettsbeschluss zur Umsetzung der NIS-2-Richtlinie ist verabschiedet worden“, kommentiert Ulrich Plate, Leiter der eco-Kompetenzgruppe „KRITIS“ und begrüßt diesen Schritt: „Damit kehrt das Thema Cybersicherheit endlich auf die politische Bühne zurück – überfällig angesichts der sicherheitspolitischen Lage. Die EU-Richtlinie verlangt nicht weniger als eine strukturelle Modernisierung der Sicherheitsarchitektur kritischer Infrastrukturen.“

Foto: eco

eco-KRITIS-Experte Ulrich Plate: Wer frühzeitig für Klarheit sorgt, stärkt nicht nur die eigene „Compliance“, sondern auch die betriebliche Resilienz!

„Vernachlässigbare“ Kritische Tätigkeit: Politisch pragmatische Formulierung laut eco indes europarechtlich heikel

Doch dieser Kabinettsbeschluss sei „nur der Auftakt“, so Plate und betont: „Die eigentliche Arbeit beginnt erst jetzt, im parlamentarischen Verfahren. Dort wird sich zeigen, ob die Bundesregierung wirklich bereit ist, bei Ausnahmen, Zuständigkeiten und Übergangsfristen für Klarheit zu sorgen. Denn auch nach der jüngsten Überarbeitung bleiben zentrale Fragen offen.“

So etwa bei den geplanten Ausnahmen für Unternehmen mit vermeintlich „vernachlässigbarer“ Kritischer Tätigkeit. Was politisch pragmatisch klinge, sei europarechtlich heikel. Sollte diese Regelung vor dem EuGH scheitern, drohten Vertragsverletzungsverfahren und ein Rückfall in die Unsicherheit, „die NIS-2 eigentlich beenden sollte“.

eco drängt auf Harmonisierung und warnt vor „europäischem Flickenteppich“

Die europäische Dimension verdiene mehr Aufmerksamkeit, fordert Plate. Während Deutschland noch abstimme, schafften andere Mitgliedstaaten bereits nationale Fakten; allerdings nicht immer im Geiste der Harmonisierung. So setze etwa Italien auf eigene Interpretationen, was das Risiko eines „regulatorischen Flickenteppichs“ erhöhe. „Deutschland täte gut daran, hier nicht ebenfalls zum Alleingang anzusetzen!“

• Immerhin nehme die Umsetzungsbasis nun Gestalt an. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereite sich organisatorisch auf seine Aufgaben vor – unter anderem mit einem geplanten Melde- und Registrierungsportal, über welches Unternehmen künftig ihre Betroffenheit anzeigen und Sicherheitsvorfälle melden sollten.

Für Unternehmen bedeutet das: „Jetzt ist der richtige Zeitpunkt, um aktiv zu werden. Dazu gehört nicht nur die Überprüfung bestehender Sicherheitsarchitekturen, sondern vor allem auch die Schärfung interner Risikoanalysen, die eine der zentralen Anforderungen von NIS-2 darstellt. Wer frühzeitig für Klarheit sorgt, stärkt nicht nur die eigene ,Compliance’, sondern auch die betriebliche Resilienz!“, gibt Plate abschließend mit auf den Weg.

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
KRITIS

Bundesministerium des Innern, 30.07.2025
Stärkerer Schutz vor Cyberangriffen: Bundesregierung bringt neues IT-Sicherheitsgesetz auf den Weg / Rund 29.500 Unternehmen sollen aktiv zur Cybersicherheit beitragen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält mehr Möglichkeiten zur Unterstützung und Kontrolle.

datensicherheit.de, 31.07.2025
Bitkom-Forderung, das NIS-2-Umsetzungsgesetz nach der Sommerpause endgültig im Bundestag zu verabschieden / Das Bundeskabinett hat am 30. Juli 2025 das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung beschlossen

datensicherheit.de, 30.07.2025
NIS-2: Nationales Umsetzungsgesetz soll Cybersicherheit der deutschen Wirtschaft stärken / Der TÜV-Verband begrüßt NIS-2-Umsetzung und fordert Nachbesserungen: Ausnahmeregelungen seien zu schärfen oder zu streichen, damit Unternehmen klare Vorgaben erhalten, wie Nachweise für die Umsetzung zu erbringen sind

