[datensicherheit.de, 30.04.2026] Der „Cyber Resilience Act“ (CRA) ist nun mittlerweile seit Dezember 2024 in Kraft. „Doch für viele kleine und mittlere Unternehmen bleibt er ein Buch mit ,sieben Siegeln’“, kommentiert Ari Albertini, CEO bei FTAPI. Aber dies ändere sich gerade: „Ab September 2026 greifen die ersten Meldepflichten, und das deutsche Durchführungsgesetz, das die Umsetzung regeln soll, steckt in der Kritik.“ Verbände wie etwa der TeleTrusT bemängelten, dass die vorgesehene Unterstützung für KMU weit hinter dem Bedarf zurückbleibe. Nach Einschätzung von FTAPI sollten KMU nicht auf staatliche Hilfe warten, sondern jetzt selbst handeln und ihre „CRA-Readiness“ aufbauen.

Foto: FTAPI

Ari Albertini unterstreicht: Wer CRA-konform ist, wird zum bevorzugten Partner in Lieferketten, in denen Auftraggeber künftig auf nachweisbare Sicherheitsstandards bestehen müssen

CRA-Umsetzung als „Chefsache“

Der CRA verpflichtet alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen wie Software, Hardware und IoT-Geräte zu umfassenden Cybersicherheitsmaßnahmen.

• „Anders als bei Regularien wie NIS-2 gibt es hier keine größenabhängigen Ausnahmen. Ob Konzern oder Kleinstunternehmen: Wer digitale Produkte in der EU vertreibt, muss die Anforderungen erfüllen!“

Die Umsetzung sei dabei nicht nur Aufgabe der IT-Abteilung, sondern „Chefsache“ – mit persönlicher Haftung der Geschäftsführung im Ernstfall. Gleichzeitig zeige der aktuelle Referentenentwurf zum „CRA-Durchführungsgesetz“: Der Staat habe für die Unterstützung 1,28 Millionen Euro jährlich eingeplant. Zum Vergleich: „Das ,NIS-2-Gesetz’ sah allein für Schulungen in der Bundesverwaltung das Vierfache vor.“

FTAPI-Checkliste: In 5 Schritten zur „CRA-Readiness“

Die Unterstützungslücke zeige deutlich: KMU müssten die CRA-Umsetzung selbst in die Hand nehmen. Fünf Schritte, die jetzt zählten:

• Schritt 1: Betroffenheit klären!
  Jedes Produkt, welches sich direkt oder indirekt mit einem Gerät oder Netzwerk verbinden kann (also nicht nur IoT-Geräte, sondern auch reine Softwareprodukte) fällt unter den CRA, unabhängig davon, ob es tatsächlich verbunden wird. Dies betrifft nicht SaaS-Lösungen und Open-Source-Komponenten.

• Schritt 2: Meldeprozesse aufbauen!
  Die erste harte Pflicht greift bereits in wenigen Monaten: Ab dem 11. September 2026 müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle gemeldet werden. Der Zeitplan ist eng:
  – Erstmeldung innerhalb von 24 Stunden
  – Folgemeldung innerhalb von 72 Stunden
  – Abschlussbericht spätestens 14 Tage nach Verfügbarkeit einer Abhilfemaßnahme
  Wer noch keine internen Prozesse für Schwachstellen-Management und „Incident Response“ hat, muss diese jetzt etablieren – nicht als IT-Projekt, sondern als Betriebsthema.

• Schritt 3: „Security by Design“ verankern!
  Der CRA verlangt, dass Sicherheit von Beginn an Teil der Produktentwicklung ist. Die größten Lücken entstehen dort, wo Architekturentscheidungen (Authentifizierung, Datenflusskontrolle, Mandantenfähigkeit) ohne explizite Security-Perspektive getroffen wurden. KMU, die jetzt starten, müssen keine Perfektion anstreben, aber einen nachweisbaren, dokumentierten Prozess.

• Schritt 4: Lieferkette und Open-Source-Abhängigkeiten inventarisieren!
  Viele Produkte bestehen heute aus einer Kombination aus Eigenentwicklung, Open-Source-Bibliotheken, „Cloud“-Diensten und Drittkomponenten. Der CRA adressiert genau diese Risiken: Hersteller tragen die Verantwortung auch für eingebettete Komponenten Dritter. Eine „Software Bill of Materials“ (SBOM) – eine strukturierte Übersicht aller verwendeten Softwarebestandteile – ist dabei das zentrale Werkzeug, um Transparenz herzustellen und im Ernstfall handlungsfähig zu bleiben.

• Schritt 5: Fördermöglichkeiten nutzen!
  Die EU stellt mit dem Programm „SECURE“ insgesamt 16,5 Millionen Euro als direkte finanzielle Unterstützung für KMU bereit, welche Produkte mit digitalen Elementen herstellen, entwickeln oder vertreiben. Förderfähig sind demnach u.a. Risikoanalysen, Penetrationstests und Sicherheitsbewertungen. Antragsberechtigt sind Unternehmen mit weniger als 250 Mitarbeitern und bis zu 50 Millionen Euro Jahresumsatz. Der erste „Call“ ist bereits geschlossen, eine zweite Runde bereits angekündigt.

CRA-Konformität: Regulierung als Wettbewerbsvorteil erkennen

Die Anforderungen eröffneten auch eine strategische Chance: „Wer CRA-konform ist, wird zum bevorzugten Partner in Lieferketten, in denen Auftraggeber künftig auf nachweisbare Sicherheitsstandards bestehen müssen.“ Umgekehrt drohe der Verlust von Aufträgen für alle, die nicht liefern können.

• „Die neuen Regularien zwingen Unternehmen, Cybersicherheit strategisch zu denken”, betont Albertini. Er führt hierzu weiter aus: „Das ist der Moment, in dem sich entscheidet, wer in den nächsten Jahren noch als verlässlicher Technologiepartner wahrgenommen wird. KMU, die jetzt handeln, kaufen sich einen Vorsprung, den andere nicht mehr aufholen können.“

Der CRA markiere das Ende der Ära, „in der Cybersicherheit ein Thema für Spezialisten war“. Unternehmen, welche Sicherheit als operative und strategische Selbstverständlichkeit begreifen, schützen nicht nur ihre Produkte, sondern sicherten ihre Marktfähigkeit in einem regulierten Europa.

Weitere Informationen zum Thema:

TeleTrusT Bundesverband IT-Sicherheit e.V., 01.04.2026
Stellungnahmen 2026 / Stellungnahme zum BMI-Referentenentwurf des Durchführungsgesetzes zur Cyberresilienz-Verordnung

SECURE Cyber Resilience für SMEs
About SECURE: Strengthening the cyber resilience of European MSMEs for a more secure and sustainable digital single market. 

ftapi
Die #1 Plattform für sicheren Datenaustausch. / Die beste Wahl, um sensible Dateien sicher und gesetzeskonform auszutauschen. Made & hosted in Germany.

heise business services
Ari Albertini – CEO, FTAPI

datensicherheit.de, 21.03.2026
Cyber Resilience Act: BSI hat Vorsitz der AdCo CRA / Die Rolle der Vorsitzenden wurde Anna Schwendicke, BSI-Referatsleiterin „Marktaufsicht“, im Rahmen der Sitzung der AdCo CRA am 19. März 2026 in Athen übertragen

datensicherheit.de, 06.04.2025
CRA erzwingt Produktanpassungen: Höchste Zeit für Hersteller zu handeln / Geräte mit ausnutzbaren Cyber-Schwachstellen dürfen nach CRA-Inkrafttreten in der EU bald nicht mehr verkauft werden

datensicherheit.de, 22.11.2024
Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle / ONEKEY warnt vor höchster Gefahr für Hersteller vernetzter Geräte, Maschinen und Anlagen, deren Produkte Open-Source-Software enthalten

[datensicherheit.de, 16.03.2026] Die aktuelle Studie der HP Inc.  – „The Workflow Wakeup Report“ – soll einen einen umfassenden Überblick darüber geben, wie alltägliche Technologien, so eben auch Drucker, kleine Unternehmen dabei unterstützen können, ihre Sicherheit zu verbessern und sich auf die Zukunft der Arbeit vorzubereiten. Die Drucksicherheit sei eine der am häufigsten übersehenen Schwachstellen bei der Cyberabwehr in Kleinen und Mittelständischen Unternehmen (KMU) – trotz wachsender Besorgnis bei IT-Entscheidern. Die HP-Erkenntnisse basieren nach eigenen Angaben auf einer Stichprobe von 200 IT-Entscheidungsträgern und 600 Büroangestellten, welche für KMU mit 50 bis 1.000 Mitarbeitern in Deutschland tätig sind. Die zugrundeliegende Umfrage sei von Edelman vom 5. bis 27. August 2025 online durchgeführt worden.

