I. Executive Summary

Die Cybersicherheit für Unternehmen in Deutschland befindet sich an einem strategischen Wendepunkt. Die Bedrohungslage, vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als „besorgniserregend“ eingestuft ¹, ist nicht länger ein abstraktes IT-Risiko, sondern eine unmittelbare Gefahr für die Wertschöpfung und Stabilität. Anhaltend hohe Schäden für die deutsche Wirtschaft, geschätzt auf über 206 Milliarden Euro jährlich ², treffen auf eine fundamentale Neuausrichtung der regulatorischen Verantwortung.

Moderne Unternehmen sehen sich 2025 und 2026 mit einer „Compliance-Konvergenz“ konfrontiert: Die Umsetzung der EU-Richtlinie NIS-2 (Network and Information Security 2) durch das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) ³, die Einführung des KRITIS-Dachgesetzes (KRITIS-DachG) ⁴ und die Dringlichkeit der Umstellung auf die ISO/IEC 27001:2022 (Frist 31. Oktober 2025) ⁵ fallen zusammen.

Dieser Bericht analysiert die dreifachen Anforderungen an moderne Unternehmen:

1. Die Abwehr (Defense): Verständnis der industrialisierten Bedrohungslage.
2. Die Verpflichtung (Compliance): Einhaltung der neuen, strengen Normen (insb. NIS-2).
3. Die Strategie (Governance): Implementierung robuster Managementsysteme.

Die signifikanteste Veränderung ist die Verlagerung der Cybersicherheit von einer reinen IT-Funktion zu einer unumgänglichen Governance-, Risk- und Compliance-Aufgabe (GRC) auf Vorstandsebene. Die mit NIS-2 eingeführte persönliche Haftung der Geschäftsleitung für das Risikomanagement ³ erzwingt eine neue strategische Priorisierung und Budgetierung von Cyber-Resilienz.

II. Die aktuelle Bedrohungslage in Deutschland (2024/2025)

Die Grundlage für jede Cybersicherheitsstrategie ist das Verständnis der aktuellen Bedrohungen. Der BSI-Lagebericht 2024 zeichnet ein düsteres Bild und bewertet die IT-Sicherheitslage als „besorgniserregend“ und „angespannt“.¹ Diese Einschätzung basiert auf einer Industrialisierung und geopolitischen Aufladung der Cyberkriminalität.

Ransomware als größte Bedrohung

Ransomware (Verschlüsselungstrojaner) bleibt die mit Abstand größte Bedrohung für deutsche Unternehmen.² Die Angriffe sind nicht länger nur opportunistisch, sondern folgen einem industrialisierten Geschäftsmodell:

• Ransomware-as-a-Service (RaaS): Kriminelle Gruppen entwickeln und warten die Schadsoftware und „vermieten“ sie an Dritte, was die Einstiegshürde für Angriffe drastisch senkt.²
• Zielgruppe KMU: Während Großunternehmen im Fokus bleiben, hat sich RaaS zu einem „Massengeschäft“ entwickelt, das zunehmend kleine und mittlere Unternehmen (KMU) sowie Kommunen trifft, die oft als „Weg des geringsten Widerstandes“ gelten.²
• Doppelte Erpressung: Angreifer verschlüsseln nicht nur Daten, sondern exfiltrieren sie auch und drohen mit deren Veröffentlichung (Double Extortion).

Quantifizierung des Schadens

Der wirtschaftliche Schaden ist immens. Schätzungen des Branchenverbands Bitkom, zitiert im BSI-Lagebericht, beziffern den Gesamtschaden durch digitale Angriffe, Industriespionage und Sabotage für die deutsche Wirtschaft auf rund 206 Milliarden Euro im Jahr 2023. Davon entfallen allein 148 Milliarden Euro (etwa drei Viertel) direkt auf Cyberangriffe.²

Geopolitische Akteure und KRITIS-Ziele

Neben der organisierten Kriminalität hat die geopolitische Lage die Bedrohung verschärft. Insbesondere staatlich gesteuerte oder unterstützte Advanced Persistent Threats (APTs) rücken ins Visier:

• Hybride Kriegsführung: Angriffe auf kritische Infrastrukturen (KRITIS), wie Energieversorger oder Krankenhäuser, sind Teil hybrider Kriegsführung geworden.⁶
• Gezielte Operationen: Deutschland steht explizit im Fokus. Berichte (Stand 2025) identifizieren staatlich verbundene iranische Akteure (z.B. HAYWIRE KITTEN), die Phishing- und DDoS-Kampagnen gegen deutsche Organisationen durchführen.⁷

Neue Angriffsvektoren: KI und Lieferketten

Die Bedrohungsakteure modernisieren ihre Werkzeuge. Das BSI warnt vor „KI-geboosteten Desinformationskampagnen“.² Gleichzeitig wird Künstliche Intelligenz (KI) auch für die Verteidigung immer wichtiger; Prognosen zufolge werden bis 2025 45% der Unternehmen KI zur Bedrohungserkennung einsetzen.⁶ Angriffe auf die Lieferkette (Supply Chain) haben sich als hocheffizient erwiesen und werden durch die neue Gesetzgebung (NIS-2) explizit adressiert.⁸

III. Der neue regulatorische Rahmen: Von NIS-2 zur persönlichen Haftung

Die mit Abstand tiefgreifendste Veränderung für deutsche Unternehmen ist die massive Verschärfung der Cybersicherheitsgesetzgebung. Die EU NIS-2-Richtlinie wird durch nationale Gesetze umgesetzt und ersetzt bisherige Regelungen (wie das IT-Sicherheitsgesetz 2.0).⁹

A. Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG)

Das NIS2UmsuCG ist das zentrale Gesetzesvorhaben zur Umsetzung von NIS-2 in Deutschland. Obwohl sich die finale Verabschiedung verzögert hat und nun (Stand Juli 2025) Ende 2025 oder Anfang 2026 erwartet wird, stehen die Kerninhalte fest.³

Erweiterter Anwendungsbereich: Die Zahl der betroffenen Unternehmen in Deutschland explodiert von ca. 4.500 (nach alter KRITIS-Regulierung) auf geschätzt 30.000 bis 40.000.³

Klassifizierung: Unternehmen werden in zwei Hauptkategorien eingeteilt ¹²:

1. Besonders wichtige Einrichtungen (Essential Entities): Unternehmen in Sektoren wie Energie, Verkehr, Bankwesen, Gesundheit, digitale Infrastruktur etc..¹³
2. Wichtige Einrichtungen (Important Entities): Unternehmen in Sektoren wie Postdienste, Abfallbewirtschaftung, digitale Anbieter (z.B. soziale Netzwerke, Marktplätze) oder bestimmte produzierende Gewerbe.

Zentrale Pflichten für beide Kategorien:

Betroffene Unternehmen müssen drei Kernpflichten erfüllen 12:

1. Registrierungspflicht: Verpflichtende Registrierung bei einer zentralen Stelle (BSI/BBK) innerhalb von drei Monaten nach Betroffenheit.¹²
2. Meldepflicht: Ein gestuftes Meldesystem für „erhebliche Sicherheitsvorfälle“ an das BSI:

• Frühe Erstmeldung: Innerhalb von 24 Stunden nach Kenntniserlangung.
• Meldung (Detailbericht): Innerhalb von 72 Stunden.
• Abschlussmeldung: Innerhalb von 30 Tagen.¹²

3. Risikomanagement (§30): Dies ist die anspruchsvollste Pflicht. Unternehmen müssen „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen“ (TOMs) ergreifen. Das Gesetz definiert einen Mindestkatalog von 10 Maßnahmen ³:

• Risikoanalyse und Sicherheitskonzepte.
• Bewältigung von Sicherheitsvorfällen (Incident Response).
• Aufrechterhaltung des Betriebs (Business Continuity, Backup-Management, Krisenmanagement).
• Sicherheit der Lieferkette (Supply Chain Security).
• Sicherheit bei Erwerb, Entwicklung und Wartung von Systemen (inkl. Schwachstellenmanagement).
• Wirksamkeitsprüfung der Maßnahmen (Audits, Tests).
• Schulungen und Sensibilisierung der Mitarbeiter.
• Einsatz von Kryptographie und Verschlüsselung.
• Konzepte für Personalsicherheit und Zugriffskontrolle.
• Einsatz von Multi-Faktor-Authentifizierung (MFA) und sicherer Kommunikation.