datensicherheit.de, 15.07.2025
Erfahrungsbericht WienIT: Reduzierung des Backup-Datenspeichers um 50 Prozent und NIS-2-Konformität / WienIT sorgt im Hintergrund dafür, dass die IT-Infrastruktur der Wiener Stadtwerke-Gruppe nebst wichtiger Back-Office-Prozesse und Services möglichst reibungslos zur Verfügung steht

datensicherheit.de, 07.07.2025
Neuer ISACA-Leitfaden: Navigationshilfe für Unternehmen durch NIS-2- und DORA-Vorschriften / Selbst nach der ersten Jahreshälfte 2025 haben viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden

datensicherheit.de, 06.07.2025
NIS-2: Vereinheitlichung der Meldewege für IT-Sicherheitsvorfälle und Datenpannen gefordert / Die unabhängigen Datenschutzaufsichtsbehörden der Länder sprechen sich für deutliche Entlastung der Verantwortlichen bei Erfüllung der NIS-2-Meldepflichten aus

datensicherheit.de, 06.07.2025
NIS-2: DAV-Forderung nach Einbindung der Cloud-Anbieter / Mit der NIS-2-Richtlinie soll ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union EU geschaffen werden

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

[datensicherheit.de, 31.07.2025] Der eco – Verband der Internetwirtschaft e.V. erinnert in seiner aktuellen Stellungnahme, dass vor einem Jahr – am 1. August 2024 – der europäische „AI Act“ in Kraft getreten ist – gewissermaßen ein historischer Meilenstein für die globale Regulierung Künstlicher Intelligenz (KI). Europa habe damit umfassende Maßstäbe gesetzt – doch in Deutschland fehle der Digitalwirtschaft weiterhin die notwendige Orientierung. Der eco sieht in der Regulierung neue Chancen für den digitalen europäischen Binnenmarkt, warnt aber zugleich vor Versäumnissen: Unternehmen fehle es an konkreten Standards, an Rechtssicherheit – und an einer verlässlichen politischen Perspektive. Das Risiko laut eco: „Deutschland droht, den Anschluss an die nächste Welle der KI-Innovation zu verlieren.“

Bild: eco

Oliver Süme: Jetzt braucht es Klarheit, Verbindlichkeit und das Vertrauen in die digitale Wirtschaft, um KI „Made in Europe“ zum Erfolgsmodell zu machen!

eco kritisiert Innovationsstau und Schwächung der Position Deutschlands im globalen KI-Wettbewerb

„Der ,AI Act’ soll für einheitliche Regeln im europäischen Binnenmarkt sorgen – aktuell schafft er aber vor allem Rechtsunsicherheit. Das führt zu einem Innovationsstau und schwächt unsere Position im globalen KI-Wettbewerb. Auch eine Aussetzung einzelner Vorgaben sollte darum offen diskutiert werden“, kommentiert Oliver Süme, der eco-Vorstandsvorsitzende.

• Mit dem „AI Act“ habe die EU einen weltweit einzigartig umfassenden Ordnungsrahmen für KI geschaffen. Ob dies ein echter Vorteil wird oder sich zu einem Hemmnis auswirkt, müsse sich indes noch zeigen. Doch ein Jahr nach Inkrafttreten überwiege in vielen Unternehmen nicht Zuversicht, sondern Unsicherheit: Laut aktuellem „eco Branchenpuls“ nennen 41 Prozent der IT-Entscheider die unklare Rechtslage als größte Hürde beim KI-Einsatz – noch vor Sicherheitsbedenken (40%) und fehlendem Know-how (30%).

„Der ,AI Act’ ist in Kraft – doch die praktische Umsetzung bleibt unklar. Fehlende behördliche Zuständigkeiten in Deutschland, keine klaren Leitlinien und die mangelnde Verzahnung mit bestehendem Recht bremsen die Innovationskraft der Unternehmen massiv“, moniert Süme.

eco warnt vor Digitaler Kluft – ein internes Risiko für Deutschland

Besonders kritisch demnach: „Die ,digitale Schere’ zwischen Ost- und Westdeutschland geht weiter auseinander. Während im Westen bereits über 70 Prozent der Unternehmen KI einsetzen, liegt der Anteil im Osten bei nur rund 52 Prozent.“ Süme warnt daher: „Diese Entwicklung gefährdet nicht nur die Digitale Teilhabe, sondern auch die wirtschaftliche Einheit Deutschlands!“ – KI dürfe kein Standortprivileg sein, sie müsse für alle nutzbar und zugänglich sein.

