NIS-2-Gesetz: 29.500 Firmen unter neuer Cyber-Aufsicht

Der Bundestag verschärft die IT-Sicherheitspflichten massiv: Mit der Verabschiedung des NIS-2-Umsetzungsgesetzes am 13. November müssen künftig sechsmal mehr Unternehmen strenge Cybersicherheitsstandards erfüllen als bisher. Die Entscheidung kommt zu einem Zeitpunkt, an dem KI-gestützte Phishing-Angriffe explodieren und Ransomware-Banden ihre Opferzahlen auf Rekordhöhe treiben. Gleichzeitig rüstet auch die Schweiz auf – mit Cyber-Warnungen direkt aufs Smartphone.

Was bedeutet das konkret? Bislang mussten rund 4.500 kritische Infrastrukturen wie Energieversorger oder Krankenhäuser dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Rechenschaft ablegen. Jetzt weitet sich der Kreis auf etwa 29.500 „wichtige” und „besonders wichtige” Einrichtungen aus.

Die neuen Pflichten haben es in sich: Registrierung beim BSI, umfassendes Risikomanagement und ein dreistufiges Meldesystem für Sicherheitsvorfälle. Der Digitalverband Bitkom begrüßte die längst überfällige Reform. Kein Wunder – Cyberangriffe kosten die deutsche Wirtschaft mittlerweile 202 Milliarden Euro jährlich.

Die EU-Richtlinie NIS-2 soll ein einheitliches Sicherheitsniveau in der Union schaffen. Deutschland zieht damit nach, was in Brüssel bereits beschlossene Sache ist. Doch kommt die Verschärfung zum richtigen Zeitpunkt?

Passend zum Thema Cybersicherheit – Phishing und CEO-Fraud entwickeln sich rasant weiter und gefährden Firmen jeder Größe. Das kostenlose Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie personalisierte KI-Mails erkennen, interne Abläufe härten und Angriffe automatisiert abwehren. Enthalten sind praxiserprobte Checklisten, Vorlagen für Notfallmeldungen und konkrete Maßnahmen für Mitarbeiter-Schulungen. Ideal für IT-Verantwortliche und Geschäftsführer. Anti-Phishing-Paket jetzt herunterladen

Ransomware auf Rekordniveau: 85 Erpressergruppen aktiv

Die Zahlen sprechen eine deutliche Sprache. Check Point Research meldete für das dritte Quartal 2025 insgesamt 1.592 Ransomware-Opfer – 25 Prozent mehr als im Vorjahreszeitraum. Noch beunruhigender: Die Szene zersplittert sich in immer mehr Einzelgruppen.

Waren früher wenige große Banden für die meisten Angriffe verantwortlich, teilen sich nun 85 aktive Erpressergruppen den kriminellen Markt. Die Top 10 vereinen nur noch 56 Prozent der Attacken auf sich. An der Spitze steht die Gruppe „Qilin” mit durchschnittlich 75 Opfern pro Monat.

Was bedeutet diese Dezentralisierung? Kleinere, wendige Akteure können schneller neue Angriffsmethoden entwickeln und untertauchen, bevor Ermittler zuschlagen. Das Ransomware-as-a-Service-Modell (RaaS) macht es technisch weniger versierten Kriminellen leicht, in das lukrative Geschäft einzusteigen.

KI revolutioniert Phishing: 520 Prozent mehr Angriffe erwartet

Doch Ransomware ist nicht die einzige Bedrohung, die eskaliert. Künstliche Intelligenz verändert das Spiel grundlegend. Angreifer nutzen generative KI-Tools, um massenhaft personalisierte Phishing-Mails zu erstellen, die selbst Sicherheitsexperten täuschen können.

Die Nachrichten imitieren perfekt den Schreibstil echter Kollegen oder Vorgesetzter. Psychologische Tricks wie „Gaslighting” – das gezielte Säen von Zweifeln – erhöhen den Druck auf potenzielle Opfer. Traditionelle Spam-Filter versagen zunehmend gegen diese neue Generation von Betrugsnachrichten.

