Inhalt in Kürze
- Das BSI warnt am 22. Juni offiziell: KI senkt die Einstiegshürden für Cyberangriffe maßgeblich — Schwachstellen-Suche und Exploit-Bau laufen teils automatisiert.
- Die NIS-2-Nachfrist endet am 31. Juli 2026: Bis Ende Mai waren erst rund 18.500 von bis zu 40.000 betroffenen Organisationen registriert. Danach drohen Bußgelder bis 500.000 Euro allein für die fehlende Registrierung.
- Der Juni-Patchday schloss 198 Lücken — darunter der aktiv ausgenutzte Defender-Zero-Day CVE-2026-41091 („RedSun”).
- Erneut 31 deutsche Unternehmen auf Ransomware-Leak-Seiten — von der Bäckerei bis zum Rüstungskonzern.
Der Juni 2026 bringt zwei Fristen zusammen, die kein Geschäftsführer ignorieren sollte: eine regulatorische — die NIS-2-Nachfrist zum 31. Juli — und eine faktische, denn das BSI erklärt KI-gestützte Angriffe offiziell zur neuen Normalität. Beides zusammen heißt: Das Zeitfenster zum Aufräumen wird kleiner.
NIS-2: Die Nachfrist läuft am 31. Juli ab
Eigentlich ist die gesetzliche Registrierungsfrist längst vorbei — sie endete am 6. März. Weil aber bis Ende Mai nur rund 18.500 der geschätzt 29.000 bis 40.000 betroffenen Organisationen im BSI-Portal registriert waren, setzt die Behörde auf eine letzte Nachfrist bis zum 31. Juli 2026 — eine letzte Mahnung statt sofortiger Sanktionen.
Danach wird es teuer: Allein die versäumte Registrierung kann mit bis zu 500.000 Euro geahndet werden, weitere NIS-2-Verstöße mit deutlich mehr. Dazu kommen Zwangsgelder, verschärfte Aufsicht — und die persönliche Haftung der Geschäftsleitung. Die Registrierung selbst ist dagegen der einfachste Teil der ganzen Richtlinie: Sie dauert mit vorbereiteten Unterlagen unter einer Stunde.
Aus den Gesprächen mit Hamburger Geschäftsführern kennen wir den häufigsten Grund fürs Aufschieben: die Sorge, sich mit der Registrierung „auf den Radar” der Behörde zu setzen. Das ist verkehrte Logik. Das BSI kennt die betroffenen Sektoren und gleicht Register ab — wer fehlt, fällt gerade dadurch auf. Und anders als die Registrierung lassen sich die inhaltlichen Pflichten — Risikomanagement, Meldewege, Lieferkettensicherheit — nicht in einer Stunde nachholen. Je später der Start, desto teurer wird er.
Direkt reguliert sind Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz in 18 Sektoren — von Logistik über Verarbeitendes Gewerbe bis Gesundheit. Mittelbar trifft es aber auch kleinere Betriebe: als Zulieferer, denen NIS-2-Pflichten per Vertragsklausel weitergereicht werden.
Falls der Check Betroffenheit anzeigt: Unser Fahrplan zur NIS-2-Beratung in Hamburg führt durch Registrierung und Pflichten — und die Audit-Erfahrungen aus der Praxis zeigen, worauf Prüfer wirklich achten.
BSI-Warnung: KI macht Angreifer schneller als Ihre Wartungsfenster
Am 22. Juni hat das BSI eine bemerkenswerte Sicherheitsinformation zur Entwicklung von KI veröffentlicht. Der Kernsatz verdient ein wörtliches Zitat: „KI senkt Aufwand, Zeitbedarf und Einstiegshürden für offensive Cyberfähigkeiten maßgeblich.” Übersetzt: Moderne KI-Systeme finden Schwachstellen in Software teils automatisiert und bauen daraus funktionierende Angriffswerkzeuge.
Das BSI benennt auch die unbequeme Asymmetrie: Auf der Verteidigerseite stehen begrenzte Personalkapazitäten, Testaufwand, Freigabeprozesse und Wartungsfenster — auf der Angreiferseite Skalierung per Rechenleistung. Unternehmen müssen sich auf eine „erheblich steigende Zahl neu entdeckter Schwachstellen, Exploits, Patches und Folgevorfällen” einstellen.
Die können einfach so viel mehr Unternehmen angreifen. Das geht alles mit KI — Massenangriff. Ob Sie nun klein sind oder groß, das ist völlig wurscht.
Die Konsequenz ist keine neue Wunderwaffe, sondern Disziplin: Angriffsfläche verkleinern, Patch-Zyklen beschleunigen, Erkennung automatisieren. Wie KI-gestütztes Phishing konkret aussieht, haben wir im Beitrag Phishing 2.0 — wie KI die Gefahr vergrößert beschrieben.