Angesichts der bereits geltenden Pflichten – etwa zur Mitarbeiter-Schulung, Risikobewertung oder Systemklassifizierung – fordert der eco nun konkrete und praxisnahe Schritte:

• Einheitliche Standards für KI-Kompetenz, Risikomanagement, Konformitätsprüfungen sowie die Risikotaxonomie
• Klare nationale Umsetzungsregeln im Einklang mit den europäischen Vorgaben, die Rechts- und Planungssicherheit schaffen sowie den Unternehmen feste Ansprechpartner zur Seite zur stellen
• Koordinierte Verzahnung mit bestehenden Regulierungen, insbesondere der DSGVO oder dem DSA
• Monitoring der Umsetzung, um Fehlentwicklungen frühzeitig zu erkennen und nachzusteuern
• Instrumente für die Innovationsförderung zur Verfügung stellen, etwa die vorgesehenen Reallabore für KI

eco-Fazit: Regulierung notwendig – aber erst Handlungsfähigkeit hinreichend

Mit dem „AI Act“ habe die EU den Grundstein für einheitliche Regeln im europäischen Binnenmarkt gelegt. Doch dieser Anspruch stehe bzw. falle mit der Umsetzung.

• „Deutschland darf nicht der Ort sein, wo große europäische Ideen in der nationalen Umsetzung scheitern“, fordert Süme.

Sein abschließendes Plädoyer: „Jetzt braucht es Klarheit, Verbindlichkeit und das Vertrauen in die digitale Wirtschaft, um KI ,Made in Europe’ zum Erfolgsmodell zu machen.“

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT, 21.07.2025
Politik & Recht / Rechtsrahmen ohne Richtung: Unternehmen in der Warteschleife

datensicherheit.de, 22.07.2025
KI-Nutzung – unklare Rechtslage und Sicherheitsbedenken größte Hürden für Unternehmen / Laut aktuellem „eco Branchenpuls“ sehen nur zehn Prozent der IT-Entscheider Deutschland gut gerüstet für die nächste KI-Revolution

datensicherheit.de, 05.02.2025
AI Act der EU verbietet bestimmte KI-Systeme und verpflichtet zur -Kompetenz / Die neue Regelung setzt das Verbot bestimmter KI-Systeme durch und legt Anforderungen an die -Kenntnisse der Beschäftigten fest

datensicherheit.de, 04.02.2025
„AI Act“: Seit dem 2. Februar 2025 weitere Regelungen der europäischen KI-Verordnung in Kraft / Eigentlich sollte der „AI Act“ für Rechtssicherheit in Europa sorgen – aktuell droht das genaue Gegenteil, so die Bitkom-Kritik

datensicherheit.de, 03.02.2025
AI Act: eco-Kommentar zum Inkrafttreten – nationale Gesetzgebung muss Vision und Praxis vereinen! / Ab dem 2. Februar 2025 verbietet der „AI Act“ Manipulation durch KI, „Social Scoring“ und biometrische Fernidentifikation in Echtzeit

[datensicherheit.de, 18.07.2025] Künstliche Intelligenz (KI) ist ganz offensichtlich eines der Themen, welches die Gesellschaft, Wirtschaft und auch die Politik derzeit in unterschiedlicher Ausprägung sehr beschäftigt. In diesem Zusammenhang hat die EU einen freiwilligen Verhaltenskodex zur verantwortungsvollen Entwicklung und Nutzung der KI erstellt. Jeremy London, „Director Engineering, AI & Threat Analytics“ bei Keeper Security, führt indes in seinem aktuellen Kommentar aus, dass auch darin noch wichtige Fragen offen blieben: Dazu gehörten beispielsweise die Sicherheit von vertraulichen bzw. geheimen Daten sowie der Schutz von Anmeldedaten oder Daten in privilegierten Systemen. Denn wenn ein KI-Agent ohne angemessene „Governance“ Zugangsdaten abrufen oder verwalten könne, könnte dies unbeabsichtigt dazu führen, dass er interne Zugriffskontrollen umgeht oder „Compliance“-Standards verletzt.

Foto: Keeper Security

Jeremy London: Zweifellos lässt sich durch die Integration von KI ein deutlicher Produktivitätsgewinn erzielen. Dieser Gewinn bringt jedoch auch ein wachsendes Risiko mit sich!

