NIS2, CRA und KI – die neuen Regeln der Cybersicherheit
Introduction
SecureSafe (DSwiss AG) CEO Alexander Sommer wurde kürzlich von IT Business (it-business.de), einem der führenden deutschen Fachmagazine für IT-Entscheider, interviewt. In dem von Redakteur Dr. Stefan Riedl geführten Interview teilt Sommer seine Perspektive, wie man mit dem heutigen Zusammentreffen von Regulierungsdruck und KI-gesteuerten Cyberbedrohungen umgeht und was Unternehmen jetzt tun müssen, um vorn zu bleiben.
Key Takeaways
- Kaufen Sie keine Tools mehr. Verschaffen Sie sich Klarheit darüber, was Sie tatsächlich betreiben und wo die wahren Risiken liegen.
- Drei Prioritäten: sauberes Asset-Inventar, Identitäts- und Berechtigungshygiene, getestete Incident Response.
- Regulierungsbehörden ahnden gute Dokumentation bei schwacher Umsetzung. Was zählt, ist der operative Nachweis.
- KI macht bestehende Angriffe schneller und billiger, nicht kategorisch neu. Deepfakes, Spear Phishing und Session Hijacking sind die aktuellen Bedrohungen.
- Identität zuerst härten. Phishing-resistente MFA und minimale Admin-Rechte schneiden die einfachsten Angriffswege ab.
- Digitale Souveränität bedeutet, zu wissen, wo Ihre Daten sind und diese schnell verschieben oder isolieren zu können.
- Nutzen Sie den Compliance-Druck, um die Architektur zu vereinfachen, nicht nur, um Kästchen anzukreuzen.
- Weisen Sie Entscheidungsverantwortung zu, nicht nur Richtlinienhoheit. Die Incident Command muss geübt werden, bevor eine Krise eintritt.
Klarheit und Kontrolle über neue Tools
Da NIS2 und der Cyber Resilience Act (CRA) nun fest auf der Agenda stehen, argumentiert Sommer, dass es im Jahr 2026 weniger um den Kauf neuer Tools gehen sollte, sondern vielmehr darum, Klarheit und Kontrolle zurückzugewinnen. Die meisten IT-Landschaften sind im Laufe der Zeit organisch gewachsen – wobei sich Cloud-Dienste, Ausnahmen und Schatten-Admin-Konten angesammelt haben – was zu Systemen führt, die auf Geschwindigkeit optimiert, aber unter Belastung fragil sind. Sein Ausgangspunkt: eine ehrliche Bestandsaufnahme dessen, was tatsächlich betrieben wird, was wirklich kritisch ist und wo die wahren Risiken liegen.
Drei konkrete Prioritäten für 2026
Von dort aus skizziert Sommer drei unmittelbare Schwerpunkte: ein aktuelles und realistisches Asset- und Dateninventar; eine Bereinigung von Identitäten und Berechtigungen, um die am häufigsten ausgenutzten Angriffswege zu reduzieren; und eine in der Praxis funktionierende Incident-Readiness-Fähigkeit mit nutzbarer Protokollierung, klaren Eskalationspfaden und getesteten Wiederherstellungsverfahren. Seine Botschaft ist klar: Regulierungsbehörden ahnden zunehmend gute Dokumentation bei schwacher Umsetzung. Was zählt, sind nachweisbare operative Fähigkeiten.
KI als Game Changer in der Cybersicherheit
Sommer widmet der Rolle von KI in der Bedrohungslandschaft große Aufmerksamkeit. KI schafft keine völlig neuen Kategorien von Cyberkriminalität, macht aber bestehende Angriffe schneller, kostengünstiger und wesentlich überzeugender. Zu den gefährlichsten aktuellen Mustern gehören Deepfake-gestützter Betrug, KI-generiertes Spear-Phishing in Kombination mit MFA-Müdigkeit und Token- oder Session-Diebstahl, der traditionelle Malware-Erkennung umgeht. Die effektivste Gegenmaßnahme ist seiner Ansicht nach, sich auf das zu konzentrieren, was KI am stärksten verstärkt: Identität, Vertrauen und Berechtigungen. Die Stärkung von Identitäten durch Phishing-resistente MFA, strenge Regeln für den bedingten Zugriff und minimale dauerhafte Administratorrechte beseitigt den einfachsten Weg für KI-gestützte Angriffe, um Fuß zu fassen.
Digitale Souveränität als operative Disziplin
Ein wiederkehrendes Thema im gesamten Interview ist die digitale Souveränität, die Sommer nicht als Präferenz für lokale Anbieter definiert, sondern als die Fähigkeit, zu entscheiden und sich zu erholen, wenn es darauf ankommt. Können Sie mit Zuversicht beantworten, wo sich Ihre sensiblen Daten befinden, wer darauf Zugriff hat und wie schnell Sie sie verschieben oder isolieren können? Wenn nicht, hat Abhängigkeit still und leise die Kontrolle ersetzt. Sommer sieht den aktuellen Compliance-Moment als Chance: regulatorischen Druck als Hebel zu nutzen, um Architekturen zu vereinfachen, Schnittstellen zu standardisieren und Systeme mit austauschbaren Komponenten zu entwerfen, wodurch Compliance von einem Kostenfaktor in einen strategischen Vorteil verwandelt wird.
Governance: von der Richtlinienverantwortung zur Entscheidungsverantwortung
Schließlich betont Sommer die Notwendigkeit eines Wandels in der Sicherheits-Governance: weg von der Richtlinienhoheit hin zu einer klaren Entscheidungsverantwortung. Wer entscheidet? Wer ist verantwortlich? Wer kommuniziert? Wer handelt? Diese Fragen müssen sowohl auf Vorstandsebene als auch im Tagesgeschäft beantwortet werden. Die Vorbereitung auf Vorfälle kann beispielsweise nicht während einer Krise konzipiert werden. Sie erfordert vordefinierte Klassifizierungskriterien, einen Eskalationspfad, der innerhalb von Stunden funktioniert, und eine geübte Incident-Command-Struktur, die IT, Sicherheit, Recht und Kommunikation zusammenführt.
👉 Den vollständigen Artikel lesen Sie auf IT Business:
https://www.it-business.de/nis2-und-cra-in-zeiten-von-ki-es-wird-ernst-a-0656f50b91e229cc71487436f25e45b2/
Veröffentlicht auf: it-business.de
Autor: Dr. Stefan Riedl
Conclusion
Die Regeln der Cybersicherheit ändern sich nicht grundlegend, aber die Kosten, wenn man sie falsch anwendet, steigen. Was NIS2, der CRA und KI-gesteuerte Bedrohungen gemeinsam fordern, ist operative Disziplin: zu wissen, was man betreibt, zu kontrollieren, wer Zugriff hat, und bereit zu sein zu handeln, bevor eine Krise einen dazu zwingt. Compliance ist die Untergrenze, nicht die Obergrenze. Organisationen, die diesen Moment als Anstoß zur Vereinfachung und Stärkung nutzen, werden die Nase vorn haben. Diejenigen, die es als reine Dokumentationsübung betrachten, werden dies nicht.