B. Das KRITIS-Dachgesetz (KRITIS-DachG)

Parallel zum NIS2UmsuCG wird das KRITIS-Dachgesetz entwickelt, basierend auf der EU RCE-Richtlinie (Resilience of Critical Entities). Dieses Gesetz ⁴ fokussiert sich primär auf die physische Resilienz kritischer Infrastrukturen (z.B. Schutz vor Sabotage, Naturkatastrophen).⁹

C. Die Konvergenz der Regulierung (NIS-2 vs. KRITIS)

Für Betreiber kritischer Infrastrukturen (KRITIS-Betreiber) entsteht eine regulatorische Konvergenz:

• NIS2UmsuCG regelt die Cyber-Resilienz.³
• KRITIS-DachG regelt die physische Resilienz.³

Ein entscheidender Punkt im NIS2UmsuCG ist: Alle Betreiber kritischer Anlagen (KRITIS) gelten automatisch als „Besonders wichtige Einrichtungen“.³ Sie müssen daher alle oben genannten NIS-2-Pflichten erfüllen.

Das Gesetz sieht jedoch eine Verschärfung für KRITIS-Betreiber vor: Sie unterliegen „höheren Maßstäben“ (§31) und müssen „aufwändigere Maßnahmen“ ergreifen als andere Einrichtungen. Der wichtigste Unterschied liegt in der Überprüfung: Während „Besonders wichtige Einrichtungen“ einer Dokumentationspflicht und Stichproben unterliegen, müssen KRITIS-Betreiber alle drei Jahre eine verpflichtende Prüfung (Audit) durch externe Stellen nachweisen (§39).³

D. Die neue Management-Verantwortung: Persönliche Haftung

Der Paradigmenwechsel der NIS-2-Regulierung liegt in der Verantwortung. Nach §38 des NIS2UmsuCG-Entwurfs sind die Geschäftsleitungsorgane (Vorstand, Geschäftsführung) persönlich für die Umsetzung und Überwachung der Risikomanagementmaßnahmen (§30) verantwortlich.³ Sie müssen die Maßnahmen billigen und deren Umsetzung überwachen.

Dies transformiert Cybersicherheit endgültig von einem technischen Problem zu einem strategischen GRC-Thema. Mangelnde Budgetierung oder fehlende Aufsicht über das Risikomanagement kann nun direkte haftungsrechtliche Konsequenzen für die Unternehmensleitung haben.

IV. Grundlegende Standards und Managementsysteme

Die Gesetze (das „Was“) müssen durch anerkannte Standards (das „Wie“) umgesetzt werden. Ein modernes Unternehmen in Deutschland muss sich, je nach Größe und Sektor, mit folgenden Standards auseinandersetzen.

A. ISO/IEC 27001:2022 (Der internationale Goldstandard)

Die ISO 27001 ist der weltweit anerkannte Standard für ein Informationssicherheits-Managementsystem (ISMS).⁵ Ein ISMS ist ein systematischer Ansatz zur Planung, Implementierung, Überwachung und Verbesserung der Informationssicherheit.⁵

Die Norm ist die ideale methodische Grundlage, um die Anforderungen des NIS2UmsuCG (§30) strukturiert umzusetzen. Die 10 Mindestmaßnahmen aus NIS-2 (wie Risikoanalyse, Incident Response, BCMS) sind integrale Bestandteile eines ISMS nach ISO 27001.

Dringlichkeit: Die Übergangsfrist für Zertifizierungen auf die neue Version (ISO/IEC 27001:2022) endet am 31. Oktober 2025.⁵ Unternehmen, die eine Zertifizierung anstreben oder halten, müssen ihre Kontrollen (insbesondere im Anhang A) an die neue Version angepasst haben.