Welche Schutzmaßnahmen für KMU jetzt Priorität haben, fasst unser Leitfaden kompakt zusammen — ohne Fachchinesisch:
Patchday Juni: 198 Lücken und ein Defender-Zero-Day
Passend zur BSI-Warnung lieferte der Patchday am 9. Juni das Anschauungsmaterial: 198 geschlossene Schwachstellen, 32 davon kritisch. Die brisanteste: CVE-2026-41091 in Microsoft Defender — ein unter dem Namen „RedSun” bekannter Zero-Day, der bereits aktiv ausgenutzt wurde und in den CISA-Katalog ausgenutzter Schwachstellen aufgenommen ist. Eine Lücke im Schutzprogramm selbst — bittere Ironie, aber kein Grund zur Häme: Genau deshalb gehört auch Sicherheitssoftware ins Patch-Management.
Für Unternehmen mit Außendienst-Laptops ebenfalls relevant: CVE-2026-50507 erlaubt es, die BitLocker-Verschlüsselung bei physischem Zugriff zu umgehen. Der gestohlene Laptop im Zug bleibt also ein reales Szenario — Update einspielen, bevor Sie es testen müssen.
Bei 198 Lücken in einem Monat stellt sich für jeden Mittelständler die Frage: Was zuerst? Die pragmatische Antwort: nach tatsächlicher Ausnutzung priorisieren, nicht nach Schweregrad allein. Der CISA-Katalog bekannt ausgenutzter Schwachstellen ist dafür der beste öffentliche Filter — was dort steht, wird nachweislich angegriffen und gehört binnen 48 Stunden gepatcht. Alles andere folgt im regulären Zyklus. Ein Schweregrad von 9.8 auf einem System, das nur intern erreichbar ist, ist weniger dringend als eine 7er-Lücke auf Ihrem VPN-Gateway.
- Juni-Update prüfen: Ist der Patchday vom 9. Juni auf allen Systemen durch — inklusive Defender-Signaturen und BitLocker-Fix?
- NIS-2-Registrierung abschließen: Vor dem 31. Juli im BSI-Portal — die Registrierung ist Pflicht, nicht Kür.
- Patch-Prozess beschleunigen: Kritische Lücken binnen 48 Stunden schließen. Wenn das personell nicht geht, ist das ein Fall für Managed IT Services.
- Mitarbeiter sensibilisieren: KI-Phishing ist fehlerfrei und persönlich — die alte Regel „achte auf Tippfehler" schützt nicht mehr.
Von der Bäckerei bis zur Werft: Die Opferliste des Monats
Die Juni-Übersicht von Security-Insider listet erneut 31 deutsche Unternehmen — darunter eine Münchner Traditionsbäckerei, ein Stadttheater, Maschinenbauer, Kanzleien und mit TKMS sogar ein Name aus der norddeutschen Werftindustrie. Die Bandbreite ist die Botschaft: Es gibt keine Branche und keine Größe, die Angreifer auslassen.
Gerade die Bäckerei ist ein lehrreicher Fall: Ein Handwerksbetrieb ohne klassische Büro-IT — und trotzdem Ziel. Denn auch dort laufen Bestellungen, Kassensysteme, Personalplanung und Lieferantenzahlungen digital. Wenn diese Systeme stehen, steht der Betrieb. Die Vorstellung, Cybersicherheit sei nur ein Thema für Schreibtisch-Firmen, hält sich hartnäckig — und ist genau die Lücke, in die Angreifer stoßen.
Was ein getestetes Backup dann wert ist, weiß dieser Geschäftsführer aus eigener Erfahrung:
Über Weihnachten alles verschlüsselt. Nur weil ich immer eine externe Festplatte rausgeschleppt habe — auf der letzten war noch eine brauchbare Sicherung. Sehr knapp.
„Sehr knapp” ist keine Strategie. Wie eine belastbare Datensicherung aussieht — getestet, versioniert, mit einer Kopie außer Haus — steht in unserem Backup-Guide für Unternehmen.
Wenn Sie das Thema lieber komplett abgeben: Als Partner für Cybersecurity und NIS-2-Compliance übernehmen wir das für Mittelständler in Hamburg und Norddeutschland zum Festpreis. Den Vormonat können Sie hier nachlesen: Cybersicherheit im Mai 2026.
NIS-2-Frist, KI-Angriffe, Patch-Rückstand — wo stehen Sie?
15 Minuten Erstgespräch. Kostenlos. Ohne Vertriebsdruck.
Termin buchen →