Cyberangriffe sind zur täglichen Bedrohung für Unternehmen geworden. Produktionsanlagen stehen still, weil Ransomware-Systeme lahmlegt. Kundendaten geraten in falsche Hände, das Vertrauen schwindet. Gezielte Attacken auf kritische Infrastrukturen zeigen: Es geht längst nicht mehr nur um wirtschaftliche Schäden, sondern um Risiken für die gesamte Gesellschaft.
Die Zahlen sprechen eine deutliche Sprache. Laut dem Branchenverband Bitkom waren 2024 in Deutschland 74 Prozent der Unternehmen von Datendiebstahl betroffen. Der Schaden: 178,6 Milliarden Euro. Erschreckend ist, dass viele dieser Angriffe auf Sicherheitslücken zurückzuführen sind, die längst hätten geschlossen werden können. Die EU zieht nun die Konsequenzen – mit der NIS2-Richtlinie. Sie soll Unternehmen verpflichten, Cybersicherheit ernster zu nehmen. Doch was heißt das konkret?
Wenn Hacker Lieferketten lahmlegen
IT-Sicherheit galt lange als reine Technikfrage – ein Fall für die Experten in der IT-Abteilung. Doch diese Sichtweise ist überholt. Heute steht fest: Cybersicherheit ist eine strategische Aufgabe, die auf höchster Ebene angesiedelt sein muss. Ein erfolgreicher Angriff kann gravierende Folgen haben: Produktionsausfälle, Millionenschäden, Datenschutzverstöße, Imageschäden – und juristische Konsequenzen für die Unternehmensführung.
Die Gefahr ist real. 2022 legte ein groß angelegter Cyberangriff mehrere deutsche Automobilzulieferer lahm. Besonders hart getroffen hat es damals Continental. Hacker drangen in die IT-Systeme des Unternehmens ein und entwendeten rund 40 Terabyte sensibler Daten. Kunden wie Volkswagen, Mercedes-Benz und BMW waren betroffen. Die Täter drohten, die Daten im Darknet zu veröffentlichen, falls kein Lösegeld gezahlt würde. Die Produktion geriet ins Stocken, Lieferketten kamen ins Wanken.
Ähnlich dramatisch verlief ein Angriff auf die Krankenhauskette Johannesstift Diakonie im Oktober 2024. Hacker verschlüsselten alle Server der Klinikgruppe. OP-Termine mussten verschoben werden, Laborwerte waren nicht abrufbar, Verwaltungsprozesse kamen zum Erliegen. Die Kliniken stellten auf manuelle Notfallprozesse um, um die Patientenversorgung aufrechtzuerhalten.
Die Digitalisierung, die Vernetzung von Lieferketten, der zunehmende Einsatz künstlicher Intelligenz – all das macht Unternehmen anfälliger für Angriffe. Wer das unterschätzt, setzt sich großen Risiken aus. Die EU will nun mit der NIS2-Richtlinie gegensteuern.
Was ändert sich mit NIS2?
Die NIS2-Richtlinie ist die überarbeitete Version der 2016 eingeführten EU-Vorschriften zur Cybersicherheit. Sie trat am 16. Januar 2023 in Kraft. Bis zum 17. Oktober 2024 müssen die Mitgliedstaaten sie in nationales Recht umsetzen. Unternehmen sind dann verpflichtet, deutlich strengere Sicherheitsmaßnahmen einzuführen.
Der Geltungsbereich wurde erheblich erweitert. Waren zuvor nur kritische Infrastrukturen wie Energie- und Wasserversorger betroffen, gilt NIS2 nun für eine deutlich breitere Unternehmenslandschaft. Hersteller, IT-Dienstleister und größere Mittelständler müssen sich ebenfalls an die neuen Vorgaben halten. Dabei unterscheidet die Richtlinie zwischen „wichtigen“ und „wesentlichen“ Einrichtungen – mit jeweils unterschiedlichen Anforderungen.
Ein zentraler Punkt: die Meldepflichten. Unternehmen müssen Sicherheitsvorfälle innerhalb von 24 Stunden melden. Spätestens nach 72 Stunden ist ein detaillierter Bericht fällig. Verschweigen oder Verzögern ist keine Option mehr. Die EU will damit sicherstellen, dass Bedrohungen schneller erkannt und Sicherheitslücken systematisch geschlossen werden.
