Was NIS2 für die E-Mail-Security bedeutet.

Die Verabschiedung des NIS2-Umsetzungsgesetzes im Bundestag mit deutlicher Verspätung ist mehr als nur ein politischer Etappenschritt. Für Betreiber kritischer Infrastrukturen und für eine wachsende Zahl „wichtiger” und „besonders wichtiger” Einrichtungen bedeutet es: Die Messlatte für Cyberresilienz steigt, und der Kommunikationskanal Nummer eins, E-Mail, rückt zu Recht in den Fokus. Wer jetzt nur auf Virenscanner und Spam-Filter setzt, unterschätzt das Risiko und verpasst die Chance, mit überschaubarem Aufwand echte Resilienz zu schaffen.

Zusammenfassung (TL; DR):

NIS2 ist mit einem strukturierten Vorgehen gut umsetzbar

  • NIS2 verlangt belastbare Betriebs- und Notfallprozesse
  • NIS2 ist kein Selbstzweck. Die Richtlinie bildet den Rahmen, den der Stand der Technik einfordert und hebt Geschäftskommunikation per E-Mail auf ein sicheres Niveau
  • NIS2 ist mit einem strukturierten Vorgehen gut umsetzbar. Die Richtlinie verlangt angemessene und verhältnismäßige Maßnahmen – also State-of-the-Art-Schutz, klare Prozesse und belastbare Forensik

Während Unternehmen bisher oft mit signaturbasierten Filtern und einfachen Phishing-Erkennungsmechanismen ausgekommen sind, reicht das spätestens unter NIS2 nicht mehr aus. Social Engineering, gezieltes Spear-Phishing und polymorphe Malware entwickeln sich täglich weiter. KI-gestützte Analysen, URL-Protection und Sandboxing sind heute Stand der Technik und für die Einhaltung von Artikel 21 der NIS2-Richtlinie de facto elementare Bausteine. Diese Technologien ermöglichen es unter anderem, gefälschte Absender und Domain-Adressen zu erkennen, verdächtige Links in Echtzeit zu blockieren und unbekannte Malware durch Verhaltensanalysen zu identifizieren.

Lieferkettensicherheit durch End-to-End-Verschlüsselung

Das zentrale Problem von E-Mails besteht darin, dass diese standardmäßig zunächst einmal unsicher sind, da sie keine Authentifizierung, Autorisierung oder Verschlüsselung während der Übertragung erfordern.

Eine durchgängige Verschlüsselung sensibler Kommunikation in der Lieferkette ohne Medienbrüche und Hürden für Partner ist entscheidend, auch wenn diese keine eigene Public Key Infrastructure (PKI) betreiben. Die NIS2-Richtlinie fordert explizit Konzepte und Verfahren für den Einsatz von Kryptografie. Das bedeutet konkret: E-Mails mit kritischen oder sensiblen Inhalten müssen verschlüsselt werden, um die Vertraulichkeit und Integrität gegenüber Zulieferern und Partnern zu gewährleisten.

Moderne Secure E-Mail Gateways lösen diese Anforderung pragmatisch. Sie ermöglichen „One-Click”-Verschlüsselung mit standardisierten Verfahren, ohne dass sich Absender mit technischen Details oder Schlüsselverwaltung auseinandersetzen müssen. Empfänger ohne eigene Verschlüsselungslösung werden idealerweise über ein sicheres Webmail-Postfach eingebunden, über das sie die verschlüsselten Nachrichten lesen können.

Betriebsstabilität und Notfallplanung bei NIS2

NIS2 verlangt außerdem belastbare Betriebs- und Notfallprozesse. Für E-Mail bedeutet das: Klare und funktionierende Continuity.-Konzepte müssen vorbereitet sein, nicht erst im Fall des Falles improvisiert. Ein vorprovisionierter, externer Fallback-Service, der bei einem Angriff sofort übernimmt und Postfächer samt Kontakten und Nachrichtenhistorie unter den bekannten E-Mailadressen per Webmail bereitstellt, ist für die Handlungsfähigkeit einer Organisation entscheidend.

Ebenso zentral ist die Fähigkeit, bereits zugestellte Nachrichten rückwirkend zu analysieren und zu entschärfen – ganz unabhängig von der eingesetzten E-Mail-Infrastruktur. Eine spezialisierte und zeitgemäße Clawback-Technologie erstellt beim E-Mail-Empfang digitale Fingerabdrücke aller Dateianlagen, speichert diese in einer Datenbank und gleicht sie kontinuierlich gegen neue Erkenntnisse aus der Malware-Forschung ab. Sobald eine potenziell gefährliche Nachricht erkannt wird, kann diese je nach Konfiguration automatisch in Quarantäne verschoben oder gelöscht werden.

Forensische Fähigkeiten und Meldepflichten

Schließlich führt kein Weg an professioneller Forensik, transparentem Monitoring und Reporting vorbei. Artikel 23 der NIS2-Richtlinie verlangt innerhalb von 24 Stunden einen Initialreport, nach 72 Stunden einen Update-Bericht und nach einem Monat eine detaillierte Abschlussdokumentation. Dies ist nur möglich, wenn E-Mail-Sicherheitsereignisse in Echtzeit in ein zentrales Security Information and Event Management (SIEM) fließen und es nachvollziehbare Playbooks für die Incident Response, klare Rollen und eine geübte Berichtskette gibt. So reduzieren sich im Ernstfall nicht nur Bußgeldrisiken, sondern vor allem die Zeit bis zur Eindämmung.Je transparenter eine Security-Lösung Daten und Metriken etwa für Tools wie Splunk, Dynatrace oder Grafana bereitstellt, desto zukunftssicherer stellen sich Unternehmen auch im Blick auf zukünftige regulatorische Anforderungen auf.

Fazit NIS2: Jetzt handeln

Die gute Nachricht: Für IT-Entscheider ist NIS2 in der E-Mail-Domäne schnell greifbar. Wenn Unternehmen neben technischen Maßnahmen auch Sensiblisierung gegen Social Engineering und ein straffes Anbieter- und Schnittstellenmanagement umsetzen, entsteht in wenigen Iterationen eine NIS2-konforme, belastbare Kommunikationsumgebung.

NIS2 ist kein Selbstzweck. Die Richtlinie bildet den Rahmen, den der Stand der Technik einfordert, und hebt Geschäftskommunikation per E-Mail auf ein sicheres Niveau. Unternehmen, die jetzt handeln, schützen nicht nur sich und ihre Lieferkette, sondern leisten einen wesentlichen Beitrag zur Cybersicherheit der gesamten Europäischen Gemeinschaft und vermeiden das teuerste aller Risiken: den ungeplanten Stillstand.

Schatten-KI im Unternehmen – die unsichtbare Insider-Bedrohung.

Nicht autorisierte KI-Tools finden unter Angestellten immer mehr Anklang – oft ohne böse Absicht, aber mit potenziell gravierenden Folgen. Der Identity Security Landscape Report 2025 von CyberArk zeigt: Schatten-KI wird zur neuen Insider-Gefahr. Warum Unternehmen jetzt handeln müssen und wie sie die Kontrolle zurückgewinnen.

Zusammenfassung (TL; DR):

  • Mitarbeiter greifen trotz Unternehmensverbot oft zu KI-Tools
  • Problem: Perimeter- und Netzwerk-Security greifen bei Schatten-KI nicht ein
  • Hilfe gegen Schatten-KI: Sichtbarkeit, Governance und Identitätsschutz

Midjourney nahezu allzeit im Browser geöffnet, mit ChatGPT mal kurz eine wichtige Frage beantworten, Übersetzungen schnell durch DeepL jagen – KI-Tools sind längst ein fester Bestandteil im Alltag vieler Angestellter. Doch oftmals weiß die IT-Abteilung davon nichts oder das Unternehmen hat gar die Nutzung von KI untersagt. Mit dem Bestreben, ihre Aufgaben schneller, effizienter oder kreativer zu erledigen, greifen Mitarbeitende mitunter trotzdem zu Anwendungen, die nicht offiziell genehmigt sind. Laut dem Identity Security Landscape Report 2025 von CyberArk nutzen bereits 41 Prozent der Beschäftigten in Deutschland nicht freigegebene KI-Tools, währen 65 Prozent der Unternehmen fürchten, diese sogenannte Schatten-KI nicht kontrollieren zu können.