Abbildung: hp

Ergebnisse einer Edelman-Stichprobe unter 200 IT-Entscheidungsträgern und 600 Büroangestellten im hp-Auftrag

56% der KMU hatten mindestens einen datenbezogenen Verlust im Zusammenhang mit dem Drucken

Bei einer neuen Studie unter 200 IT-Entscheidungsträgern und 600 Büroangestellten in Deutschland gaben laut HP 62 Prozent der KMU an, dass Drucksicherheit hinsichtlich ihrer Cybersicherheitsstrategien nur geringe Priorität hat.

• Diese Ergebnisse kämen nun zu einer Zeit, in der die Risiken im Hinblick mit Drucken weiter zunähmen.

Eine weitere Studie von Quocirca habe gezeigt, dass 56 Prozent der KMU mindestens einen datenbezogenen Verlust im Zusammenhang mit dem Drucken im letzten Jahr gemeldet hätten. Dies unterstreiche, wie leicht sich dieser „als sicher geltende” Teil der IT-Infrastruktur zu einem Schwachpunkt entwickeln könne.

Zu den wichtigsten Ergebnissen der KMU-Studie gehören laut HP:

• Richtlinien funktionieren nicht oder werden umgangen
  Über die Hälfte (56%) der KMU beobachten demnach, dass Anwender versuchen, Druckregeln oder -beschränkungen zu umgehen. Daher befürchteten auch 58 Prozent, dass bestehende Dokumentenprozesse zu Daten- oder Datenschutzproblemen führen könnten. Weitere 52 Prozent sagten, dass sie keinen Überblick darüber hätten, wer was und wo druckt. Insgesamt seien sich 45 Prozent der Befragten nicht sicher, ob die Drucksicherheit den „Compliance“-Standards der Branche entspricht.
• Drucksicherheit wird vorausgesetzt
  68 Prozent der Büroangestellten gingen davon aus, dass Drucker im Büronetzwerk sicher seien. Insgesamt sähen 53 Prozent Drucker nicht als Sicherheitsrisiko an. Immerhin 24 Prozent machten sich jedoch Sorgen darüber, dass vertrauliche Informationen gedruckt werden und in die falschen Hände geraten könnten.

Trotz der geringen Priorität würden 69 Prozent der KMU anerkennen, dass die Drucksicherheit verbessert werden müsse. Insgesamt machten sich 68 Prozent häufig Sorgen über die Sicherheitsrisiken, die veraltete Systeme mit sich brächten.

Zu den 5 größten Sicherheitsbedenken in Bezug auf Drucker gehörten:

1. Cybersecurity-Risiken im Zusammenhang mit vernetzten Druckern
2. in der Drucker-Ausgabe vergessene vertrauliche Dokumente
3. „Cloud“-Schwachstellen im Zusammenhang mit gescannten Dokumenten
4. unbefugter Zugriff auf Druckdateien oder Druckwarteschlangen
5. Fehldrucke, Fehlablagen oder unsachgemäße Handhabung von Materialien

Mehr Sicherheit für 85% der KMU mit Intelligentem Drucken realisiert

Die Daten deuteten auch darauf hin, dass sich diese Risiken beheben ließen: Unternehmen müssten allerdings korrekte Kontrollen einführen. „Von den KMU, die bereits Intelligente Drucktechnologien implementiert haben, geben 85 Prozent an, dass Intelligentes Drucken ihr Unternehmen sicherer gemacht hat.“

• Die Studien-Befragten würden drei wichtige Gründe nennen: Dazu gehörten klare Transparenz der Druck- und Scan-Aktivitäten aller Anwender und Standorte (88%) ebenso wie Einhaltung von „Compliance“- und Sicherheitsstandards (85%). Intelligente Regeln und Einschränkungen durchzusetzen seien Teil der Gründe für 83 Prozent der Teilnehmer.

Aurelio Maruggi, „Division President von HP Office Print Solutions„, kommentiert: „Drucker sind der Blinde Fleck im Hinblick auf die Sicherheit. Viele KMU übersehen sie und das ist ein Risiko für die Zukunft der Arbeit. Wenn man nicht sehen kann, wer was, wo und wann druckt, ist es schwierig, sensible Daten zu schützen. Ein einziger fehlgeleiteter Scan oder ein nicht abgeholter Druckauftrag kann zu einem Datenleck von Gehaltsabrechnungen, Kundenunterlagen oder Vertragsdetails führen – und es gibt keine offensichtlichen Anzeichen, dass etwas nicht stimmt. Intelligentes Drucken behebt dieses Problem, indem es Transparenz schafft, Richtlinien durchsetzt und Audit-Pfade in Druck- und Scan-Workflows integriert.“

Weitere Informationen zum Thema:

hp
About Us

hp
The Workflow Wakeup – True business transformation starts with smart printing, not outdated technology. Learn how small and midsize businesses (SMBs) are turning everyday work into a competitive edge.

hp
The Workflow
 Wakeup: How Unexpected Tech Can Help
 Future-Proof Small and Medium Businesses

hp
Executive Biography Aurelio Maruggi / General Manager, A3 Solutions – Office Printing Solutions

QUOCIRCA
Quocirca Print Security Landscape, 2025 / What are the key trends for print security in 2025 and beyond?

datensicherheit.de, 05.08.2020
Drucker: Gefährlicher Leichtsinn in Unternehmen / Neue Studie von Sharp weist auf Drucker als willkommene Einfallstore für Hacker hin

[datensicherheit.de, 10.03.2026] Laut einer Meldung der Technischen Universität Dresden (TUD) vom 9. März 2026 startete dort mit einem Kick-off-Meeting jetzt offiziell das Forschungsprojekt „ALL#HANDS – Robustes Daten-Ökosystem für ein kooperatives Internet-Lage- und Informationszentrum“. In dem Verbund arbeiten werden demnach in den kommenden drei Jahren acht Partner aus Wissenschaft und Wirtschaft zusammenarbeiten, um die digitale Resilienz in Deutschland nachhaltig zu stärken.

Foto: © Thomas Liske

„ALL#HANDS“: Nach dem Kick-off-Meeting an der TUD startet das Forschungsprojekt

„ALL#HANDS“ soll sicheres und vertrauenswürdiges Daten-„Ökosystem“ ermöglichen

Ziel des Projekts sei es, die digitale Widerstandsfähigkeit in Deutschland zu verbessern: „Das heißt: Internet- und Datensysteme sollen besser mit Störungen, Ausfällen oder Angriffen umgehen können!“

• Dazu erfolge der Aufbau leistungsfähiger, betreiberübergreifender Lage-Analysen für digitale Infrastrukturen. Diese sollen laut TUD Störungsverläufe und gegenseitige Abhängigkeiten transparent machen, datenbasierte Reaktionen im Ereignisfall unterstützen und eine abgestimmte Notfallplanung ermöglichen.

Insbesondere Kleine und Mittlere Unternehmen (KMU) sollen so im Krisenfall besser unterstützt werden. „Dazu schafft ,ALL#HANDS’ ein sicheres und vertrauenswürdiges Daten-,Ökosystem’, um Netzdaten der deutschen Internet-Wirtschaft risikoarm zusammenzuführen.“

„ALL#HANDS“ unter 90 Einreichungen zusammen mit sechs weiteren Projekten ausgewählt

Ein weiterer zentraler Aspekt dieses Projekts sei die Entwicklung eines Digitalen Zwillings zur Simulation von Netzstörungen und Krisenszenarien – etwa bei Software-Fehlern oder Stromausfällen. Darauf aufbauend entstehe ein Bürgerinformationssystem, um komplexe Lagen verständlich aufzubereiten. „Rechtliche, organisatorische und menschliche Rahmenbedingungen werden begleitend untersucht.“

• „ALL#HANDS“ sei in der Fördermaßnahme „Nutzen in Daten-Ökosystemen: Wettbewerb – Kommunikation – Kooperation“ unter 90 Einreichungen zusammen mit sechs weiteren Projekten durch das Bundesministerium für Forschung, Technologie und Raumfahrt (BMFTR) ausgewählt worden und werde mit rund 2,9 Millionen Euro gefördert.

Projektpartner sind laut TUD: Leitwert GmbH, IBH IT-Service GmbH, IPB Internet Provider in Berlin GmbH, BCIX Management GmbH, eco Service GmbH, Hochschule für Angewandte Wissenschaften Hamburg, Technische Universität Dresden, Technische Universität München.