Auch die Haftung wird verschärft. Geschäftsführungen und Vorstände können persönlich belangt werden, wenn sie die Vorschriften nicht einhalten. Die Bußgelder sind hoch: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Die Botschaft ist klar: IT-Sicherheit ist Chefsache.
Unternehmen sind zudem verpflichtet, ihre Führungskräfte gezielt zu schulen. Wer in Entscheidungspositionen sitzt, muss Cyberrisiken verstehen und aktiv gegensteuern können. Die Verantwortung lässt sich nicht einfach an die IT-Abteilung delegieren.
Das Risikomanagement wird auf eine neue Stufe gehoben. Unternehmen müssen ihre Sicherheitsmaßnahmen kontinuierlich prüfen und verbessern. Reaktive Maßnahmen reichen nicht mehr aus. NIS2 verlangt eine proaktive Strategie: Schwachstellen frühzeitig erkennen und schließen.
Doch wie können Unternehmen die neuen Anforderungen umsetzen? Welche Maßnahmen sind besonders wichtig? Und wie kann Cybersicherheit nachhaltig in Unternehmensprozesse integriert werden?
Antworten darauf gibt Dr. Tim Sattler, Head of Corporate Information Security und CISO bei der Jungheinrich AG. In unserem Interview spricht er darüber, was die NIS2-Richtlinie für Unternehmen bedeutet, welche strategischen Entscheidungen jetzt getroffen werden müssen und warum Cybersicherheit nicht nur eine Pflicht, sondern auch eine Chance ist.
„Sicherheitskultur beginnt an der Spitze des Unternehmens“
Frederik Nyga: Herzlich willkommen Herr Sattler, vielleicht mögen Sie unseren Lesern ein oder zwei Sätze zu Ihrem Hintergrund geben?
Tim Sattler: Sehr gern! Mein Name ist Tim Sattler. Ich bin hauptamtlich Head of Corporate Information Security und CISO bei der Jungheinrich AG in Hamburg, einem Maschinenbaukonzern im Bereich Intralogistik. Wir sind Hersteller von Gabelstaplern und anderen Lösungen, die man der Lagerhausautomatisierung zuordnen kann. Zudem bin ich seit vielen Jahren ehrenamtlich in der ISACA aktiv und seit 2019 Präsident des ISACA Germany Chapters. ISACA ist ein Berufsverband für Informationssicherheit, IT-Revision sowie IT-Governance, Risk und Compliance. Im Bereich Informationssicherheit bin ich seit fast 25 Jahren tätig.
Frederik Nyga: Wie sind Sie dazu gekommen, sich für den Bereich Informationssicherheit zu begeistern? Das Thema war damals sicher noch nicht so präsent.
Tim Sattler: Das stimmt! Damals war Informationssicherheit ein Exotenthema. Ich habe Physik studiert und darin promoviert, aber schnell gemerkt, dass die wissenschaftliche Laufbahn nichts für mich ist. Eher durch Zufall stieß ich auf ein Unternehmen, das Consultants für IT-Sicherheit suchte. Das Thema fand ich sofort spannend, besonders das Spiel zwischen Angreifer und Verteidiger. Inspiriert hat mich damals auch das Buch „Kuckucksei“ von Clifford Stoll. Es erzählt, wie Stoll, ebenfalls Physiker, bei der Verwaltung eines Computernetzwerks zufällig eine Hackergruppe entdeckte – eine faszinierende Geschichte, die mich zum Thema brachte.
Frederik Nyga: Sehr spannend! Lassen Sie uns doch direkt ins Thema einsteigen. Was sind aus Ihrer Sicht die zentralen Ziele der NIS2-Richtlinie, und warum ist ihre Umsetzung für Unternehmen in Europa so wichtig?
Tim Sattler: Die NIS2-Richtlinie soll das Cybersicherheitsniveau in Europa stärken – sowohl in der Privatwirtschaft als auch in öffentlichen Einrichtungen. Das ist dringend notwendig, da die Zahl der Cyberangriffe in den letzten Jahren stark zugenommen hat, sowohl im Bereich Cybercrime wie Ransomware als auch bei politisch motivierten Angriffen auf kritische Infrastrukturen. Im Vergleich zur ersten NIS-Richtlinie wurde der Kreis der betroffenen Sektoren erweitert, beispielsweise um die Fertigungsindustrie. Damit fallen nun deutlich mehr Unternehmen unter die neuen Regularien.
