Praxisnahe Handlungsleitfäden,NIS2-Umsetzung hinter Erwartungen und vieles mehr

INFORMATIONSSICHERHEIT

NIS2-Umsetzung kommt langsamer voran als geplant

Die Umsetzung der NIS2-Richtlinie kommt hierzulande weiterhin nur schleppend voran. Aktuelle Zahlen des BSI zeigen, dass viele der betroffenen Unternehmen bislang noch zögern - teils aus fehlender Kenntnis der Betroffenheit, teils aus einer abwartenden Haltung. Dabei ist der Stichtag für die Registrierungspflicht, der 6. März 2026, bereits verstrichen.

Besonders kritisch ist, dass viele Firmen die Anforderungen kaum kennen oder sich erst jetzt damit beschäftigen.

Dabei nimmt NIS2 die Geschäftsführung direkt in die Pflicht.

IT-Sicherheit ist damit endgültig zur Chefsache geworden. Um dieser Verantwortung gerecht zu werden, müssen Mitglieder der Geschäftsleitung die Inhalte und Pflichten aus NIS2 kennen. Gezielte Schulungen sind daher kein optionales Angebot, sondern eine notwendige Voraussetzung für wirksame Steuerung und persönliche Haftungsvermeidung.

 

DATENSCHUTZ

BGH stärkt Datenschutz: Löschung überobligatorischer Daten aus dem Handelsregister möglich

Der Bundesgerichtshof (BGH) hat mit Beschluss vom 18.02.2026 (Az. II ZB 2/25) eine aus Datenschutzsicht wichtige Klarstellung getroffen. Privatanschriften und eigenhändige Unterschriften dürfen aus dem Handelsregister gelöscht bzw. ersetzt werden, wenn sie rechtlich nicht erforderlich sind.

Zwei Geschäftsführer einer GmbH & Co. KG beantragten, im Handelsregister hinterlegte Anmeldedokumente auszutauschen. Diese enthielten ihre privaten Wohnanschriften und handschriftlichen Unterschriften, die aufgrund der heute kostenlosen Online‑Abrufbarkeit aus ihrer Sicht ein erhöhtes Missbrauchs- und Sicherheitsrisiko darstellen. Stattdessen sollten künftig Geschäftsanschriften und maschinenschriftliche Namenszüge verwendet werden. Nachdem Registergericht und OLG Hamburg dies zunächst ablehnten, hob der BGH diese Entscheidungen auf.

Kernaussagen des BGH

  • Privatanschriften und Unterschriften sind personenbezogene Daten im Sinne der DSGVO.
  • Handelt es sich nicht um gesetzlich vorgeschriebene Angaben, liegt keine Pflicht zur dauerhaften Speicherung oder Veröffentlichung vor.
  • Diese sogenannten überobligatorischen Daten dürfen nach Widerruf der Einwilligung nicht weiterverarbeitet werden.
  • Ein Löschungsanspruch nach Art. 17 Abs. 1 DSGVO besteht auch dann, wenn die Daten an anderer Stelle noch öffentlich abrufbar sind.
  • Der Austausch der Dokumente ist registerrechtlich zulässig (§ 9 Abs. 7 HRV)

Die Entscheidung unterstreicht, dass Datensparsamkeit auch für öffentliche Register gilt. Das Recht auf informationelle Selbstbestimmung erlaubt es betroffenen Personen, selbst zu entscheiden, ob und in welchem Umfang sie die Löschung ihrer Daten einfordern.

 

DATENSCHUTZ

Neuer Standard für die DSFA: EDSA und BfDI veröffentlichen Vorlage zur öffentlichen Konsultation

Der Europäische Datenschutzausschuss (EDSA) hat, unter Mitwirkung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) einen Entwurf für eine standardisierte Vorlage sowie ein begleitendes Anleitungsdokument für Datenschutz-Folgenabschätzungen (DSFA) vorgelegt.

Diese Initiative basiert auf dem „Helsinki-Statement“ und verfolgt das Ziel, insbesondere kleinen und mittleren Unternehmen (KMU) ein strukturiertes und rechtssicheres Werkzeug an die Hand zu geben. Eine DSFA ist gemäß Art. 35 DSGVO immer dann obligatorisch, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

 

Eckpunkte des Entwurfs

Praxisnähe: Vordefinierte Felder sollen die Vollständigkeit der Prüfung sicherstellen und den zeitlichen Aufwand bei der Dokumentation reduzieren.