Deren Risiken ähneln denen der klassischen Schatten-IT, sind jedoch durch mögliche Datenabflüsse und unkontrollierte Schnittstellen noch schwerer zu beherrschen. Denn während sich klassische Schatten-IT meist auf Softwareinstallationen oder Cloud-Speicher bezieht, arbeitet Schatten-KI mit Lernmodellen, die Daten weiterverarbeiten und in unbekannten Kontexten wiederverwenden können. Das ist besonders heikel, wenn es sich um Firmeninterna handelt. Fehlende Richtlinien und Governance im Umgang mit KI schaffen Identitäts- und Zugriffslücken – und damit eine neue, schwer erkennbare Form der (ungewollten) Insider-Bedrohung.

Schatten-KI: Identitäten als Achillesferse

Da KI-Tools oft in bestehende Prozesse eingebunden werden und dadurch selbstständig auf Daten und Systeme zugreifen können muss, erhalten sie indirekt eine neue Identität mit denselben oder erweiterten Berechtigungen – Machine Identities. Laut des Machine Identity Landscape Report wuchs die Zahl dieser maschinellen Identitäten allein in 2024 um 59 Prozent an. Als besonders riskant erachten die befragten Unternehmen dies in Dev-Ops- (42 Prozent) und Cloud-Umgebungen (33 Prozent).

Der Hintergrund: Jede Maschine, jedes Skript und jedes KI-Modell benötigt Zugangsdaten, API-Keys oder Zertifikate, um zu funktionieren. Werden diese nicht zentral verwaltet, entstehen sogenannte „Identitätssilos“. In solchen Silos fehlt die Transparenz darüber, wer oder was tatsächlich Zugriff auf sensible Systeme hat. Dabei sind sich die Unternehmen der Risiken durch Identitätssilos durchaus bewusst: 87 Prozent sehen sie als ein ernstzunehmendes Risiko und Schatten-KI treibt diese Silos weiter voran.

Hinzu kommt, dass Machine Identities nicht den gleichen Sicherheitsprüfungen unterliegen wie menschliche Accounts. Ihre Zugänge bleiben oft dauerhaft aktiv, selbst wenn sie nicht mehr benötigt werden, Passwörter werden nicht regelmäßig geändert und Berechtigungen werden kaum überprüft. Damit entsteht eine stille, aber potenziell gravierende Angriffsfläche – ein ideales Einfallstor für Cyberkriminelle oder fehlerhafte Automatisierungen, etwa wenn Skripte mit zu weitreichenden Berechtigungen auf produktive Systeme zugreifen.

Warum klassische Sicherheitsansätze versagen

Dass sich die Gefahr durch Schatten-KI oftmals wie ein trojanisches Pferd anfühlt, hat folgende Ursache: Perimeter- und Netzwerk-Security greifen bei Schatten-KI nicht ein, da die Tools oft außerhalb der Sichtbarkeit von IT-Abteilungen laufen und dadurch die Abfrage von Zugriffs-Genehmigungen entfällt. Die Nutzung erfolgt oft über SaaS-Dienste, die nicht in bestehende Identity-Management-Systeme integriert wurden. Das führt zu Undurchsichtigkeit, da Unternehmen nicht genau wissen, welche Tools genutzt werden, welche Accounts existieren oder welche Berechtigungen vergeben wurden.

Hinzu kommt ein weiterer Faktor: Viele Mitarbeitende empfinden Sicherheitsrichtlinien als hinderlich und greifen aus rein pragmatischen Gründen zu inoffiziellen Lösungen. Das Sicherheitsrisiko entsteht damit nicht aus böswilliger Absicht, sondern aus fehlendem Bewusstsein. Klassische Awareness-Trainings reichen hier oft nicht aus, da sie sich auf Phishing oder Passwortsicherheit konzentrieren – aber den Umgang mit KI-Anwendungen noch nicht einschließen.

Auch die Dynamik und Geschwindigkeit der KI-Entwicklung überfordern viele Unternehmen. Neue Tools erscheinen monatlich, Funktionen verändern sich wöchentlich und eine zentrale Verwaltung von Freigaben kann kaum aktuell gehalten werden. Dadurch hinken Compliance- und Security-Prozesse der technologischen Realität hinterher. Es ist also ein strukturelles Problem, das Schatten-KI weiter begünstigt.

Im Kampf gegen Schatten-KI: Sichtbarkeit, Governance und Identitätsschutz

Um die bedrohlichen Schatten von KI loszuwerden, können Unternehmen drei Ebenen etablieren:

  • Sichtbarkeit schaffen: Durch Zusammenarbeit mit den Mitarbeitenden möglichst alle verwendeten KI-Tools zusammentragen und deren Nutzung kontinuierlich überwachen. Dies schließt auch automatisierte Scans und Inventarisierungen von SaaS-Anwendungen ein, um unautorisierte KI-Zugriffe frühzeitig zu erkennen.
  • Richtlinien und Schulung: Mitarbeitende befähigen, KI verantwortungsvoll einzusetzen und klare Freigabeprozesse etablieren. Hierbei sollten nicht nur Verbote ausgesprochen, sondern Leitplanken formuliert werden – etwa, welche Daten in KI-Systeme eingegeben werden dürfen und welche nicht.
  • Technische Kontrolle: Zero-Trust-Ansätze, Least-Privilege-Prinzip und automatisiertes Credential-Management für maschinelle Identitäten zentral implementieren.
  • Außerdem sollten klare Governance-Strukturen definiert werden, welche die Freigabe, Überwachung und Audits der KI-Nutzung regeln. Ein strukturiertes KI-Governance-Framework, das Datenschutz, Compliance und IT-Security vereint, kann helfen, Verantwortlichkeiten zu klären und Transparenz zu schaffen. Lösungen professioneller Anbieter bieten zentrale Verwaltung maschineller und privilegierter Identitäten und reduzieren so das Risiko durch Schatten-KI signifikant.

Darüber hinaus ist es essenziell, dass Sicherheits- und Fachabteilungen eng zusammenarbeiten. Denn nur wenn IT-, Compliance- und Business-Teams gemeinsam Richtlinien entwickeln, lassen sich Innovation und Sicherheit in Einklang bringen. Die Integration von KI in bestehende Sicherheitsarchitekturen darf kein einmaliges Projekt sein, sondern muss als fortlaufender Prozess verstanden werden.

Chance statt Risiko durch sicheren Umgang als Wettbewerbsvorteil

Wer KI-Tool sicher einsetzt, verwandelt ein erhebliches Risiko in einen immensen Vorteil. Effizienz, Geschwindigkeit und Vertrauen von Mitarbeitenden und Kunden in das Unternehmen steigen, wenn KI-Anwendungen kontrolliert und integriert werden. So wird KI-Governance zu einem zentralen Bestandteil moderner IT-Sicherheitsstrategien. Unternehmen, die klare Leitlinien etablieren und Vertrauen in ihre Systeme schaffen, gewinnen auch an Attraktivität für ihre Fachkräfte – insbesondere in wissensintensiven Bereichen, in denen KI-Unterstützung längst nicht mehr wegzudenken ist.

Führungskräfte stehen jetzt vor der großen aber durchaus machbaren Herausforderung, die Balance zwischen Innovation und Sicherheit zu halten. Denn Schatten-KI lässt sich nicht verbieten, aber kontrolliert lenken, sodass Unternehmen die Potenziale sicher nutzen können.

Fazit: Wichtig ist, Kontrolle zurückzugewinnen

Der Identity Security Landscape Report von CyberArk zeigt die Dringlichkeit: 41 Prozent der Mitarbeitenden nutzen nicht genehmigte KI-Tools, 65 Prozent der Unternehmen fürchten Kontrollverlust und 87 Prozent sehen Identitätssilos als bedeutendes Cyberrisiko. Unternehmen sollten zum jetzigen Zeitpunkt handeln, um die neue Form der Insider-Bedrohung zu adressieren. Mit Inventarisierung, Zero Trust, Privileged Access Management und klaren Governance-Strukturen lassen sich Schatten-KI und maschinelle Identitäten effektiv kontrollieren und gleichzeitig Innovationen sichern. Wer frühzeitig handelt, schafft nicht nur Sicherheit, sondern auch Vertrauen – bei Mitarbeitenden, Partnern und Kunden.