KI-Modelle könnten Zugriff auf einige der sensibelsten Daten erhalten

Der Schwerpunkt des neuen freiwilligen EU-Verhaltenskodexes für KI liege verständlicherweise auf der verantwortungsvollen KI-Entwicklung. „Doch indirekt wirft er auch die Frage nach einem weiteren wichtigen Pfeiler der gewissenhaften Einführung auf – der Sicherheit bei der Nutzung von KI.“

• KI-Systeme würden in vielen Unternehmen zunehmend in den täglichen Betrieb integriert. Ein Großteil der bisherigen Diskussionen, Empfehlungen und Gesetzgebungsvorhaben zum Thema „Compliance“ konzentriere sich darauf, „wie KI-Modelle aufgebaut sind, um zu funktionieren, und nicht darauf, wie sie von Endnutzern eingesetzt und genutzt werden“.

Unternehmen trainierten KI heute nicht nur, sondern setzten sie auch ein und nutzten „Agentic AI“ in verschiedenen Abteilungen, um Berichte zu erstellen, Arbeitsabläufe zu automatisieren und auf interne oder externe Systeme zuzugreifen. Damit gewährten sie KI-Modellen Zugriff auf einige der sensibelsten Daten, über die ein Unternehmen verfügt.

Jeder KI-Assistent, jedes Skript und jede Modellschnittstelle potenzieller Angriffspunkt

London verdeutlicht: „Sicherheitsverantwortliche stehen in diesem Szenario vor einer doppelten Herausforderung. Zweifellos lässt sich durch die Integration von KI ein deutlicher Produktivitätsgewinn erzielen. Dieser Gewinn bringt jedoch auch ein wachsendes Risiko mit sich!“

• Jeder KI-Assistent, jedes Skript und jede Modellschnittstelle sei nämlich ein potenzieller Angriffspunkt, insbesondere bei der Interaktion mit Anmeldedaten oder privilegierten Systemen.

Die Anwendung von Secure-by-Design-Prinzipien ende nicht mit der Entwicklung der KI, sondern müsse sich auch auf die Integration, den Einsatz und die Überwachung von KI erstrecken. „Dies ist ein wichtiger Aspekt, den Unternehmen neben dem von der EU empfohlenen Regulierungsrahmen berücksichtigen müssen“, betont London.

Grundsätzlich sollten KI-Agenten wie alle anderen privilegierten Benutzer oder Anwendungen behandelt werden

Unternehmen sollten die Einführung eines „Model Context Protocol“ (MCP) für die Integration von „Agentic AI“ ernsthaft in Betracht ziehen. MCP ermögliche es Unternehmen, KI-Tools von Drittanbietern oder aus dem eigenen Haus mit privilegierten Systemen zu verbinden, ohne Zero-Trust-Grenzen zu verletzen oder Zero-Knowledge-Architekturen zu gefährden.

• London führt aus: „Wenn ein KI-Agent ohne angemessene ,Governance’ Zugangsdaten abrufen oder verwalten kann, könnte dies unbeabsichtigt dazu führen, dass er interne Zugriffskontrollen umgeht oder ,Compliance’-Standards verletzt. Grundsätzlich sollten KI-Agenten wie alle anderen privilegierten Benutzer oder Anwendungen behandelt werden.“

Das bedeutet demnach Zugriff mit geringsten Privilegien, menschliche Aufsicht, vollständige Prüfpfade und ausdrückliche Freigabe durch Administratoren. „Werden solche Sicherheitsvorkehrungen nicht umgesetzt, könnte dies die Rahmenwerke für den Datenschutz, die Unternehmen in den letzten zehn Jahren mühsam aufgebaut haben, erheblich untergraben.“

Souveräne KI legt Verantwortung wieder zurück in die Hände der Unternehmen

Die Initiative der EU, die KI-„Governance“ durch freiwillige Kodizes zu gestalten, sei ein willkommener Schritt.

