Security Awareness | NIS-2
Lassen wir das Thema Wirtschaft mal beiseite – Hacker sehen das anders
Es wäre vollkommen verständlich, wenn Sie beim Nachdenken über Geschäftsprognosen von einer gewissen Düsternis erfasst worden wären; es herrschte, sagen wir mal, das Gefühl einer gewissen Flaute auf den Märkten. Wenn Sie ein positiver Mensch sind, haben Sie vielleicht gedacht: „… nun ja, das hat auch seine guten Seiten: Dadurch sind wir weniger ein Ziel für Cyberangriffe, die sich eher auf Orte konzentrieren, an denen das Geschäft boomt.“
Fairerweise muss man sagen, dass Amerika das Hauptziel ist, aber leider bleibt Deutschland in Bezug auf Cyberangriffe ein hochgeschätztes Ziel und gehört weltweit zu den Top Ten, was die Anzahl und Vielfalt der Cyberangriffe angeht.
Als positiver Mensch denken Sie vielleicht: „… nun, jeder weiß, dass vor allem Behörden und kritische Infrastrukturen im Visier stehen.“ Leider ist das Ziel auch hier oft ein breiter angelegter Angriff, bei dem Daten von kleinen bis mittleren Unternehmen gesammelt werden. Dies breitet sich dann auf Lieferketten aus und wie bei einem Dominoeffekt wird das System, das wir Deutschland nennen, lahmgelegt.
Cyberkriminelle setzten weiterhin erfolgreiche Angriffsstrategien aus den letzten Jahren ein. Nicht nur wurden immer mehr kleine und mittlere Unternehmen (KMU) ins Visier genommen (80 % der gemeldeten Angriffe), sondern diese Angriffe führten in den meisten Fällen auch zu Datenlecks (oder der Gefahr davon), gegen die die Opfer keine wirksamen Bewältigungsstrategien haben (BSI abgerufen am 28.05.2026).
Zusammenfassend lässt sich sagen: Wenn Ihr Unternehmen dies nicht als aktive Bedrohung mit hoher Priorität behandelt, werden Sie höchstwahrscheinlich die traurige Schlagzeile von morgen sein.
Glücklicherweise steht dieses Thema ganz oben auf der Agenda der europäischen und nationalen Regierungen, und daher gibt es Instrumente, mit denen Sie sich gegen diese Bedrohung wappnen können. Dies geschieht unter dem Banner von NIS-2 und NIS-2-Schulungen für Führungskräfte. Bislang war dies nur für eine ausgewählte Gruppe von Unternehmen vorgeschrieben, doch die Schwere der Lage hat sofort eine weitaus größere Reichweite erforderlich gemacht. Kenntnisse zum Management von Cybersicherheitsrisiken gelten nun für alle Unternehmen als oberste Priorität.
Hier ist eine Zusammenfassung der neuesten Änderungen bei der NIS-2-Schulung für Führungskräfte:
- Die Empfehlungen bezüglich der Kursdauer (bisher 4 Stunden) und der Häufigkeit (bisher alle 3 Jahre) wurden deutlich gelockert. Der Leitfaden legt keine festen Zeitrahmen mehr fest. Dauer und Häufigkeit hängen von den individuellen Kenntnissen und Fähigkeiten der zu schulenden Personen ab. Die 4-Stunden-Anforderung bleibt jedoch in der Begründung zur BSIG bestehen und ist daher als Richtwert nicht vollständig vom Tisch.
- In den neuen Leitlinien empfiehlt das BSI mehrfach, dass auch Führungskräfte in Organisationen, die nicht unter NIS-2 fallen, die Schulung absolvieren sollten.
- In den Leitlinien heißt es: „Interaktive oder zeitlich flexible Schulungsformate eignen sich besonders gut, um den entscheidenden Zusammenhang zwischen den Schulungsinhalten und dem Risikomanagement in der täglichen Praxis zu vermitteln.“ Ich interpretiere dies als Aufruf zum Handeln: Nutzen Sie eLearning!
- Insgesamt sieht der Leitfaden etwas weniger Schulungsinhalte vor als die vorherige Version.
Zeit für ein bisschen Positivität, denn seien wir ehrlich: Wir alle brauchen sie!
- Wenn Sie zu den Unternehmen gehören, die frühzeitig die Weichen gestellt und bereits einen NIS-2-Kurs bei DSN train absolviert haben, haben Sie Glück. Der Kurs, den Sie absolviert haben, deckte alle neu eingeführten Änderungen ab.
- Wenn Sie erst kürzlich erkannt haben, wie dringend NIS-2-Schulungen für Führungskräfte sind, können Sie Ihre Führungskräfte noch heute bei DSN train anmelden, das derzeit, wie viele Unternehmen behaupten, den besten Kurs auf dem Markt anbietet.
Falls wir Sie noch nicht überzeugt haben, möchten wir Ihnen zum Nachdenken einige eindringliche Fakten aus dem Bericht zur deutschen Bedrohungslage 2025 mit auf den Weg geben:
Am stärksten betroffene Branchen: Einzelhandel (14,72 %), Finanz- und Versicherungswesen (12,05 %) sowie E-Commerce (10,43 %) gehören zu den am stärksten gefährdeten Sektoren, was die Risiken für Branchen unterstreicht, die mit Verbraucherdaten umgehen.
Entwicklung von Ransomware: Das verarbeitende Gewerbe (18,15 %) bleibt der am stärksten betroffene Sektor, wobei aufstrebende Gruppen wie RansomHub (10,1 %) und Akira (8,9 %) die bisherigen Ransomware-Marktführer überholen.
Phishing-Anstieg: Die Finanzbranche (22,24 %) und der Kryptowährungs-/NFT-Sektor (20,68 %) sind die Hauptziele von Phishing-Angriffen, was einen starken Fokus auf den Diebstahl von Finanzdaten zeigt.
Bedrohungen aus dem Dark Web: Auf Deutschland entfallen 20,68 % der Stealer-Protokolldaten, wodurch Hunderttausende von Zugangsdaten offengelegt wurden, die mit großen Domains wie amazon.de und ebay.de in Verbindung stehen.
DDoS-Angriffe: Es wurden über 205.000 DDoS-Angriffe verzeichnet, wobei die Spitzenbandbreiten 380,42 Gbit/s erreichten und die Betriebsstabilität branchenübergreifend gefährdeten.