Unternehmen investieren heute massiv in die digitale Verteidigung. Der Markt bietet leistungsstarke Lösungen: KI-gestützte Bedrohungserkennung, Cloud Access Security Broker und moderne E-Mail-Schutzsysteme. Doch trotz dieser Rüstung erleben wir immer wieder, dass die Sicherheit an elementaren Schwachstellen zusammenbricht. Der Grund ist selten die mangelnde Leistungsfähigkeit der Technologie, sondern die mangelnde Reife der organisatorischen Prozesse, die diese Technologie steuern sollen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm: Rund 40 Prozent der etwa 1.500 Zimbra-Server in Deutschland laufen mit veralteter und verwundbarer Software. Das CERT-Bund weist darauf hin, dass die Situation bei der Exchange-Alternative Zimbra zwar besser sei als bei Microsoft-Servern, jedoch keineswegs zufriedenstellend.

Vermutlich haben Sie schon einmal von Hacker-Angriffen gehört, bei denen eine Vielzahl von Informationen zusammengetragen wurde. So wurden zum Beispiel Daten von LinkedIn, Xing, Facebook und Instagram verwendet. Zusätzlich wurde noch das WWW nach Informationen durchsucht.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sein neues Portal zur Umsetzung der EU-Richtlinie NIS2 freigeschaltet. Die Plattform soll als zentrale Anlaufstelle für rund 30.000 betroffene Unternehmen, Behörden und Institutionen dienen, die als kritische Infrastruktur gelten. BSI-Präsidentin Claudia Plattner zeigt sich zufrieden über die zügige Umsetzung: „Von uns aus kann es losgehen.“

Sie als Informationssicherheitsbeauftragter oder Geschäftsführer wissen: Das Betriebliche Kontinuitätsmanagement (BCM) ist keine Kür mehr. Spätestens seit NIS2 und DORA ist die Cyberresilienz und damit die Fähigkeit, kritische Geschäftsprozesse nach einem Vorfall schnell wiederherzustellen, gesetzliche Pflicht.

Derzeit kursieren gefährliche Phishing-Mails, die angeblich vom Bundeszentralamt für Steuern stammen und Besitzer von Kryptowährungen ins Visier nehmen. Die Betrüger behaupten darin, es seien Abweichungen bei Krypto-Angaben festgestellt worden, und fordern die Empfänger auf, ihre Krypto-Konten innerhalb von fünf Werktagen zu überprüfen.

Die EU-Datenverordnung (sog. Data Act) regelt seit dem 12. September 2025 den standardmäßigen Zugang zu Daten von vernetzten Produkten. Seit Mitte November 2025 stellt die EU Mustervertragsbedingungen bereit.

Der Umzug in die Cloud und der Einsatz von Containern wie Docker und Kubernetes versprechen Agilität und Skalierbarkeit. Doch mit der Verlagerung der Infrastruktur auf Plattformen wie AWS, Azure oder GCP verschieben sich auch die Verantwortlichkeiten und damit die Sicherheitsrisiken. Im Shared-Responsibility-Modell ist der Anbieter für die Sicherheit der Cloud (z. B. Rechenzentrum und Hypervisor) zuständig, aber der Kunde – und damit Sie als Informationssicherheitsbeauftragter – ist voll verantwortlich für die Sicherheit in der Cloud.

„Das Update kann noch ein paar Tage warten.“ Dieser eine Satz – ausgesprochen irgendwo zwischen Kaffeeküche und nächstem Meeting – kostet Unternehmen weltweit Milliarden. Er klingt vernünftig, pragmatisch, nachvollziehbar. Die Produktion läuft gerade auf Hochtouren, ein Systemneustart zur Unzeit könnte teuer werden. Außerdem ist ja noch nie etwas passiert. Bis zu jenem Freitagabend, an dem das Smartphone des Geschäftsführers aufleuchtet. Die Stimme am anderen Ende überschlägt sich fast: „Ransomware. Das gesamte Netzwerk. Produktion steht.“ Und dann der Satz, der alles ändert: „Die Angreifer sind über genau die Schwachstelle reingekommen, für die vor drei Wochen der Patch verfügbar war. Der Patch, den wir aufgeschoben haben.“

Manch ein Unternehmen wird derzeit umstrukturiert, beispielsweise um die aktuellen wirtschaftlichen Herausforderungen besser meistern zu können. Vielleicht ist das auch bei Ihrem Unternehmen der Fall. Und bei den meisten Veränderungen und Umstrukturierungen gibt es auch einen Bezug zu Personendaten. Kein Wunder, dass es dabei so manchen Fallstrick gibt. Gut, wenn Sie frühzeitig darauf hinweisen.

Dienstagmorgen, 13. Januar 2026. Der Geschäftsführer eines mittelständischen Maschinenbauers mit 120 Mitarbeitern blickt auf seinen Bildschirm. Seit genau einer Woche, dem 6. Januar 2026, ist das offizielle Registrierungsportal des BSI online. Er hatte das Thema „NIS2“ bisher unter „Konzern-Bürokratie“ abgeheftet. „Wir sind doch kein KRITIS-Betreiber“, war seine Standardantwort auf die Warnungen seines IT-Leiters. Doch ein Blick in sein Postfach belehrt ihn eines Besseren: Sein wichtigster Kunde, ein globaler Automobilkonzern, fordert bis Ende des Quartals den schriftlichen Nachweis über die Umsetzung der NIS2-Sicherheitsmaßnahmen. Plötzlich wird aus einer abstrakten EU-Richtlinie eine existenzielle Bedrohung für die Auftragsbücher.

Künstliche Intelligenz ist keine Zukunftsmusik mehr. Sie steckt in immer mehr Tools – von Chatbots für den Kundenservice bis zu Code-Generatoren für die Entwicklungsabteilung. KI ist ein mächtiges Werkzeug, aber es birgt massive Risiken, wenn es unkontrolliert eingesetzt wird. Die neue KI-Verordnung (KI-VO) der EU schafft einen formalen Rahmen, doch Sie als Informationssicherheitsbeauftragter müssen die Praxis der Nutzung steuern.