• „Aber technische und operative Kontrollen müssen parallel dazu weiterentwickelt werden, um sicherzustellen, dass die Einführung und Operationalisierung von KI-Systemen wohlüberlegt, beabsichtigt und reguliert erfolgt.“

Abschließend unterstreicht London: „Souveräne KI legt die Verantwortung wieder in die Hände der Unternehmen, die ihre eigenen Nutzungsrichtlinien, Zugriffskontrollen und Regeln für die Daten-,Governance’ definieren und durchsetzen müssen.“

Weitere Informationen zum Thema:

KEEPER
Wir sind Keeper Security

Europäische Kommission
Erstellung eines allgemeinen KI-Verhaltenskodex

datensicherheit.de, 08.07.2025
VDI-Forderung nach gezielter KI-Kompetenz für Ingenieurarbeit / Der VDI beabsichtigt, seine Rolle als unabhängige Plattform für Wissensaustausch, ethische Orientierung und politische Positionierung auch auf dem Gebiet der KI ausbauen

datensicherheit.de, 04.07.2025
Intensive KI-Nutzung in Unternehmen – Entwicklung von Richtlinien und Governance fällt zurück / Nicht einmal ein Drittel der Unternehmen verfügt über eine formelle, umfassende KI-Richtlinie

datensicherheit.de, 01.07.2025
Datenqualität in KI-Systemen: BSI stellt methodischen Leitfaden vor / Die europäische KI-Verordnung definiert Qualitätsanforderungen an KI-Trainingsdaten, die Aspekte wie Relevanz, Fehlerfreiheit und Vollständigkeit abdecken.

datensicherheit.de, 24.02.2025
Responsible AI: Vertrauen, Security und Governance sind Voraussetzungen / Immer mehr Unternehmen setzen auf die Implementierung von KI als Kernbestandteil ihrer Geschäftsstrategie

[datensicherheit.de, 17.07.2025] Der Verbraucherzentrale Bundesverband (vzbv) hat eine Stellungnahme zum „Call for Evidence“ für den „Digital Networks Act“ (DNA) abgegeben: Der vzbv warnt, dass dieser geplante DNA „ein erster Schritt hin zur Einführung von Netzgebühren“ sein könnte. „Zudem könnten zentrale Verbraucherrechte im Telekommunikationssektor abgeschwächt werden.“ Das Gesetzespaket solle die Grundlage für eine zukunftsfähige digitale Infrastruktur in der Europäischen Union (EU) bilden. Die Europäische Kommission plant demnach, den Entwurf bis Ende 2025 zu veröffentlichen.

Abbildung: vzbv

vzbv-Stellungnahme vom 11. Juli 2025: „PUTTING CONSUMERS AT THE CENTRE OF
THE DIGITAL NETWORKS ACT“

vzbv moniert faktische Abschaffung der Netzneutralität

Die Europäische Kommission erwäge, einen Streitbeilegungsmechanismus für Telekommunikationsunternehmen und Inhalteanbieter einzuführen. Bei Uneinigkeiten könnte dann als Schlichtungsvorschlag die Zahlung von Netzgebühren durch die Inhalteanbieter ins Spiel gebracht werden.

• „Das wäre der erste Schritt hin zur Abschaffung der Netzneutralität. Aus Verbrauchersicht wäre das höchst problematisch!“, so Lina Ehrig, Leiterin des vzbv-Teams „Digitales und Medien“.

Sie führt aus: „Wenn nicht mehr alle Daten gleichbehandelt werden, könnten sich kleinere Marktteilnehmer zurückziehen. Das führt dann zu weniger Auswahl und höheren Preisen für Verbraucherinnen und Verbraucher.“

vzbv-Kritik und -Forderungen nach Einhaltung hoher Verbraucherschutzstandards

Inhalte-Anbieter sind laut Ehrig etwa Streamingdienste oder Online-Medien. „Sie würden dazu aufgefordert, Gebühren an die Telekommunikationsunternehmen für die Nutzung ihrer Netzinfrastruktur zu zahlen – obwohl diese verpflichtet sind, den gesamten Datenverkehr im Internet gleich zu behandeln.“

• Auch zentrale Verbraucherrechte könnten durch dieses Gesetzespaket abgeschwächt werden. Die Europäische Kommission erwäge, Informationspflichten für Anbieter zu reduzieren und Verbraucherschutzstandards bei Anbieterwechseln abzuschwächen.