Methodenfreiheit: Trotz der neuen Vorlage bleibt die Wahl der DSFA-Methodik den Verantwortlichen weiterhin freigestellt.

Harmonisierung: Nach der finalen Überarbeitung soll das Dokument als europaweiter Standard oder als verbindliche Grundlage für nationale Versionen dienen.

Bis zum 9. Juni 2026 besteht im Rahmen einer öffentlichen Konsultation die Möglichkeit, Feedback zu diesem Entwurf einzureichen. Stellen, die in den Zuständigkeitsbereich der BfDI fallen, können sich bei Fragen oder Rückmeldungen zudem direkt an die deutsche Aufsichtsbehörde wenden.

 

INFORMATIONSSICHERHEIT

Lagebericht Cybersicherheit: Deutschland als Hauptziel für Cyber-Erpressungen – Fokus liegt beim Mittelstand

Ein aktueller Bericht von Google Threat Intelligence zeichnet ein alarmierendes Bild der Bedrohungslage: Mit einem Anstieg von 92 % bei Datenlecks und Cyberangriffen innerhalb eines Jahres ist Deutschland erneut zum Hauptziel für Cyber-Erpressungen in Europa avanciert.

Ein entscheidender Treiber dieser Entwicklung ist der Einsatz generativer Künstlicher Intelligenz durch kriminelle Akteure. Die deutsche Sprache, die lange als „natürliches Schutzschild“ gegen holprig übersetzte Phishing-Versuche fungierte, hat diese Schutzwirkung verloren. KI ermöglicht heute fehlerfreie, präzise lokalisierte Angriffe, die von authentischen Nachrichten kaum noch zu unterscheiden sind.

Besonders im Visier steht der deutsche Mittelstand, auf den im Jahr 2025 rund 96 % aller Ransomware-Lecks entfielen. Die Motive der Täter sind strategisch:

  • Wirtschaftskraft: KMU sind lukrative Ziele.
  • Hebelwirkung: Als Zulieferer sind sie tief in die Lieferketten von DAX-Konzernen integriert.
  • Sicherheitsgefälle: Im Vergleich zu Großunternehmen bestehen oft noch Schwachstellen in der Prävention.

 

Nachdem große Erpresserbanden durch Strafverfolgungsbehörden geschwächt wurden, füllen nun agilere, mittelgroße Gruppen wie SafePay und Qilin das Machtvakuum. Neben dem produzierenden Gewerbe geraten verstärkt Rechts- und Beratungsdienstleister ins Visier. Deren hochsensible Mandantendaten dienen als massives Druckmittel gegen ein weitreichendes Netzwerk an Kunden.

Experten warnen zudem, dass die auf sogenannten „Shaming Sites“ veröffentlichten Zahlen nur die Spitze des Eisbergs sind. Dort erscheinen primär Unternehmen, die Lösegeldforderungen verweigern.

Angesichts dieser geopolitisch weitreichenden Bedrohungslage ist ein Paradigmenwechsel zwingend erforderlich. Die deutsche Wirtschaft muss von einer passiven Abwehr zu einem proaktiven Risikomanagement übergehen.

Zu den essenziellen Maßnahmen gehören:

  1. Strenge Absicherung der Lieferketten (auch im Kontext von NIS2).
  2. Flächendeckende Implementierung der Multifaktor-Authentifizierung (MFA).
  3. Verankerung der IT-Sicherheit als zentrale Führungsaufgabe auf Managementebene.

 

Die aktuelle Dynamik zeigt deutlich: IT-Sicherheit und Datenschutz-Compliance sind keine optionalen Kostenfaktoren, sondern essenzielle Voraussetzungen für die Resilienz und Fortführung der Geschäftstätigkeit.

 
INFORMATIONSSICHERHEIT

Staatliche Cyberspionage: Warnung vor verschleierten Angriffen via Botnets

Ein internationaler Verbund von Sicherheitsorganen, an dem auch der BND und das Bundesamt für Verfassungsschutz beteiligt sind, weist auf eine neue Eskalationsstufe in der Taktik chinesischer APT-Gruppen (Advanced Persistent Threats) hin. Um die Urheberschaft von Cyberoperationen systematisch zu verschleiern, greifen staatlich gelenkte Akteure verstärkt auf großflächige Botnet-Strukturen zurück.