ISACA-Studie: KI-gestützte Cyber-Bedrohungen sind die größten Herausforderungen 2026.

Über die Hälfte (51 %) der europäischen IT- und Cybersicherheitsexperten gibt an, dass KI-gestützte Cyber-Bedrohungen und Deepfakes ihre größten Bedenken in Bezug auf das kommende Jahr sind. Das geht aus einer neuen Studie von ISACA hervor.

Zusammenfassung (TL; DR):

  • 51 Prozent der europäischen IT- und Cybersicherheitsexperten geben an, dass KI-gestützte Cyber-Bedrohungen und Deepfakes ihre größte Sorge für das Jahr 2026 sind
  • Nur 14 Prozent fühlen sich sehr gut darauf vorbereitet, die mit generativer KI verbundenen Risiken zu managen
  • Weitere Herausforderungen sind die Komplexität der Regulierungen, Ransomware-Angriffe und die mangelnde Fähigkeit, Sicherheitsverletzungen zu erkennen und darauf zu reagieren

Diese Besorgnis wird durch eine mangelnde Vorbereitung auf KI-bezogene Risiken in der gesamten Branche angetrieben. Nur 14 Prozent der Befragten sind der Meinung, dass ihr Unternehmen sehr gut darauf vorbereitet ist, die mit generativen KI-Lösungen verbundenen Risiken im Jahr 2026 zu bewältigen. Die Mehrheit (82 %) fühlt sich nur einigermaßen, nicht sehr gut oder gar nicht vorbereitet.

Tech-Profis nehmen KI-gesteuerte Bedrohungen eindeutig als die größte Herausforderung wahr. Dennoch bleiben auch andere Bedrohungen bestehen, die Risiken für die Geschäftskontinuität darstellen. Neben KI-gestützten Bedrohungen wurden auch regulatorische Komplexität und Compliance-Risiken (38 %), Schwachstellen in der Lieferkette (37 %) und die mangelnde Fähigkeit, eine Sicherheitsverletzung zu erkennen und darauf zu reagieren, was dem Unternehmen irreparablen Schaden zufügt (35 %), als wichtigste Anliegen genannt. Darüber hinaus sind nur sieben Prozent der Befragten äußerst zuversichtlich, dass ihr Unternehmen einen Ransomware-Angriff im Jahr 2026 erfolgreich bewältigen könnte.

Transformatives Potenzial für Cybersicherheit

Fachleute im Bereich Cyber- und Digitalvertrauen sehen KI sowohl als wachsende Bedrohung als auch als Chance. Sie erkennen, wie transformativ KI für ihr Unternehmen sein kann. In der Studie wurden die Teilnehmenden auch gefragt, welche drei Technologietrends oder Prioritäten ihrer Meinung nach ihre Arbeit im Jahr 2026 am stärksten beeinflussen werden. Die führenden Antworten waren generative KI und große Sprachmodelle beziehungsweise LLMs (61 %), die für Prozesse wie die Erstellung von Inhalten und Code verwendet werden, gefolgt von KI und maschinellem Lernen (57 %), wie zum Beispiel prädiktive Analysen.

Auf die Frage, welche Cyber-Bedrohungen für Unternehmen sie im Jahr 2026 für die größten halten, nannten fast zwei Drittel (59 %) der Befragten KI-gestütztes Social Engineering. Ein weiteres Risiko sind Insider-Bedrohungen, sei es vorsätzlich oder versehentlich (29 %).

Mehr als sechs von zehn (64 %) gaben an, dass Geschäftskontinuität und Resilienz ein sehr wichtiger Schwerpunkt im Jahr 2026 sein werden. ISACA ist der Ansicht, dass die Schulung der Mitarbeitenden sowohl im sicheren Umgang mit KI am Arbeitsplatz als auch in der Reaktion auf KI-gesteuerte Cybersicherheitsbedrohungen der Schlüssel zum Aufbau von Geschäftsresilienz sein wird. Doch mehr als ein Viertel (27 %) der Befragten hat im kommenden Jahr nicht geplant, Personal für Digital-Trust-Rollen wie Audit, Risiko und Cybersicherheit einzustellen.

„KI stellt sowohl die größte Chance als auch die größte Bedrohung unserer Zeit dar. Diese Studie zeigt eine ernüchternde Realität auf: Während Unternehmen beginnen, das transformative Potenzial der KI zu nutzen, bleiben viele unvorbereitet, um deren Risiken im kommenden Jahr zu bewältigen“, sagt Chris Dimitriadis, Chief Global Strategy Officer bei ISACA. „Zertifizierungen für KI-Cybersicherheit und -Assurance werden Cyber-Fachleuten helfen, das sich entwickelnde Risiko im Zusammenhang mit KI zu managen, Richtlinien umzusetzen und deren verantwortungsvollen und effektiven Einsatz im gesamten Unternehmen sicherzustellen.“

Verständnis für regulatorische Herausforderungen

Ein weiterer Widerspruch zeigt sich darin, dass – obwohl mehr als ein Drittel der Befragten (38 %) regulatorische Komplexität und globale Compliance-Risiken als Sorgen angeben – über drei Viertel (79 %) zustimmen oder vollkommen zustimmen, dass cyberbezogene Regulierung das digitale Vertrauen fördern wird. Mehr als die Hälfte (53 %) stimmt zu oder stimmt vollkommen zu, dass sie das Geschäftswachstum vorantreiben wird. Es ist klar, dass ein besseres Verständnis des regulatorischen Wandels und der damit verbundenen Chancen dazu führen würde, dass Cyber-Profis die Compliance mit größerem Vertrauen handhaben und die Geschäftsresilienz steigern.

ISACA: Bedenken als Chance sehen

„Viele der von den Befragten geäußerten Bedenken signalisieren eine Chance, unsere Herangehensweise an diese Themen zu verändern und sie von Besorgnis in einen Katalysator für Geschäftswachstum zu verwandeln“, so Dimitriadis weiter. „Zum Beispiel, wenn man Regulierung oder Leitlinien nicht nur als eine reine Pflichterfüllung betrachtet, sondern als eine Gelegenheit, sich langfristig resilient weiterzuentwickeln.“

Umfragedaten und zusätzliche Analysen.

Technische Schulden kosten weltweit tätige Unternehmen durchschnittlich mehr als 370 Millionen Dollar pro Jahr.

Weil sie nicht in der Lage sind, veraltete und ineffiziente Legacy-Systeme und Legacy-Anwendungen zu modernisieren, entstehen vielen Unternehmen wachsende Kosten durch technische Schulden. Das geht aus einer Studie von Pegasystems, The Enterprise Transformation Company, hervor, für die vom Forschungsunternehmen Savanta über 500 IT-Entscheider weltweit zu den Herausforderungen durch technische Schulden und den Fortschritten bei der Modernisierung von Legacy-Technologien befragt wurden. Ein durchschnittliches weltweit tätiges Unternehmen verschwendet demnach mehr als 370 Millionen Dollar pro Jahr.

Zusammenfassung (TL; DR):

  • Die Zeit, die in Legacy-Strukturen investiert wird, wäre woanders besser genutzt
  • Nach wie vor Abhängigkeit von Legacy-Anwendungen im Front- und Backoffice
  • Neue Technologien können helfen, veraltete Komponenten in Cloud-fähige, KI-gestützte Anwendungen zu verwandeln

Laut der Studie ist der größte Kostenfaktor die Zeit, die bei der erfolgreichen Durchführung von Legacy-Transformationsprojekten durch traditionelle, veraltete und ressourcenintensive Prozesse verschwendet wird. Einem durchschnittlichen weltweit tätigen Unternehmen entstehen demnach allein dadurch Kosten von jährlich fast 134 Millionen Dollar. Hinzu kommen 58 Millionen Dollar für die Zeit, die in Initiativen investiert wurde, die aufgrund veralteter Systeme und Anwendungen gescheitert sind, sowie die auf 56 Millionen Dollar geschätzten Kosten für die Wartung, Aktualisierung und Integration von Legacy-Systemen.