Der vzbv fordert daher:

1. Keine Einführung von Netzgebühren durch die Hintertür!
   Die Einführung eines Streitbeilegungsmechanismus sei nicht notwendig und dürfe nicht mittelbar zur Einführung von Netzgebühren führen.
2. Verbraucherrechte erhalten!
   Die hohen Verbraucherschutzstandards im Telekommunikationssektor dürften im Rahmen einer Vereinfachung der Regelungen nicht abgeschwächt werden.
3. Kupfer-Glasfaser-Migration verbrauchergerecht ausgestalten!
   Der Umstellungsprozess von alten Kupferkabeln auf moderne Glasfaserinfrastruktur müsse transparent und freiwillig erfolgen und dürfe nicht zu erheblichen Preissteigerungen für die Verbraucher führen.

Weitere Informationen zum Thema:

verbraucherzentrale Bundesverband, 11.07.2025
PUTTING CONSUMERS AT THE CENTRE OF THE DIGITAL NETWORKS ACT / Statement from the Federation of German Consumer Organisations (Verbraucherzentrale Bundesverband – vzbv) on the European Commission’s call for evidence on the planned Digital Networks Act

datensicherheit.de, 29.06.2025
Kupfer-Glas-Migration: Verbraucherzentrale fordert Verhinderung von Versorgungslücken und Preissteigerungen / Der Verbraucherzentrale Bundesverband hat Stellung zum betreffenden Impulspapier der Bundesnetzagentur genommen

datensicherheit.de, 15.03.2018
DIVSI-Umfrage: Netzneutralität soll bleiben / Zum heutigen Weltverbrauchertag: Deutsche Bevölkerung will im Internet gleiche Übertragungsgeschwindigkeit für alle.

datensicherheit.de, 13.10.2016
DDoS-Angriffe: Netzneutralität keine Ausrede mehr für mangelnde Cyber-Sicherheit / Internet-Service-Provider könnten für jeden Kunden individuelle Richtlinien und Grenzwerte definieren

datensicherheit.de, 08.08.2016
Netzneutralität: Mehr als 500.000 Eingaben auf dem Weg zur Bundesnetzagentur / Auslieferung am 9. August 2016 in Bonn mit der Forderung, ein freies, faires und vielfältiges Internet zu erhalten

[datensicherheit.de, 14.07.2025] Getronics nimmt einen Cyberangriff auf Ameos Kliniken zum Anlass für eine Stellungnahme – dieser unterstreicht demnach die Dringlichkeit der EU-Cybersicherheitsmaßnahmen im Gesundheitswesen. Der aktuelle Hacker-Angriff auf die Ameos Klinikgruppe hat demnach seit dem 7. Juli 2025 zu erheblichen IT-Ausfällen an allen deutschen Standorten führt – dieser stehe beispielhaft für die zunehmende Bedrohung Kritischer Infrastrukturen (KRITIS) im Gesundheitswesen. Der aktuelle Fall Ameos zeige deutlich: „Cybersicherheit ist keine reine IT-Frage mehr, sondern essenziell für die kontinuierliche Patientenversorgung und den Schutz sensibler Gesundheitsdaten.“

Ameos bezeichnet Patientenversorgung als gesichert…

Die Folgen dieses Angriffs seien weitreichend und zeigten die Verwundbarkeit von Gesundheitseinrichtungen gegenüber Cyberangriffen auf.

• „Obwohl Ameos die Patientenversorgung als gesichert bezeichnet, berichten Betroffene von schwarzen Bildschirmen, beeinträchtigter Kommunikation mit Rettungsleitstellen und eingeschränkter Notfallversorgung.“

Die digitalen Dienste inklusive E-Mail-Verkehr seien seit Tagen gestört, was die Überprüfung von Behandlungsplätzen erschwere und zu verlängerten Transportwegen für Rettungswagen führe.

Fall bei Ameos Teil einer besorgniserregenden Entwicklung

Dieser Angriff unterstreiche die Relevanz des im Januar 2025 von der Europäischen Kommission vorgestellten „European Action Plan on the Cybersecurity of Hospitals and Healthcare Providers“.

• Dieser sehe einen vielschichtigen Ansatz vor – basierend auf vier Säulent: Prävention, Erkennung, Reaktion und Wiederherstellung sowie Abschreckung.

Mit 309 gemeldeten schwerwiegenden Vorfällen allein im Jahr 2023 sei der Gesundheitssektor das am häufigsten angegriffene Ziel im KRITIS-Bereich. „Der aktuelle Fall bei Ameos reiht sich in diese besorgniserregende Entwicklung ein.“

Ameos-Vorfall – EU-Aktionsplan gewinnt an Bedeutung

Vor dem Hintergrund des EU-Aktionsplans und aktueller Vorfälle seien umfassende Risikobewertungen der IT-Systeme, die Aktualisierung veralteter Software und die Verbesserung der Netzwerksicherheit unerlässlich.