Die Angreifer nutzen nicht ihre eigene Hardware, sondern kapern weltweit Router, Smartphones und IoT-Geräte von Unternehmen und Privatpersonen. Diese kompromittierten Endpunkte dienen als „Sprungbrett“, um Datenabflüsse und Spionageaktivitäten im normalen Netzverkehr untergehen zu lassen. Berichten zufolge werden diese Tarn-Infrastrukturen teilweise sogar von offiziellen chinesischen IT-Dienstleistern im Auftrag des Staates unterhalten.

Die Gefahr besteht nicht nur im Diebstahl sensibler Informationen, sondern auch in der unbewussten Instrumentalisierung der eigenen IT für kriminelle Zwecke. Um zu verhindern, dass die eigene Infrastruktur Teil eines solchen Angriffsnetzwerks wird, rücken die Behörden technische Basismaßnahmen in den Fokus. Als kritischer Erfolgsfaktor gilt hierbei insbesondere die lückenlose Implementierung einer Multi-Faktor-Authentifizierung (MFA) für sämtliche Fernzugriffe (VPN, RDP etc.), um unbefugte Übernahmen effektiv zu unterbinden.

 

INFORMATIONSSICHERHEIT

Staatlich gesteuertes Phishing bei Messengern: BSI stellt konkreten Handlungsleitfaden bereit

Das BSI und der Verfassungsschutz warnen vor staatlich gesteuerten Phishing-Angriffen auf Messengerdienste, insbesondere Signal. Die Methode ist so simpel wie gefährlich: Ganz ohne Schadsoftware verleiten Angreifer ihre Opfer unter dem Deckmantel eines angeblichen „Support-Kontakts“ dazu, Verifizierungscodes oder PINs preiszugeben. Ziel dieser Kampagne sind vor allem Entscheidungsträger aus Politik, Militär und Medien. Wie effektiv diese psychologische Täuschung ist, zeigt die jüngste Kompromittierung des Signal-Kontos von Bundestagspräsidentin Julia Klöckner.

Zum Schutz vor einer unbefugten Kontoübernahme hat das BSI einen konkreten Handlungsleitfaden veröffentlicht, der aufzeigt, wie Messenger‑Kommunikation wirksam abgesichert und Phishing‑Versuche frühzeitig erkannt werden können.

 

DATENSCHUTZ

Praxisnahe Handreichung zum Umgang mit Datenschutzverletzungen

Das Katholische Datenschutzzentrum Frankfurt und die Katholische Datenschutzaufsicht Nord haben zusammen eine kompakte Handreichung zum Umgang mit Datenschutzverletzungen veröffentlicht. Darin wird erfrischend einfach dargestellt, welche Prozesse vorhanden sein sollten.

KÜNSTLICHE INTELLIGENZ

Anthropic-KI "Claude Mythos Preview" sorgt international für Unruhe in der Finanz- und Sicherheitsbranche

Laut aktuellen Berichten wurden in den USA die Chefs systemrelevanter Banken kurzfristig zu einem dringenden Treffen mit Finanzminister Scott Bessent und Notenbankchef Jerome Powell einbestellt. Hintergrund ist die Sorge, dass KI-Modelle dieser Leistungsklasse eine völlig neue Art von Cyberbedrohung ermöglichen könnten.

Besonders brisant: Mythos soll bereits tausende hochriskante Zero-Day-Sicherheitslücken identifiziert haben, darunter Schwachstellen in großen Betriebssystemen und gängigen Internetbrowsern. Zudem soll das Modell nicht nur Lücken finden, sondern in vielen Fällen auch funktionierende Exploits entwickeln können. Damit rückt die Gefahr näher, dass vergleichbare Technologien künftig auch von Cyberkriminellen oder staatlichen Akteuren missbraucht werden.

Auch BSI-Präsidentin Claudia Plattner spricht von möglichen „Umwälzungen im Umgang mit Sicherheitslücken“. Langfristig könnte sich die gesamte Schwachstellenlandschaft verändern: Wenn KI-Systeme klassische Softwarefehler schneller finden als Menschen, müssten Unternehmen ihre Sicherheitsstrategien grundlegend anpassen.