Die Studienteilnehmer wurden zudem nach ihrer Meinung zum Umgang mit technischen Schulden, ihrer Abhängigkeit von Legacy-Systemen und ihren Bemühungen, diese Abhängigkeiten zu beseitigen, befragt. Die Ergebnisse umfassen folgende Aspekte:

  • Eine Verschwendung von Zeit, Mühe und Geld: 78 Prozent stimmten zu, dass die Zeit, die Mühe und das Geld, das in die Pflege von Legacy-Anwendungen gesteckt wird, besser in andere Projekte investiert wäre, die das Unternehmen effektiver machen.
  • Eine undankbare Aufgabe: Danach gefragt, warum sie die Unterstützung von Legacy-Systemen noch nicht beenden konnten, gab ein Drittel (36 %) an, dass das zu zeitaufwendig sei. Mehr als ein Viertel (29 %) erklärte, sie seien zu sehr mit dem durch die Legacy-Systeme verursachten Fire-Fighting beschäftigt und könnten daher nicht die Ursachen angehen. Ein weiteres Viertel sagte, das Thema habe in der Führungsebene schlicht keine Priorität.
  • Eine gefährliche Abhängigkeit: Zwei Drittel (63 %) der Befragten gab an, tagtäglich auf bis zu zehn Legacy-Anwendungen im Front- und Backoffice angewiesen zu sein. Mehr als ein Viertel (29 %) hängt sogar von elf bis 20 Legacy-Anwendungen ab.
  • Ein Kampf gegen Windmühlen: Nicht einmal jeder Zehnte (9 %) sagte, dass die bisherigen Transformationsbemühungen ausreichend waren, um alle Legacy-Anwendungen vollständig abzuschalten beziehungsweise zu ersetzen. Das deutet darauf hin, dass die Probleme mit technischen Schulden so schnell nicht verschwinden werden.

„Viel zu wenige Unternehmen denken an die Hunderte Millionen Dollar, die sie jedes Jahr verlieren, weil Legacy-Technologien und technische Schulden große Ineffizienzen verursachen, die direkte und indirekte finanzielle Folgen haben“, betont Don Schuerman, Chief Technology Officer bei Pegasystems. „Unternehmen sollten es nicht länger hinnehmen, dass sie an Systeme gefesselt sind, die den Anforderungen nicht mehr gewachsen sind, deren Austausch wertvolle Ressourcen erfordert und die über den Erfolg oder Misserfolg des Unternehmens entscheiden können. Es ist an der Zeit, aktiv zu werden und innovative Technologien einzusetzen, die Geschäftslogiken und Daten aus Legacy-Systemen befreien. Mit ihnen können Unternehmen völlig veraltete Komponenten in moderne, Cloud-fähige, KI-gestützte Anwendungen verwandeln, die das Geschäft voranbringen und den Kunden zugutekommen.“

Um die durchschnittlichen Kosten zu berechnen, die technische Schulden in weltweit tätigen Unternehmen pro Jahr verursachen, wurden die Studienteilnehmer zu den wichtigsten Aspekten in ihren Legacy-Transformationsprojekten befragt – darunter auch zu Aspekten, die immaterielle oder indirekte Kosten verursachen und oft unter dem Radar bleiben. Pega schrieb den verschiedenen Antworten jeweils Kostenwerte zu, die für die Teilnehmer während der Befragung nicht sichtbar waren, und berechnete dann Durchschnittswerte über alle Befragten hinweg. Bei den Kosten handelte es sich um Hochrechnungen, die auf gängigen Branchenbenchmarks für die Ausgaben in Legacy-Transformationsprojekten basieren, in denen der Unternehmensumsatz berücksichtigt wird, aber auch auf den IT-Ausgaben für Legacy-Transformationen. Darüber hinaus nutzte Pega seine umfangreiche Erfahrung aus der Zusammenarbeit mit führenden Unternehmen und sein Verständnis für die Auswirkungen technischer Schulden und damit verbundener Probleme, um die finalen Schätzwerte zu erhalten.

Über die Studie

Für die Studie wurden mehr als 500 IT-Entscheider weltweit zu ihren Legacy-Transformationsprojekten befragt, wie diese laufen und welche Herausforderungen und Chancen mit ihnen verbunden sind. Die IT-Entscheider kamen unter anderem aus Nordamerika, Großbritannien, Frankreich, Australien und Deutschland.

Für alle Studienteilnehmer definierte Pega „technische Schulden“ als veraltete Hardware, Software oder technologische Plattform, die aufgrund ihrer kritischen Rolle im Geschäftsbetrieb weiter im Einsatz bleibt – und das trotz Herausforderungen wie eingeschränkter Skalierbarkeit, Schwachstellen, hohen Wartungskosten und Inkompatibilität zu modernen Technologien. Durch die Nutzung dieser Legacy-Systeme und -Anwendungen oder durch zusätzliche Arbeiten, die sie verursachen, entstehen implizite, oft immaterielle Kosten.

eco-Studie-Internetwirtschaft 2025

Die Studie von eco – Verband der Internetwirtschaft – und Arthur D. Little zeichnet ein deutliches Wachstumsbild für die deutsche Internetwirtschaft bis 2030. Ausgangspunkt ist ein Branchenumsatz von rund 245 Mrd. € im Jahr 2025. Bis 2030 soll das Volumen auf etwa 389 Mrd. € anwachsen, was einer durchschnittlichen jährlichen Wachstumsrate nahe 10 % entspricht. Treiber sind insbesondere Cloud- und Plattformdienste, der breite Einsatz von Künstlicher Intelligenz (KI) entlang der gesamten digitalen Wertschöpfung sowie ein weiterhin dynamischer E-Commerce. Methodisch stützt sich die Studie auf ein Vier-Layer-Modell der Internetwirtschaft (Infrastruktur; Services & Applications; Aggregation & Transactions; Paid Content & Smart Industries), das 23 Segmente umfasst und die Wechselwirkungen zwischen Netzen, Rechenzentren, Cloud, Anwendungen, Transaktionen und digitalen Geschäftsmodellen abbildet.
Ein zentrales Ergebnis: KI wirkt nicht nur als einzelnes Marktsegment, sondern entfaltet quer über alle Layer Nachfrage- und Effizienzimpulse – von der generativen Inhaltserstellung über Personalisierung und Prozessautomatisierung bis zur Entscheidungsunterstützung in Echtzeit. Gegenüber früheren Prognosen hat die KI-Beschleunigung zwar eingesetzt, allerdings etwas langsamer als erwartet, weshalb das 2024 gemessene Marktvolumen unter den Vorjahresschätzungen liegt. In einzelnen Teilmärkten wurden die Annahmen angepasst: Colocation/Housing wächst solide, aber gedämpfter; Satellitendienste erhalten Rückenwind; Cloud-Dienste und Edge/Fog bleiben strukturell stark.
Auf der Infrastrukturebene (Layer 1) zeigt Deutschland ein gemischtes Bild. Der 5G-Ausbau erreicht eine sehr hohe Flächenabdeckung, wodurch mobile Breitbandanwendungen und industrielle Campusnetze möglich werden. Gleichzeitig bremst die nach wie vor unterdurchschnittliche Glasfaser-Abdeckung (FTTP) die Leistungsfähigkeit im Festnetz; ein erheblicher Teil der Anschlüsse ist zwar „homes passed“, aber noch nicht aktiv geschaltet. Bis 2030 sind Millionen zusätzlicher Glasfaseranschlüsse, stärkere Backhaul-Kapazitäten und modernisierte, cloud-native 5G-Kernnetze erforderlich, um Latenzziele und den rasant steigenden Daten- und Rechenbedarf – insbesondere für KI-Workloads – zu bewältigen. Ohne schnelleres Genehmigen, bessere Koordination und ausreichende Investitionen droht ein Verfügbarkeitsparadoxon: wachsende Nachfrage trifft auf zu langsam ausgebautes physisches Rückgrat.
Rechenzentren bilden das Rückgrat für Cloud und KI. Die Studie erwartet einen deutlichen Ausbau der installierten IT-Leistung in Deutschland bis 2030. Besonders der Raum Frankfurt/Rhein-Main steht unter Druck: knappe Flächen, limitierte Stromanschlüsse und Netzausbauabhängigkeiten verlagern Projekte zunehmend in umliegende Regionen. Parallel verschärfen Energieeffizienz- und Nachhaltigkeitsvorgaben (u. a. PUE-Ziele, Abwärmenutzungsquoten) die Planungs- und Betriebsanforderungen. Kurzfristig steigen dadurch Komplexität und Kosten; mittelfristig fördern die Vorgaben aber Innovationen bei Kühlung, Lastmanagement, Abwärmeintegration und Standortwahl. Regional entsteht ein Hotspot-Gefälle: Während Rhein-Main weiterhin dominiert, holen Berlin-Brandenburg und weitere Regionen mit größeren Kapazitätsplanungen und neuen Cloud-Regionen spürbar auf.
Auf Layer 2 (Services & Applications) bleibt Cloud der Wachstumsanker. IaaS legt kräftig zu, PaaS gewinnt dank Container-Orchestrierung und Low-Code/DevOps weiter an Bedeutung, und SaaS bleibt das volumenstärkste Segment. Hinzu kommen Security-Services, die angesichts regulatorischer Anforderungen (z. B. NIS2) und zunehmender Bedrohungslagen unverzichtbar sind. Edge/Fog-Computing wird relevanter, weil Inferenz-Workloads näher an Maschinen, Fahrzeuge oder klinische Geräte rücken. Damit steigen die Anforderungen an Interoperabilität, Datenportabilität, FinOps-Kontrolle und Exit-Strategien, um Vendor-Lock-in zu vermeiden und Kosten im Zaum zu halten.
Layer 3 (Aggregation & Transactions) bleibt das umsatzstarke Schwergewicht: E-Commerce dominiert und profitiert von KI-gestützten Personalisierungen, effizienteren Such- und Empfehlungssystemen, automatisierter Content-Erstellung sowie fortgeschrittener Betrugserkennung im Payment. Werbung und Vermittlungsmodelle integrieren zunehmend KI zur Zielgruppen-Optimierung. Auf Layer 4 (Paid Content & Smart Industries) verschmelzen Medien- und Industriesegmente: Streaming, Gaming und digitale Inhalte werden individueller und interaktiver; parallel treiben Smart-Industries-Anwendungen – etwa Industrial IoT, autonome Flotten, vorausschauende Wartung oder Qualitätskontrolle am Edge – die Nachfrage in der Fläche.
Im internationalen Vergleich ist Deutschland stark in Mobilfunkabdeckung und industrieller Digitalisierung, schwächer jedoch bei Glasfaser und global skalierbaren Cloud-/Plattform-Champions. Daraus leitet die Studie strategische Handlungsfelder ab: beschleunigter FTTP- und Backhaul-Ausbau, verlässliche und planbare Energie- und Flächenpolitik für Rechenzentren, Förderung energieeffizienter Technologien und Abwärmenutzung, klare regulatorische Leitplanken für Datensouveränität und Sicherheit sowie Stärkung europäisch-souveräner Alternativen in Cloud und Plattform-Ökosystemen.
Fazit: Die Internetwirtschaft bleibt bis 2030 ein Wachstumsmotor der deutschen Volkswirtschaft. Entscheidend sind jetzt Skalierung von Cloud und KI, der zügige Ausbau von Glasfaser und Netzhinterland, leistungsfähige und nachhaltige Rechenzentren sowie Souveränität in Architektur und Betrieb. Gelingt der koordinierte Kraftakt zwischen Wirtschaft, Infrastrukturbetreibern und Politik, kann die Branche ihre Rolle als Schlüssel für Innovation, Wettbewerbsfähigkeit und Wertschöpfung ausbauen – und die ambitionierten Digitalziele bis 2030 erreichen.