B. BSI IT-Grundschutz (Der deutsche Standard)

Der BSI IT-Grundschutz ist der deutsche De-facto-Standard, insbesondere für Behörden, aber auch für viele KRITIS-Betreiber.¹⁴ Er wurde umfassend modernisiert und besteht aus der 200er-Standardreihe ¹⁵:

• BSI-Standard 200-1: Allgemeine Anforderungen an ein ISMS (kompatibel mit ISO 27001).
• BSI-Standard 200-2: Die IT-Grundschutz-Methodik (der Weg zum ISMS).
• BSI-Standard 200-3: Risikomanagement.

Im Gegensatz zur ISO 27001, die einen sehr offenen, risikobasierten Ansatz verfolgt ¹⁶, ist der IT-Grundschutz wesentlich präskriptiver. Das IT-Grundschutz-Kompendium ¹⁴ liefert konkrete Bausteine und Maßnahmenkataloge. Das BSI bietet auch eine „ISO 27001-Zertifizierung auf Basis von IT-Grundschutz“ an, was die Kompatibilität beider Welten zeigt.¹⁵

C. VdS 10000 (Der KMU-Standard)

Speziell für kleine und mittlere Unternehmen (KMU), die von der Komplexität der ISO 27001 oder des IT-Grundschutzes überfordert sind, wurde die Richtlinie VdS 10000 entwickelt.¹⁸

• Zweck: Bietet ein pragmatisches, ressourcenschonendes ISMS.¹⁹
• Anerkennung: Das BSI erkennt VdS 10000 als eine Teilmenge der Basis-Absicherung des IT-Grundschutzes und als gute Basis für ein ISMS an.¹⁹
• Marktzugang: Im Kontext der NIS-2-Lieferkettenanforderungen wird ein VdS 10000-Zertifikat für KMU zu einem wichtigen Nachweis ihrer „Cyber-Compliance“ gegenüber ihren Großkunden.

D. TISAX (Der Branchenstandard-Automotive)

TISAX (Trusted Information Security Assessment Exchange) ist ein branchenspezifischer Standard der deutschen Automobilindustrie (VDA).²⁰ Er basiert auf dem VDA-ISA-Katalog, der wiederum stark an der ISO 27001 ausgerichtet ist, aber branchenspezifische Module (z.B. Prototypenschutz, Datenschutz) hinzufügt.²¹ Die aktuelle Version VDA ISA 6.0 (seit April 2024) ist auf die ISO 27001:2022 abgestimmt.²³

TISAX ist ein etabliertes Beispiel dafür, wie NIS-2-Lieferkettenanforderungen in der Praxis umgesetzt werden: ein verbindliches, audit-basiertes System, das von OEMs auf die gesamte Zulieferkette (Tier-1, Tier-2, etc.) ausgedehnt wird.²⁴

V. Übergreifende Anforderungen und Konzepte

A. Datenschutz-Grundverordnung (DSGVO) und IT-Sicherheit

Die DSGVO ist primär ein Datenschutzgesetz, stellt aber über Artikel 5 und 32 implizite Anforderungen an die IT-Sicherheit. Sie fordert geeignete technische und organisatorische Maßnahmen (TOMs), um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.²⁵ Wichtig ist die Forderung nach einem Prozess zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit dieser TOMs.²⁷ Während NIS-2 die Verfügbarkeit von Diensten schützt, fokussiert die DSGVO auf die Vertraulichkeit und Integrität von Personendaten.²⁸

B. Cloud-Sicherheit (BSI C5)

Moderne Unternehmen nutzen intensiv Cloud-Dienste. Der BSI Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) ist der deutsche Standard zur Beurteilung der Sicherheit von Cloud-Anbietern.²⁹

Der C5-Katalog (aktuell C5:2020) ist für deutsche Unternehmen essenziell, da er über reine Sicherheitskontrollen hinausgeht und Transparenz in politisch sensiblen Bereichen fordert.³¹ Anbieter (wie AWS, Microsoft, Google) müssen in ihren C5-Testaten ²⁹ detailliert Auskunft geben über:

• Datenstandort (Data Location).
• Ort der Leistungserbringung (Service Provisioning).
• Gerichtsstand (Place of Jurisdiction).
• Auskunfts- und Offenlegungspflichten gegenüber staatlichen Stellen.

