Acht Jahre nach Einführung der DSGVO steigen mit NIS2 und DORA die Anforderungen an Datensicherung, Datenschutz und Cyberresilienz erneut. Zusätzlich verschärfen leistungsfähige KI-Modelle die Lage, weil sie Cyberangriffe schneller, gezielter und umfangreicher machen können.
Unternehmen, Organisationen und Behörden müssen heute stärker darauf vorbereitet sein, Sicherheitsvorfälle schnell einzudämmen und ihre Folgen wirksam zu begrenzen. Mit DSGVO, NIS2 und DORA hat die EU dafür einen regulatorischen Rahmen geschaffen, der operative Resilienz stärker einfordert und Verstöße mit empfindlichen Sanktionen belegt. Für Verstöße gegen die DSGVO wurden laut öffentlich zugänglichen Bußgeldregistern inzwischen Strafzahlungen in Milliardenhöhe verhängt.
Auch NIS2 und DORA sehen weitreichende Sanktionsmöglichkeiten vor. Zudem nehmen beide Regelwerke die Geschäftsleitung stärker in die Verantwortung: Unternehmen müssen nachweisen können, dass sie angemessene Maßnahmen umgesetzt haben, um ihre Cyberresilienz zu stärken. Die deutsche Bank- und Finanzaufsicht BaFin hat im Dezember 2025 mehr als 600 schwere Vorfälle seit dem DORA-Start gemeldet, will nach Angaben von BaFin-Exekutivdirektor Nikolas Speer jedoch auf einen offenen und direkten Dialog mit den Instituten setzen. Erste medienwirksame Fälle im Zusammenhang mit NIS2 und DORA dürften dennoch nur eine Frage der Zeit sein.
Wenn KI Angriffe schneller und gezielter macht
Mit der zunehmenden Verfügbarkeit leistungsfähiger KI-Modelle verändern sich auch die Möglichkeiten potenzieller Angreifer. Solche Systeme können die Analyse von Schwachstellen, die Auswertung von Angriffspfaden und die Vorbereitung von Attacken erheblich beschleunigen. Da nahezu jedes Unternehmen personenbezogene Daten verarbeitet, könnten Cyberkriminelle künftig schneller und in größerem Umfang Zugriff auf sensible Informationen erlangen. Besonders kritisch sind dabei Umgebungen mit komplexen Open-Source-Abhängigkeiten und unzureichend gepflegtem Schwachstellenmanagement.
Zudem ist zu erwarten, dass Cyberkriminelle eigene KI-Werkzeuge entwickeln, um ihre Angriffe gezielter und wirkungsvoller zu machen. Vor allem Phishing-Attacken lassen sich mithilfe von Large Language Models stärker personalisieren, um Zugangsdaten von Anwendern mit relevanten Berechtigungen abzugreifen. Bereits heute basieren viele Angriffe auf kompromittierten Identitäten und Identitätssystemen.
Schatten-KI als unterschätztes Risiko
Weitere Risiken entstehen durch den unkontrollierten Einsatz von Schatten-KI in einzelnen Abteilungen. Viele Mitarbeitende geben interne Unternehmensdaten in KI-Modelle externer Anbieter ein, ohne dass dafür ein DSGVO-konformer Vertrag zur Auftragsverarbeitung (AVV) besteht. Zusätzlich besteht die Gefahr, dass personenbezogene Daten – eigene oder die von Dritten – in externe KI-Anwendungen hochgeladen werden und dadurch Datenschutzvorgaben verletzt werden.