Weitere Informationen zum Thema:

ALL#HANDS
Robustes Daten-Ökosystem für ein kooperatives Internet-Lage- und Informationszentrum (ALL-HANDS)

Bundesministerium für Forschung, Technologie und Raumfahrt
Nutzen in Daten-Ökosystemen: Wettbewerb – Kommunikation – Kooperation (DigiNutzenDat) | Stichtag: 28. Februar 2025

WIKIPEDIA
Digitaler Zwilling

datensicherheit.de, 25.02.2025
Neue Maßstäbe für dynamische Planungssicherheit: Digital Zwillinge und Daten-Streaming / Digitale Zwillinge bilden Objekte oder Prozesse in einer virtuellen Umgebung ab und nutzten umfangreiche Echtzeitdaten zur realistischen Simulation

datensicherheit.de, 05.02.2026
Moderne OT-Resilienz: Digitale Zwillinge als wichtige Bausteine / Neben kontinuierlichem „Exposure Management“ braucht operative Resilienz in OT-Umgebungen konkrete technische und organisatorische Hebel: Zugangskontrollen, belastbare Testumgebungen und kompensierende Maßnahmen für „Legacy“-Systeme

[datensicherheit.de, 27.01.2026] Alexander Ingelheim, CEO und Mitgründer von Proliance nimmt in seiner Stellungnahme zum Jahresbeginn Stellung zu den zentralen Handlungsfeldern und Herausforderungen im Kontext von Fragen des Datenschutzes und und der Informationssicherheit im Jahr 2026: „Datenschutz, Informationssicherheit und ,Compliance’ stehen für Unternehmen künftig nicht mehr nur als regulatorische Pflichtprogramme auf der Agenda – sie werden zu zentralen Erfolgsfaktoren!“ Dies spiegele sich auch im Management wider: „Laut einer internationalen Gartner-Studie sehen 85 Prozent der CEOs Cybersecurity inzwischen als kritischen Faktor für künftiges Unternehmenswachstum.“ Gleichzeitig verdeutlichten Zahlen des Digitalverbands Bitkom die reale Bedrohungslage: „Der Schaden für die deutsche Wirtschaft durch Spionage, Sabotage und Datendiebstahl lag alleine 2025 bei 289,2 Milliarden Euro – rund acht Prozent mehr als im Vorjahr.“ Vor diesem Hintergrund wird 2026 demnach ein Jahr, in dem Unternehmen ihre Prioritäten neu ordnen müssten.

Foto: Proliance

Alexander Ingelheim: Um z.B. Gefahren von „Schatten-KI“ oder Schadcode zu reduzieren, bleiben „Awareness“-Schulungen über die Vor- und Nachteile der Technologie auch 2026 essenziell

NIS-2-Compliance ist 2026 zentrale IT-Sicherheitsaufgabe

Mit dem Inkrafttreten der NIS-2-Richtlinie zum 6. Dezember 2025 ohne jegliche Übergangsfristen seien die Anforderungen an Informations- und IT-Sicherheit deutlich angestiegen.

• Unternehmen müssten nun ein systematisches Risikomanagement etablieren, Cyberresilienz stärken und robuste Business-Continuity-Strukturen schaffen – nicht nur zum Schutz vor aktuellen Angriffen, sondern als Grundlage für nachhaltige digitale Stabilität.

Trotz des Aufwands sehe der Mittelstand den Nutzen: 51 Prozent der deutschen KMU begrüßten diese Richtlinie. „Und das zurecht, denn NIS-2 schafft keine neuen Probleme, sondern adressiert bereits bestehende Risiken. Wer jetzt handelt, vermeidet Haftungsrisiken, hohe Bußgelder und sichert sich Wettbewerbsvorteile!“

Digital-Omnibus der EU erfordert 2026ff anpassungsfähige Compliance-Strukturen

Die im November 2025 vorgestellte „Digital-Omnibus“-Reform der EU adressiere zentrale Bereiche des Datenschutzes, der Datennutzung und der KI-Regulierung und führe zu einer eng verflochtenen „Compliance“-Landschaft.

• Ein Punkt der neuen „To Do“-Liste: „Die innovationsfreundlichere Gestaltung von KI-Regeln und die Modernisierung von Cookie-Regeln.“

Ingelheim führt aus: „Datenschützer sehen hier die Gefahr des Rückschritts in Sachen digitaler Grundrechte. Für KMU könnte das Reformpaket dagegen eine Entlastung darstellen.“ Vorausgesetzt, diese stellten ihre Datenschutz- und „Compliance“-Maßnahmen so auf, „dass diese sich flexibel an Neuerungen anpassen lassen“.

2026 werden Automatisierung und vernetzte Systeme bedeutender Wettbewerbsfaktor

Angesichts der steigenden Komplexität von Regularien und Cyberbedrohungen gewenne die Vernetzung von Datenschutz-, IT-Sicherheits- und „Compliance“-Prozessen erhebliches an Bedeutung:

• „Sie schafft Transparenz, reduziert operative Risiken und ermöglicht eine agile Anpassung an neue Vorgaben.“ Nur so könnten Unternehmen effizient und skalierbar auf Veränderungen reagieren.

Laut einer aktuellen PwC-Umfrage könne ein „Connected Compliance“-Ansatz mit besserer Vernetzung und Koordination Entscheidungen erleichtern, mehr Transparenz schaffen und insgesamt die betriebliche „Compliance“-Kultur stärken.

Digitale Souveränität: „Must Have“ und ebenfalls entscheidender Wettbewerbsfaktor

„Auch 2026 werden geopolitische Spannungen Unternehmen zunehmend dazu bringen, ihre digitale Infrastruktur ,souverän’ zu gestalten. Strategische Unabhängigkeit von globalen Tech-Giganten und die Nutzung europäischer Alternativen werden hier zu einem zentralen Wettbewerbsfaktor – besonders aus ,Compliance’- und IT-Sicherheitsperspektive.“

• Aber auch Konsumenten könnten dies künftig vermehrt fordern: Laut Bitkom wünschten sich 98 Prozent der Bundesbürger mehr digitale Unabhängigkeit Deutschlands. Gleichzeitig schätzten 93 Prozent der Unternehmen Deutschland aktuell „stark abhängig“, bzw. „eher abhängig“, von digitalen Technologien und Leistungen aus dem Ausland ein.

Somit werde Digitale Souveränität in diesem Jahr klar zur strategischen Geschäftsentscheidung. Ingelheim legt nahe: „Verantwortliche sollten bei jeder Software-Implementierung europäische Alternativen in Betracht ziehen und die wichtigsten Bausteine ihres Tech-Stacks auf diese Alternativen umstellen!“

KI-Regulierung rückt 2026 in den Mittelpunkt unternehmerischer Verantwortung

Künstliche Intelligenz (KI) bleibe 2026 sowohl Wachstums- als auch Risikofaktor. Die KI-Regulierung „EU AI-Act“ – der weltweit erste umfassende Rechtsrahmen für KI – bringe neue Anforderungen an Risikomanagement, Transparenz und Dokumentation mit sich. „Nach der formalen Verabschiedung und Vorstellung im Sommer 2024 tritt dieser nun schrittweise in Kraft.“ Unternehmen sollten ihre bisher genutzten Systeme prüfen und eine zentrale Übersicht über den Einsatz aller KI-Technologien im Unternehmen schaffen, etwa in Form eines „Asset Hub“. Ab August 2026 kämen weitere Pflichten für Hochrisiko-KI hinzu – darunter Konformitätsbewertungen, ein strukturiertes Risikomanagement und die Registrierung entsprechender Systeme.

• Zudem rückten Transparenzanforderungen für Deepfakes und Chatbots sowie spezifische Vorgaben für Basismodelle in den Fokus. Unabhängig davon sollten Firmen ihre KI-Risiken konsequent steuern, auf sichere Konfigurationen setzen und den gesamten Lebenszyklus ihrer KI-Systeme nachvollziehbar dokumentieren. Unternehmen müssten KI-Systeme nicht nur regulierungskonform einsetzen, sondern auch systematisch überwachen und in bestehende Sicherheits- und Datenschutzprozesse integrieren.