Dies gibt Unternehmen die notwendige Grundlage, um die Einhaltung der DSGVO und potenzielle Konflikte (z.B. mit dem US CLOUD Act) zu bewerten.³³

VI. Essenzielle Bausteine eines modernen Verteidigungskonzepts

Basierend auf den Bedrohungen und regulatorischen Pflichten, muss ein modernes Verteidigungskonzept mehrere Kernelemente integrieren.

A. Risikomanagement (Kern des ISMS)

Das Risikomanagement ist der Dreh- und Angelpunkt eines jeden ISMS, sei es nach ISO 27001 ³⁴, BSI Standard 200-3 ³⁵ oder als Kernforderung von NIS-2 (§30).³ Es ist der Prozess, durch den ein Unternehmen seine kritischen Assets identifiziert, die Bedrohungen bewertet und entscheidet, welche Maßnahmen (TOMs) zur Risikominimierung ergriffen werden.

B. Incident Response (Reaktion auf den Ernstfall)

Da eine 100-prozentige Sicherheit nicht existiert, ist ein robuster Incident-Response-Plan (Notfallplan) unerlässlich. NIS-2 fordert explizit Pläne zur „Bewältigung von Sicherheitsvorfällen“.¹² Das BSI stellt hierfür, insbesondere für KMU, detaillierte Checklisten bereit.³⁶

Wichtige organisatorische Schritte im Ernstfall ³⁶:

1. Ruhe bewahren und Sofortmaßnahmen einleiten (z.B. Systeme isolieren).
2. Interne Alarmierung: Geschäftsleitung, IT-Sicherheitsbeauftragten (CISO) und Datenschutzbeauftragten (DPO) informieren.
3. Krisenstab einrichten: Rollen und Verantwortlichkeiten klar definieren.
4. Informationssammlung: Was ist passiert? Welche Systeme sind betroffen?
5. Externe Meldungen: Prüfung der Meldepflichten (24h-Frist für NIS-2 ¹², 72h-Frist für DSGVO).
6. Externe Hilfe: Hinzuziehen von spezialisierten Dienstleistern oder (für KRITIS) der Mobile Incident Response Teams (MIRT) des BSI.³⁷

C. Sicherheit der Lieferkette (Supply Chain Security)

Dies ist eine der größten Herausforderungen von NIS-2. Unternehmen sind nun verpflichtet, die Cybersicherheitspraktiken ihrer unmittelbaren Zulieferer und Dienstleister zu bewerten und zu steuern.⁸ Dies ist die „Kodifizierung der Sorgfaltspflicht“ (Codification of Due Diligence).

Die Umsetzung erfolgt primär über ⁸:

• Vertragliche Steuerung: Abschluss detaillierter Service Level Agreements (SLAs), die Sicherheitsanforderungen, Patchmanagement und Meldepflichten bei Vorfällen beim Dienstleister regeln.
• Einforderung von Standards: Verpflichtung der Lieferanten zur Einhaltung von Prinzipien wie „Security by Design“ und „Security by Default“.
• Nachweispflicht: Einfordern von Zertifikaten (z.B. ISO 27001, VdS 10000) oder Durchführung von Audits bei kritischen Lieferanten.

D. Zero Trust Architektur (ZTA)

Zero Trust (ZTA) ist das vorherrschende technische Sicherheitskonzept der Gegenwart. Es bricht mit dem alten „Burg und Graben“-Modell (Perimetersicherheit). Das BSI hat 2023 ein Positionspapier zu ZTA veröffentlicht.⁴⁰

