Inhalt in Kürze
- Das BSI setzt ab Mai 2026 die NIS2-Richtlinie aktiv durch — fast die Hälfte der betroffenen Unternehmen ist noch nicht registriert.
- Ransomware-Erkennungen steigen um 190 Prozent. 64 Prozent der KMU können ihre Daten nach einem Angriff nicht wiederherstellen.
- KI-gesteuerte Phishing-Angriffe erreichen mit 8,3 Milliarden Versuchen ein Rekordniveau.
- Geschäftsführer haften seit Dezember 2025 persönlich für Cybersicherheitsmängel.
Mai 2026 markiert einen Wendepunkt. Das BSI startet die aktive Durchsetzung der NIS2-Richtlinie. Gleichzeitig explodieren Ransomware-Zahlen, KI macht Phishing-Mails nahezu perfekt, und Geschäftsführer stehen persönlich in der Haftung. Dieser Monat ist der Moment, in dem Abwarten aufhört, eine Option zu sein.
Ransomware 2026: 64 Prozent der KMU verlieren ihre Daten
Fast zwei Drittel der kleinen und mittleren Unternehmen können ihre Daten nach einem Ransomware-Angriff nicht wiederherstellen. Das zeigt der aktuelle Hiscox Cyber Readiness Report. 64 Prozent — das ist keine Randnotiz. Das ist ein Geschäftsrisiko.
Der Security Navigator 2026 bestätigt: Der deutsche Mittelstand ist überproportional von Cyber-Erpressung betroffen. Die Angreifer setzen auf Double Extortion — sie verschlüsseln nicht nur die Daten, sondern drohen gleichzeitig mit der Veröffentlichung. Zahlen oder Imageschaden. Beides kostet.
64 % der KMU können ihre Daten nach einem Ransomware-Angriff nicht wiederherstellen. Ein Backup zu haben reicht nicht — es muss regelmäßig getestet werden.
Stellen Sie sich vor: Montagmorgen, 7:30 Uhr. Kein System fährt hoch. Die Buchhaltung ist gesperrt, das ERP-System zeigt nur noch eine Lösegeldforderung. Ihre letzte Backup-Prüfung? Vor acht Monaten. Die Wiederherstellung schlägt fehl. Ab diesem Moment zählt jede Stunde — und die Uhr läuft gegen Sie.
Laut Borncity sind die Ransomware-Erkennungen um 190 Prozent gestiegen. Das ist kein Trend. Das ist eine Eskalation.
KI-Phishing: 8,3 Milliarden Versuche — und sie werden besser
8,3 Milliarden Phishing-Versuche weltweit. Diese Zahl meldet Ad-hoc-news für 2026. Der Grund für die Explosion: Künstliche Intelligenz.
Klassische Phishing-Mails mit Rechtschreibfehlern und holprigem Deutsch? Geschichte. KI-gesteuerte Angriffe generieren fehlerfreie, personalisierte E-Mails. Sie kennen den Namen Ihres Geschäftspartners, den Betreff der letzten Rechnung, den Tonfall Ihrer Branche. Herkömmliche Schulungen reichen nicht mehr.
Die häufigsten Angriffsvektoren 2026: Phishing mit Social Engineering, Ransomware mit Double Extortion, KI-gestützte Cyberangriffe und Supply-Chain-Attacken. Vier Wege, ein Ziel — Ihr Unternehmen.
Dazu kommt eine neue Eskalationsstufe: Deepfake-Betrug. Der WDR berichtete am 4. Mai 2026 über organisierte Deepfake-Kriminalität. Videocalls, in denen der vermeintliche Geschäftsführer eine Überweisung freigibt — nur dass es gar nicht der Geschäftsführer ist.
Wenn Schutz-Tools zur Waffe werden: Remote-Management im Visier
Ein besonders perfider Trend: Die Werkzeuge, die Ihr IT-Dienstleister zur Fernwartung nutzt, werden selbst zum Einfallstor. Laut Borncity kapern Angreifer zunehmend Remote-Management-Software (RMM). Das Ergebnis: Sie bewegen sich mit legitimen Admin-Rechten durch Ihr Netzwerk.
Staatliche Akteure machen es vor. APT28 und Storm-1175 nutzen aktiv Schwachstellen in Windows und ConnectWise aus. Die CISA hat diese Lücken in den KEV-Katalog aufgenommen — ein Signal, das auch deutsche Unternehmen ernst nehmen sollten.
Parallel dazu: Eine kritische Lücke in Nginx UI erlaubt es Angreifern, mit einem einzigen HTTP-Request ganze Webserver zu übernehmen. Deutsche Server sind besonders gefährdet.