Die Studie Wirtschaftsschutz-Cybercrime 2025 zeichnet ein deutlich verschärftes Lagebild: Fast drei Viertel der Unternehmen in Deutschland fühlen sich durch analoge und digitale Angriffe wie Datendiebstahl, Industriespionage und Sabotage stark bedroht. Der Anteil derjenigen, die „eher“ oder „sehr“ große Bedrohungen sehen, ist hoch und bestätigt den Trend der letzten Jahre. Zugleich geben erneut mehr Unternehmen an, innerhalb der vergangenen zwölf Monate tatsächlich (oder vermutlich) betroffen gewesen zu sein – die Kurve der Betroffenheit zeigt seit Jahren nach oben.
Die wirtschaftlichen Folgen sind massiv. Für 2025 beziffert Bitkom den Gesamtschaden durch Diebstahl, Spionage und Sabotage auf 289,2 Mrd. Euro – nach 266,6 Mrd. Euro im Vorjahr. Besonders teuer sind Ausfälle, Diebstahl oder Schädigungen von IT- und Produktionssystemen sowie Betriebsabläufen (73,3 Mrd. Euro), gefolgt von Rechtsstreitkosten (53,0 Mrd. Euro) sowie Aufwendungen für Ermittlungen und Ersatzmaßnahmen (37,0 Mrd. Euro). Auch Umsatzeinbußen durch Plagiate, Datenschutzmaßnahmen und der Verlust von Wettbewerbsvorteilen schlagen zweistellig zu Buche.
Als Täter werden vor allem organisierte Kriminalität, Privatpersonen und konkurrierende Unternehmen genannt; zugleich rücken staatliche Akteure stärker in den Fokus. Unternehmen berichten ausdrücklich, dass ausländische Nachrichtendienste die Wirtschaft ins Visier nehmen. Regional werden Angriffe am häufigsten Russland und China zugeschrieben (jeweils 46 %), daneben werden u. a. Osteuropa, die USA, EU-Länder und auch Deutschland selbst genannt; in vielen Fällen bleibt die Herkunft unklar.
Bei der Aufklärung der Vorfälle stützt man sich besonders auf die Analyse von Log-Dateien, Hinweise von Behörden sowie interne und externe Untersuchungen. Bemerkenswert: Der Beitrag der Behörden nimmt laut Unternehmen spürbar zu; auch der Austausch mit anderen Firmen und die Beobachtung von Darknet-Foren liefern Erkenntnisse.
Die Angriffsrealität ist überwiegend digital. Am häufigsten berichten Unternehmen von digitaler Sabotage an Informations- und Produktionssystemen, vom Diebstahl digitaler Geschäftsdaten und vom Ausspähen digitaler Kommunikation. Analoge Delikte – etwa der Diebstahl von Geräten, physischen Dokumenten oder das Abhören vor Ort – kommen ebenfalls vor, sind aber weniger dominant. Bei gestohlenen Datentypen stehen Kommunikations- und Kundendaten sowie Finanzinformationen an der Spitze; häufig betroffen sind auch Zugangsdaten/Passwörter und geistiges Eigentum.
In der Dynamik überwiegt das Plus: Mehr Unternehmen berichten von einer Zunahme der Cyberangriffe als von einer Abnahme – in KRITIS-Sektoren wie auch außerhalb. Zugleich nimmt die Nutzung Künstlicher Intelligenz durch Angreifer spürbar zu: Rund zwei Drittel der Befragten haben den Eindruck, dass bei Attacken verstärkt KI zum Einsatz kommt, während nur eine kleine Minderheit dies verneint.
Die Bedrohungslage spiegelt sich in der Risikowahrnehmung und Vorsorge: Rund die Hälfte der Unternehmen sieht Cyberangriffe als existenzbedrohend an. Gleichzeitig beschreibt sich etwa jedes zweite Unternehmen als „sehr gut“ vorbereitet – ein Wert, der im Vergleich zum Vorjahr leicht gesunken ist. Betrachtet man die Schadensverteilung, entfallen 2025 rund 70 % des Gesamtschadens (ca. 202,4 Mrd. Euro) auf Cyberattacken; andere Ursachen machen etwa 30 % (ca. 86,8 Mrd. Euro) aus.
Bei den Schadensarten liegt Ransomware vorn – noch vor Phishing, Malware/Schadsoftware, Passwortangriffen, DDoS und Web-Angriffen wie SQL-Injection oder Cross-Site-Scripting. Jedes siebte betroffene Unternehmen hat in den letzten zwölf Monaten Lösegeld gezahlt, meist im fünf- bis sechsstelligen Bereich; in Einzelfällen lagen die Summen bei einer Million Euro und mehr.
Der Blick nach vorn bleibt pessimistisch: Ein großer Teil der Unternehmen erwartet in den kommenden zwölf Monaten einen weiteren Anstieg der Attacken – sowohl in KRITIS-Branchen als auch in anderen Sektoren. Darauf reagiert man mit steigenden Budgets: Der durchschnittliche Anteil der IT-Sicherheit am gesamten IT-Budget liegt 2025 bei rund 18 % und ist damit höher als in den Vorjahren. Dennoch haben viele Firmen weiterhin einen Anteil unter 10 % oder sogar unter 5 %.
Schließlich rückt das Thema digitale Souveränität in den Fokus. Eine deutliche Mehrheit sieht eine Abhängigkeit von US-Sicherheitslösungen und fordert zugleich, dass die Politik deutsche Anbieter stärker unterstützt.
Methodisch basiert die Studie auf 1.002 telefonischen Interviews (CATI) mit Führungskräften in Unternehmen ab 10 Beschäftigten und mindestens 1 Mio. Euro Jahresumsatz. Der Befragungszeitraum lag zwischen KW 16 und KW 24 im Jahr 2025; die statistische Fehlertoleranz beträgt ± 3 % in der Gesamtstichprobe.
Kurz gesagt: Cyberangriffe sind weiter auf dem Vormarsch, sie verursachen den Großteil der wirtschaftlichen Schäden, Ransomware bleibt der kostspieligste Angriffsvektor, KI verstärkt die Angreiferfähigkeiten, und obwohl Unternehmen investieren und ihre Vorbereitung verbessern, sehen viele ihre Existenz bedroht – zugleich wächst der Wunsch nach mehr digitaler Souveränität und politischer Unterstützung für heimische Sicherheitslösungen.