Gleichzeitig könnte der „Digitale Omnibus“ vieles einfacher gestalten, KI-Kompetenzpflichten sollten etwa gelockert werden. Ingelheim betont abschließend: „Trotzdem gilt für Betriebe Vorsicht beim Einsatz von KI. Denn auch Cyberkriminelle beschäftigen sich zunehmend mit dieser Technologie. Um Gefahren von ,Schatten-KI’ oder Schadcode zu reduzieren, bleiben ,Awareness’-Schulungen über die Vor- und Nachteile der Technologie auch 2026 essenziell, genauso wie die enge Zusammenarbeit mit externen KI-Experten, um keine Entwicklung zu verpassen.“

Weitere Informationen zum Thema:

proliance
Über uns: Professional Compliance aus München mit Leidenschaft für kleine und mittlere Unternehmen

prpliance
Alexander Ingelheim – Co-Founder & CEO

Gartner, 22.04.2025
Gartner Survey Finds 85% of CEOs Say Cybersecurity is Critical for Business Growth / Survey Findings Illustrate that Cybersecurity Has Morphed into Critical Driver for Business Growth

bitkom
Studie „Wirtschaftsschutz 2025“

Bundesamt für Sicherheit in der Informationstechnik, 05.12.2025
Cybersicherheitsrecht: NIS-2-Umsetzungsgesetz ab morgen in Kraft

proliance
Cyberresilienz-Studie 2025: Wo steht der deutsche Mittelstand? / 32 % der Mittelständler hatten schwere Security-Vorfälle. 51 % begrüßen strengere Regeln. Zeit für einfache Checks, klare Leitlinien und pragmatische Unterstützung.

European Commission, 19.11.2025
Digital Omnibus Regulation Proposal / The Digital Omnibus proposal includes a set of technical amendments to a large corpus of digital legislation, selected to bring immediate relief to businesses, public administrations, and citizens alike, and to stimulate competitiveness.

pwc, 26.02.2025
PwC’s Global Compliance Survey 2025 / Moving faster: Reinventing compliance to speed up, not trip up

bitkom, 13.11.2025
Europas Weg in die digitale Souveränität

European Commission
AI Act: The AI Act is the first-ever legal framework on AI, which addresses the risks of AI and positions Europe to play a leading role globally.

Bundesamt für Verfassungsschutz
Vorstellung der Bitkom-Studie „Wirtschaftsschutz 2025“

proliance, 26.11.2025
Schatten-KI in Unternehmen: Unterschätzte Gefahr für den Datenschutz?

datensicherheit.de, 26.01.2026
Thales-Kommentar zum Data Privacy Day 2026: Datenschutz im KI-Kontext relevanter als je zuvor / Die meisten Datenschutzverletzungen werden heute nicht von Hackern verursacht – sie finden still und leise innerhalb der IT-Systeme statt

datensicherheit.de, 20.01.2026
Data Readiness Scorecard 2026 als Wegweiser für IT-Führungskräfte / Die „Scorecard“ stellt grüne Signale wie KI-taugliche „Datenpipelines“, tiefe Unveränderbarkeit und „cloud“-unabhängige Resilienz klaren roten Warnzeichen wie „Vendor-Lock-in“, nicht verifizierter Wiederherstellung und fehlender Datenherkunft gegenüber

datensicherheit.de, 08.01.2026
Bitdefender-Rat an Unternehmen: 2026 von Reaktion zur Prävention wechseln / Laut Bitdefender könnte bzw. sollte sogar 2026 zum „Schaltjahr in der Cyberdefensive“ werden

[datensicherheit.de, 17.01.2026] Dr. Martin Krämer, „CISO Advisor“ bei KnowBe4, führt in seiner aktuellen Stellungnahme aus, dass Kleine und Mittlere Unternehmen (KMU) demnach zunehmend von Cybervorfällen betroffen sind und auf Künstliche Intelligenz (KI) gestütztes „Social Engineering“ externe Angriffe deutlich effektiver macht. Laut einem aktuellen Bericht hätten 81 Prozent der KMU einen schädlichen Vorfall verzeichnet und 38 Prozent danach ihre Preise erhöht – dies unterstreiche die wirtschaftlichen und gesellschaftlichen Folgen von Cyberattacken auf den Mittelstand.

Foto: KnowBe4

Dr. Martin Krämer: Cyberangriffe sollen nicht nur erkannt, sondern auch organisatorisch abgefangen werden!

Zunahme des Missbrauchs KI-gestützter „Social Engineering“-Methoden

„Kleine und mittlere Unternehmen werden immer häufiger Ziel von Cyberangriffen. Sicherheits und Datenvorfälle sind für viele KMU inzwischen kein Ausnahmefall mehr, sondern ein Risiko, das im Alltag mitläuft“, so Krämer.

• Ein aktueller Bericht vom Identity Theft Resource Center zeige dies deutlich: 81 Prozent der KMU hätten im vergangenen Jahr – 2025 – einen Sicherheitsvorfall gehabt und 38 Prozent danach ihre Preise erhöht, um die Folgen abzufedern.

„Auffällig ist zudem, dass sich die Ursachen verschieben. Statt böswilliger Insider stehen häufiger externe Angreifer hinter den Vorfällen.“ Gleichzeitig setzten diese zunehmend auf KI-gestützte „Social Engineering“-Methoden.

Wesentlicher Effekt cyberkrimineller KI-Nutzung Entwicklung liegt in steigender Qualität täuschender Inhalte

Ein wesentlicher Effekt dieser Entwicklung liege in der steigenden Qualität täuschender Inhalte. Klassische Warnsignale wie Tippfehler, holprige Formulierungen oder offensichtlich unpassende Tonalität verlören an Aussagekraft.

• Angriffe könnten dadurch glaubwürdiger wirken, sich stärker an Kommunikationsstile anpassen und in größerem Maßstab ausgespielt werden.

Krämer warnt: „Der Vorteil, den Insider bislang durch ihre Kenntnis interner Prozesse, Hierarchien und Gepflogenheiten hatten, lässt sich so zunehmend auch von externen Akteuren nachbilden.“

Wirtschaftlichen Folgen solcher mittels KI inszenierter Vorfälle ebenfalls spürbar

Für Unternehmen bedeutet das laut Krämer vor allem eines: „,Security Awareness’ muss sich weiterentwickeln! Schulungen, die primär auf offensichtliche Merkmale von Phishing und Betrugsversuchen setzen, reichen in diesem Umfeld weniger aus. Der Fokus sollte stärker auf Verifikation, klaren Freigabeprozessen und der Fähigkeit liegen, ungewöhnliche oder besonders dringliche Anfragen konsequent zu prüfen.“

• Auch Hinweise auf KI-generierte Inhalte könnten eine Rolle spielen, etwa subtile visuelle Artefakte bei manipulierten Videos, fehlende emotionale Nuancen bei geklonten Stimmen oder eine auffällig perfekte Sprache in E-Mails.

Die wirtschaftlichen Folgen solcher Vorfälle seien ebenfalls spürbar: „Ein Teil der betroffenen Unternehmen sieht sich gezwungen, die Preise zu erhöhen, um die Kosten der Vorfälle abzufedern.“

KMU im cyberkriminellen KI-Visier unter operativem und finanziellem Druck

Die ernste Bedrohungslage und das immer professioneller werdende „Social Engineering“ erhöhten für KMU den operativen und finanziellen Druck. Neben unmittelbaren Kosten für Schadensbegrenzung, Wiederanlauf und Kommunikation könnten Folgewirkungen wie Preisanpassungen zum Faktor werden und die Wettbewerbsfähigkeit belasten.

• Gleichzeitig steige das Risiko, dass täuschend echte Inhalte interne Abläufe aushebeln könnten, etwa durch vermeintlich dringende Anfragen oder glaubwürdig wirkende Freigaben.

Krämers Fazit: „Für KMU wird damit entscheidend, ,Security Awareness’, Verifikationsroutinen und klare Prozessregeln so auszubauen, dass Angriffe nicht nur erkannt, sondern auch organisatorisch abgefangen werden!“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

Infosecurity Magazine, Phil Muncaster, 11.12.2025
“Cyber Tax” Warning as Two-Fifths of SMBs Raise Prices After Breach

datensicherheit.de, 11.01.2026
KMU-Fitness für NIS-2: Universität Paderborn bietet Online-Tool und Lernplattform zur Stärkung der Cybersicherheit / NIS-2 als die überarbeitete EU-Richtlinie von 2022 betrifft nun ca. 30.000 Unternehmen aus 18 Sektoren – von Gesundheit über Transport bis Telekommunikation

datensicherheit.de, 24.12.2025
Cloud-Nutzung: Auswege für KMU aus dem Dilemma der Datensouveränität / Mit „Hyperkonvergenter Infrastruktur“ können KMU einfacher und kostengünstiger „Hybrid Clouds“ aufbauen – und so garantieren, dass ihre kritischen Daten jederzeit am richtigen Ort zugänglich sind

datensicherheit.de, 06.11.2025
Fast ein Viertel der KMU-Chefetage ignoriert Geschäftsrelevanz der Cybersicherheit / 23 Prozent der IT-Führungskräfte deutscher KMU sprechen ihrem „C-Level“ das Verständnis für die geschäftliche Relevanz ihrer betrieblichen Cybersicherheit ab

[datensicherheit.de, 11.01.2026] Seit Anfang 2026 gilt die neue EU-Richtlinie für Netzwerk- und Informationssicherheit (NIS-2) auch in Deutschland: Diese verpflichtet zahlreiche Unternehmen zu einem höheren Maß an Cybersicherheit. Laut einer Meldung der Universität Paderborn unterstützt der „Software Innovation Campus Paderborn“ (SICP) Kleine und Mittlere Unternehmen (KMU) mit den Projekten „KMU.kompetent.sicher“ und „FitNIS2“ dabei, ihre Betroffenheit zu prüfen und ihre Cybersicherheitsstrategie zu optimieren. Die neue Lernplattform wurde jetzt freigeschaltet.