• Mitarbeiterschulungen in sicheren Cyberpraktiken müssten intensiviert werden, um menschliche Fehler zu reduzieren. Ebenso wichtig seien robuste Incident-Response-Pläne mit regelmäßigen Sicherheitsübungen sowie die frühzeitige Implementierung von Frühwarnsystemen, „wie sie ab 2026 EU-weit vorgesehen sind“.

Umfassende Wiederherstellungspläne und funktionierende Backup-Systeme seien entscheidend für die Aufrechterhaltung des Klinikbetriebs im Angriffsfall.

Weitere Informationen zum Thema:

NDR, 09.07.2025
Hackerangriff auf IT-Systeme an den Ameos-Kliniken

European Commission
Public Health / European action plan on the cybersecurity of hospitals and healthcare providers

getronics
A proud history / Empowering your business since 1887

datensicherheit.de, 04.04.2025
IT in Krankenhäusern: SIT-Sicherheitsstudie deckt signifikante Schwachstellen auf / SIT-Forscher fanden Schwachstellen in Informationssystemen für Krankenhäuser

datensicherheit.de, 15.07.2021
Klinik-IT zunehmend im Visier Cyber-Krimineller / Jetzt gilt es, Geld in die Hand zu nehmen, um die IT in Krankenhäusern vor Angriffen Cyber-Krimineller zu schützen

datensicherheit.de, 15.09.2020
Düsseldorfer Universitätsklinikum: IT-System dieser KRITIS offenbar vollständig ausgefallen / Jürgen Venhorst kommentiert Vorfall und fordert besondere Vorkehrungen im Bereich der KRITIS

[datensicherheit.de, 10.07.2025] „Es wird höchste Zeit, dass sich die Politik der zunehmenden Bedrohung durch Störungen globaler Navigationssysteme wie ,GPS’ und ,Galileo’ annimmt“, fordert Kevin Heneka, Inhaber der Sicherheits­firma hensec, in seiner aktuellen Stellungnahme. Daher begrüßt er den vom Generalsekretariat des Rates der Europäischen Union (Ministerrat) vorgelegten Aufruf „Call for common actions in response to Global Satellite Navigation Systems (GNSS) jamming and spoofing threats“. GNSS sind globale Satellitennavigationssysteme, welche eine präzise Positionsbestimmung und Zeitmessung auf der ganzen Welt ermöglichen – dazu gehören unter anderem „GPS“ (USA), „Galileo“ (EU), „Glonass“ (Russland) und „Beidou“ (China).

Schulungen für Piloten, Fluglotsen und Flugsicherungspersonal hinsichtlich GNSS-Störungen sollten intensiviert werden

In dem jüngsten Aufruf des Rates der Europäischen Union (EU) werden sieben Forderungen erhoben, welche sich an die für das Transportwesen zuständigen nationalen Fachminister in den Ländern der EU richten.

• Dazu gehört u.a., die Abhängigkeit des Transportwesens von GNSS zu verringern und alternative Systeme einzuführen.

Ferner gelte es, die Schulungen für Piloten, Fluglotsen und Flugsicherungspersonal in Bezug auf GNSS-Störungen zu intensivieren, die Zusammenarbeit zwischen Industrie und Herstellern bei Abwehrmaßnahmen zu fördern, Betreiber Kritischer Infrastrukturen (KRITIS) auf die GNSS-Risiken hinzuweisen und branchenspezifische Aktionspläne (Weltraum, Luftfahrt, Seefahrt, Telekommunikation) zur koordinierten Reaktion zu entwickeln.

GNSS-Störungen als zunehmende Bedrohung

Satellitennavigationssysteme seien das Rückgrat unserer modernen Gesellschaft. „Sie steuern nicht nur Navigationssysteme in Autos und Smartphones, sondern sind auch für Kritische Infrastrukturen unerlässlich – von der präzisen Zeitmessung in Finanzmärkten über die Steuerung von Telekommunikationssystemen bis hin zur Navigation in Luft- und Seefahrt.“

• Doch diese fundamentale Abhängigkeit mache GNSS-Signale zu einem Ziel für Störsender, sogenannte „Jammer“ und „Spoofer“, welche die Signale blockieren bzw. manipulieren könnten. „Die EU hat diese wachsende Bedrohung endlich erkannt und beginnt Maßnahmen zu ergreifen, um die Resilienz Europas gegenüber GNSS-Störungen zu erhöhen“, erläutert Heneka.

