Diesen Artikel teilen:

17. Jul 2026

|

Wirtschaft

Mehr Cyberschutz durch NIS-2? – Im Interview mit Prof. Dr. Dennis-Kenji Kipker vom cyberintelligence.institute

Journalist: Julia Butz

|

Foto: cyberintelligence.institute

Mit Inkrafttreten der NIS-2-Richtlinie steigen die Cybersecurity-Pflichten für rund 30.000 Unternehmen in Deutschland.

Neben einer höheren Widerstandsfähigkeit gegenüber Cyberbedrohungen und der Einführung einer 24-stündigen Meldepflicht von Sicherheitsvorfällen fordert NIS-2 den verstärkten Schutz von Daten. Inwiefern der verpflichtende Maßnahmenkatalog der EU zum Schutz von Online-Identitäten beiträgt und warum Cybersicherheit durch den Einsatz von KI vor noch größeren Herausforderungen steht, erläutert Prof. Dr. Dennis-Kenji Kipker vom cyberintelligence.institute.

Herr Prof. Dr. Kipker, wie sieht die Risikolage aktuell aus? Die Bedrohungslage hat sich deutlich verschärft: Wir haben Datenlecks durch Phishing-E-Mails, Ransomware und Social Engineering*, über die viele Fälle von Identitätsdiebstahl entstehen. Besonders problematisch ist, dass Angreifer zunehmend über Zulieferer in Systeme gelangen, sich die Risiken also durch ganze Lieferketten ziehen. Es fehlt leider in den allermeisten Betrieben noch immer am nötigsten. Häufig liegt es an Nachlässigkeit oder fehlender Schulung, aber auch daran, dass Sicherheitsupdates nicht konsequent umgesetzt werden. Und das betrifft nicht nur den Computer, sondern alle Geräte im Netzwerk, vom Router über Drucker bis hin zur Überwachungskamera auf dem Werksgelände, die lange nicht gepatcht wurde. Auch unklare Datentrennung und fehlende Regelungen zu „Bring your own device“, also die Nutzung privater Endgeräte für berufliche Zwecke, bergen erhöhte Sicherheitslücken für das Unternehmensnetzwerk. Schwache und mehrfach verwendete Passwörter bleiben weiterhin eines der größten Einfallstore, obwohl wir seit inzwischen über 15 Jahren darüber reden.

Hebt KI diese Risiken noch auf ein neues Niveau? Absolut. Phishing-E-Mails sind nicht nur sprachlich besser, sondern hochgradig auf den Empfänger, sein Alter oder ein aktuelles Arbeitsprojekt personalisiert und kaum noch als Fake zu erkennen. Aber es geht längst nicht mehr nur um E-Mails: Ein prominenter Deepfake aus Hongkong zeigte, wie eine gefälschte Videokonferenz mit vermeintlichen Kollegen kreiert und einen Mitarbeitenden glaubhaft davon überzeugte, 25 Millionen Dollar an eine ihm unbekannte Firma zu überweisen.

Aktuell reden alle vom Anthropic Mythos, ein neues KI-Modell, das vollautomatisiert, ohne menschliches Zutun und extrem schnell Schwachstellen und Sicherheitslücken finden und ausnutzen können soll. Auch bei Ransomware entfällt das frühere Nadelöhr einer menschlichen Lösegeldverhandlung. Die Kommunikation erfolgt über KI-Chatbots, in fast allen Sprachen und psychologisch so ausgefeilt, dass sie den Zahlungsdruck noch erhöht. Die technische Barriere und das erforderliche Know-how, das konventionelle Kriminelle früher noch abgeschreckte, wird durch KI signifikant gesenkt.

NIS-2 bringt vor allem eines: Tempo und Verbindlichkeit in die IT-Sicherheit.

Wird die Situation durch NIS-2 verbessert? NIS-2 bringt vor allem eines: Tempo und Verbindlichkeit in die IT-Sicherheit. Werden Datenlecks innerhalb von 24 Stunden an das BSI gemeldet, können Nutzer besser geschützt werden. NIS-2 fordert regelmäßige Sicherheitsupdates sowie die Überwachung der eigenen IT-Infrastruktur, auch mobiler Endgeräte wie Smartphones oder Tablets. Mobile Device Management (MDM) ist da ein wichtiges Instrument, um alle Geräte zentral überwachen und abschalten zu können, wenn sie kompromittiert werden. Es geht aber nicht nur um Sicherheitsupdates, sondern um den Aufbau einer Managementstruktur für Cybersicherheit. NIS-2 macht Cybersicherheit zur Chefsache. Das ist umso wichtiger, weil Unternehmen immer mehr von digitalen Lieferketten abhängig sind. Was nützt es da, wenn ich In-house Sicherheitsprozesse einbeziehe, aber die Produkte, die ich verwende, unsicher sind? Wie es der Stillstand an europäischen Flughäfen 2025 prominent gezeigt hat. Hier wurden nicht die Flughäfen selbst, sondern die für die Gepäck- und Passagierabfertigung zuständige Firma angegriffen. Weil diese seit zwölf Jahren keine Updates mehr eingespeist hatte.

Braucht es ebenso strengere Vorgaben für die digitale Produktsicherheit? Ganz klar, ja. Sicherheit muss als neues Leitprinzip voll in Produkte und Produkthaftung integriert werden, genauso selbstverständlich wie Funktionalität. Hersteller müssen Cyber-sichere Produkte liefern und Anbieter von IT-Lösungen hier deutlich stärker in die Pflicht genommen werden. Aber auch das ändert sich durch die neue Rechtslage, den Cyber Resilience Act, gerade.

*Phishing: Gefälschte E-Mails oder Webseiten, die dazu dienen, persönliche Daten oder Passwörter zu stehlen. Ransomware: Schadsoftware, die Daten verschlüsselt und Lösegeld für die Freigabe verlangt. Social Engineering: Psychologische Manipulation, um vertrauliche Informationen zu erhalten oder Handlungen auszulösen.

Die Bedrohungslage hat sich deutlich verschärft: Wir haben Datenlecks durch Phishing-E-Mails, Ransomware und Social Engineering, über die viele Fälle von Identitätsdiebstahl entstehen.

Factbox

Auch in seiner Freizeit beschäftigt sich Dennis-Kenji Kipker mit Computern und sammelt historische Rechner aus den 80er- bis in die 2000er-Jahren. Der Retrocomputing-Fan ist viel unterwegs, immer an seiner Seite: Yorkshire Terrier Scotty.