Cybersicherheit im Flughafenbetrieb – Resilienz vom Check-in bis zum Gate.

Cybersicherheit im Flughafenbetrieb: Jüngste Cyberangriffe auf europäische Flughäfen haben deutlich gemacht, wie verletzlich die digitale Infrastruktur des Luftverkehrs ist. Nach einem von der EU-Cybersicherheitsagentur ENISA bestätigten Ransomware-Angriff auf Flughafen-Software kam es zu massiven Störungen für Reisende.

Am Berliner BER mussten Fluggäste stundenlang warten, Flüge verspäteten sich um mehr als eine Stunde, weil die Systeme nicht wiederhergestellt waren. In Brüssel fiel sogar die Hälfte aller Abflüge aus. Diese Vorfälle zeigen, wie schnell digitale Ausfälle den gesamten Betrieb lahmlegen können – und wie wichtig widerstandsfähige Sicherheitsstrategien für Flughäfen sind.

Cybersicherheit im Flughafenbetrieb – Fliegen im digitalen Zeitalter

Die Abläufe am Flughafen sind heute stärker digitalisiert als je zuvor. Vom Online-Check-in und automatisierter Gepäckabgabe über biometrische Grenzkontrollen bis hin zu Echtzeit-Fluginformationen und digitalen Anzeigen – Technologie prägt jeden Bereich am Flughafen. Smarte Kioske, mobile Apps, eGates und vernetzte Terminal-Systeme beschleunigen Prozesse, während IoT-Geräte bei Sicherheit und Passagierströmen helfen. Diese Entwicklung bringt mehr Effizienz und Komfort – macht Flughäfen aber auch verwundbarer. Denn wenn ein System ausfällt, kann dies schnell eine Kettenreaktion auslösen.

Was Sicherheit an Flughäfen bedeutet

Flughafensicherheit heißt längst nicht mehr nur, den äußeren Bereich abzusichern. Es geht darum, sämtliche Abläufe und Systeme zu schützen. Ein modernes Sicherheitskonzept umfasst:

  • Komplette Geräte-Transparenz: Jedes Gerät kennen – seine Funktion, Verantwortliche und Verbindungen.
  • Proaktives Risikomanagement: Schwachstellen identifizieren, bevor Angreifer sie ausnutzen.
  • KI-gestützte Anomalieerkennung: Ungewöhnliche Aktivitäten automatisch erkennen – was Menschen allein nicht leisten können.
  • Sicherer Fernzugriff: Strenge Zugriffsbeschränkungen, lückenlose Protokollierung, zeitlich begrenzte Rechte.
  • Netzwerksegmentierung: Ein kompromittierter Automat darf keine Verbindung zu Flugsicherungssystemen herstellen können.
  • Kontinuierliche Bewertung von Drittanbietern: Risiken durch externe Dienstleister regelmäßig prüfen – nicht nur zu Beginn der Zusammenarbeit.
  • Attack Path Mapping: Simulation, wie sich Angriffe ausbreiten könnten – und Gegenmaßnahmen ergreifen.

Digitale Sicherheit schafft Vertrauen

Reisende beschäftigen sich nicht mit Fachbegriffen wie Zero-Trust-Architekturen oder Programmierschnittstellen. Sie erwarten vor allem, dass ihr Flug pünktlich startet, ihr Gepäck ankommt und sie sicher reisen können. All das hängt an einem entscheidenden Punkt: der Zuverlässigkeit der digitalen Systeme.

Cybersicherheit ist deshalb längst kein rein technisches Thema mehr, sondern die Grundlage für den Betrieb und das Vertrauen der Fluggäste. Jeder Schritt – vom Check-in über die Sicherheitskontrolle bis hin zur Gepäckausgabe – ist Teil eines eng vernetzten Systems, in dem ein Ausfall sofort weitreichende Folgen haben kann.

Widerstandsfähig sind Flughäfen dann, wenn sie Gefahren frühzeitig erkennen, Auffälligkeiten sofort melden und Risiken direkt eindämmen. Transparenz, klare Trennung der Netzwerke und konsequentes Risikomanagement sind dafür entscheidend. Nur so erhalten Reisende das, was sie erwarten: eine sichere, verlässliche und reibungslose Flugreise. Cybersicherheit als Grundvoraussetzung zu begreifen, ist der einzige Weg, die Stabilität und Kontinuität zu sichern, die moderner Luftverkehr heute erfordert.

Graphen-Technologie zur Aufdeckung verborgener Netzwerke.

Laut Verfassungsschutzbericht 2024 stieg die Zahl politisch motivierter Straftaten in Deutschland im vergangenen Jahr um 40 Prozent, auf über 84.000 Fälle. Für die Ermittlungsbehörden bedeutet das nicht nur organisatorisch, sondern auch technisch eine enorme Herausforderung. Bei der Aufdeckung dezentraler extremistischer Netzwerke setzen die Ermittler daher verstärkt auf fortgeschrittene Technologien wie Knowledge Graphen – wie im Fall des „Reichsbürger“-Komplotts.

Im Dezember 2022 fand die bislang größte Razzia in der Geschichte der Bundesrepublik statt: 3.000 Beamte waren im Einsatz, 25 Verdächtige wurden festgenommen, 97 Schusswaffen mit über 25.000 Schuss Munition beschlagnahmt. Ein Schlag gegen das Netzwerk der sogenannten „Reichsbürger“.

Bei den Ermittlungen kam auch Analysesoftware zum Einsatz. Das deutsche IT-Sicherheitsunternehmens rola Security Solutions ist Spezialist für solche Anwendungen. Das Tool rsShadow verknüpft unterschiedlichste Datenquellen – von Daten aus beschlagnahmten Kommunikationsgeräten über (Text-, Bild-, Video-) Posts und Threads bis hin zu Finanztransaktionen. So entsteht ein Gesamtbild, das die verschiedenen Verbindungen zwischen verdächtigen Personen offenlegt. Diese Zusammenführung kann Ermittlern helfen, einen tiefen Blick in die Online-Welt der „Reichsbürger“ und „Selbstverwalter“ zu werfen und kriminelle Pläne zu durchkreuzen.

Graphen-Datenbank als Herzstück

Ein wesentlicher Bestandteil der rola Lösung ist die Graphen-Datenbank von Neo4j. Sie ermöglicht selbst bei wachsender Datenmenge und zunehmender Komplexität der Datenbeziehungen für Abfragen in Echtzeit.