Abbildung: Screenshot Homepage „FitNIS2-Navigator“

Projekt „FitNIS2“: Der SICP hat in Kooperation mit Deutschland sicher im Netz e.V. und der „Transferstelle Cybersicherheit“ einen Web-Navigator zur Betroffenheitsprüfung und Selbsteinschätzung entwickelt

NIS-2 mit Wirkungsmächtigkeit über Lieferketten auch auf KMU

NIS-2 als die überarbeitete EU-Richtlinie von 2022 betrifft nun ca. 30.000 Unternehmen aus 18 Sektoren – von Gesundheit über Transport bis Telekommunikation. Durch die Einbindung in Lieferketten indes und die damit oft verbundene digitale Vernetzung betrifft diese Richtlinie auch viele KMU.

• „Vor allem KMU kämpfen oft mit begrenzten Ressourcen im Bereich IT-Sicherheit und sind auf eine anbieterunabhängige Unterstützung angewiesen“, erläutert Prof. Dr. Simon Thanh-Nam Trang von der Universität Paderborn.

Genau hierzu setzten zwei Projekte an, an denen der SICP, ein Forschungs- und Innovationsverbund der Universität Paderborn mit Wirtschaftspartnern, beteiligt sei.

„KMU.kompetent.sicher“ soll maßgeschneidertes E-Learning mit NIS-2-Bezug bieten

Im Projekt „KMU.kompetent.sicher“ entwickelt der SICP gemeinsam mit der Universität Hohenheim, dem Innovationsnetzwerk „InnoZent OWL“ und dem IT-Dienstleister coactum demnach eine Trainingsplattform, um KMU praxisnah bei der Umsetzung der NIS-2-Richtlinie zu unterstützen.

• Dieses Projekt wird vom Bundesministerium für Wirtschaft und Energie (BMWE) mit rund einer Million Euro gefördert und läuft noch zwei Jahre.

Nach dem ersten Projektlaufjahr hätten die Projektpartner nun einen wichtigen Meilenstein erreicht: Die Lernplattform „KMU.kompetent.sicher.“ sei jetzt freigeschaltet worden. Diese besteht aus praxisorientierten „Learning Nuggets“, also kleinen modular aufgebauten (Video-)Lerneinheiten, Quiz-Fragen und interaktiven Aufhaben, um das Gelernte anzuwenden.

NIS-2-Fitness für Geschäftsführung und Mitarbeiter

Mithilfe von Storytelling-Elementen wie „True Crime“-Beispielen soll zum Beispiel gezeigt werden, wie Phishing, eine Form des Internetbetrugs, funktioniert, welche Konsequenzen daraus entstehen und welche Maßnahmen schützen können.

• Die Lernpfade „NIS2-Grundschutz“ sowie „Bedrohungen richtig einschätzen“ sollen auf NIS-2 zugeschnittene Themen abdecken. Geplant seien weitere Lernpfade wie „IT-Sicherheitskultur“, „Risikomanagement“, „Backup-Management“, „Sicherer Umgang mit E-Mails“, „Notfallmanagement“, „Passwortsicherheit“ und „Ransomware“.

Insgesamt ziele das Projekt auf die Schulung von Geschäftsführung und Mitarbeitern ab. Das Konzept beinhalte einen Regelkreislauf, um den jeweiligen Schulungsbedarf für das Unternehmen zu identifizieren und nachhaltig in dessen Kultur zu verankern.

„FitNIS2“-Navigator ermittelt Betroffenheit vom NIS-2-Umsetzungsgesetz

Im Projekt „FitNIS2“ hat der SICP in Kooperation mit Deutschland sicher im Netz e.V. und der „Transferstelle Cybersicherheit“ den „FitNIS2“-Navigator entwickelt. Im ersten Schritt analysiere das Online-Tool, ob ein Unternehmen von der Richtlinie erfasst wird. Im zweiten Schritt werde der aktuelle Erfüllungsgrad der NIS-2-Anforderungen analysiert und im dritten Schritt erhielten Nutzer klare Handlungsempfehlungen, wie sie die NIS-2-Anforderungen erfüllen können.

• Dieses Projekt wird vom BMWE insgesamt zwei Jahre bis August 2026 gefördert. Der kostenfreie „FitNIS2-Navigator“ ist seit Juni 2025 online verfügbar.

Bereits drei Monate nach Release dieses „Tools“ sei die Betroffenheitsprüfung des „FitNIS2-Navigators“ 1.500-mal abgeschlossen worden. Darüber hinaus hätten 700 Teilnehmer die Selbsteinschätzung zur Erfüllung der NIS-2-Anforderungen abgeschlossen. Damit seien die geplanten Nutzungsziele erreicht worden.

KMU erhalten künftig je nach Sektorzugehörigkeit gezielte Informationen zur NIS-2-Betroffenheit

Derzeit wird dieser Navigator um spezifische Anforderungen für kleine Unternehmen auf Basis vom „CyberRisikoCheck“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) erweitert. In der nächsten Projektphase sollen zudem branchenspezifische Kriterien hinzukommen.

• KMU erhielten künftig – abhängig von ihrer Sektorzugehörigkeit – gezielte Informationen zu ihrer NIS-2-Betroffenheit sowie zu möglichen Überschneidungen mit weiteren relevanten Regulierungen.

„Beide Projekte bilden damit einen kostenfreien Einstieg in die NIS-2-Thematik. Ein umfangreiches Veranstaltungsangebot in den Projekten ergänzt das Informationsangebot“, kommentiert Dr. Simon Oberthür, Leiter des SICP-Innovationsbereichs „Digital Sovereignty“.

Weitere Informationen zum Thema:

UNIVERSITÄT PADERBORN
Die Universität Paderborn gehört zu den mittelgroßen, forschungs- und transferstarken Universitäten in Deutschland. Auf unsere fünf Fakultäten – Kulturwissenschaften, Wirtschaftswissenschaften, Maschinenbau, Naturwissenschaften sowie Elektrotechnik, Informatik und Mathematik – verteilen sich 70 Studiengänge. Dazu kommen etwa 166 Fächerkombinationen im Lehramtsbereich.

UNIVERSITÄT PADERBORN
Prof. Dr. Simon Thanh-Nam Trang / Fakultät für Wirtschaftswissenschaften » Department 3: Wirtschaftsinformatik » Wirtschaftsinformatik, insb. Nachhaltigkeit

UNIVERSITÄT PADERBORN
Dr. Simon Oberthür

SiCP
SICP – Software Innovation Campus Paderborn / Innovation durch Kooperation

KMU.kompetent.sicher.
NIS-2 Test- und Trainingsplattform

FitNIS2-Navigator
Ist Ihr Unternehmen von der NIS2-Richtlinie betroffen?

Bundesamt für Sicherheit in der Informationstechnik
CyberRisikoCheck – Wirkungsvoller Schutz für kleine und Kleinstunternehmen nach DIN SPEC 27076

WIKIPEDIA
NIS-2-Richtlinie

datensicherheit.de, 07.01.2026
BSI-Portal ab sofort für zweiten Schritt zur NIS-2-Registrierung freigeschaltet / Vom Inkrafttreten des NIS-2-Umsetzungsgesetzes betroffene Betriebe müssen sich als „NIS-2-Einrichtung“ registrieren lassen und dem BSI stets „erhebliche Sicherheitsvorfälle“ zwingend melden

datensicherheit.de, 11.12.2025
NIS-2 offiziell in Kraft: Proliance-Handlungsempfehlungen für Unternehmen / Am 13. November 2025 ist das NIS-2-Maßnahmenpaket final im Bundestag beschlossen worden – ein Wendepunkt für den deutschen Mittelstand

datensicherheit.de, 06.11.2025
Fast ein Viertel der KMU-Chefetage ignoriert Geschäftsrelevanz der Cybersicherheit / 23 Prozent der IT-Führungskräfte deutscher KMU sprechen ihrem „C-Level“ das Verständnis für die geschäftliche Relevanz ihrer betrieblichen Cybersicherheit ab

[datensicherheit.de, 12.12.2025] Laut einer Meldung der Organisation DER MITTELSTANDSVERBUND – ZGV e.V. haben sich nach intensiven Verhandlungen das Europäische Parlament, der Europäische Rat und die EU-Kommission am 8. Dezember 2025 politisch auf die zentralen Elemente des „Omnibus-I-Pakets“ verständigt. Diese Einigung bringe nun eine der weitreichendsten Entlastungen für Kleine und Mittlere Unternehmen (KMU) der vergangenen Jahre. Die neuen Regeln schafften klare Grenzen für künftige Sorgfaltspflichten und verhinderten zusätzliche Berichtslasten – ein entscheidender Erfolg für den kooperierenden Mittelstand.

Foto: Anna Fiolka

Dr. Henning Bergmann begrüßt ein starkes und längst nötiges Signal

Kooperierender Mittelstand erwirtschaftet rund 12% des deutschen BIP

DER MITTELSTANDSVERBUND – ZGV e.V. vertritt als Spitzenverband der deutschen Wirtschaft in Berlin und Brüssel nach eigenen Angaben die Interessen von ca. 230.000 mittelständischen Unternehmen, welche demnach in rund 300 Verbundgruppen organisiert sind.

• Diese kooperierenden Mittelständler erwirtschafteten mit 2,36 Millionen Vollzeitbeschäftigten einen Umsatz von etwa 506 Milliarden Euro (rund zwölf Prozent des deutschen BIP) und böten über 400.000 Ausbildungsplätze.

Einzelne dieser Verbundgruppen treten unter einer Marke auf – so z.B. EDEKA, REWE, EP: ElectronicPartner, expert und BÄKO. Alle Verbundgruppen fördern ihre Mitglieder durch eine Vielzahl von Angeboten wie etwa Einkaufsverhandlungen, Logistik, IT, Finanzdienstleistungen, Beratung, Marketing, Ladeneinrichtung und Trendforschung.

Einigung ermöglicht dem Mittelstand verlässliche Planungssicherheit

Dr. Henning Bergmann, Hauptgeschäftsführer DER MITTELSTANDSVERBUND, kommentiert die Einigung zum „Omnibus-I-Paket“: „Die Einigung ist ein dringend nötiger Schritt hin zu echter Praxistauglichkeit im EU-Regulierungsrahmen!“

• Dass mittelständische Unternehmen spürbar entlastet würden und keine zusätzlichen Berichtspflichten aus Brüssel mehr fürchten müssten, sei „ein starkes und längst nötiges Signal“.

Für Unternehmen unter 1.000 Beschäftigten, welche nun klar vor neuen Pflichten geschützt würden und branchenspezifische Vorgaben nur noch freiwillig leisten müssten, entstehe endlich verlässliche Planungssicherheit.

Realität und Ressourcen des Mittelstands: Leistungsfähigkeit und Belastbarkeit haben Grenzen

Mit der klaren Trennlinie zwischen Unternehmen über 5.000 Beschäftigten, die künftig direkt unter die Sorgfaltspflichten fielen, und Betrieben unter 1.000 Beschäftigten, welche auch mittelbar nicht in neue Berichtslasten gezogen werden dürften, entsteht laut Bergmann ein „verlässlicher und realitätsnaher Ordnungsrahmen“.

• Abschließend betont er: „Gleichzeitig bleibt Nachhaltigkeit ein zentrales Ziel – aber mit Regeln, die sich an Realität und Ressourcen orientieren!“

Die Politik erkenne nun, dass Leistungsfähigkeit und Belastbarkeit Grenzen hätten. Für den kooperierenden Mittelstand sei dies ein Erfolg.

Weitere Informationen zum Thema:

DER MITTELSTANDSVERBUND ZGV
Mut zum Handeln!

DER MITTELSTANDSVERBUND ZGV, 31.10.2023
Dr. Henning Bergmann wird Hauptgeschäftsführer des MITTELSTANDSVERBUNDES: Dr. Henning Bergmann tritt die Nachfolge von Dr. Ludwig Veltmann an, der nach fast 24 Jahren an der Spitze des Verbandes ausscheiden wird

IHK München und Oberbayern, 08.12.2025
Ratgeber: EU-Nachhaltigkeits-Omnibus: Einigung im Trilog erzielt (8. Dezember 2025) / Mit dem Omnibus-Paket hat die EU weitreichende Vereinfachungen mit Blick auf Nachhaltigkeitsberichts- und Sorgfaltspflichten beschlossen. Für zahlreiche Unternehmen wird dadurch eine substanzielle Entlastung, mitunter sogar eine komplette Befreiung von den gesetzlichen Nachhaltigkeitspflichten ausgelöst.

[datensicherheit.de, 06.11.2025] Den Führungsebenen (C-Level) in Kleinen und Mittelständischen Unternehmen (KMU) in Deutschland fehlt es offensichtlich an Verständnis für die geschäftliche Relevanz ihrer betrieblichen Cybersicherheit – „das sagen 23 Prozent der IT-Führungskräfte in KMU in Deutschland“. Kaspersky hat Arlington Research mit der Durchführung einer Online-Umfrage zum Selbstausfüllen für Entscheidungsträger mit wesentlichen Aufgaben im Bereich Cybersicherheit in Unternehmen mit weniger als 500 Mitarbeitern in Europa und Afrika im August und September 2025 beauftragt. Demnach führte Arlington insgesamt 880 Interviews mit dieser Zielgruppe durch – in Europa insgesamt 600; darunter je 60 Interviews pro Land u.a. in Deutschland, Österreich und der Schweiz. Dabei zeige sich eine strukturelle Diskrepanz zwischen den Prioritäten in der Chefetage und der Abwehr von Cyberbedrohungen. Denn gleichzeitig sage über ein Drittel (35%), dass die Verfolgung potenzieller Bedrohungen ein Vollzeitjob sei, während 22 Prozent mehr Zeit mit der Fehlerbehebung von „Tools“ verbrächten als mit der tatsächlichen Abwehr und jeder Zehnte (10%) mit Warnmeldungen „überflutet“ werde. Diese Ergebnisse beruhen auf der aktuellen Kaspersky-Umfrage „Klartext in Sachen Cybersicherheit – Was nervt, was fehlt, was hilft wirklich?“.

Am Limit: Viele KMU-Sicherheitsteams ringen um Beibehaltung der Kontrolle

Die operative Belastung in Sachen Cybersicherheit in mittelständischen Unternehmen in Deutschland sei allgegenwärtig. Viele KMU-Sicherheitsteams kämpfen damit, überhaupt die Kontrolle zu behalten. So gäben 35 Prozent an, dass die Überwachung potenzieller Cyberbedrohungen eine Vollzeitaufgabe sei. 22 Prozent würden sogar mehr Zeit mit dem „Troubleshooting“ von Sicherheitstools als mit der eigentlichen Abwehr von Angriffen verbringen. „Zehn Prozent fühlen sich zudem von Warnmeldungen überwältigt und haben Schwierigkeiten, kritische Vorfälle von Fehlalarmen zu unterscheiden.“

• Das Gesamtbild sei eindeutig: „Der Aufwand ist hoch, die Wirkung gering.“ Viele Verantwortliche berichteten zudem, dass ihre Sicherheitslösungen sie eher ausbremsten als unterstützten.

Dabei bleibe die Bedrohungslage ernst: Kaspersky-Daten aus europäischen KMU-Umgebungen zeigten, dass „Backdoors“ (24%), „Trojaner“ (17%) und „Not-a-Virus:Downloader“ (16%) zu den häufigsten Angriffstypen gehörten. Trotz regionaler Unterschiede verdeutliche dieses Muster, dass eine konsequente Triage und schnelle Reaktionsfähigkeit entscheidend seien.

Erhöhtes Risiko durch fehlendes Verständnis in der C-Riege der KMU sowie Fachkräftemangel

Eine weitere Herausforderung entstehe durch Kompetenz- und Verständnislücken zwischen Geschäftsleitung und operativen Sicherheitsteams. Fast ein Viertel (23%) der Befragten gebe an, „dass Führungskräfte die geschäftliche Bedeutung von Cybersicherheit nicht vollständig verstehen“ – was notwendige Entscheidungen und Investitionen verzögern dürfte.

• Des Weiteren berichteten drei von zehn (30%) über einen Mangel an qualifizierten Fachkräften, weswegen sich die Mehrheit der KMU daher auf allgemeine IT-Teams (42%) oder Sicherheitsverantwortliche innerhalb dieser Teams (30%) stütze. Nur 18 Prozent verfügten über ein dediziertes Cybersicherheitsteam, zehn Prozent verließen sich ausschließlich auf externe Partner.

Trotzdem zeige sich ein paradoxes Bild, wenn es um die Zufriedenheit mit den eigenen Sicherheitsteams geht: 67 Prozent seien zufrieden mit Sicherheitsexperten innerhalb des IT-Teams, 84 Prozent mit den IT-Abteilungen insgesamt und 73 Prozent mit internen Cyberteams. „Das deutet auf eine Dissonanz zwischen subjektiver Zufriedenheit und tatsächlicher Sicherheitslage hin.“

In vielen KMU stemmen allgemeine IT-Mitarbeiter und einzelne Spezialisten den Cybersicherheitsalltag

„Mittelständischen Unternehmen mangelt es nicht an Cybersicherheits-Tools, sondern an Kohärenz“, so Waldemar Bergstreiser, „General Manager DACH“ bei Kaspersky. Er führt aus: „Cybersicherheitsrelevante Informationen trudeln über Lösungen schneller ein als Entscheidungen getroffen werden können. Dadurch geraten Kontrollen und Arbeitsabläufe in Konflikt und die Verantwortung verschwimmt genau in von der Erkennung zur Reaktion übergegangen werden müsste.“

• Allerdings stemmten in vielen KMU oft allgemeine IT-Mitarbeiter und einzelne Spezialisten den Sicherheitsalltag, was die Cybersecurity gefährde. Denn dadurch verlangsame sich die Triage, Kontext gehe verloren und taktische Probleme wüchsen sich zu strategischen Risiken aus.

Bergstreiser unterstreicht: „Entscheidungsträger müssen ihren Teams jetzt die richtigen Ressourcen, Lösungen und Fachkräfte bereitstellen – und vor allem verstehen, dass Cybersicherheit kein reines IT-Thema, sondern ein geschäftsentscheidendes Thema ist. Nur so können sich mittelständische Unternehmen zukunftssicher aufstellen!“

Kaspersky-Empfehlungen für KMU zur Stärkung der betrieblichenCybersicherheit:

1. Transformation der Cybersicherheitspläne in effektiven Schutz
   „Kaspersky Next“ für kleine und mittlere Unternehmen kombiniere z:b. moderne „Endpoint Protection“ mit EDR und XDR – und biete damit Echtzeit-Transparenz, schnelle Reaktionsfähigkeit auf Bedrohungen sowie die erforderliche Nachvollziehbarkeit, um Sicherheitsstrategien in die Praxis umzusetzen. Für KMU mit etablierter IT-Infrastruktur biete „Kaspersky Next XDR Optimum“ eine erweiterte Integration und Sichtbarkeit.
2. Ermöglichung des Schutzes für begrenzte IT-Ressourcen
   Auch sehr kleine Unternehmen sollten sich um einen professionellen Cyberschutz bemühen. „Kaspersky Small Office Security“ etwa lasse sich einfach implementieren und verwalten und schütze vor finanziellen Verlusten, Datendiebstahl und Ransomware, ohne dass internes Fachwissen erforderlich sei.
3. Investitionen in „Awareness“ und Weiterbildung
   Durch Trainingsprogramme und „Awareness“-Initiativen auf allen Ebenen der Organisation lasse sich das Risiko interner Sicherheitsvorfälle minimieren. Die „Kaspersky Automated Security Awareness Platform“ beispielsweise unterstütze KMU zudem mit skalierbaren, rollenbasierten Lernmodulen.
4. Integration und Förderung der Cyberresilienz
   Im gesamten Unternehmen gelte es eine Sicherheitskultur zu etablieren, um Mitarbeiter zu befähigen, neu auftretende Bedrohungen im Arbeitsalltag effektiv zu bewältigen.

Weitere Informationen zum Thema:

kaspersky
Cyberimmunität ist unser erklärtes Ziel / Wir sind ein Team von über 5.000 Fachleuten mit einer über 25-jährigen Erfolgsgeschichte im Schutz von Privatpersonen und Unternehmen weltweit und haben uns die weltweite Cyberimmunität als ultimatives Ziel gesetzt

kaspersky
Klartext in Sachen Cybersicherheit in Europa und Afrika / Was nervt, was fehlt und was hilft wirklich? /Verschaffen Sie sich einen umfassenden Überblick über die aktuellen Cybersicherheitsherausforderungen kleiner und mittlerer Unternehmen (KMU) und erfahren Sie, wie Kaspersky Ihnen dabei hilft, Ihre Schwachstellen in echte Stärke zu verwandeln.

kaspersky
How cyberattackers are targeting SMBs in Europe and Africa in 2025 / Key attack vectors SMBs must understand to stay protected

kaspersky, 05.07.2023
Waldemar Bergstreiser zum neuen General Manager Central Europe bei Kaspersky ernannt

Arlington Research
Let insight bring your stories to life

datensicherheit.de, 12.06.2025
Cybercrime Risiko Index warnt vor Cyberangriffen: Deutsche Verbraucher und KMU stark betroffen / Der „Cybercrime Risiko Index“ von heyData analysiert das Gefährdungspotenzial von 15 europäischen Ländern, Opfer von Cyberangriffen zu werden

datensicherheit.de, 27.03.2025
Cyber-Bedrohungen: G DATA warnt vor mangelndem Risikobewusstsein – insbesondere der KMU / Offensichtlich eine fatale Fehleinschätzung: Zwei von fünf Arbeitnehmern halten ihr Unternehmen für kein lohnendes Cyber-Angriffsziel

datensicherheit.de, 18.07.2024
Cyber-Sicherheit der KMU benötigt neue Ansätze: 4 Tipps von Utimaco / KMU sollten Cyber-Sicherheitsmaßnahmen so anpassen, dass sie auch künftig -Angriffen standhalten

datensicherheit.de, 24.03.2024
CyberRisikoCheck zu Positionsbestimmung der IT-Sicherheit für KMU / BSI möchte gemeinsam mit Partnern KMU dabei unterstützen, ihre Cyber-Resilienz zu erhöhen

datensicherheit.de, 19.03.2024
Datensicherheit: Wie auch KMU die Digitale Transformation meistern können / Lothar Geuenich erörtert KMU-Strategien zur erfolgreichen und sicheren Digitalisierung und Vernetzung

datensicherheit.de, 24.10.2023
KMU-Studie zur IT-Sicherheit – ein Hürdenlauf für den Mittelstand / DriveLock und techconsult empfehlen deutschen KMU einfache und robuste Cyber-Sicherheit

[datensicherheit.de, 14.10.2025] Der Deutschland sicher im Netz e.V. (DsiN) lädt zu seinem nächsten „DsiN-Talk“ ein: Am 27. Oktober 2025 stehen Chancen und Herausforderungen für die sogenannten Kleinen und Mittleren Unternehmen (KMU) im Kontext der NIS-2-Richtlinie auf dem Programm – der Oktober, der „European Cyber Security Month“, soll ganz im Zeichen der Stärkung der digitalen Sicherheit stehen.

Abbildung: DsiN

Einladung zum nächsten „DsiN-Talk“ am 27. Oktober 2025:

DsiN-Talk zu NIS-2 – Chancen und Herausforderungen für KMU

Montag 27.10.2025 von 11.00 bis 12.00 Uhr
Online via „zoom“ (Zusendung der Zugangsdaten nach Anmeldung)

Mit der Umsetzung der NIS-2-Richtlinie werde ein neuer Rahmen für Cybersicherheit in der EU geschaffen. Ziel sei es, Unternehmen und Organisationen besser gegen digitale Bedrohungen zu schützen. Gleichzeitig bringe NIS-2 neue Anforderungen mit sich, „die sowohl Chancen eröffnen als auch Herausforderungen bergen“.

Akteure aus Politik, Wissenschaft und Wirtschaft beleuchten NIS-2-Auswirkungen

DsiN diskutiert mit Akteuren aus Politik, Wissenschaft und Wirtschaft:

• Gesa Förster (Leiterin der Initiative IT-Sicherheit in der Wirtschaft, Bundesministerium für Wirtschaft und Energie (BMWE))
• Prof. Dr. Dennis-Kenji Kipker (Forschungsleiter und Gründer des Cyberintelligence.institute)
• Marc Dönges (Projektleiter „Transferstelle Cybersicherheit im Mittelstand“)
• Merle Maurer-Rautenberg (Projektleitung „FitNIS2“, Deutschland sicher im Netz e.V.)