Lesetipp: NEU🤖 KI-Lösungen im Überblick Künstliche Intelligenz entwickelt sich zunehmend zum Bestandteil moderner Business Software – von der Dokumentenverarbeitung über Automatisierung bis hin zu intelligenten Assistenzsystemen. Gleichzeitig wächst die Zahl der Anbieter, Plattformen und Einsatzmöglichkeiten rasant. Der KI-Guide des IT-Matchmaker® bündelt Expertenbeiträge, Anbieterprofile und Success Storys führender Software-Anbieter. Ergänzt wird das Angebot durch eine tabellarische Marktübersicht von KI-Lösungen in den Bereichen ERP, CRM, MES, LVS, PLM, HR, Rechnungswesen, ECM und KI-Plattformen. So erhalten Unternehmen einen fundierten Überblick über Technologien, Anbieter und konkrete Einsatzszenarien. Eine der drängendsten Vorgaben der DSGVO ist die Meldepflicht bei Cybervorfällen. Die DSGVO verlangt, dass Datenschutzverletzungen innerhalb von 72 Stunden gemeldet werden. NIS2 und DORA sehen darüber hinaus sehr kurze Fristen für erste Meldungen schwerwiegender Sicherheitsvorfälle vor, die teilweise bereits innerhalb von 24 Stunden erfolgen müssen. Um solche Vorgaben im Ernstfall einhalten zu können, müssen Unternehmen unbedingt ihren Datenbestand, ihre Applikationen und ihre Umgebung verstehen und sensible Daten sowie Assets entsprechend im Vorfeld kategorisieren und priorisieren. Nur so lassen sich die notwendigen Voraussetzungen schaffen, um die Cyberresilienz nachhaltig zu stärken und Ausfallzeiten zu minimieren. Auf dieser Grundlage wird festgelegt, welche Infrastrukturen, Systeme, Anwendungen und Prozesse zwingend erforderlich sind, um einen Notbetrieb aufrechtzuerhalten. Dieses Minimalpaket wird in einer isolierten Umgebung gesichert, sodass es von Angriffen unberührt bleibt. Im Falle einer Attacke wird das Notfallpaket in einem isolierten Cleanroom aktiviert. Von dort aus können die Teams aus IT-Sicherheit und Infrastruktur die Produktionsumgebung nach zuvor definierten Verfahren neu aufsetzen und absichern. Parallel dazu analysieren sie den Angriff, untersuchen betroffene Datenbestände und identifizieren mögliche Hintertüren. Dabei wird unter anderem geprüft, ob Zugriffsrechte von Nutzern, Anwendungen oder Identitäten verändert wurden. Diese Informationen dienen sowohl der Dokumentation des Vorfalls als auch der Schadensbegrenzung. So kann beispielsweise durch das Zurücksetzen missbrauchter Berechtigungen ein weiterer Datenabfluss verhindert werden. Nur Unternehmen, die im Ernstfall ohne Verzögerung handeln und automatisierte Resilienzprozesse starten können, werden den engen Meldefristen und der Geschwindigkeit moderner Angriffe gerecht. Fehlen entsprechende Vorbereitungen, dauert die Wiederaufnahme des Betriebs häufig deutlich länger. Studien zufolge benötigen betroffene Unternehmen im Durchschnitt rund 24 Tage, um ihre Geschäftsabläufe wiederherzustellen. Entscheidend ist, diesen Angriffsmöglichkeiten klar definierte Workflows entgegenzusetzen, die die Folgen erfolgreicher Attacken begrenzen und eine strukturierte Wiederherstellung der IT-Systeme ermöglichen. Die dafür notwendigen Resilienzabläufe verankern Cyberresilienz fest im operativen Alltag. Sie führen Organisationen weg von rein reaktiven Backup-Strategien hin zu einem aktiven, kontinuierlichen Resilienzmanagement. Resilience Operations sollen Teams aus Sicherheit, Infrastruktur, Fachbereichen und Betrieb in die Lage versetzen, kritische Dienste schnell, nachvollziehbar und zuverlässig wiederherzustellen. Dazu gehört auch, missbrauchte Identitäten und Zugriffsrechte zurückzusetzen, um weitere Schäden zu verhindern. KI kann dabei auch positiv wirken, indem sie diese Abläufe automatisiert und Unternehmen hilft, mit der Geschwindigkeit der Angreifer Schritt zu halten. Wer Verstöße gegen die DSGVO vermeiden will, darf sich daher nicht mehr allein auf starke Abwehrmechanismen verlassen. Unternehmen müssen ihre Daten, Anwendungen und Infrastrukturen schnell wiederherstellen können, um ihre Cyberresilienz langfristig zu stärken. Der Autor
IT-Matchmaker®.guide KI-Lösungen für Business SoftwareZum KI-Guide
Meldepflichten setzen Unternehmen unter Zeitdruck
Cyberresilienz stärken durch klare Vorbereitung
Mit Automatisierung gegen die Geschwindigkeit der Angreifer
Mark Molyneux ist Field CTO bei Commvault.
