IT-Sicherheit: Deutschland im Cyber-Stresstest zum Jahreswechsel

Deutschlands IT-Abteilungen stehen unter Hochdruck. Zum Jahreswechsel 2025/2026 kumulieren sich regulatorische Fristen und akute Cyber-Bedrohungen zu einer gefährlichen Mischung. Die verspätete Umsetzung der NIS2-Richtlinie und das erste volle Jahr der DORA-Verordnung treffen auf eine traditionell dünn besetzte Urlaubszeit – ein Einfallstor für Angreifer.

NIS2: Scharfer Start ohne Gnadenfrist

Am 6. Dezember 2025 trat das deutsche NIS2-Umsetzungsgesetz endlich in Kraft – und das ohne Übergangsfrist. Für rund 29.500 betroffene Unternehmen bedeutet das sofortige Handlungspflicht. Sie müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und umfassende Risikomanagement-Maßnahmen umsetzen.

Besonders brisant: die strengen Meldepflichten. Erhebliche IT-Vorfälle müssen nun innerhalb von 24 Stunden als „Frühwarnung“ gemeldet werden. Diese Regelung zwingt die Notfallteams (CERTs), auch über die Feiertage voll einsatzbereit zu sein. Viele Unternehmen kämpfen in der Weihnachtszeit mit der Umsetzung, wie Branchenkenner berichten.

Akute Gefahr: Zero-Day-Lücke trifft auf „Holiday-Gap“

Die Bedrohungslage ist angespannt. Kurz vor Weihnachten, am 19. Dezember 2025, wurde eine kritische Zero-Day-Schwachstelle in Cisco-Sicherheitsprodukten bekannt. Staatlich unterstützte Angreifer nutzen diese Lücke bereits aus. IT-Administratoren müssen nun Notfall-Patches einspielen – mitten in der Phase üblicher Code-Freezes und reduzierter Personaldecke.

Gerade jetzt, wenn NIS2-Meldfristen und DORA-Anforderungen drängen, sind viele IT-Teams an Feiertagen unterbesetzt – und Zero-Day-Lücken schlagen schnell zu. Der kostenlose E‑Book-Report „Cyber Security Awareness Trends“ erklärt praxisnah, welche Schutzmaßnahmen Sie sofort umsetzen können, wie Sie SOC-Lücken schließen und Mitarbeiter für Phishing & CEO‑Fraud sensibilisieren. Ideal für Geschäftsführer und IT‑Verantwortliche, die Sicherheits- und Compliance‑Risiken reduzieren wollen. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

Genau diese Personal-Lücke nutzen Cyberkriminelle gezielt aus. Eine Studie von Semperis zeigt alarmierende Zahlen: 52 Prozent der befragten Unternehmen wurden bereits an Feiertagen oder Wochenenden Opfer von Ransomware-Angriffen. Fast 78 Prozent der Firmen fahren ihre Security Operations Center (SOC)-Besetzung über die Festtage um die Hälfte herunter. Bei einigen deutschen Unternehmen sinkt die Abdeckung sogar um bis zu 87 Prozent. Angreifer haben so freie Bahn für langandauernde Verschlüsselungsangriffe, die oft erst im Januar entdeckt werden.

DORA: BaFin zieht erste Bilanz für den Finanzsektor

Für Banken und Versicherungen endet mit dem Jahreswechsel das erste volle Anwendungsjahr der Digital Operational Resilience Act (DORA)-Verordnung. Die BaFin hat ihren Fokus deutlich auf das Management von Risiken durch IT-Dienstleister gelegt.

Auf einer Fachkonferenz im Dezember 2025 machte die Aufsichtsbehörde klar: Die Schonfrist für die Einrichtung von Informationsregistern ist vorbei. Finanzinstitute müssen ihre Abhängigkeiten von kritischen externen Anbietern nun vollständig dokumentiert haben. Für 2026 kündigte die BaFin schärfere Prüfungen an, insbesondere zu Widerstandsfähigkeitstests wie Threat-Led Penetration Testing (TLPT). Die Integration der DORA-Anforderungen in die IT-Notfallpläne ist eine zentrale Aufgabe für den Jahresabschluss 2025.

Handlungsempfehlungen für die kritische Übergangswoche

IT-Verantwortliche stehen in den letzten Tagen des Jahres vor drei dringenden Aufgaben:

1. Notfall-Erreichbarkeit prüfen: Die Eskalationsketten für Meldungen an das BSI und kritische Dienstleister müssen getestet und aktuell sein.
2. Kritische Systeme patchen: Sicherheitsupdates für die Dezember-Schwachstellen – besonders in Kommunikationssystemen – haben Vorrang vor allen Code-Freeze-Regeln.
3. Zugriffe von Drittanbietern überwachen: Angriffe über die Lieferkette sind in Zeiten geringer Personalpräsenz besonders beliebt. Die DORA-Verordnung verschärft hier die Anforderungen.

Die Einschätzung von IT-Sicherheitschefs ist eindeutig: Die „ruhige Zeit“ zwischen den Jahren gehört der Vergangenheit an. Der Jahreswechsel 2025/2026 erfordert aktive Verteidigung und strikte Compliance-Bereitschaft. Wer hier nachlässt, riskiert einen Neustart ins neue Jahr mit einer schweren Sicherheitslücke oder einer hohen Regulierungsstrafe.