Moderation: Isabelle Rosière (DsiN-Geschäftsführerin)

NIS-2 als Basis für mehr digitale Resilienz

Gemeinsam mit den Gästen soll folgenden Themen nachgegangen werden:

• „Welche Chancen entstehen durch NIS-2 für mehr Resilienz in der digitalen Welt?“
• „Welche Herausforderungen stehen insbesondere Kleinen und Mittleren Unternehmen bevor?“
• „Welche Unterstützungsangebote und ,Best Practices’ gibt es bereits?“
• „Welche nächsten Schritte sind jetzt entscheidend?“

Der DsiN-Talk soll Raum für Information, Diskussion und Fragen bieten: „Nutzen Sie die Gelegenheit, sich einzubringen und von den Erfahrungen unserer Gäste zu profitieren!“

Weitere Informationen zum Thema und Anmeldung:

DsiN Deutschland sicher im Netz
Wir sind__

DsiN Deutschland sicher im Netz
„NIS2 – Chancen und Herausforderungen für KMU“ – der DsiN_Talk am 17. Oktober 2025 / Jetzt anmelden zum DsiN_Talk „NIS2 – Chancen und Herausforderungen für KMU“

datensicherheit.de, 01.08.2025
DSGVO und NIS-2 können und sollten Hand in Hand gehen / Wer sich bereits datenschutzkonform gemäß DSGVO aufgestellt hat, dem fällt auch die Cyberresilienz im NIS-2-Kontext leichter

datensicherheit.de, 01.08.2025
NIS-2-Regierungsentwurf: Claudia Plattner würdigt großen Schritt auf dem Weg zur Cybernation / Mit dem am 30. Juli 2025 vorgelegten Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie soll das deutsche IT-Sicherheitsrecht umfassend modernisiert werden

datensicherheit.de, 30.07.2025
NIS-2: Nationales Umsetzungsgesetz soll Cybersicherheit der deutschen Wirtschaft stärken / Der TÜV-Verband begrüßt NIS-2-Umsetzung und fordert Nachbesserungen: Ausnahmeregelungen seien zu schärfen oder zu streichen, damit Unternehmen klare Vorgaben erhalten, wie Nachweise für die Umsetzung zu erbringen sind

[datensicherheit.de, 20.06.2025] Mit „CyberALARM“ des Berliner Unternehmens Gamebook Studio soll eine praxisnahe, interaktive Plattform für mehr Cybersicherheit im Mittelstand, im öffentlichen Sektor und in Bildungseinrichtungen geboten werden. „Die Plattform richtet sich insbesondere an kleine und mittlere Unternehmen – also genau die Zielgruppe, die durch die kommende NIS-2-Richtlinie der EU künftig besonders in die Pflicht genommen wird. Wer nicht vorbereitet ist, riskiert unter Umständen rechtliche Konsequenzen und wirtschaftliche Schäden.“ „CyberALARM“ soll einen verständlichen, realitätsnahen und wissenschaftlich fundierten Einstieg in die Thematik ermöglichen.

Abbildung: Gamebook Studio

„CyberALARM“: Insbesondere kleine und mittlere Unternehmen (KMU) als Zielgruppe

Digitale Lernumgebung, in der Nutzer in verschiedene Rollen schlüpfen können

„CyberALARM“ richtet sich demnach insbesondere an kleine und mittlere Unternehmen (KMU) – eben genau jene Zielgruppe, welche durch die kommende NIS-2-Richtlinie der EU künftig wohl besonders in die Pflicht genommen werden wird. „Wer nicht vorbereitet ist, riskiert unter Umständen rechtliche Konsequenzen und wirtschaftliche Schäden!“

Auf die Frage, wie Mitarbeiter lernen können, Cyberangriffe frühzeitig zu erkennen und im Ernstfall sicher zu handeln, soll nun „CyberALARM“ die Antwort bieten: Diese Plattform biete eine digitale Lernumgebung, in der Nutzer in verschiedene Rollen schlüpfen können: „Als Angestellte, Hacker, Führungskräfte oder Cyberermittler trainieren sie in realistischen Szenarien, Risiken frühzeitig zu erkennen, sichere Entscheidungen zu treffen und im Ernstfall wirksam zu handeln.“

Flexible Anpassungsfähigkeit der Plattform und Inhalte an aktuelle gesetzliche Vorgaben

Im Unterschied zu klassischen Video-Trainings setze der Anbieter Gamebook Studio auf interaktive Simulationen, welche wissenschaftlich erwiesen deutlich höhere Lerneffekte erzielten und langfristigen Wissenstransfer ermöglichten.

„Ein besonderes Augenmerk lag dabei von Beginn an auf der flexiblen Anpassungsfähigkeit der Plattform und Inhalte an aktuelle gesetzliche Vorgaben: Gamebook entwickelt die ,CyberALARM’ kontinuierlich weiter und bereitet Unternehmen schon jetzt gezielt auf die Anforderungen der kommenden NIS-2-Richtlinie der EU vor.“

„CyberALARM“-Plattform soll Bildungseinrichtungen kostenfrei zur Verfügung gestellt werden

Derzeit sei „CyberALARM“ in deutscher Sprache verfügbar – weitere europäische Sprachversionen seien indes in Vorbereitung. Darüber hinaus biete Gamebook Studio auf Wunsch auch maßgeschneiderte Trainingslösungen an und stelle die „CyberALARM“-Plattform Bildungseinrichtungen kostenfrei zur Verfügung – um Risiken frühzeitig zu erkennen und sich wirksam vor Cyberangriffen zu schützen, „bevor sie teuer werden“.

Die methodischen Grundlagen für das interaktive Trainingsformat von „CyberALARM“ habe Gamebook Studio im Rahmen des vom Bundesministerium für Wirtschaft und Klimaschutz geförderten Forschungsprojekts „ALARM“ in Zusammenarbeit mit der Technischen Hochschule Wildau entwickelt und validiert.

Digitale Weiterbildung soll nicht nur pures Wissen vermitteln, sondern gezielt Verhalten trainieren

„Zwischen 2020 und 2024 untersuchten die Projektbeteiligten verschiedene Ansätze zur Messung und Förderung von Sicherheitsbewusstsein in KMU – mit digitalen Simulationen, analogen Workshops und realitätsnahen Vor-Ort-Angriffen, die verschiedene Partner durchführten.“ Ulrike Küchler, Geschäftsführerin von Gamebook Studio, kommentiert: „Cybersicherheit wird zu einer zentralen Voraussetzung für die Resilienz von Unternehmen – und die EU macht deutlich, dass keine Organisation das Thema ignorieren kann!“

Mit „CyberALARM“ soll nun gezeigt werden, wie digitale Weiterbildung nicht nur Wissen vermittelt, sondern gezielt Verhalten trainieren kann: Die Nutzer sollen im interaktiven Training Entscheidungen in realitätsnahen Simulationen treffen – eben wie im Arbeitsalltag. Sie erlebten die Folgen ihres Handelns, könnten Risiken erkennen, Angriffe zulassen oder abwehren… So entstehe echte Handlungssicherheit – wirksam, motivierend und nachhaltig. „Unsere Technologie liefert aktuelle Inhalte und lässt sich auf zahlreiche weitere Lernfelder übertragen – von ,Compliance’ und ,Soft Skills’ bis hin zu völlig neuen Trainingsszenarien“, betont Küchler abschließend.

Weitere Informationen zum Thema:

CyberALARM
Schützen Sie sich vor Cyberangriffen! / Schulen Sie sich oder Ihr Team mit unserer wissenschaftlich erprobten Cybersicherheitsschulung: Bekämpfen Sie die 7 gefährlichsten Cybersicherheitsbedrohungen.

datensicherheit.de, 03.06.2025
Security Awareness Trainings: Dringender Bedarf angesichts zunehmender Cyberbedrohungen in Europa – insbesondere Phishing / Der „2025 Phishing by Industry Benchmarking Report“ von KnowBe4 zeigt einen Rückgang des „European Phish-prone Percentage“ auf fünf Prozent nach zwölf Monaten Sicherheitsschulungen

datensicherheit.de, 06.06.2024
Phishing-Benchmarking-Bericht von KnowBe4: Cyber-Sicherheitstrainings zeigen Wirkung / Starke Sicherheitskultur zusammen mit -technologie für die Bekämpfung von Cyber-Bedrohungen unerlässlich

datensicherheit.de, 10.02.2022
Datensicherheit erfordert umfassende Planung und regelmäßiges Training / Eric Waltert beschreibt Analogie zur Gesundheit und Fitness von Profisportlern

datensicherheit.de, 01.04.2021
SANS Foundations: Neue Trainings-Plattform für Security-Einsteiger / Berufseinsteiger und Quereinsteiger können sich über SANS Foundations ein erstes Grundlagenwissen und praktische Fähigkeiten verschaffen

datensicherheit.de, 09.09.2020
kaspersky-Training zeigt: Mitarbeiter überschätzen eigene IT-Kenntnisse / Mitarbeiter machen 90 Prozent der Fehler – aber in der Überzeugung, das Richtige zu tun