Unternehmen, Organisationen und Behörden müssen heute stärker darauf vorbereitet sein, Sicherheitsvorfälle schnell einzudämmen und ihre Folgen wirksam zu begrenzen. Mit DSGVO, NIS2 und DORA hat die EU dafür einen regulatorischen Rahmen geschaffen, der operative Resilienz stärker einfordert und Verstöße mit empfindlichen Sanktionen belegt. Für Verstöße gegen die DSGVO wurden laut öffentlich zugänglichen Bußgeldregistern inzwischen Strafzahlungen in Milliardenhöhe verhängt.
Auch NIS2 und DORA sehen weitreichende Sanktionsmöglichkeiten vor. Zudem nehmen beide Regelwerke die Geschäftsleitung stärker in die Verantwortung: Unternehmen müssen nachweisen können, dass sie angemessene Maßnahmen umgesetzt haben, um ihre Cyberresilienz zu stärken. Die deutsche Bank- und Finanzaufsicht BaFin hat im Dezember 2025 mehr als 600 schwere Vorfälle seit dem DORA-Start gemeldet, will nach Angaben von BaFin-Exekutivdirektor Nikolas Speer jedoch auf einen offenen und direkten Dialog mit den Instituten setzen. Erste medienwirksame Fälle im Zusammenhang mit NIS2 und DORA dürften dennoch nur eine Frage der Zeit sein.
Wenn KI Angriffe schneller und gezielter macht
Mit der zunehmenden Verfügbarkeit leistungsfähiger KI-Modelle verändern sich auch die Möglichkeiten potenzieller Angreifer. Solche Systeme können die Analyse von Schwachstellen, die Auswertung von Angriffspfaden und die Vorbereitung von Attacken erheblich beschleunigen. Da nahezu jedes Unternehmen personenbezogene Daten verarbeitet, könnten Cyberkriminelle künftig schneller und in größerem Umfang Zugriff auf sensible Informationen erlangen. Besonders kritisch sind dabei Umgebungen mit komplexen Open-Source-Abhängigkeiten und unzureichend gepflegtem Schwachstellenmanagement.
Zudem ist zu erwarten, dass Cyberkriminelle eigene KI-Werkzeuge entwickeln, um ihre Angriffe gezielter und wirkungsvoller zu machen. Vor allem Phishing-Attacken lassen sich mithilfe von Large Language Models stärker personalisieren, um Zugangsdaten von Anwendern mit relevanten Berechtigungen abzugreifen. Bereits heute basieren viele Angriffe auf kompromittierten Identitäten und Identitätssystemen.
Schatten-KI als unterschätztes Risiko
Weitere Risiken entstehen durch den unkontrollierten Einsatz von Schatten-KI in einzelnen Abteilungen. Viele Mitarbeitende geben interne Unternehmensdaten in KI-Modelle externer Anbieter ein, ohne dass dafür ein DSGVO-konformer Vertrag zur Auftragsverarbeitung (AVV) besteht. Zusätzlich besteht die Gefahr, dass personenbezogene Daten – eigene oder die von Dritten – in externe KI-Anwendungen hochgeladen werden und dadurch Datenschutzvorgaben verletzt werden.