„Die Bedrohungslage hat sich stark verändert. Früher arbeiteten Ermittler gegen strukturierte Banden mit klaren Hierarchien. Heute agieren dezentrale Netzwerke, die sich über Nacht neu organisieren und sich kontinuierlich verändern“, erklärt Gregor Bierhals, Go-to-Market Manager bei rola. Die Konsequenz für die Ermittler: „Das braucht hohe Performance. Auch Pfadabfragen sind grundlegend für Ermittlungen. Man muss herausfinden, wie Entität A mit Entität Z verbunden ist, um Muster zu erkennen und Strukturen aufzudecken.“

Solche Mehrfachabfragen können in herkömmlichen relationalen Datenbanken oft Stunden dauern oder das System ganz zum Stillstand bringen. In Graphdatenbanken werden Informationen zu Entitäten in Knoten gespeichert. Kanten, die Beziehungen definieren, verbinden die Knoten. Die Beziehungen sind damit von Anfang an Teil des Datenmodells. Dadurch lassen sich auch komplexe Netzwerke realitätsnah visualisieren und mit Hilfe von Algorithmen und KI analysieren. Dies macht Abfragen deutlich schneller – und liefert Ermittlern zusätzliche, potenziell entscheidende Erkenntnisse.

Im Datenmeer den roten Faden finden

Eine der größten Herausforderungen für Ermittler ist die unüberschaubare Datenflut. Informationen über Bedrohungen aller Art erreichen sie in zahllosen Formaten: unstrukturierte PDFs, strukturierte Threat-Feeds wie MISP, Analysen von Sicherheitsfirmen, Leaks aus dem Darknet, OSINT-Erkenntnisse oder jahrzehntealte interne Memos. Ein chaotisches Puzzle aus verstreuten Hinweisen. Oft kommt es auf winzige Details an – eine geleakte E-Mail-Adresse, eine verdächtige IP oder der Name einer Briefkastenfirma in einem vergessenen Dokument. Für sich genommen scheinen sie unbedeutend, doch in der richtigen Verknüpfung zeichnen sie das Bild einer Bedrohung. Genau hier entscheidet sich, ob Ermittler nur Daten sammeln oder in Sekunden den entscheidenden Vorsprung gewinnen.

Graphen-Modell: Zusammenhängen zwischen Akteuren und Angriffszielen visualisieren (Bild: @rola)
Graphen-Modell: Zusammenhängen zwischen Akteuren und Angriffszielen visualisieren (Bild: @rola)

Bei rola wird die Datenflut durch einen klar strukturierten Analyseprozess gebändigt. Zunächst identifizieren moderne Sprachmodelle automatisch relevante Entitäten wie Täter, Opfer, Werkzeuge oder TTPs (Entity Extraction). Anschließend werden diese Entitäten als Knoten in einem dynamischen Knowledge Graph dargestellt und über Kanten – die Beziehungen – verbunden (Graph Construction). So können auch Attribute aus unterschiedlichsten Quellen angereichert werden (Cross-Source Correlation). Am Ende ermöglichen Cypher-Abfragen die Analyse in Echtzeit (Real-time Analysis).

Entscheidend ist dabei die Balance von Automatisierung und menschlicher Kontrolle. „In Ermittlungen zählt Genauigkeit. Automatisierung darf keine Abkürzungen nehmen“, betont Gregor Bierhals von rola. „Wenn unser System zwei verschiedene Personen mit dem gleichen Namen verwechselt, kann dieser Fehler ein ganzes Verfahren vor Gericht zum Scheitern bringen. Das System liefert Geschwindigkeit, die letzte Bewertung bleibt jedoch bei erfahrenen Analysten.“

Die nächste Stufe: KI-Ermittler

Auf dem Knowledge Graphen baut die nächste Entwicklungsstufe auf: KI-gestützte Ermittlungsarbeit. Analysten werden künftig direkt in Alltagssprache mit ihren Daten interagieren können. Ebenso ermöglicht es Vector Search mit Neo4j semantische Ähnlichkeiten über tausende Dokumente hinweg zu erkennen und so Bedrohungen aufzudecken, auch wenn sie nicht die gleichen Schlagworte verwenden.

Ein weiterer Meilenstein ist GraphRAG (Retrieval-Augmented Generation). Dabei kombinieren große Sprachmodelle (LLMs) ihre generativen Fähigkeiten mit den präzisen Fakten aus dem Knowledge Graph. So entstehen automatisch erste Bedrohungsberichte – fundiert und ohne die typischen „Halluzinationen“ reiner KI-Modelle. Für Ermittler bedeutet das: schnellere, zuverlässigere Analysen und eine deutliche Entlastung im Kampf gegen immer komplexere Bedrohungen.

„Im Cyberumfeld erleben wir seit Jahren ein Katz-und-Maus-Spiel: Angreifer rüsten ihr Arsenal kontinuierlich auf und entwickeln immer raffiniertere Szenarien – von klassischen Hackergruppen über staatliche APTs bis hin zu extremistischen Netzwerken. Die gleiche Entwicklung bedroht nicht nur die innere Sicherheit, sondern auch kritische Infrastrukturen (KRITIS) und Unternehmen“, beschreibt Thorsten Stockmann, Sales Director Public Sector DACH bei Neo4j, die Situation.

Damit die Ermittler hier nicht zurückfallen, brauche es neue Ansätze: „Graphtechnologie ist der zentrale Baustein für präzise Threat Intelligence. Sie macht komplexe Zusammenhänge sichtbar, liefert die Grundlage für KI-gestützte Analysen und erhöht so die Schlagkraft im Kampf gegen Cyberangriffe und Extremismus gleichermaßen.“

Autos zwischen Technologieabhängigkeit und Anfälligkeit

Die Autos von heute sind sicherer und komfortabler als je zuvor. Die Anziehungskraft der Automobilindustrie setzt sie jedoch auch Cyberangriffen aus. Um den Wandel in der Branche zu beschleunigen, nutzen Automobilunternehmen sowohl neue als auch etablierte Technologien wie AUTOSAR, maschinelles Lernen, Edge Computing, OTA-Updates (Over-the-Air), Hardware-Sicherheitsmodule, Netzwerksegmentierung, Datenverschlüsselung und andere.

Autos und deren Anfälligkeit

Nachdem Smartphones und intelligente Geräte allgegenwärtig geworden sind, erwarten die Verbraucher nun ähnliche Erfahrungen in ihren Autos. Die Zahl der Autos, die mit dem Internet verbunden und mit fortschrittlichen Infotainment-Systemen ausgestattet sind, hat zugenommen, was sowohl den Herstellern als auch den Werkstattbesitzern und den Kunden Vorteile bringt. Die Automobilindustrie ist jedoch nach wie vor mit einer Zunahme von Cyberangriffen konfrontiert.

“Die Cybersicherheitsrisiken, die sich aus Verstößen gegen die Softwareentwicklung ergeben, stellen eine erhebliche Bedrohung dar”, sagt Andrei Filimon, Technischer Direktor – Automobilbereich bei rinf.tech, einem Softwareentwicklungsunternehmen, das sich auf die Bereitstellung von technischen Lösungen für die Automobilbranche spezialisiert hat.

“Im Jahr 2022 nahmen die Cybersicherheitsvorfälle in der Automobilindustrie um mehr als 60 Prozent zu, wobei die Angriffe auf Auto-APIs um 380 Prozent anstiegen, trotz Maßnahmen der OEMs. Wir haben eine eigene Studie zur Cybersicherheit in der Automobilindustrie durchgeführt, in der wir die Regelungslandschaft untersucht haben, wer die Anforderungen stellt und was die Softwareentwickler in der Automobilindustrie tun müssen, um sie zu erfüllen. Die Quintessenz unserer Studie lautet: Um Cybersicherheitslösungen zu entwickeln, die den aktuellen und zukünftigen Bedrohungen und Risiken wirksam begegnen können, sollten Automobilhersteller schnellen Zugang zu entscheidenden Technologien und Fähigkeiten wie AUTOSAR, maschinelles Lernen, Cloud und Edge Computing usw. erhalten. Da der technologische Durchbruch die Automobilindustrie umgestaltet, zeigt unsere Analyse, dass Führungskräfte in der Automobilindustrie zunehmend strategische Partnerschaften mit Technologieunternehmen als Weg zur Bekämpfung von Cybersicherheitsrisiken betrachten.”

Zusammenarbeit zwischen OEMs und Interessenvertretern in der Automobilindustrie

Zusammenfassend lässt sich sagen, dass die Zusammenarbeit zwischen OEMs, Interessenvertretern in der Automobilindustrie und Einrichtungen, die an der Stärkung der Cybersicherheit arbeiten, beschleunigt werden muss und die Investitionen in die Cybersicherheit maximiert werden müssen, um die Risiken zu verringern.

Cyberattacken in der Automobilindustrie: Mehrere Milliarden Euro Schaden

VicOne, Anbieter von Cybersicherheitslösungen für die Automobilindustrie, beschreibt in seinem „Automotive Cybersecurity Report 2025“ beunruhigende Tendenzen für die globale Automobilindustrie.

Autombilindustrie
Verteilung der Angriffe in der Automobilindustrie nach Region (Bild: @VicOne)

Der „Shifting Gears“ betitelte Report, untersucht die sich schnell entwickelnde Cybersecurity-Landschaft in der Automobilbranche und liefert leicht umsetzbare Erkenntnisse zur Cyberabwehr sowie neue Trends und Daten zu aktuellen und kommenden Bedrohungen. Die Automobilbranche sollte diesen neuen Cybergefahren gemeinsam entschlossen begegnen. Im Jahr 2024 wurden insgesamt 215 Cybersecurity-Vorfälle in der Automobilindustrie registriert und eine konstante Bedrohung während des gesamten Jahres aufgezeigt. Cloud- und Backend-Sicherheitslücken waren die häufigsten Angriffsvektoren und betrafen in der Regel Ransomware-Angriffe, Datenverletzungen und Social-Engineering- oder Phishing-Angriffe. Fahrzeugentführungen, Schwachstellen in der Lieferkette, Angriffe auf schlüssellose Zugangssysteme und Virtualisierungsangriffe auf die Fahrzeugelektronik betrafen meist Onboard-Systeme und Over-the-Air-(OTA) Sicherheitslücken. Aber dabei wird es wohl nicht bleiben: Qualität und Quantität der

Ein Überblick über den Report zur Automobilindustrie

  • Cyberangriffe in der Automobilbranche verursachten in den letzten zwei Jahren (2022 – 2024) einen geschätzten Schaden von mehreren Milliarden Euro durch Ransomware, Datenverletzungen und Betriebsunterbrechungen.
  • Die Sicherheitslücken in der Automobilindustrie erreichten 2024 ein Allzeithoch. Mehr als 77 Prozent der Schwachstellen wurden in Onboard- oder In-Vehicle-Systemen gefunden. Neue Sicherheitsbedrohungen entstehen beim Laden von Elektrofahrzeugen (EV), bei Betriebssystemen und beim Flottenmanagement.
  • Künstliche Intelligenz (KI) verbessert zwar die Funktionen und die Betriebseffizienz von Fahrzeugen, bringt aber auch neue Cyberschwachstellen mit sich, wie z. B. das Einschleusen schädlicher Informationen und kompromittierte Trainingsdaten, die herkömmliche Sicherheitsmethoden in Frage stellen.
  • Die rasche Verbreitung von Elektrofahrzeugen hat kritische Sicherheitslücken in deren Ladeinfrastruktur aufgedeckt – von unsicheren Zahlungsprotokollen bis hin zu veralteten Kommunikationsstandards, die sowohl die Fahrzeuge als auch die Stromnetze betreffen können.
  • Cyberkriminelle nutzen Dark-Web-Kanäle, um ausgefeilte Exploit-Techniken und gestohlene Fahrzeugdaten auszutauschen, was die Risiken für Hersteller und Verbraucher gleichermaßen erhöht.
Automobilindustrie
Jährlich veröffentlichte Lücken in der Automobilindustrie (Bild: @VicOne)

„Wir befinden uns in einer transformativen Ära der Mobilität, in der Innovationen wie KI den Automobilherstellern helfen, ihre Fahrzeuge vom Wettbewerb abzuheben, die Markteinführung zu beschleunigen und das Kundenerlebnis zu verbessern“, erklärt Max Cheng, CEO von VicOne. „Ein proaktiver, vielschichtiger Ansatz für die Cybersicherheit auf allen Ebenen der Lieferkette wird der Automobilindustrie helfen, den sich entwickelnden Bedrohungen einen Schritt voraus zu sein und die vor ihr liegenden, beispiellosen Möglichkeiten erfolgreich zu nutzen.“

Von der fortschreitenden Entwicklung Software-definierter Fahrzeuge (SDVs) und KI-gestützter Funktionen bis hin zur sich entwickelnden Ladeinfrastruktur für Elektrofahrzeuge und den zunehmenden Sicherheitslücken in Fahrzeugsystemen – die Automobilindustrie bewegt sich auf unbekanntem Terrain.

Angriffe auf die Lieferkette werden immer komplizierter und verheerender, da Cyberkriminelle im letzten Jahr eindeutig auf Zulieferer und Drittanbieter von Komponenten abzielten, die in der eng vernetzten Branche als Schwachstelle ausgenutzt werden können. Ein Ransomware-Angriff auf einen Softwareanbieter für Autohäuser im Juni 2024 legte beispielsweise den Betrieb von mehr als 15.000 nordamerikanischen Autohäusern lahm.

Die Analyse des Nachrichtenaustauschs im kriminellen Untergrund zeigt, dass vielschichtige, weit verbreitete Cyberangriffe auf Fahrzeuge und die gesamte Branche immer möglicher und wahrscheinlicher werden. Die Voraussetzungen für einen Übergang von den heutigen manuellen Hackerangriffen auf Autos zu schädlicheren und umfassenderen Angriffen, wie falschen Benutzer-Identifizierungen und Kontodiebstahl, sind gegeben.

Automobilindustrie
Die häuftihsten Cyberattacken (Bild: @VicOne

In der Zwischenzeit erreichte die Gesamtzahl der im Jahr 2024 veröffentlichten automobilbezogenen Schwachstellen („Common Vulnerabilities and Exposures -CVEs“) die Größenordnung von 530, ein weiterer jährlicher Anstieg und fast doppelt so hoch wie im Jahr 2019. Der starke Anstieg der Sicherheitslücken verdeutlicht das schnelle Wachstum der Angriffsflächen und die Komplexität der Automobilsysteme. Die Schwachstellen verlagerten sich von Chipsatz-bezogenen Problemen zu CVEs, die Infotainment-Plattformen und Betriebssysteme im Fahrzeug sowie die Ladeinfrastruktur betreffen. Beim weltweit größten Wettbewerb zur Entdeckung bisher unbekannter Cybersicherheitslücken (Zero-Day-Schwachstellen), Pwn2Own Automotive 2025, der vom 22. bis 24. Januar 2025 auf der Automotive World in Tokio stattfand, entdeckten hochkarätige Sicherheitsforscher aus 13 Ländern 49 einzigartige Zero-Day-Schwachstellen, die hauptsächlich IVI (In-Vehicle Infotainment) – und EV-Ladesysteme betreffen.

Der zunehmende Einsatz von KI eröffnet den Automobilherstellern nie dagewesene Möglichkeiten, birgt aber auch erhebliche neue operative, finanzielle und strategische Risiken. „KI-gestützte Systeme können während ihres gesamten Lebenszyklus durch Faktoren wie übermäßige oder unzureichende sowie falsche oder böswillige Nutzung der Anwendungen missbraucht werden“, heißt es in einem Whitepaper des US-Verkehrsministeriums zum Thema Understanding AI Risks in Transportation (September 2024). „Menschen können entweder eine Quelle dieser Cyberschwachstellen sein oder dazu beitragen, sie zu verhindern, je nach ihrer Rolle im System.“

Die großen Sprachmodelle (Large Language Models, LLMs), die der generativen KI zugrunde liegen, sind besonders attraktive Ziele für Cyberkriminelle, da die Modelle auf kritische Unternehmensdaten angewiesen sind, ein schwer zu kontrollierendes Selbstlernverfahren nutzen und zu Fehlern neigen. Unsichere Plugin-Designs, unsachgemäßer Umgang mit dem Output der Anwendungen und Cyberattacken gehören zu den wichtigsten operativen Risiken, die bei der Einführung von KI zu beachten sind. Darüber hinaus ergeben sich erhebliche strategische („seismische“ Verschiebungen in der Unternehmensführung) und finanzielle Risiken (schwer abzuschätzende Haftungs-, Risikomanagement- und Branding-Probleme).

Weitere Informationen zu den kritischen Faktoren, die die heutige Cybersecurity-Landschaft in der Automobilindustrie prägen, sowie Strategien zur Sicherung der Zukunft der vernetzten Mobilität finden Sie unter Shifting Gears: VicOne 2025 Automotive Cybersecurity Report.