Frederik Nyga: Welche neuen Anforderungen bringt die NIS2-Richtlinie für Unternehmen mit sich?
Tim Sattler: Zum einen gibt es verschärfte Meldepflichten: Sicherheitsvorfälle müssen innerhalb von 24 Stunden an die zuständigen Aufsichtsbehörden gemeldet werden. Das ist für viele Unternehmen, insbesondere solche außerhalb der kritischen Infrastrukturen, neu. Zudem müssen Vorstände und die Leitungsebene in Risikomanagement geschult werden, da Cybersicherheitsrisiken auch Geschäftsrisiken sind. Weiterhin gibt es erweiterte Haftungsregelungen und erhöhte Bußgeldrahmen, die mit der DSGVO vergleichbar sind.
Frederik Nyga: Welche Art von Schulungen oder Zertifizierungen würden Sie Unternehmen empfehlen, um die erforderlichen Kompetenzen aufzubauen?
Tim Sattler: Das hängt von der Zielgruppe ab. Für Vorstände und Geschäftsleitungen sind Schulungen zur Bewertung von Cyberrisiken entscheidend. Sie müssen keine Experten werden, aber Risiken richtig einordnen können. Es wird sicher zunehmend Angebote geben, sowohl von externen Dienstleistern als auch in Form interner Schulungen. Für Mitarbeitende sind Security-Awareness-Schulungen wichtig, da sie zu den risikomindernden Maßnahmen der NIS2-Richtlinie gehören. Schließlich ist das Upskilling der eigenen Sicherheitsexperten zentral, da Fachkräftemangel ein großes Problem darstellt. Organisationen wie ISACA bieten hier wertvolle Trainings und Zertifizierungen an.
Frederik Nyga: Wie fördert man eine Kultur der Wachsamkeit innerhalb eines Unternehmens?
Tim Sattler: Sicherheitskultur beginnt an der Spitze des Unternehmens. Wenn das Top-Management ein sichtbares Commitment für Cybersicherheit zeigt, wirkt sich das positiv auf die gesamte Organisation aus. Mitarbeitende müssen spüren, dass das Thema ernst genommen wird. Auch Schulungsmaßnahmen spielen eine Rolle, aber ohne Unterstützung durch die Führungsebene greifen sie nicht. Jeder Mitarbeitende sollte verstehen, dass Cybersicherheit Teil seiner Verantwortung ist – es ist keine Aufgabe, die man allein an ein Expertenteam delegieren kann.
Frederik Nyga: Welche Trends oder Technologien werden in den nächsten Jahren entscheidend sein, um die Anforderungen der NIS2-Richtlinie zu erfüllen?
Tim Sattler: Cybersicherheit ist weniger ein Technologiethema als eines der Prozesse und Kultur. Technologien wie künstliche Intelligenz können aber helfen, Sicherheitsorganisationen effizienter zu machen, indem sie beispielsweise die Analyse großer Datenmengen automatisieren. Wichtig bleibt jedoch, dass die richtigen Leute und Prozesse vorhanden sind. Technologien können diese nur unterstützen, aber nicht ersetzen.
Frederik Nyga: Gibt es strategische Chancen für Unternehmen, die NIS2-Richtlinie frühzeitig und umfassend umzusetzen?
Tim Sattler: Ja, definitiv. Unternehmen, die frühzeitig in Cybersicherheit investieren, schützen sich nicht nur besser vor Angriffen, sondern gewinnen auch das Vertrauen von Kunden und Partnern. Eine starke Sicherheitsstrategie kann ein Wettbewerbsvorteil sein, insbesondere in sensiblen Branchen. Zudem bietet die Umsetzung der Richtlinie die Chance, Prozesse zu optimieren und langfristig effizienter zu arbeiten.
Frederik Nyga: Herr Dr. Sattler, herzlichen Dank für Ihre Einblicke und Expertise.
Tim Sattler: Vielen Dank für die Einladung!
Dieser Beitrag erschien zuerst in der gedruckten Ausgabe Künstliche Intelligenz & Legal Tech. Das Heft können Sie hier bestellen.