Für die kommende Weihnachtssaison prognostizieren Experten einen Anstieg KI-getriebener Angriffe um bis zu 520 Prozent gegenüber dem Vorjahr. Besonders perfide: Deepfake-Technologie könnte bald realistische Audio- und Video-Imitationen von Führungskräften ermöglichen. Wer würde nicht eine Überweisung tätigen, wenn scheinbar der CEO persönlich anruft?

Schweiz integriert Cyber-Alarm in nationale Warn-App

Während Deutschland auf gesetzliche Verschärfungen setzt, wählt die Schweiz einen anderen Ansatz. Seit Mitte November 2025 verschickt das Bundesamt für Cybersicherheit (BACS) schwerwiegende Cyber-Warnungen über die nationale Alarm-App Alertswiss.

Die App ist auf über 2,3 Millionen Smartphones installiert und warnte bisher vor Naturkatastrophen oder anderen physischen Bedrohungen. Jetzt kommen großflächige oder neuartige Cyberangriffe hinzu. Die Idee: schnelle, direkte Information der Bevölkerung mit konkreten Handlungshinweisen.

Alltägliche Phishing-Wellen bleiben allerdings außen vor – diese würden das System überlasten. Nur bei außergewöhnlichen Bedrohungen vibriert das Smartphone. Die Kooperation zwischen BACS und dem Bundesamt für Bevölkerungsschutz (BABS) zeigt, wie ernst die Schweiz die digitale Gefahr nimmt.

BSI-Lagebericht: Deutschland bleibt hochverwundbar

Trotz aller Fortschritte attestiert das BSI Deutschland Anfang November eine weiterhin hohe Verwundbarkeit. Unzureichend geschützte Webanwendungen, ungepatchte Server und nicht geschlossene Sicherheitslücken schaffen Einfallstore für Angreifer.

Das NIS-2-Gesetz soll hier Abhilfe schaffen, indem es Unternehmen zu proaktiven Maßnahmen verpflichtet. Doch die Umsetzung wird Zeit brauchen. Viele der nun erfassten 29.500 Firmen müssen ihre IT-Sicherheit erst grundlegend überarbeiten.

Die zentrale Frage lautet: Reichen reaktive Sicherheitsmodelle noch aus? Experten fordern längst den Übergang zu Zero-Trust-Architekturen, bei denen jeder Zugriff – intern wie extern – kontinuierlich überprüft wird. Verhaltensanalysen sollen verdächtige Aktivitäten erkennen, bevor der Schaden entsteht.

Das KI-Wettrüsten: Angriff gegen Verteidigung

Die Zukunft der Cybersicherheit wird ein permanentes Wettrüsten zwischen KI-gestützten Angriffs- und Verteidigungssystemen sein. Autonome Angriffssysteme, die ohne menschliches Eingreifen Kampagnen planen und durchführen, sind bereits in der Entwicklung.

Auf der anderen Seite setzen Sicherheitsfirmen ebenfalls auf KI, um Anomalien zu erkennen und Angriffe in Echtzeit abzuwehren. Wer gewinnt diesen digitalen Rüstungswettlauf? Die Antwort wird darüber entscheiden, ob das Internet ein sicherer Raum für Wirtschaft und Gesellschaft bleibt.

Deutschland und die Schweiz haben ihre Hausaufgaben erkannt. Das NIS-2-Gesetz und die Alertswiss-Integration sind wichtige Schritte. Doch die Bedrohung entwickelt sich schneller als Gesetzgebung und Technologie nachkommen können. Der 202-Milliarden-Schaden zeigt: Es geht nicht mehr nur um IT-Sicherheit, sondern um wirtschaftliche Existenz.

PS: KI‑gestützte Phishing-Angriffe sind so überzeugend, dass sogar erfahrene Mitarbeiter in die Falle tappen. Dieser kostenlose Report enthüllt die aktuell häufigsten psychologischen Tricks, branchenspezifische Angriffswege und eine sofort anwendbare Checkliste für Notfallreaktionen. Ergänzt durch praktische Schulungs-Tipps und Vorlagen für interne Meldungen, hilft das Paket, Abwehrmaßnahmen schnell zu verbessern. Anti-Phishing-Checkliste anfordern