Mit dem Projekt „Glasswing“ will Anthropic offenbar gemeinsam mit der Sicherheitsbranche daran arbeiten, gefundene Schwachstellen frühzeitig zu schließen. Dennoch bleibt die zentrale Frage, wie lange solche Fähigkeiten kontrolliert bleiben können. Sollte vergleichbare Technologie breiter verfügbar werden, könnte dies einen Paradigmenwechsel in der Cybersicherheit auslösen.

Für Unternehmen bedeutet das: IT-Sicherheit wird noch stärker zum strategischen Thema. Schnelle Patch-Prozesse, kontinuierliche Sicherheitsprüfungen und ein professionelles Schwachstellenmanagement werden künftig wichtiger denn je.


INFORMATIONSSICHERHEIT

Cyberangriffe im April

Die Verwaltung der Verbandsgemeinde Sprendlingen-Gensingen war in diesem Monat von massiven IT-Problemen betroffen. Nach einem Ransomware-Angriff wurden vorsorglich sämtliche Systeme abgeschaltet. Zentrale Dienste standen weder Mitarbeitenden noch Bürgern zur Verfügung. Die üblichen Kommunikationswege blieben eingeschränkt. Erreichbar war die Verwaltung nur über eine Notfallnummer. Schrittweise wird der Betrieb nun wieder aufgenommen.

 

Auch die beliebte Buchungsplattform Booking hat es diesen Monat getroffen. Den Hackern gelang es, auf Buchungsdaten wie Namen oder Telefonnummern von Kunden zuzugreifen. Mitte April stellte das Unternehmen im Rahmen seines Monitorings diese verdächtigen Aktivitäten fest. Daraufhin informierten sie die Betroffenen per E-Mail und setzten die PINs der entsprechenden Buchungen zurück. Der Vorfall ist nicht der erste dieser Art.

 

Cyberkriminelle haben sich unbefugt Zugriff auf die IT‑Systeme des niederländischen Fitnessstudio‑Betreibers Basic‑Fit verschafft und dabei rund eine Million personenbezogene Mitgliedsdaten abgegriffen. Auch in Deutschland ist die Kette in 32 Städten vertreten. Kundinnen und Kunden, deren Abonnement über die zentrale Basic‑Fit‑Infrastruktur verwaltet wird, könnten daher potenziell von dem Datenleck betroffen sein. In der Folge ist insbesondere mit gezielten Phishing‑Versuchen zu rechnen, die auf die kompromittierten Daten aufbauen.

 

WIR UNTERSTÜTZEN SIE GERNE

 

Die digitale Bedrohungslage verschärft sich kontinuierlich, wie die jüngsten Angriffe in diesem Monat erneut eindrücklich zeigen. Angreifer organisieren sich immer professioneller und nutzen Sicherheitslücken immer schneller aus. Expert:innen sind sich einig: Es ist keine Frage, ob der Cyberangriff kommt, sondern eigentlich nur, wann!

 

Zurück

Über uns

Die EDV-Unternehmensberatung Floß GmbH zählt deutschlandweit zu einem kleinen Kreis von Consultants, die sich auf die technischen, juristischen und organisatorischen Aspekte des Datenschutzes sowie der Informationssicherheit spezialisiert haben. Wir arbeiten für Unternehmen und Institutionen aller Art und Größe, für Gerichte und Staatsanwaltschaften ebenso wie für Versicherungen.

Logo MINT für Kinder & Jugendliche fördern
Logo Allianz für Cyber-Sicherheit

Kontakt

EDV-Unternehmensberatung Floß GmbH
Hopfengarten 10
33775 Versmold

05423  96490-0

info@floss-consult.de

Regionale Schwerpunkte

Kostenloser Erstkontakt

Mit dem Absenden des Kontaktformulars erklären Sie sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihrer Anfrage verwendet werden (Weitere Informationen und Widerrufshinweise finden Sie in der Datenschutzerklärung).

Bitte addieren Sie 8 und 6.

Copyright 2026. Alle Rechte vorbehalten. By mayfeld.de

Newsletter Downloads Jobs AGB Impressum Datenschutzerklärung