Wenn Sie einen IT-Dienstleister mit Remote-Zugriff auf Ihre Systeme haben, fragen Sie nach: Welche RMM-Software wird eingesetzt? Wie ist der Zugang abgesichert? Gibt es eine Zwei-Faktor-Authentifizierung für den Remote-Zugriff?
NIS2 ist da — und das BSI meint es ernst
Die Zeitlinie ist klar: Das NIS-2-Umsetzungsgesetz gilt seit dem 6. Dezember 2025. Die Registrierungsfrist beim BSI lief bis zum 6. März 2026. Und ab Mai 2026 beginnt die aktive Durchsetzung durch das BSI.
Das Problem: Laut ZVW haben bisher nur 11.500 von geschätzt über 29.000 betroffenen Unternehmen ihre Registrierungspflicht erfüllt. Fast die Hälfte fehlt. Wer jetzt noch nicht registriert ist, bewegt sich bereits im Bereich der Ordnungswidrigkeit.
Seit Dezember 2025 gilt: Geschäftsführer haften persönlich für Cybersicherheitsmängel. Nicht das Unternehmen. Sie persönlich. Dazu kommen der Cyber Resilience Act und das KRITIS-Dachgesetz, das seit März 2026 auch physische Schutzmaßnahmen fordert.
- Betroffenheit prüfen: Nutzen Sie das BSI-Portal, um festzustellen, ob Ihr Unternehmen unter NIS2 fällt. Auch Zulieferer kritischer Sektoren können betroffen sein.
- Registrierung nachholen: Wenn Sie betroffen sind und sich noch nicht registriert haben — sofort nachholen. Die Frist ist abgelaufen, aber eine späte Registrierung ist besser als keine.
- Sicherheitsmaßnahmen dokumentieren: Das BSI will Nachweise sehen. Dokumentieren Sie Ihre IT-Sicherheitsmaßnahmen, Notfallpläne und Meldewege.
Das BSI bietet am 19. Mai 2026 ein Webinar zur NIS2-Umsetzung an. Kostenlos, online, eine Stunde. Keine Ausrede, das zu verpassen.
Aus der Praxis
Es trifft auch die kleineren Unternehmen, die nicht direkt unter NIS2 fallen — aber aufgrund der Lieferkette ein wichtiger Bestandteil sind.
Nils OehmichenDatenschutzberater bei frag.hugo
Wir sehen das in der Beratung täglich: Ein Zulieferer mit 30 Mitarbeitern denkt, NIS2 betrifft ihn nicht. Dann kommt die Anfrage vom Großkunden — mit einem Fragebogen zu IT-Sicherheitsstandards, Notfallplänen und Zertifizierungen. Wer hier nicht liefern kann, verliert den Auftrag. Die Lieferkette macht NIS2 zum Thema für jedes Unternehmen, das mit kritischen Sektoren arbeitet. Prüfen Sie Ihre Situation mit dem Hugo Check.
5-Punkte-Sofortplan: Was Sie diese Woche noch umsetzen können
- Phishing-resistente MFA einführen. Das BSI fordert den Abschied von SMS-Codes und einfachen Passwörtern. Hardware-Token oder Passkeys sind der neue Standard. Aufwand: 1–2 Tage für die Einrichtung, abhängig von der Unternehmensgröße.
- Offline-Backup testen — nicht nur haben. Bei 64 Prozent Datenverlust nach Ransomware ist ein ungetestetes Backup wertlos. Starten Sie diese Woche einen Wiederherstellungstest. Aufwand: 2–4 Stunden.
- NIS2-Betroffenheit über das BSI-Portal prüfen. Auch wenn Sie glauben, nicht betroffen zu sein — die Lieferketten-Regelung erwischt viele, die nicht damit rechnen. Aufwand: 30 Minuten.
- RMM-Tools auf Zugriffskontrolle prüfen. Fragen Sie Ihren IT-Dienstleister: Wer hat Remote-Zugriff? Mit welcher Software? Ist der Zugang per MFA gesichert? Aufwand: 1 Stunde für das Gespräch.
- Notfallplan erstellen oder aktualisieren. Wer ruft wen an, wenn am Montag nichts mehr geht? Wo liegt das Offline-Backup? Wer entscheidet über eine Lösegeldzahlung? Schreiben Sie das auf — jetzt. Aufwand: halber Tag.
Die meisten dieser Maßnahmen kosten kein Budget — nur Zeit und Entscheidungswille. Ein externer Datenschutzbeauftragter kann beim Priorisieren helfen und die Dokumentation übernehmen.
Was bedeutet das für Sie?
Die Zahlen sprechen eine klare Sprache: 43 Prozent der KMU waren bereits von Cyberangriffen betroffen. 202,4 Milliarden Euro Schaden allein durch Cyberangriffe in Deutschland. Und jetzt kommt die regulatorische Keule dazu.