Insbesondere Kritische Infrastrukturen und Services müssten verstärkt geschützt werden, heißt es im Aufruf des Rates der Europäischen Union. Heneka betont: „hensec verfügt schon heute über die notwendigen Hard- und Softwaresysteme, um genau diese Anforderungen an den Schutz Kritischer Infrastrukturen zu erfüllen und die Resilienz von GNSS-Anwendungen zu stärken.“

Weitere Informationen zum Thema:

Council of the European Union, 04.06.2025
Call for common actions in response to Global Satellite Navigation Systems (GNSS) jamming and spoofing threats

hensec secure solutions
Unternehmensprofil / In einer vernetzten und komplexen Welt muss Sicherheit ganzheitlich gedacht werden

datensicherheit.de, 31.01.2025
Fokus der Unternehmen auf Cybersecurity vernachlässigt deren physische Sicherheit / Kevin Heneka warnt: Viele Unternehmen und Behörden konzentrieren ihre Sicherheits­maßnahmen zu einseitig auf Cybersecurity

[datensicherheit.de, 06.07.2025] In ihrer Stellungnahme vom 4. Juli 2025 widmet sich Rechtsanwältin Dr. Kristina Schreiber, Mitglied im Ausschuss „Informationsrecht“ des Deutschen Anwaltvereins e.V. (DAV), der Umsetzung der NIS-2-Richtlinie – mit dieser soll ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union (EU) geschaffen werden. In einer Anhörung des Bundesministeriums des Innern (BMI) hat der DAV an diesem Tag mehrere Verbesserungsvorschläge zum deutschen Gesetzentwurf unterbreitet.

Bei NIS-2-Umsetzung auch sonstige IT-System-Anbieter, insbesondere solche von „Cloud“-Diensten, adressieren

Schreiber betont: „Wir begrüßen die gründliche Umsetzung der NIS-2-Richtlinie. Wenn die Hersteller von IT-Systemen in den Fokus genommen werden, dürfen aber auch die übrigen IT-System-Anbieter, insbesondere solche von ,Cloud’-Diensten, nicht vergessen werden!“

An diese Anbieter, aber auch Auslagerungsunternehmen, sollten ebenfalls hohe Standards angelegt werden. „Bisher werden die gesetzlichen Normen nicht zuverlässig per Vertrag von Auftraggebern an ihre Auslagerungsunternehmen weitergereicht“, kommentiert Schreiber.

Bewältigung des Schadensfalles sollte Priorität vor der NIS-2-Meldepflicht haben

Außerdem regt der DAV an, bei Sicherheitsvorfällen noch vor der Meldepflicht zunächst die Bewältigung des Vorfalls zu priorisieren. Zur Begründung: „Nach dem aktuellen Entwurf könnten während der Erfüllung der Meldepflicht personelle Ressourcen bei der Bewältigung fehlen.“

Der Entwurf in seiner aktuellen Form sei durch sich überschneidende Begriffsebenen und zahlreiche Querverweise aber nur schwer zu durchdringen. „Hier sollte der Gesetzgeber prüfen, ob redundante Regelungen gestrichen und der Text so vereinfacht werden kann – zum Beispiel durch engere Orientierung an der ursprünglichen Richtlinie“, gibt Schreiber abschließend zu bedenken.

Weitere Informationen zum Thema:

DeutscherAnwaltVerein
Ausschuss Informa­ti­onsrecht

Loschelder Rechtsanwälte
Berater / Dr. Kristina Schreiber

OpenKRITIS
Meldepflichten

datensicherheit.de, 06.07.2025
NIS-2: Vereinheitlichung der Meldewege für IT-Sicherheitsvorfälle und Datenpannen gefordert / Die unabhängigen Datenschutzaufsichtsbehörden der Länder sprechen sich für deutliche Entlastung der Verantwortlichen bei Erfüllung der NIS-2-Meldepflichten aus

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

datensicherheit.de, 07.02.2025
Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken! / Laut aktueller Manager-Umfrage ist sich nur knapp die Hälfte ihrer Verantwortung für Cyber-Sicherheit bewusst

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie