KMU – datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Fri, 10 Jul 2026 12:26:35 +0000 de hourly 1 ISMS: Sieben Tipps für mehr Datensicherheit in KMU https://www.datensicherheit.de/isms-7-tipps-datensicherheit-kmu https://www.datensicherheit.de/isms-7-tipps-datensicherheit-kmu#respond Fri, 10 Jul 2026 12:26:34 +0000 https://www.datensicherheit.de/?p=55505 Informationen gehören zu den wertvollsten Ressourcen von Unternehmen und sind zugleich vielfältigen Risiken ausgesetzt. Neben externen Cyberangriffen gefährden auch interne Schwachstellen wie unzureichende Zugriffskontrollen, veraltete Systeme oder mangelhafte Datensicherungen die Informationssicherheit. Der Beitrag zeigt, warum ein systematischer Schutz geschäftskritischer Informationen unverzichtbar ist und welche Maßnahmen Unternehmen ergreifen sollten, um Risiken frühzeitig zu erkennen und ihre Daten nachhaltig zu sichern.

Von unserem Gastautor Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf

[datensicherheit.de, 10.07.2026] Informationen zählen heute zu den sensibelsten und zugleich kritischsten Unternehmenswerten. Kundendaten, Vertragsunterlagen, Finanzinformationen, interne Kommunikation oder Daten aus ERP- und CRM-Systemen bilden die Grundlage zahlreicher Geschäftsprozesse. Umso gravierender sind die Folgen, wenn Daten manipuliert, verschlüsselt, unkontrolliert weitergegeben oder dauerhaft gelöscht werden.

Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf

Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf, Bild: Dr. Sebastian Schmerl

Fakt ist: Risiken entstehen längst nicht mehr nur durch gezielte externe Angriffe. Fehlende Zugriffskontrollen, unzureichend getestete Backups, veraltete Systeme oder unnötig weitreichende Berechtigungen schaffen oft bereits intern eine erhebliche Angriffsfläche. Besonders kritisch ist es, wenn Unternehmen zwar einzelne Sicherheitsmaßnahmen implementiert haben, aber kein strukturiertes Verständnis darüber besteht, welche Informationen tatsächlich entscheidend sind und wie diese dediziert geschützt werden können.

Informationssicherheitsmanagementsysteme (ISMS)

Genau hier setzt ein Information Security Management System (ISMS) an. Es hilft Unternehmen dabei, sensible Informationen, kritische Systeme und relevante Risiken systematisch zu erfassen, Verantwortlichkeiten festzulegen und geeignete Schutzmaßnahmen umzusetzen. Dabei muss ein ISMS keineswegs ausufernd oder hochbürokratisch sein. Gerade kleinere und mittelständische Unternehmen (KMU) profitieren häufig von einem pragmatischen Ansatz, der Informationssicherheit nachvollziehbar strukturiert.

Dazu braucht es zunächst nur sieben Basismaßnahmen:

  1. Scope und Kritische Assets identifizieren
    Der erste Schritt eines ISMS ist gleichzeitig einer der wichtigsten: Unternehmen müssen verstehen, welche Systeme und Daten für den eigenen Betrieb tatsächlich geschäftsentscheidend sind. Diese sollten den Scope des ISMS bilden. Das klingt selbstverständlich, ist in der Praxis jedoch häufig nicht der Fall. Denn oft existiert zwar ein technisches Grundverständnis über die eigene Infrastruktur, aber keine priorisierte Übersicht darüber, welche Assets im Ernstfall wirklich geschäftskritisch wären.

    Dabei geht es nicht nur um Hardware oder Endgeräte. Essenzielle Assets sind häufig Identitäts- und Verzeichnisdienste, Microsoft-365-Umgebungen, ERP-Systeme, zentrale Fileshares, Backup-Systeme oder branchenspezifische Anwendungen. Auch sensible Kundendaten, Vertragsunterlagen oder Finanzinformationen gehören dazu.

    Es gilt: Nicht jedes einzelne System muss sofort vollständig erfasst werden. Sinnvoller ist es, zunächst die fünf bis zehn wichtigsten Systeme und Datenbestände zu identifizieren. Die zentrale Frage lautet: Welche Daten oder Systeme würden den Betrieb massiv beeinträchtigen, wenn sie ausfallen, manipuliert oder verschlüsselt würden? Bereits diese Priorisierung schafft Transparenz und verhindert, dass Sicherheitsmaßnahmen nach Bauchgefühl statt nach tatsächlicher Kritikalität umgesetzt werden.

  2. Risiken bewerten
    Sind die wichtigsten Assets identifiziert, folgt die Risikobetrachtung. Auch hier heißt das Motto: Einfachheit schlägt Perfektion. Komplexe Risikomatrizen mit Dutzenden Bewertungsstufen erzeugen oft mehr Verwaltungsaufwand als Sicherheitsgewinn. Für viele (vor allem mittelständische) Unternehmen reicht zunächst eine einfache Einteilung in „niedrig“, „mittel“ und „hoch“. Entscheidend ist nicht mathematische Präzision, sondern die realistische Einschätzung: Wie wahrscheinlich ist ein Vorfall? Und welche Auswirkungen hätte er?

    Besonders relevant sind dabei Risiken rund um Datenverlust, Ransomware, fehlende Zugriffskontrollen oder unzureichende Backups. Denn gerade Backup-Systeme werden in KMU häufig unterschätzt. Ein vorhandenes Backup bedeutet noch lange nicht, dass sich Daten im Ernstfall tatsächlich wiederherstellen lassen. Restore-Tests gehören deshalb zwingend zur Sicherheitsstrategie.

    Ebenso entscheidend sind unnötige Berechtigungen. In vielen Unternehmen haben Mitarbeitende über Jahre hinweg Zugriff auf Systeme und Daten erhalten, die längst nicht mehr für ihre Aufgaben notwendig sind. Solche überprivilegierten Konten vergrößern die Angriffsfläche erheblich. Ein ISMS hilft dabei, genau diese Risiken sichtbar zu machen – und zwar nicht erst, wenn es zu spät ist.

  3. Verantwortlichkeiten festlegen
    Informationssicherheit scheitert selten ausschließlich an Technik. Häufig fehlt schlicht Klarheit darüber, wer zuständig ist. Genau deshalb gehört die Definition von Rollen und Verantwortlichkeiten zu den zentralen Bestandteilen eines ISMS.

    Vor allem in kleineren Unternehmen verteilen sich Sicherheitsaufgaben oft informell: Der Administrator kümmert sich um Backups, ein externer Dienstleister betreut die Firewall und die Geschäftsführung geht davon aus, dass „die IT das schon macht“. Im Ernstfall führt das schnell zu Unsicherheiten.

    Ein funktionierendes ISMS definiert deshalb klar, wer Risiken bewertet, wer Maßnahmen umsetzt und wer Entscheidungen trifft. Typischerweise liegt die operative Verantwortung bei der IT-Leitung oder Administratoren, während die Geschäftsführung Risiken akzeptieren oder Investitionen freigeben muss.

    Das klingt zunächst formal, hat aber praktische Auswirkungen. Wenn beispielsweise bekannt ist, dass kein ausreichender Endpoint-Schutz vorhanden ist oder Backup-Konzepte Lücken aufweisen, dann sollte dokumentiert werden, wie mit diesem Risiko umgegangen wird. Genau darum geht es im Kern eines ISMS: Risiken sichtbar machen, bewerten und Entscheidungen nachvollziehbar dokumentieren.

  4. Maßnahmen priorisieren
    Einer der größten Fehler in Sicherheitsprojekten besteht darin, alles gleichzeitig lösen zu wollen, jedoch ist auch hier Priorisierung entscheidend. Ein pragmatisches ISMS konzentriert sich zuerst auf Basis-Sicherheitsmaßnahmen. Dazu zählen insbesondere funktionierende Backup- und Restore-Prozesse, Zugriffskontrollen, Patch-Management sowie Schutzmaßnahmen gegen Phishing und Social Engineering.

    Untersuchungen belegen: Phishing und BEC (Business E-Mail Compromise) waren, sind und bleiben ein massives Risiko für Unternehmen. Gefälschte Rechnungen, manipulierte Zahlungsaufforderungen oder präparierte Anhänge gehören längst zum Alltag. Deshalb ist Security Awareness weiterhin relevant – auch wenn technische Schutzmaßnahmen vorhanden sind.

    Gleichzeitig sollten Unternehmen vermeiden, sich bei der Ausarbeitung eines ISMS zu früh in hochkomplexen Spezialthemen zu verlieren. Ein sauber umgesetztes Basisniveau bringt meist deutlich mehr Cyberhygiene als umfangreiche Dokumentation ohne operative Umsetzung. Oder anders formuliert: Lieber 80 Prozent sinnvoll umgesetzt, als 100 Prozent theoretisch beschrieben.

  5. Dokumentation aufsetzen
    Dennoch gehört auch Dokumentation zu jedem ISMS, allerdings nicht in Form unlesbarer Handbücher. Schon wenige Dokumente reichen aus, um Struktur zu schaffen. Dazu gehören typischerweise eine Übersicht über den Geltungsbereich des ISMS, eine Asset-Liste, ein Risikoregister sowie eine priorisierte Maßnahmenliste. Ergänzend sinnvoll sind einige Kernrichtlinien, etwa zu Zugriffskontrolle, Backup, Patch-Management oder Incident Response.

    Auch ein Incident-Log sollte vorhanden sein. Sicherheitsvorfälle – selbst kleinere Malware-Funde oder Phishing-Versuche – lassen sich dort dokumentieren und später auswerten. Wiederkehrende Vorfälle liefern oft wertvolle Hinweise auf strukturelle Schwachstellen. Wichtig ist dabei vor allem die Praxistauglichkeit. Eine Passwort-Richtlinie muss kein zehnseitiges Dokument sein. Wenn klar definiert ist, welche Anforderungen gelten, warum MFA (Multi-Faktor Authentifizierung) verpflichtend ist und wie Administrator-Konten gehandhabt werden, reicht häufig bereits eine halbe Seite, die im Ernstfall auch auffindbar sein muss. Die beste Dokumentation hilft schließlich wenig, wenn sie niemand liest oder im Ernstfall niemand weiß, wo sie liegt.

  6. Prozesse definieren
    Neben Dokumentation braucht ein ISMS funktionierende Prozesse. Dabei müssen diese keineswegs hochkomplex sein. Klar verständliche Abläufe sind meist deutlich wirksamer. Das beginnt beim Access Management: Wer erhält Zugriff auf welche Systeme? Wer genehmigt Berechtigungen? Wie oft werden bestehende Rechte überprüft? Über Jahre gewachsene Berechtigungsstrukturen zählen zu den häufigsten Sicherheitsproblemen – vor allem in KMU. Ebenso wichtig sind definierte Backup-Prozesse. Unternehmen sollten festlegen, welche Daten gesichert, wie lange sie aufbewahrt und wie Wiederherstellungen getestet werden. Viele Unternehmen verlassen sich auf Backups, ohne jemals überprüft zu haben, ob diese tatsächlich funktionieren.

    Hinzu kommt ein einfacher Incident-Response-Prozess. Wie werden Sicherheitsvorfälle erkannt? Wer wird informiert? Welche Systeme können isoliert werden? Welche externen Dienstleister müssen eingebunden sein? Auch hier gilt: Im Ernstfall helfen keine komplizierten Prozessdiagramme, sondern klare Zuständigkeiten und erreichbare Ansprechpartner.

    Nicht zuletzt gehört Patch-Management zu den Pflichtaufgaben eines ISMS. Systeme sollten möglichst automatisiert aktualisiert werden. Gerade angesichts immer kürzerer Zeitfenster zwischen Schwachstellenveröffentlichung und aktiver Ausnutzung wird schnelles Patchen zunehmend entscheidend
    .

  7. Regelbetrieb etablieren
    Zu guter Letzt muss bedacht werden: Ein ISMS ist kein Projekt mit Enddatum. Genau das wird in vielen Unternehmen unterschätzt. Informationssicherheit funktioniert nur dann nachhaltig, wenn sie Teil des Regelbetriebs wird. Dies bedeutet nicht zwangsläufig hohe Zusatzaufwände. Bereits kurze monatliche Reviews der wichtigsten Risiken können ausreichen, um Risikobewertung und Maßnahmen aktuell zu halten. Quartalsweise Abstimmungen mit der Geschäftsführung schaffen zusätzliche Transparenz. Hinzu kommen regelmäßige Prüfungen von Berechtigungen, Backup-Prozessen oder Sicherheitsvorfällen. Entscheidend ist dabei vor allem eines: Das ISMS muss gelebt werden. Dokumente, die nach ihrer Erstellung in der Schublade verschwinden, verbessern keine Informationssicherheit. Erst wenn Risiken regelmäßig überprüft, Maßnahmen angepasst und Verantwortlichkeiten tatsächlich wahrgenommen werden, entfaltet ein ISMS seinen Nutzen.

Fazit: Informationssicherheit muss praktikabel bleiben

Ein ISMS ist für Unternehmen − insbesondere für KMU − ein wirkungsvolles Instrument zur Priorisierung. Es hilft dabei, kritische Daten und Systeme sichtbar zu machen, Risiken strukturiert zu bewerten und Sicherheitsmaßnahmen nachvollziehbar umzusetzen. Entscheidend ist dabei nicht die Menge der Dokumentation, sondern ob Prozesse und Verantwortlichkeiten im Alltag tatsächlich funktionieren. Denn Informationssicherheit entsteht nicht durch Ordner und Richtlinien allein, sondern dadurch, dass Risiken verstanden, Maßnahmen umgesetzt und regelmäßig überprüft werden. Genau darin liegt der eigentliche Mehrwert eines ISMS.

Weitere Informationen zum Thema:

datensicherheit.de, 02.07.2026
Die eigentliche Herausforderung beginnt erst jetzt: NIS-2-Registrierung genügt nicht

datensicherheit.de, 05.07.2016
KRITIS: TÜV Rheinland beschreibt fünf Vorteile der ISO 27001 für Betreiber

 

 

]]>
https://www.datensicherheit.de/isms-7-tipps-datensicherheit-kmu/feed 0
KI-basierte Cyberbedrohungen: KMU bisher meist nicht vorbereitet https://www.datensicherheit.de/ki-basis-cyberbedrohungen-kmu-unvorbereitet Wed, 20 May 2026 22:58:00 +0000 https://www.datensicherheit.de/?p=54563 Kleine und Mittlere Unternehmen unterschätzen oft die Risiken mittels Künstlicher Intelligenz (KI) durchgeführter Cyberangriffe

[datensicherheit.de, 21.05.2026] Cyberangriffe stellen für die Kleinen und Mittleren Unternehmen (KMU) eine zunehmend ernsthafte Bedrohung dar – dies zeigt jetzt auch eine aktuelle IDC-Studie im Auftrag von Sage: Obwohl 52 Prozent der befragten Entscheider Cybersicherheit inzwischen als Top-Priorität einstuften, sei jedes zweite Unternehmen innerhalb der vergangenen zwölf Monate von einem Sicherheitsvorfall betroffen gewesen. Besonders alarmierend demnach: Vielen KMU fehle weiterhin eine proaktive Sicherheitsstrategie. Laut der Studie verfolgen lediglich 13 Prozent der Kleinstunternehmen und 21 Prozent der kleinen Unternehmen einen präventiven Sicherheitsansatz. Gleichzeitig würden Unternehmen die Risiken mittelsKünstlicher Intelligenz (KI) durchgeführter Cyberangriffe häufig unterschätzen, obwohl diese noch deutlich schwerer zu erkennen und abzuwehren seien als klassische Attacken.

sage-alexander-trautmann

Foto: Sage

Alexander Trautmann rät insbesondere den KMU, Sicherheitslösungen von Anfang an mitzudenken

Sage-Hinweise für Softwareanbieter

Alexander Trautmann, „Director Product Engineering“ bei Sage, sieht angesichts der nun vorliegenden Ergebnisse insbesondere die Softwareanbieter in der Verantwortung:

  • Sicherheitslösungen müssen von Anfang an mitgedacht werden!
    Ein konsequenter Secure-by-Design-Ansatz hilft Unternehmen dabei, neue Cyberrisiken frühzeitig zu minimieren und Angriffsflächen nachhaltig zu reduzieren.
  • KI und Business-Software müssen sicher zusammenspielen!
    KI-Lösungen sollten domänenspezifisch entwickelt und auf Basis klarer Berechtigungskonzepte implementiert werden, damit sie effizient, sicher und datenschutzkonform im Unternehmensalltag eingesetzt werden können.
  • Erfolgreiche Digitalisierung entsteht durch partnerschaftliche Zusammenarbeit!
    Softwareanbieter sollten Unternehmen dabei unterstützen, digitale Prozesse strategisch in bestehende Arbeitsabläufe zu integrieren und Mitarbeitende durch gezielte Schulungen bei der praktischen Umsetzung begleiten.
  • Transparenz ist ein zentraler Vertrauensfaktor!
    Anbieter sollten klar nachvollziehbar machen, wie Daten verarbeitet, gespeichert und geschützt werden, und ihren Kunden transparente Sicherheits- und „Compliance“-Konzepte bereitstellen.
  • Regulatorische Anforderungen müssen proaktiv adressiert werden!
    Gerade im europäischen Umfeld – etwa mit Blick auf die DSGVO, NIS-2 oder E-Invoicing-Vorgaben – sind Anbieter gefordert, Lösungen bereitzustellen, die „Compliance“-Anforderungen standardmäßig erfüllen und kontinuierlich weiterentwickelt werden.

Weitere Informationen zum Thema:

Sage
Be Sage. Ab auf Erfolgskurs. / Wir bei Sage verändern die Art und Weise, wie die Menschen denken und arbeiten, und verhelfen ihren Unternehmen dadurch zu Wachstum. Jeden Tag unterstützen mehr als 11.000 Kollegen und lokale Netzwerke aus Buchhaltern und Partnern auf der ganzen Welt Unternehmensgründer und verhelfen ihnen zum Erfolg.

IT-MARKT, Coen Kaat, 24.03.2026
Alexander Trautmann im Podium Business-Software / So verändert KI laut Sage den Geschäftsalltag

Sage
Bericht / KMU im KI-Zeitalter: Wege durch die Komplexitäten der Cybersicherheit zu mehr Resilienz

datensicherheit.de, 16.05.2026
HarfangLab: Europas KMU laut Bundeslagebild Cyberkriminalität 2025 stärker gefährdet als je zuvor / Dieser Bericht weist vor allem auf ein strukturelles Sicherheitsproblem für Europas Kleine und Mittlere Unternehmen (KMU) hin

datensicherheit.de, 30.04.2026
FTAPI gibt CRA-Tipps für KMU: Cyber Resilience Act oft ein Buch mit 7 Siegeln / Erste Meldepflichten greifen ab September 2026 – FTAPI benennt fünf Schritte, damit Anbieter digitaler Produkte noch rechtzeitig „CRA-ready“ werden

datensicherheit.de, 17.01.2026
KI macht Social Engineering gefährlicher – Zunahme der Cyberattacken auf KMU / Kleine und Mittlere Unternehmen (KMU) sind zunehmend von Cybervorfällen betroffen und auf Künstliche Intelligenz (KI) gestütztes „Social Engineering“ macht externe Angriffe deutlich effektiver

]]>
HarfangLab: Europas KMU laut Bundeslagebild Cyberkriminalität 2025 stärker gefährdet als je zuvor https://www.datensicherheit.de/harfanglab-kmu-bundeslagebild-cyberkriminalitaet-2025-gefaehrdung Fri, 15 May 2026 22:48:00 +0000 https://www.datensicherheit.de/?p=54522 Dieser Bericht weist vor allem auf ein strukturelles Sicherheitsproblem für Europas Kleine und Mittlere Unternehmen (KMU) hin

[datensicherheit.de, 16.05.2026] Am 12. Mai 2026 wurde das aktuelle „Bundeslagebild Cybercrime 2025“ veröffentlicht: Dieses zeigt laut Anouck Teiller, „Deputy CEO“ bei HarfangLab, ein deutliches Bild der Bedrohungslage. Dieser Bericht lege vor allem ein strukturelles Problem für Europa offen – insbesondere Kleine und Mittlere Unternehmen (KMU) seien stärker gefährdet sind als je zuvor.

harfanglab-anouck-teiller

Foto: HarfangLab

Anouck Teiller: Wenn 90 Prozent der Ransomware-Opfer Kleine und Mittlere Unternehmen sind, sprechen wir nicht mehr über Einzelfälle!

KMU als Rückgrat der europäischen Wirtschaft am stärksten gefährdet

„Der BKA-Bericht zur Cyberkriminalität zeigt nicht nur, dass Deutschland zunehmend Ziel von Angriffen ist – er macht auch deutlich, wie verwundbar Europas digitale Infrastruktur insgesamt geworden ist!“, kommentiert Teiller.

  • Hinter den Zahlen stehe eine klare Realität: KMU, das Rückgrat der europäischen Wirtschaft, seien zu den am stärksten gefährdeten Akteuren einer noch viel zu fragmentierten Cyberabwehr geworden.

Teiller warnt: „Die Frage ist nicht mehr, ob Europa angegriffen wird, sondern warum es immer wieder gelingt und was getan werden muss, um dem entgegenzuwirken.“

90 Prozent der Ransomware-Opfer sind KMU

Sie führt aus: „Wenn 90 Prozent der Ransomware-Opfer Kleine und Mittlere Unternehmen sind, sprechen wir nicht mehr über Einzelfälle, sondern über ein systemisches Problem! Diese Unternehmen stehen kriminellen Gruppen gegenüber, die wie professionelle Dienstleister organisiert sind – mit beachtlichen Ressourcen, Arbeitsteilung und einer bemerkenswerten Anpassungsfähigkeit.“

  • Viele Unternehmen könnten sich gegen diese Bedrohungen allein kaum noch ausreichend schützen.

„Unser ,State of Cybersecurity Report 2025‘ zeigt: Nur 19 Prozent der europäischen Unternehmen haben vollständige Kontrolle über ihre Sicherheitsinfrastruktur, gleichzeitig sehen 58 Prozent KI als den größten Risikoverstärker der kommenden Jahre. Man könnte versucht sein, besonders reife Organisationen stärker in den kollektiven Kampf gegen Cyberkriminalität einzubeziehen, etwa indem sie auch die Infrastruktur der Angreifer ins Visier nehmen…“

KMU sollten cyberkriminelle Verhaltensmuster frühzeitig erkennen und ausnutzbare Schwachstellen rechtzeitig identifizieren

Doch genau dies werfe erhebliche Fragen auf. „Denn die eindeutige Zuordnung eines Cyberangriffs ist hochkomplex und oft nur auf staatlicher Ebene zuverlässig möglich.“ Unkoordinierte Gegenmaßnahmen schafften deshalb nicht automatisch mehr Sicherheit.

  • Die eigentliche Priorität müsse deshalb auf der Verteidigung liegen: Verhaltensmuster frühzeitig erkennen, ausnutzbare Schwachstellen vor den Angreifer identifizieren und schnell reagieren.

„In diese Resilienz-Kette aus Erkennung, Reaktion und Antizipation muss Europa jetzt gemeinsam investieren – und darf nicht warten, bis das nächste Opfer vielleicht das letzte ist, das sich Schutz überhaupt noch leisten kann“, legt Teiller abschließend nahe.

Weitere Informationen zum Thema:

HarfangLab
About HarfangLab: HarfangLab is a cybersecurity company that has developed a suite of solutions to prevent, detect, and block cyberattacks

THE ORG
Anouck Teiller – Deputy CEO

HarfangLab
The state of cybersecurity 2025: Cyber threats are escalating. Trust in foreign providers is eroding. And European businesses are responding. / Discover what’s driving strategic shifts in cybersecurity across Europe and how leaders are building resilience.

Bundesministerium des Innern, 12.05.2026
Bundeslagebild Cybercrime 2025: Deutschland im Fokus von Cyberkriminellen / KI verschärft die Bedrohungslage – Sicherheitsbehörden stärken Fähigkeiten zur Cyberabwehr

Bundeskriminalamt, 12.05.2026
Bundeslagebild Cybercrime 2025

datensicherheit.de, 14.05.2026
Bundeslagebild Cybercrime 2025: Deutlicher Anstieg bei DDoS-Angriffen / Max Röttgermann warnt vor zunehmender Professionalisierung von Cyberangriffen – z.B. per DDoS – und sieht akuten Handlungsbedarf bei Unternehmen und Kritischer Infrastruktur

]]>
FTAPI gibt CRA-Tipps für KMU: Cyber Resilience Act oft ein Buch mit 7 Siegeln https://www.datensicherheit.de/ftapi-cra-tipps-kmu-cyber-resilience-act Wed, 29 Apr 2026 22:23:00 +0000 https://www.datensicherheit.de/?p=54187 Erste Meldepflichten greifen ab September 2026 – FTAPI benennt fünf Schritte, damit Anbieter digitaler Produkte noch rechtzeitig „CRA-ready“ werden

[datensicherheit.de, 30.04.2026] Der „Cyber Resilience Act“ (CRA) ist nun mittlerweile seit Dezember 2024 in Kraft. „Doch für viele kleine und mittlere Unternehmen bleibt er ein Buch mit ,sieben Siegeln’“, kommentiert Ari Albertini, CEO bei FTAPI. Aber dies ändere sich gerade: „Ab September 2026 greifen die ersten Meldepflichten, und das deutsche Durchführungsgesetz, das die Umsetzung regeln soll, steckt in der Kritik.“ Verbände wie etwa der TeleTrusT bemängelten, dass die vorgesehene Unterstützung für KMU weit hinter dem Bedarf zurückbleibe. Nach Einschätzung von FTAPI sollten KMU nicht auf staatliche Hilfe warten, sondern jetzt selbst handeln und ihre „CRA-Readiness“ aufbauen.

ftapi-ari-albertini

Foto: FTAPI

Ari Albertini unterstreicht: Wer CRA-konform ist, wird zum bevorzugten Partner in Lieferketten, in denen Auftraggeber künftig auf nachweisbare Sicherheitsstandards bestehen müssen

CRA-Umsetzung als „Chefsache“

Der CRA verpflichtet alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen wie Software, Hardware und IoT-Geräte zu umfassenden Cybersicherheitsmaßnahmen.

  • „Anders als bei Regularien wie NIS-2 gibt es hier keine größenabhängigen Ausnahmen. Ob Konzern oder Kleinstunternehmen: Wer digitale Produkte in der EU vertreibt, muss die Anforderungen erfüllen!“

Die Umsetzung sei dabei nicht nur Aufgabe der IT-Abteilung, sondern „Chefsache“ – mit persönlicher Haftung der Geschäftsführung im Ernstfall. Gleichzeitig zeige der aktuelle Referentenentwurf zum „CRA-Durchführungsgesetz“: Der Staat habe für die Unterstützung 1,28 Millionen Euro jährlich eingeplant. Zum Vergleich: „Das ,NIS-2-Gesetz’ sah allein für Schulungen in der Bundesverwaltung das Vierfache vor.“

FTAPI-Checkliste: In 5 Schritten zur „CRA-Readiness“

Die Unterstützungslücke zeige deutlich: KMU müssten die CRA-Umsetzung selbst in die Hand nehmen. Fünf Schritte, die jetzt zählten:

  • Schritt 1: Betroffenheit klären!
    Jedes Produkt, welches sich direkt oder indirekt mit einem Gerät oder Netzwerk verbinden kann (also nicht nur IoT-Geräte, sondern auch reine Softwareprodukte) fällt unter den CRA, unabhängig davon, ob es tatsächlich verbunden wird. Dies betrifft nicht SaaS-Lösungen und Open-Source-Komponenten.

  • Schritt 2: Meldeprozesse aufbauen!
    Die erste harte Pflicht greift bereits in wenigen Monaten: Ab dem 11. September 2026 müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle gemeldet werden. Der Zeitplan ist eng:
    – Erstmeldung innerhalb von 24 Stunden
    – Folgemeldung innerhalb von 72 Stunden
    – Abschlussbericht spätestens 14 Tage nach Verfügbarkeit einer Abhilfemaßnahme
    Wer noch keine internen Prozesse für Schwachstellen-Management und „Incident Response“ hat, muss diese jetzt etablieren – nicht als IT-Projekt, sondern als Betriebsthema.

  • Schritt 3: „Security by Design“ verankern!
    Der CRA verlangt, dass Sicherheit von Beginn an Teil der Produktentwicklung ist. Die größten Lücken entstehen dort, wo Architekturentscheidungen (Authentifizierung, Datenflusskontrolle, Mandantenfähigkeit) ohne explizite Security-Perspektive getroffen wurden. KMU, die jetzt starten, müssen keine Perfektion anstreben, aber einen nachweisbaren, dokumentierten Prozess.

  • Schritt 4: Lieferkette und Open-Source-Abhängigkeiten inventarisieren!
    Viele Produkte bestehen heute aus einer Kombination aus Eigenentwicklung, Open-Source-Bibliotheken, „Cloud“-Diensten und Drittkomponenten. Der CRA adressiert genau diese Risiken: Hersteller tragen die Verantwortung auch für eingebettete Komponenten Dritter. Eine „Software Bill of Materials“ (SBOM) – eine strukturierte Übersicht aller verwendeten Softwarebestandteile – ist dabei das zentrale Werkzeug, um Transparenz herzustellen und im Ernstfall handlungsfähig zu bleiben.

  • Schritt 5: Fördermöglichkeiten nutzen!
    Die EU stellt mit dem Programm „SECURE“ insgesamt 16,5 Millionen Euro als direkte finanzielle Unterstützung für KMU bereit, welche Produkte mit digitalen Elementen herstellen, entwickeln oder vertreiben. Förderfähig sind demnach u.a. Risikoanalysen, Penetrationstests und Sicherheitsbewertungen. Antragsberechtigt sind Unternehmen mit weniger als 250 Mitarbeitern und bis zu 50 Millionen Euro Jahresumsatz. Der erste „Call“ ist bereits geschlossen, eine zweite Runde bereits angekündigt.

CRA-Konformität: Regulierung als Wettbewerbsvorteil erkennen

Die Anforderungen eröffneten auch eine strategische Chance: „Wer CRA-konform ist, wird zum bevorzugten Partner in Lieferketten, in denen Auftraggeber künftig auf nachweisbare Sicherheitsstandards bestehen müssen.“ Umgekehrt drohe der Verlust von Aufträgen für alle, die nicht liefern können.

  • „Die neuen Regularien zwingen Unternehmen, Cybersicherheit strategisch zu denken, betont Albertini. Er führt hierzu weiter aus: „Das ist der Moment, in dem sich entscheidet, wer in den nächsten Jahren noch als verlässlicher Technologiepartner wahrgenommen wird. KMU, die jetzt handeln, kaufen sich einen Vorsprung, den andere nicht mehr aufholen können.“

Der CRA markiere das Ende der Ära, „in der Cybersicherheit ein Thema für Spezialisten war“. Unternehmen, welche Sicherheit als operative und strategische Selbstverständlichkeit begreifen, schützen nicht nur ihre Produkte, sondern sicherten ihre Marktfähigkeit in einem regulierten Europa.

Weitere Informationen zum Thema:

TeleTrusT Bundesverband IT-Sicherheit e.V., 01.04.2026
Stellungnahmen 2026 / Stellungnahme zum BMI-Referentenentwurf des Durchführungsgesetzes zur Cyberresilienz-Verordnung

SECURE Cyber Resilience für SMEs
About SECURE: Strengthening the cyber resilience of European MSMEs for a more secure and sustainable digital single market. 

ftapi
Die #1 Plattform für sicheren Datenaustausch. / Die beste Wahl, um sensible Dateien sicher und gesetzeskonform auszutauschen. Made & hosted in Germany.

heise business services
Ari Albertini – CEO, FTAPI

datensicherheit.de, 21.03.2026
Cyber Resilience Act: BSI hat Vorsitz der AdCo CRA / Die Rolle der Vorsitzenden wurde Anna Schwendicke, BSI-Referatsleiterin „Marktaufsicht“, im Rahmen der Sitzung der AdCo CRA am 19. März 2026 in Athen übertragen

datensicherheit.de, 06.04.2025
CRA erzwingt Produktanpassungen: Höchste Zeit für Hersteller zu handeln / Geräte mit ausnutzbaren Cyber-Schwachstellen dürfen nach CRA-Inkrafttreten in der EU bald nicht mehr verkauft werden

datensicherheit.de, 22.11.2024
Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle / ONEKEY warnt vor höchster Gefahr für Hersteller vernetzter Geräte, Maschinen und Anlagen, deren Produkte Open-Source-Software enthalten

]]>
KMU-Sicherheitslücke beim Drucken: Drucksicherheit für 62 Prozent von geringer Priorität https://www.datensicherheit.de/kmu-sicherheitsluecke-drucken-drucksicherheit-62-prozent-geringschaetzung-prioritat Sun, 15 Mar 2026 23:48:00 +0000 https://www.datensicherheit.de/?p=53231 Intelligentes Drucken könnte KMU dabei unterstützen, Risiken zu reduzieren, indem es die Transparenz, „Compliance“ und Kontrolle verbessert und so ihre Zukunft der Arbeit schützt

[datensicherheit.de, 16.03.2026] Die aktuelle Studie der HP Inc.  – „The Workflow Wakeup Report“ – soll einen einen umfassenden Überblick darüber geben, wie alltägliche Technologien, so eben auch Drucker, kleine Unternehmen dabei unterstützen können, ihre Sicherheit zu verbessern und sich auf die Zukunft der Arbeit vorzubereiten. Die Drucksicherheit sei eine der am häufigsten übersehenen Schwachstellen bei der Cyberabwehr in Kleinen und Mittelständischen Unternehmen (KMU) – trotz wachsender Besorgnis bei IT-Entscheidern. Die HP-Erkenntnisse basieren nach eigenen Angaben auf einer Stichprobe von 200 IT-Entscheidungsträgern und 600 Büroangestellten, welche für KMU mit 50 bis 1.000 Mitarbeitern in Deutschland tätig sind. Die zugrundeliegende Umfrage sei von Edelman vom 5. bis 27. August 2025 online durchgeführt worden.

hp-the-workflow-wakeup-report

Abbildung: hp

Ergebnisse einer Edelman-Stichprobe unter 200 IT-Entscheidungsträgern und 600 Büroangestellten im hp-Auftrag

56% der KMU hatten mindestens einen datenbezogenen Verlust im Zusammenhang mit dem Drucken

Bei einer neuen Studie unter 200 IT-Entscheidungsträgern und 600 Büroangestellten in Deutschland gaben laut HP 62 Prozent der KMU an, dass Drucksicherheit hinsichtlich ihrer Cybersicherheitsstrategien nur geringe Priorität hat.

  • Diese Ergebnisse kämen nun zu einer Zeit, in der die Risiken im Hinblick mit Drucken weiter zunähmen.

Eine weitere Studie von Quocirca habe gezeigt, dass 56 Prozent der KMU mindestens einen datenbezogenen Verlust im Zusammenhang mit dem Drucken im letzten Jahr gemeldet hätten. Dies unterstreiche, wie leicht sich dieser „als sicher geltende” Teil der IT-Infrastruktur zu einem Schwachpunkt entwickeln könne.

Zu den wichtigsten Ergebnissen der KMU-Studie gehören laut HP:

  • Richtlinien funktionieren nicht oder werden umgangen
    Über die Hälfte (56%) der KMU beobachten demnach, dass Anwender versuchen, Druckregeln oder -beschränkungen zu umgehen. Daher befürchteten auch 58 Prozent, dass bestehende Dokumentenprozesse zu Daten- oder Datenschutzproblemen führen könnten. Weitere 52 Prozent sagten, dass sie keinen Überblick darüber hätten, wer was und wo druckt. Insgesamt seien sich 45 Prozent der Befragten nicht sicher, ob die Drucksicherheit den „Compliance“-Standards der Branche entspricht.
  • Drucksicherheit wird vorausgesetzt
    68 Prozent der Büroangestellten gingen davon aus, dass Drucker im Büronetzwerk sicher seien. Insgesamt sähen 53 Prozent Drucker nicht als Sicherheitsrisiko an. Immerhin 24 Prozent machten sich jedoch Sorgen darüber, dass vertrauliche Informationen gedruckt werden und in die falschen Hände geraten könnten.

Trotz der geringen Priorität würden 69 Prozent der KMU anerkennen, dass die Drucksicherheit verbessert werden müsse. Insgesamt machten sich 68 Prozent häufig Sorgen über die Sicherheitsrisiken, die veraltete Systeme mit sich brächten.

Zu den 5 größten Sicherheitsbedenken in Bezug auf Drucker gehörten:

  1. Cybersecurity-Risiken im Zusammenhang mit vernetzten Druckern
  2. in der Drucker-Ausgabe vergessene vertrauliche Dokumente
  3. „Cloud“-Schwachstellen im Zusammenhang mit gescannten Dokumenten
  4. unbefugter Zugriff auf Druckdateien oder Druckwarteschlangen
  5. Fehldrucke, Fehlablagen oder unsachgemäße Handhabung von Materialien

Mehr Sicherheit für 85% der KMU mit Intelligentem Drucken realisiert

Die Daten deuteten auch darauf hin, dass sich diese Risiken beheben ließen: Unternehmen müssten allerdings korrekte Kontrollen einführen. „Von den KMU, die bereits Intelligente Drucktechnologien implementiert haben, geben 85 Prozent an, dass Intelligentes Drucken ihr Unternehmen sicherer gemacht hat.“

  • Die Studien-Befragten würden drei wichtige Gründe nennen: Dazu gehörten klare Transparenz der Druck- und Scan-Aktivitäten aller Anwender und Standorte (88%) ebenso wie Einhaltung von „Compliance“- und Sicherheitsstandards (85%). Intelligente Regeln und Einschränkungen durchzusetzen seien Teil der Gründe für 83 Prozent der Teilnehmer.

Aurelio Maruggi, „Division President von HP Office Print Solutions„, kommentiert: „Drucker sind der Blinde Fleck im Hinblick auf die Sicherheit. Viele KMU übersehen sie und das ist ein Risiko für die Zukunft der Arbeit. Wenn man nicht sehen kann, wer was, wo und wann druckt, ist es schwierig, sensible Daten zu schützen. Ein einziger fehlgeleiteter Scan oder ein nicht abgeholter Druckauftrag kann zu einem Datenleck von Gehaltsabrechnungen, Kundenunterlagen oder Vertragsdetails führen – und es gibt keine offensichtlichen Anzeichen, dass etwas nicht stimmt. Intelligentes Drucken behebt dieses Problem, indem es Transparenz schafft, Richtlinien durchsetzt und Audit-Pfade in Druck- und Scan-Workflows integriert.“

Weitere Informationen zum Thema:

hp
About Us

hp
The Workflow Wakeup – True business transformation starts with smart printing, not outdated technology. Learn how small and midsize businesses (SMBs) are turning everyday work into a competitive edge.

hp
The Workflow
 Wakeup: How Unexpected Tech Can Help
 Future-Proof Small and Medium Businesses

hp
Executive Biography Aurelio Maruggi / General Manager, A3 Solutions – Office Printing Solutions

QUOCIRCA
Quocirca Print Security Landscape, 2025 / What are the key trends for print security in 2025 and beyond?

datensicherheit.de, 05.08.2020
Drucker: Gefährlicher Leichtsinn in Unternehmen / Neue Studie von Sharp weist auf Drucker als willkommene Einfallstore für Hacker hin

]]>
ALL#HANDS: Neues Forschungsprojekt an der TUD soll für mehr Sicherheit im Internet sorgen https://www.datensicherheit.de/all-hands-forschungsprojekt-tud-sicherheit-internet Tue, 10 Mar 2026 17:11:00 +0000 https://www.datensicherheit.de/?p=53140 Im TUD-Forschungsprojekt „ALL#HANDS – Robustes Daten-Ökosystem für ein kooperatives Internet-Lage- und Informationszentrum“ kooperieren in den kommenden drei Jahren acht Partner aus Wissenschaft und Wirtschaft

[datensicherheit.de, 10.03.2026] Laut einer Meldung der Technischen Universität Dresden (TUD) vom 9. März 2026 startete dort mit einem Kick-off-Meeting jetzt offiziell das Forschungsprojekt „ALL#HANDS – Robustes Daten-Ökosystem für ein kooperatives Internet-Lage- und Informationszentrum“. In dem Verbund arbeiten werden demnach in den kommenden drei Jahren acht Partner aus Wissenschaft und Wirtschaft zusammenarbeiten, um die digitale Resilienz in Deutschland nachhaltig zu stärken.

tu-dresden-all-hands-kick-off-meeting

Foto: © Thomas Liske

„ALL#HANDS“: Nach dem Kick-off-Meeting an der TUD startet das Forschungsprojekt

„ALL#HANDS“ soll sicheres und vertrauenswürdiges Daten-„Ökosystem“ ermöglichen

Ziel des Projekts sei es, die digitale Widerstandsfähigkeit in Deutschland zu verbessern: „Das heißt: Internet- und Datensysteme sollen besser mit Störungen, Ausfällen oder Angriffen umgehen können!“

  • Dazu erfolge der Aufbau leistungsfähiger, betreiberübergreifender Lage-Analysen für digitale Infrastrukturen. Diese sollen laut TUD Störungsverläufe und gegenseitige Abhängigkeiten transparent machen, datenbasierte Reaktionen im Ereignisfall unterstützen und eine abgestimmte Notfallplanung ermöglichen.

Insbesondere Kleine und Mittlere Unternehmen (KMU) sollen so im Krisenfall besser unterstützt werden. „Dazu schafft ,ALL#HANDS’ ein sicheres und vertrauenswürdiges Daten-,Ökosystem’, um Netzdaten der deutschen Internet-Wirtschaft risikoarm zusammenzuführen.“

„ALL#HANDS“ unter 90 Einreichungen zusammen mit sechs weiteren Projekten ausgewählt

Ein weiterer zentraler Aspekt dieses Projekts sei die Entwicklung eines Digitalen Zwillings zur Simulation von Netzstörungen und Krisenszenarien – etwa bei Software-Fehlern oder Stromausfällen. Darauf aufbauend entstehe ein Bürgerinformationssystem, um komplexe Lagen verständlich aufzubereiten. „Rechtliche, organisatorische und menschliche Rahmenbedingungen werden begleitend untersucht.“

Projektpartner sind laut TUD: Leitwert GmbH, IBH IT-Service GmbH, IPB Internet Provider in Berlin GmbH, BCIX Management GmbH, eco Service GmbH, Hochschule für Angewandte Wissenschaften Hamburg, Technische Universität Dresden, Technische Universität München.

Weitere Informationen zum Thema:

ALL#HANDS
Robustes Daten-Ökosystem für ein kooperatives Internet-Lage- und Informationszentrum (ALL-HANDS)

Bundesministerium für Forschung, Technologie und Raumfahrt
Nutzen in Daten-Ökosystemen: Wettbewerb – Kommunikation – Kooperation (DigiNutzenDat) | Stichtag: 28. Februar 2025

WIKIPEDIA
Digitaler Zwilling

datensicherheit.de, 25.02.2025
Neue Maßstäbe für dynamische Planungssicherheit: Digital Zwillinge und Daten-Streaming / Digitale Zwillinge bilden Objekte oder Prozesse in einer virtuellen Umgebung ab und nutzten umfangreiche Echtzeitdaten zur realistischen Simulation

datensicherheit.de, 05.02.2026
Moderne OT-Resilienz: Digitale Zwillinge als wichtige Bausteine / Neben kontinuierlichem „Exposure Management“ braucht operative Resilienz in OT-Umgebungen konkrete technische und organisatorische Hebel: Zugangskontrollen, belastbare Testumgebungen und kompensierende Maßnahmen für „Legacy“-Systeme

]]>
Strategische Prioritäten für Unternehmen 2026: Informationssicherheit, Compliance und Datenschutz https://www.datensicherheit.de/strategie-prioritaten-unternehmen-2026-informationssicherheit-compliance-datenschutz Tue, 27 Jan 2026 00:03:00 +0000 https://www.datensicherheit.de/?p=51994 Datenschutz, Informationssicherheit und „Compliance“ stehen für Unternehmen 2026 nicht mehr nur als regulatorische Pflichtprogramme auf der Agenda – sie werden zu zentralen Erfolgsfaktoren

[datensicherheit.de, 27.01.2026] Alexander Ingelheim, CEO und Mitgründer von Proliance nimmt in seiner Stellungnahme zum Jahresbeginn Stellung zu den zentralen Handlungsfeldern und Herausforderungen im Kontext von Fragen des Datenschutzes und und der Informationssicherheit im Jahr 2026: „Datenschutz, Informationssicherheit und ,Compliance’ stehen für Unternehmen künftig nicht mehr nur als regulatorische Pflichtprogramme auf der Agenda – sie werden zu zentralen Erfolgsfaktoren!“ Dies spiegele sich auch im Management wider: „Laut einer internationalen Gartner-Studie sehen 85 Prozent der CEOs Cybersecurity inzwischen als kritischen Faktor für künftiges Unternehmenswachstum.“ Gleichzeitig verdeutlichten Zahlen des Digitalverbands Bitkom die reale Bedrohungslage: „Der Schaden für die deutsche Wirtschaft durch Spionage, Sabotage und Datendiebstahl lag alleine 2025 bei 289,2 Milliarden Euro – rund acht Prozent mehr als im Vorjahr.“ Vor diesem Hintergrund wird 2026 demnach ein Jahr, in dem Unternehmen ihre Prioritäten neu ordnen müssten.

proliance-alexander-ingelheim

Foto: Proliance

Alexander Ingelheim: Um z.B. Gefahren von „Schatten-KI“ oder Schadcode zu reduzieren, bleiben „Awareness“-Schulungen über die Vor- und Nachteile der Technologie auch 2026 essenziell

NIS-2-Compliance ist 2026 zentrale IT-Sicherheitsaufgabe

Mit dem Inkrafttreten der NIS-2-Richtlinie zum 6. Dezember 2025 ohne jegliche Übergangsfristen seien die Anforderungen an Informations- und IT-Sicherheit deutlich angestiegen.

  • Unternehmen müssten nun ein systematisches Risikomanagement etablieren, Cyberresilienz stärken und robuste Business-Continuity-Strukturen schaffen – nicht nur zum Schutz vor aktuellen Angriffen, sondern als Grundlage für nachhaltige digitale Stabilität.

Trotz des Aufwands sehe der Mittelstand den Nutzen: 51 Prozent der deutschen KMU begrüßten diese Richtlinie. „Und das zurecht, denn NIS-2 schafft keine neuen Probleme, sondern adressiert bereits bestehende Risiken. Wer jetzt handelt, vermeidet Haftungsrisiken, hohe Bußgelder und sichert sich Wettbewerbsvorteile!“

Digital-Omnibus der EU erfordert 2026ff anpassungsfähige Compliance-Strukturen

Die im November 2025 vorgestellte „Digital-Omnibus“-Reform der EU adressiere zentrale Bereiche des Datenschutzes, der Datennutzung und der KI-Regulierung und führe zu einer eng verflochtenen „Compliance“-Landschaft.

  • Ein Punkt der neuen „To Do“-Liste: „Die innovationsfreundlichere Gestaltung von KI-Regeln und die Modernisierung von Cookie-Regeln.“

Ingelheim führt aus: „Datenschützer sehen hier die Gefahr des Rückschritts in Sachen digitaler Grundrechte. Für KMU könnte das Reformpaket dagegen eine Entlastung darstellen.“ Vorausgesetzt, diese stellten ihre Datenschutz- und „Compliance“-Maßnahmen so auf, „dass diese sich flexibel an Neuerungen anpassen lassen“.

2026 werden Automatisierung und vernetzte Systeme bedeutender Wettbewerbsfaktor

Angesichts der steigenden Komplexität von Regularien und Cyberbedrohungen gewenne die Vernetzung von Datenschutz-, IT-Sicherheits- und „Compliance“-Prozessen erhebliches an Bedeutung:

  • „Sie schafft Transparenz, reduziert operative Risiken und ermöglicht eine agile Anpassung an neue Vorgaben.“ Nur so könnten Unternehmen effizient und skalierbar auf Veränderungen reagieren.

Laut einer aktuellen PwC-Umfrage könne ein „Connected Compliance“-Ansatz mit besserer Vernetzung und Koordination Entscheidungen erleichtern, mehr Transparenz schaffen und insgesamt die betriebliche „Compliance“-Kultur stärken.

Digitale Souveränität: „Must Have“ und ebenfalls entscheidender Wettbewerbsfaktor

„Auch 2026 werden geopolitische Spannungen Unternehmen zunehmend dazu bringen, ihre digitale Infrastruktur ,souverän’ zu gestalten. Strategische Unabhängigkeit von globalen Tech-Giganten und die Nutzung europäischer Alternativen werden hier zu einem zentralen Wettbewerbsfaktor – besonders aus ,Compliance’- und IT-Sicherheitsperspektive.“

  • Aber auch Konsumenten könnten dies künftig vermehrt fordern: Laut Bitkom wünschten sich 98 Prozent der Bundesbürger mehr digitale Unabhängigkeit Deutschlands. Gleichzeitig schätzten 93 Prozent der Unternehmen Deutschland aktuell „stark abhängig“, bzw. „eher abhängig“, von digitalen Technologien und Leistungen aus dem Ausland ein.

Somit werde Digitale Souveränität in diesem Jahr klar zur strategischen Geschäftsentscheidung. Ingelheim legt nahe: „Verantwortliche sollten bei jeder Software-Implementierung europäische Alternativen in Betracht ziehen und die wichtigsten Bausteine ihres Tech-Stacks auf diese Alternativen umstellen!“

KI-Regulierung rückt 2026 in den Mittelpunkt unternehmerischer Verantwortung

Künstliche Intelligenz (KI) bleibe 2026 sowohl Wachstums- als auch Risikofaktor. Die KI-Regulierung „EU AI-Act“ – der weltweit erste umfassende Rechtsrahmen für KI – bringe neue Anforderungen an Risikomanagement, Transparenz und Dokumentation mit sich. „Nach der formalen Verabschiedung und Vorstellung im Sommer 2024 tritt dieser nun schrittweise in Kraft.“ Unternehmen sollten ihre bisher genutzten Systeme prüfen und eine zentrale Übersicht über den Einsatz aller KI-Technologien im Unternehmen schaffen, etwa in Form eines „Asset Hub“. Ab August 2026 kämen weitere Pflichten für Hochrisiko-KI hinzu – darunter Konformitätsbewertungen, ein strukturiertes Risikomanagement und die Registrierung entsprechender Systeme.

  • Zudem rückten Transparenzanforderungen für Deepfakes und Chatbots sowie spezifische Vorgaben für Basismodelle in den Fokus. Unabhängig davon sollten Firmen ihre KI-Risiken konsequent steuern, auf sichere Konfigurationen setzen und den gesamten Lebenszyklus ihrer KI-Systeme nachvollziehbar dokumentieren. Unternehmen müssten KI-Systeme nicht nur regulierungskonform einsetzen, sondern auch systematisch überwachen und in bestehende Sicherheits- und Datenschutzprozesse integrieren.

Gleichzeitig könnte der „Digitale Omnibus“ vieles einfacher gestalten, KI-Kompetenzpflichten sollten etwa gelockert werden. Ingelheim betont abschließend: „Trotzdem gilt für Betriebe Vorsicht beim Einsatz von KI. Denn auch Cyberkriminelle beschäftigen sich zunehmend mit dieser Technologie. Um Gefahren von ,Schatten-KI’ oder Schadcode zu reduzieren, bleiben ,Awareness’-Schulungen über die Vor- und Nachteile der Technologie auch 2026 essenziell, genauso wie die enge Zusammenarbeit mit externen KI-Experten, um keine Entwicklung zu verpassen.“

Weitere Informationen zum Thema:

proliance
Über uns: Professional Compliance aus München mit Leidenschaft für kleine und mittlere Unternehmen

prpliance
Alexander Ingelheim – Co-Founder & CEO

Gartner, 22.04.2025
Gartner Survey Finds 85% of CEOs Say Cybersecurity is Critical for Business Growth / Survey Findings Illustrate that Cybersecurity Has Morphed into Critical Driver for Business Growth

bitkom
Studie „Wirtschaftsschutz 2025“

Bundesamt für Sicherheit in der Informationstechnik, 05.12.2025
Cybersicherheitsrecht: NIS-2-Umsetzungsgesetz ab morgen in Kraft

proliance
Cyberresilienz-Studie 2025: Wo steht der deutsche Mittelstand? / 32 % der Mittelständler hatten schwere Security-Vorfälle. 51 % begrüßen strengere Regeln. Zeit für einfache Checks, klare Leitlinien und pragmatische Unterstützung.

European Commission, 19.11.2025
Digital Omnibus Regulation Proposal / The Digital Omnibus proposal includes a set of technical amendments to a large corpus of digital legislation, selected to bring immediate relief to businesses, public administrations, and citizens alike, and to stimulate competitiveness.

pwc, 26.02.2025
PwC’s Global Compliance Survey 2025 / Moving faster: Reinventing compliance to speed up, not trip up

bitkom, 13.11.2025
Europas Weg in die digitale Souveränität

European Commission
AI Act: The AI Act is the first-ever legal framework on AI, which addresses the risks of AI and positions Europe to play a leading role globally.

Bundesamt für Verfassungsschutz
Vorstellung der Bitkom-Studie „Wirtschaftsschutz 2025“

proliance, 26.11.2025
Schatten-KI in Unternehmen: Unterschätzte Gefahr für den Datenschutz?

datensicherheit.de, 26.01.2026
Thales-Kommentar zum Data Privacy Day 2026: Datenschutz im KI-Kontext relevanter als je zuvor / Die meisten Datenschutzverletzungen werden heute nicht von Hackern verursacht – sie finden still und leise innerhalb der IT-Systeme statt

datensicherheit.de, 20.01.2026
Data Readiness Scorecard 2026 als Wegweiser für IT-Führungskräfte / Die „Scorecard“ stellt grüne Signale wie KI-taugliche „Datenpipelines“, tiefe Unveränderbarkeit und „cloud“-unabhängige Resilienz klaren roten Warnzeichen wie „Vendor-Lock-in“, nicht verifizierter Wiederherstellung und fehlender Datenherkunft gegenüber

datensicherheit.de, 08.01.2026
Bitdefender-Rat an Unternehmen: 2026 von Reaktion zur Prävention wechseln / Laut Bitdefender könnte bzw. sollte sogar 2026 zum „Schaltjahr in der Cyberdefensive“ werden

]]>
KI macht Social Engineering gefährlicher – Zunahme der Cyberattacken auf KMU https://www.datensicherheit.de/ki-social-engineering-gefahr-zunahme-cyberattacken-kmu https://www.datensicherheit.de/ki-social-engineering-gefahr-zunahme-cyberattacken-kmu#respond Fri, 16 Jan 2026 23:50:11 +0000 https://www.datensicherheit.de/?p=51765 Kleine und Mittlere Unternehmen (KMU) sind zunehmend von Cybervorfällen betroffen und auf Künstliche Intelligenz (KI) gestütztes „Social Engineering“ macht externe Angriffe deutlich effektiver

[datensicherheit.de, 17.01.2026] Dr. Martin Krämer, „CISO Advisor“ bei KnowBe4, führt in seiner aktuellen Stellungnahme aus, dass Kleine und Mittlere Unternehmen (KMU) demnach zunehmend von Cybervorfällen betroffen sind und auf Künstliche Intelligenz (KI) gestütztes „Social Engineering“ externe Angriffe deutlich effektiver macht. Laut einem aktuellen Bericht hätten 81 Prozent der KMU einen schädlichen Vorfall verzeichnet und 38 Prozent danach ihre Preise erhöht – dies unterstreiche die wirtschaftlichen und gesellschaftlichen Folgen von Cyberattacken auf den Mittelstand.

knowbe4-martin-kraemer-2023

Foto: KnowBe4

Dr. Martin Krämer: Cyberangriffe sollen nicht nur erkannt, sondern auch organisatorisch abgefangen werden!

Zunahme des Missbrauchs KI-gestützter „Social Engineering“-Methoden

„Kleine und mittlere Unternehmen werden immer häufiger Ziel von Cyberangriffen. Sicherheits und Datenvorfälle sind für viele KMU inzwischen kein Ausnahmefall mehr, sondern ein Risiko, das im Alltag mitläuft“, so Krämer.

  • Ein aktueller Bericht vom Identity Theft Resource Center zeige dies deutlich: 81 Prozent der KMU hätten im vergangenen Jahr – 2025 – einen Sicherheitsvorfall gehabt und 38 Prozent danach ihre Preise erhöht, um die Folgen abzufedern.

„Auffällig ist zudem, dass sich die Ursachen verschieben. Statt böswilliger Insider stehen häufiger externe Angreifer hinter den Vorfällen.“ Gleichzeitig setzten diese zunehmend auf KI-gestützte „Social Engineering“-Methoden.

Wesentlicher Effekt cyberkrimineller KI-Nutzung Entwicklung liegt in steigender Qualität täuschender Inhalte

Ein wesentlicher Effekt dieser Entwicklung liege in der steigenden Qualität täuschender Inhalte. Klassische Warnsignale wie Tippfehler, holprige Formulierungen oder offensichtlich unpassende Tonalität verlören an Aussagekraft.

  • Angriffe könnten dadurch glaubwürdiger wirken, sich stärker an Kommunikationsstile anpassen und in größerem Maßstab ausgespielt werden.

Krämer warnt: „Der Vorteil, den Insider bislang durch ihre Kenntnis interner Prozesse, Hierarchien und Gepflogenheiten hatten, lässt sich so zunehmend auch von externen Akteuren nachbilden.“

Wirtschaftlichen Folgen solcher mittels KI inszenierter Vorfälle ebenfalls spürbar

Für Unternehmen bedeutet das laut Krämer vor allem eines: ,Security Awareness’ muss sich weiterentwickeln! Schulungen, die primär auf offensichtliche Merkmale von Phishing und Betrugsversuchen setzen, reichen in diesem Umfeld weniger aus. Der Fokus sollte stärker auf Verifikation, klaren Freigabeprozessen und der Fähigkeit liegen, ungewöhnliche oder besonders dringliche Anfragen konsequent zu prüfen.“

  • Auch Hinweise auf KI-generierte Inhalte könnten eine Rolle spielen, etwa subtile visuelle Artefakte bei manipulierten Videos, fehlende emotionale Nuancen bei geklonten Stimmen oder eine auffällig perfekte Sprache in E-Mails.

Die wirtschaftlichen Folgen solcher Vorfälle seien ebenfalls spürbar: „Ein Teil der betroffenen Unternehmen sieht sich gezwungen, die Preise zu erhöhen, um die Kosten der Vorfälle abzufedern.“

KMU im cyberkriminellen KI-Visier unter operativem und finanziellem Druck

Die ernste Bedrohungslage und das immer professioneller werdende „Social Engineering“ erhöhten für KMU den operativen und finanziellen Druck. Neben unmittelbaren Kosten für Schadensbegrenzung, Wiederanlauf und Kommunikation könnten Folgewirkungen wie Preisanpassungen zum Faktor werden und die Wettbewerbsfähigkeit belasten.

  • Gleichzeitig steige das Risiko, dass täuschend echte Inhalte interne Abläufe aushebeln könnten, etwa durch vermeintlich dringende Anfragen oder glaubwürdig wirkende Freigaben.

Krämers Fazit: „Für KMU wird damit entscheidend, ,Security Awareness’, Verifikationsroutinen und klare Prozessregeln so auszubauen, dass Angriffe nicht nur erkannt, sondern auch organisatorisch abgefangen werden!“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

Infosecurity Magazine, Phil Muncaster, 11.12.2025
“Cyber Tax” Warning as Two-Fifths of SMBs Raise Prices After Breach

datensicherheit.de, 11.01.2026
KMU-Fitness für NIS-2: Universität Paderborn bietet Online-Tool und Lernplattform zur Stärkung der Cybersicherheit / NIS-2 als die überarbeitete EU-Richtlinie von 2022 betrifft nun ca. 30.000 Unternehmen aus 18 Sektoren – von Gesundheit über Transport bis Telekommunikation

datensicherheit.de, 24.12.2025
Cloud-Nutzung: Auswege für KMU aus dem Dilemma der Datensouveränität / Mit „Hyperkonvergenter Infrastruktur“ können KMU einfacher und kostengünstiger „Hybrid Clouds“ aufbauen – und so garantieren, dass ihre kritischen Daten jederzeit am richtigen Ort zugänglich sind

datensicherheit.de, 06.11.2025
Fast ein Viertel der KMU-Chefetage ignoriert Geschäftsrelevanz der Cybersicherheit / 23 Prozent der IT-Führungskräfte deutscher KMU sprechen ihrem „C-Level“ das Verständnis für die geschäftliche Relevanz ihrer betrieblichen Cybersicherheit ab

]]>
https://www.datensicherheit.de/ki-social-engineering-gefahr-zunahme-cyberattacken-kmu/feed 0
KMU-Fitness für NIS-2: Universität Paderborn bietet Online-Tool und Lernplattform zur Stärkung der Cybersicherheit https://www.datensicherheit.de/kmu-fitness-nis-2-universitaet-paderborn-online-tool-lernplattform-staerkung-cybersicherheit https://www.datensicherheit.de/kmu-fitness-nis-2-universitaet-paderborn-online-tool-lernplattform-staerkung-cybersicherheit#respond Sun, 11 Jan 2026 00:09:27 +0000 https://www.datensicherheit.de/?p=51634 NIS-2 als die überarbeitete EU-Richtlinie von 2022 betrifft nun ca. 30.000 Unternehmen aus 18 Sektoren – von Gesundheit über Transport bis Telekommunikation

[datensicherheit.de, 11.01.2026] Seit Anfang 2026 gilt die neue EU-Richtlinie für Netzwerk- und Informationssicherheit (NIS-2) auch in Deutschland: Diese verpflichtet zahlreiche Unternehmen zu einem höheren Maß an Cybersicherheit. Laut einer Meldung der Universität Paderborn unterstützt der „Software Innovation Campus Paderborn“ (SICP) Kleine und Mittlere Unternehmen (KMU) mit den Projekten „KMU.kompetent.sicher“ und „FitNIS2“ dabei, ihre Betroffenheit zu prüfen und ihre Cybersicherheitsstrategie zu optimieren. Die neue Lernplattform wurde jetzt freigeschaltet.

fitnis2-Navigator-homepage

Abbildung: Screenshot Homepage „FitNIS2-Navigator“

Projekt „FitNIS2“: Der SICP hat in Kooperation mit Deutschland sicher im Netz e.V. und der „Transferstelle Cybersicherheit“ einen Web-Navigator zur Betroffenheitsprüfung und Selbsteinschätzung entwickelt

NIS-2 mit Wirkungsmächtigkeit über Lieferketten auch auf KMU

NIS-2 als die überarbeitete EU-Richtlinie von 2022 betrifft nun ca. 30.000 Unternehmen aus 18 Sektoren – von Gesundheit über Transport bis Telekommunikation. Durch die Einbindung in Lieferketten indes und die damit oft verbundene digitale Vernetzung betrifft diese Richtlinie auch viele KMU.

  • „Vor allem KMU kämpfen oft mit begrenzten Ressourcen im Bereich IT-Sicherheit und sind auf eine anbieterunabhängige Unterstützung angewiesen“, erläutert Prof. Dr. Simon Thanh-Nam Trang von der Universität Paderborn.

Genau hierzu setzten zwei Projekte an, an denen der SICP, ein Forschungs- und Innovationsverbund der Universität Paderborn mit Wirtschaftspartnern, beteiligt sei.

„KMU.kompetent.sicher“ soll maßgeschneidertes E-Learning mit NIS-2-Bezug bieten

Im Projekt „KMU.kompetent.sicher“ entwickelt der SICP gemeinsam mit der Universität Hohenheim, dem Innovationsnetzwerk „InnoZent OWL“ und dem IT-Dienstleister coactum demnach eine Trainingsplattform, um KMU praxisnah bei der Umsetzung der NIS-2-Richtlinie zu unterstützen.

  • Dieses Projekt wird vom Bundesministerium für Wirtschaft und Energie (BMWE) mit rund einer Million Euro gefördert und läuft noch zwei Jahre.

Nach dem ersten Projektlaufjahr hätten die Projektpartner nun einen wichtigen Meilenstein erreicht: Die Lernplattform „KMU.kompetent.sicher.“ sei jetzt freigeschaltet worden. Diese besteht aus praxisorientierten „Learning Nuggets“, also kleinen modular aufgebauten (Video-)Lerneinheiten, Quiz-Fragen und interaktiven Aufhaben, um das Gelernte anzuwenden.

NIS-2-Fitness für Geschäftsführung und Mitarbeiter

Mithilfe von Storytelling-Elementen wie „True Crime“-Beispielen soll zum Beispiel gezeigt werden, wie Phishing, eine Form des Internetbetrugs, funktioniert, welche Konsequenzen daraus entstehen und welche Maßnahmen schützen können.

  • Die Lernpfade „NIS2-Grundschutz“ sowie „Bedrohungen richtig einschätzen“ sollen auf NIS-2 zugeschnittene Themen abdecken. Geplant seien weitere Lernpfade wie „IT-Sicherheitskultur“, „Risikomanagement“, „Backup-Management“, „Sicherer Umgang mit E-Mails“, „Notfallmanagement“, „Passwortsicherheit“ und „Ransomware“.

Insgesamt ziele das Projekt auf die Schulung von Geschäftsführung und Mitarbeitern ab. Das Konzept beinhalte einen Regelkreislauf, um den jeweiligen Schulungsbedarf für das Unternehmen zu identifizieren und nachhaltig in dessen Kultur zu verankern.

„FitNIS2“-Navigator ermittelt Betroffenheit vom NIS-2-Umsetzungsgesetz

Im Projekt „FitNIS2“ hat der SICP in Kooperation mit Deutschland sicher im Netz e.V. und der „Transferstelle Cybersicherheit“ den „FitNIS2“-Navigator entwickelt. Im ersten Schritt analysiere das Online-Tool, ob ein Unternehmen von der Richtlinie erfasst wird. Im zweiten Schritt werde der aktuelle Erfüllungsgrad der NIS-2-Anforderungen analysiert und im dritten Schritt erhielten Nutzer klare Handlungsempfehlungen, wie sie die NIS-2-Anforderungen erfüllen können.

  • Dieses Projekt wird vom BMWE insgesamt zwei Jahre bis August 2026 gefördert. Der kostenfreie „FitNIS2-Navigator“ ist seit Juni 2025 online verfügbar.

Bereits drei Monate nach Release dieses „Tools“ sei die Betroffenheitsprüfung des „FitNIS2-Navigators“ 1.500-mal abgeschlossen worden. Darüber hinaus hätten 700 Teilnehmer die Selbsteinschätzung zur Erfüllung der NIS-2-Anforderungen abgeschlossen. Damit seien die geplanten Nutzungsziele erreicht worden.

KMU erhalten künftig je nach Sektorzugehörigkeit gezielte Informationen zur NIS-2-Betroffenheit

Derzeit wird dieser Navigator um spezifische Anforderungen für kleine Unternehmen auf Basis vom „CyberRisikoCheck“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) erweitert. In der nächsten Projektphase sollen zudem branchenspezifische Kriterien hinzukommen.

  • KMU erhielten künftig – abhängig von ihrer Sektorzugehörigkeit – gezielte Informationen zu ihrer NIS-2-Betroffenheit sowie zu möglichen Überschneidungen mit weiteren relevanten Regulierungen.

„Beide Projekte bilden damit einen kostenfreien Einstieg in die NIS-2-Thematik. Ein umfangreiches Veranstaltungsangebot in den Projekten ergänzt das Informationsangebot“, kommentiert Dr. Simon Oberthür, Leiter des SICP-Innovationsbereichs „Digital Sovereignty“.

Weitere Informationen zum Thema:

UNIVERSITÄT PADERBORN
Die Universität Paderborn gehört zu den mittelgroßen, forschungs- und transferstarken Universitäten in Deutschland. Auf unsere fünf Fakultäten – Kulturwissenschaften, Wirtschaftswissenschaften, Maschinenbau, Naturwissenschaften sowie Elektrotechnik, Informatik und Mathematik – verteilen sich 70 Studiengänge. Dazu kommen etwa 166 Fächerkombinationen im Lehramtsbereich.

UNIVERSITÄT PADERBORN
Prof. Dr. Simon Thanh-Nam Trang / Fakultät für Wirtschaftswissenschaften » Department 3: Wirtschaftsinformatik » Wirtschaftsinformatik, insb. Nachhaltigkeit

UNIVERSITÄT PADERBORN
Dr. Simon Oberthür

SiCP
SICP – Software Innovation Campus Paderborn / Innovation durch Kooperation

KMU.kompetent.sicher.
NIS-2 Test- und Trainingsplattform

FitNIS2-Navigator
Ist Ihr Unternehmen von der NIS2-Richtlinie betroffen?

Bundesamt für Sicherheit in der Informationstechnik
CyberRisikoCheck – Wirkungsvoller Schutz für kleine und Kleinstunternehmen nach DIN SPEC 27076

WIKIPEDIA
NIS-2-Richtlinie

datensicherheit.de, 07.01.2026
BSI-Portal ab sofort für zweiten Schritt zur NIS-2-Registrierung freigeschaltet / Vom Inkrafttreten des NIS-2-Umsetzungsgesetzes betroffene Betriebe müssen sich als „NIS-2-Einrichtung“ registrieren lassen und dem BSI stets „erhebliche Sicherheitsvorfälle“ zwingend melden

datensicherheit.de, 11.12.2025
NIS-2 offiziell in Kraft: Proliance-Handlungsempfehlungen für Unternehmen / Am 13. November 2025 ist das NIS-2-Maßnahmenpaket final im Bundestag beschlossen worden – ein Wendepunkt für den deutschen Mittelstand

datensicherheit.de, 06.11.2025
Fast ein Viertel der KMU-Chefetage ignoriert Geschäftsrelevanz der Cybersicherheit / 23 Prozent der IT-Führungskräfte deutscher KMU sprechen ihrem „C-Level“ das Verständnis für die geschäftliche Relevanz ihrer betrieblichen Cybersicherheit ab

]]>
https://www.datensicherheit.de/kmu-fitness-nis-2-universitaet-paderborn-online-tool-lernplattform-staerkung-cybersicherheit/feed 0
Omnibus-I-Einigung: Erleichterungen für den EU-Mittelstand erhofft https://www.datensicherheit.de/omnibus-i-einigung-erleichterungen-eu-mittelstand https://www.datensicherheit.de/omnibus-i-einigung-erleichterungen-eu-mittelstand#respond Thu, 11 Dec 2025 23:37:17 +0000 https://www.datensicherheit.de/?p=51380 Die neuen Regeln sollen klare Grenzen für künftige Sorgfaltspflichten schaffen und zusätzliche Berichtslasten verhindern – Dr. Henning Bergmann sieht entscheidenden Erfolg für kooperierenden Mittelstand

[datensicherheit.de, 12.12.2025] Laut einer Meldung der Organisation DER MITTELSTANDSVERBUND – ZGV e.V. haben sich nach intensiven Verhandlungen das Europäische Parlament, der Europäische Rat und die EU-Kommission am 8. Dezember 2025 politisch auf die zentralen Elemente des „Omnibus-I-Pakets“ verständigt. Diese Einigung bringe nun eine der weitreichendsten Entlastungen für Kleine und Mittlere Unternehmen (KMU) der vergangenen Jahre. Die neuen Regeln schafften klare Grenzen für künftige Sorgfaltspflichten und verhinderten zusätzliche Berichtslasten – ein entscheidender Erfolg für den kooperierenden Mittelstand.

mittelstandsverbund-henning-bergmann

Foto: Anna Fiolka

Dr. Henning Bergmann begrüßt ein starkes und längst nötiges Signal

Kooperierender Mittelstand erwirtschaftet rund 12% des deutschen BIP

DER MITTELSTANDSVERBUND – ZGV e.V. vertritt als Spitzenverband der deutschen Wirtschaft in Berlin und Brüssel nach eigenen Angaben die Interessen von ca. 230.000 mittelständischen Unternehmen, welche demnach in rund 300 Verbundgruppen organisiert sind.

  • Diese kooperierenden Mittelständler erwirtschafteten mit 2,36 Millionen Vollzeitbeschäftigten einen Umsatz von etwa 506 Milliarden Euro (rund zwölf Prozent des deutschen BIP) und böten über 400.000 Ausbildungsplätze.

Einzelne dieser Verbundgruppen treten unter einer Marke auf – so z.B. EDEKA, REWE, EP: ElectronicPartner, expert und BÄKO. Alle Verbundgruppen fördern ihre Mitglieder durch eine Vielzahl von Angeboten wie etwa Einkaufsverhandlungen, Logistik, IT, Finanzdienstleistungen, Beratung, Marketing, Ladeneinrichtung und Trendforschung.

Einigung ermöglicht dem Mittelstand verlässliche Planungssicherheit

Dr. Henning Bergmann, Hauptgeschäftsführer DER MITTELSTANDSVERBUND, kommentiert die Einigung zum „Omnibus-I-Paket“: „Die Einigung ist ein dringend nötiger Schritt hin zu echter Praxistauglichkeit im EU-Regulierungsrahmen!“

  • Dass mittelständische Unternehmen spürbar entlastet würden und keine zusätzlichen Berichtspflichten aus Brüssel mehr fürchten müssten, sei „ein starkes und längst nötiges Signal“.

Für Unternehmen unter 1.000 Beschäftigten, welche nun klar vor neuen Pflichten geschützt würden und branchenspezifische Vorgaben nur noch freiwillig leisten müssten, entstehe endlich verlässliche Planungssicherheit.

Realität und Ressourcen des Mittelstands: Leistungsfähigkeit und Belastbarkeit haben Grenzen

Mit der klaren Trennlinie zwischen Unternehmen über 5.000 Beschäftigten, die künftig direkt unter die Sorgfaltspflichten fielen, und Betrieben unter 1.000 Beschäftigten, welche auch mittelbar nicht in neue Berichtslasten gezogen werden dürften, entsteht laut Bergmann ein „verlässlicher und realitätsnaher Ordnungsrahmen“.

  • Abschließend betont er: „Gleichzeitig bleibt Nachhaltigkeit ein zentrales Ziel – aber mit Regeln, die sich an Realität und Ressourcen orientieren!“

Die Politik erkenne nun, dass Leistungsfähigkeit und Belastbarkeit Grenzen hätten. Für den kooperierenden Mittelstand sei dies ein Erfolg.

Weitere Informationen zum Thema:

DER MITTELSTANDSVERBUND ZGV
Mut zum Handeln!

DER MITTELSTANDSVERBUND ZGV, 31.10.2023
Dr. Henning Bergmann wird Hauptgeschäftsführer des MITTELSTANDSVERBUNDES: Dr. Henning Bergmann tritt die Nachfolge von Dr. Ludwig Veltmann an, der nach fast 24 Jahren an der Spitze des Verbandes ausscheiden wird

IHK München und Oberbayern, 08.12.2025
Ratgeber: EU-Nachhaltigkeits-Omnibus: Einigung im Trilog erzielt (8. Dezember 2025) / Mit dem Omnibus-Paket hat die EU weitreichende Vereinfachungen mit Blick auf Nachhaltigkeitsberichts- und Sorgfaltspflichten beschlossen. Für zahlreiche Unternehmen wird dadurch eine substanzielle Entlastung, mitunter sogar eine komplette Befreiung von den gesetzlichen Nachhaltigkeitspflichten ausgelöst.

]]>
https://www.datensicherheit.de/omnibus-i-einigung-erleichterungen-eu-mittelstand/feed 0