NIS2-Durchsetzung, persönliche Geschäftsführerhaftung, Cyber Resilience Act — wer jetzt nicht handelt, riskiert nicht nur Daten und Geld. Er riskiert sein Unternehmen und seine persönliche Existenz.
Der Trend geht zu europäischen Sicherheitslösungen. Das Misstrauen gegenüber US-Anbietern wächst. Souveräne IT-Infrastruktur wird zum Wettbewerbsvorteil.
Fazit: Ihr nächster Schritt
Die Frage ist nicht ob, sondern wann ein Angriff kommt. Das sagt nicht nur die Polizei. Das zeigen die Zahlen. 1.314 Angriffe pro Woche auf jedes einzelne Unternehmen. 190 Prozent mehr Ransomware. 64 Prozent Datenverlust.
Cybersicherheit ist kein IT-Thema mehr. Es ist Chefsache. Mit persönlicher Haftung. Wer als Geschäftsführer heute keinen Überblick über seine IT-Sicherheitslage hat, spielt russisches Roulette — mit dem eigenen Vermögen.
Fangen Sie mit einem Punkt aus dem Sofortplan an. Heute noch. Und wenn Sie nicht wissen, wo Sie stehen: Lassen Sie sich 30 Minuten lang die drei größten Schwachstellen in Ihrer IT zeigen. Kostenlos, unverbindlich, konkret.
Kostenloser IT-Sicherheitscheck für Hamburger KMU
30 Minuten mit Jens Hagel — wir identifizieren die drei größten Schwachstellen in Ihrer IT. Kein Verkaufsgespräch, sondern Klartext.
Erstgespräch buchenHäufige Fragen (FAQ)
Ist mein Unternehmen von NIS2 betroffen?
NIS2 betrifft Unternehmen aus 18 kritischen und wichtigen Sektoren — darunter Energie, Gesundheit, Transport, digitale Infrastruktur und verarbeitendes Gewerbe. Aber auch Zulieferer dieser Sektoren können über die Lieferketten-Regelung betroffen sein. Prüfen Sie Ihre Betroffenheit über das BSI-Portal. Im Zweifel hilft ein externer Datenschutzbeauftragter bei der Einschätzung.
Hafte ich als Geschäftsführer persönlich für Cyberangriffe?
Seit Dezember 2025 ja. Das NIS-2-Umsetzungsgesetz sieht eine persönliche Haftung von Geschäftsführern und Vorständen für Cybersicherheitsmängel vor. Das bedeutet: Wenn Ihr Unternehmen grundlegende Sicherheitsmaßnahmen nicht umgesetzt hat und ein Angriff Schaden verursacht, können Sie persönlich haftbar gemacht werden.
Was kostet ein Ransomware-Angriff ein KMU durchschnittlich?
Die direkten Kosten (Lösegeldforderung, IT-Wiederherstellung, Betriebsausfall) liegen für KMU typischerweise zwischen 50.000 und 500.000 Euro. Dazu kommen indirekte Kosten: Reputationsschaden, verlorene Kunden, mögliche DSGVO-Bußgelder bei Datenverlust. 64 Prozent der KMU können ihre Daten nach einem Angriff nicht wiederherstellen — der Schaden wird dann existenzbedrohend.
Wie schütze ich mein Unternehmen vor KI-gestütztem Phishing?
Klassische Schulungen allein reichen nicht mehr. Setzen Sie auf technische Maßnahmen: phishing-resistente Multi-Faktor-Authentifizierung (Hardware-Token, Passkeys), E-Mail-Filterung mit KI-Erkennung, und strikte Freigabeprozesse für Überweisungen. Kein Geldtransfer nur aufgrund einer E-Mail oder eines Videocalls — immer über einen zweiten, unabhängigen Kanal bestätigen.
Was ist der Unterschied zwischen NIS2 und dem Cyber Resilience Act?
NIS2 regelt die Cybersicherheit von Unternehmen und Organisationen — es geht um Ihre internen Sicherheitsmaßnahmen, Meldepflichten und Risikomanagement. Der Cyber Resilience Act (CRA) betrifft Hersteller von Produkten mit digitalen Elementen — er fordert Schwachstellenmanagement und Security by Design für vernetzte Produkte. Beide Gesetze können gleichzeitig gelten.
Wo finde ich Hilfe bei der NIS2-Umsetzung in Hamburg?
Das BSI bietet kostenlose Webinare zur Umsetzung an. Für eine individuelle Bestandsaufnahme und NIS2-Lieferketten-Compliance stehen wir als Datenschutz- und IT-Sicherheitsberater in Hamburg zur Verfügung. Der erste Schritt: ein kostenloser Hugo Check, der Ihre aktuelle Situation einschätzt.