• Kernprinzipien: „Assume Breach“ (Gehe von einem erfolgreichen Angriff aus) und Gewährung minimaler Rechte.⁴⁰ Jeder Zugriff, auch innerhalb des Netzwerks, wird kontinuierlich authentifiziert und autorisiert.
• BSI-Einschätzung: Das BSI sieht ZTA als ganzheitlichen Ansatz, der bekannte Maßnahmen (wie MFA, Mikrosegmentierung) bündelt. Es warnt jedoch auch, dass die Umsetzung ein langfristiges, teures und komplexes Vorhaben ist, dem es aktuell noch an Standardisierung fehlt.⁴⁰ ZTA fokussiert primär auf Vertraulichkeit und Integrität, nicht zwangsläufig auf Verfügbarkeit.⁴⁰

E. Aufkommende Technologien (KI & IoT) und der Faktor Mensch

• Faktor Mensch: Die effektivste Technik versagt, wenn Mitarbeiter ungeschult sind. Mitarbeitersensibilisierung und Schulungen sind eine Mindestanforderung nach NIS-2 ¹² und BSI.⁴¹ Dies umfasst den Umgang mit fremden Datenträgern ⁴², Phishing-Abwehr, Nutzung sicherer Passwörter ⁴³ und die Trennung von privaten und beruflichen Geräten.⁴²
• Internet of Things (IoT): IoT-Geräte (z.B. in der Produktion oder im Smart Building) müssen als integraler Bestandteil der IT-Infrastruktur und des Risikomanagements betrachtet werden.⁴⁴ Das BSI entwickelt hierfür Basisanforderungen und das „IT-Sicherheitskennzeichen“.⁴⁵
• Künstliche Intelligenz (KI): KI-Systeme müssen selbst abgesichert werden. Das BSI arbeitet aktiv an Prüfkriterien und Standards, um die Sicherheit von KI-Modellen (z.B. im Kontext des EU AI Acts) zu bewerten.⁴⁷ Die BSI-Position favorisiert eine risikobasierte und anwendungsspezifische Regulierung.⁴⁷

VII. Strategische Empfehlungen und Fazit

Fazit: Cybersicherheit in Deutschland ist 2025/2026 kein reines IT-Thema mehr, sondern eine strategische GRC-Herausforderung auf Vorstandsebene. Die Konvergenz der „besorgniserregenden“ Bedrohungslage ², der strengen NIS-2-Regulierung ¹² und der persönlichen Haftung der Geschäftsleitung ³ schafft einen unumgänglichen Handlungsdruck.

Strategische Empfehlungen:

1. Ganzheitliches ISMS als Plattform: Unternehmen sollten sofort mit dem Aufbau oder der Anpassung eines integrierten Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001:2022 beginnen.⁵ Dieses ISMS dient als zentrale Plattform zur strukturierten Verwaltung der überlappenden Anforderungen von NIS-2 (§30), DSGVO und potenziellen Branchenstandards.
2. Segment-spezifische Strategie:

• KMU (insb. Zulieferer): Sollten pragmatisch mit der VdS 10000 ¹⁹ beginnen. Dies dient nicht nur der Eigensicherheit, sondern primär dem Erhalt des Marktzugangs als vertrauenswürdiger Lieferant für NIS-2-regulierte Kunden.
• Regulierte Einrichtungen (NIS-2): Müssen zur Minimierung der persönlichen Haftung der Leitungsebene unverzüglich die Implementierung der 10 Mindest-Risikomanagementmaßnahmen ¹² sowie die Etablierung des 24-Stunden-Meldeprozesses priorisieren.

3. Priorität Lieferkette: Unternehmen müssen sofort mit der Risikobewertung ihrer kritischen IT-Dienstleister und Zulieferer beginnen. Bestehende Verträge und SLAs müssen im Hinblick auf die neuen NIS-2-Anforderungen (Incident Reporting, Auditrechte) geprüft und nachverhandelt werden.⁸
4. Budgets und Ressourcen: Die Geschäftsleitung muss die „besorgniserregende“ Lage ² und die neuen Haftungsrisiken ³ als Begründung für eine signifikante Erhöhung der Cyber-Budgets anerkennen. Diese Mittel sind notwendig für Investitionen in moderne Architekturen (wie Zero Trust-Prinzipien) ⁴⁰ und die kontinuierliche Sensibilisierung der Belegschaft.⁴¹

Referenzen

1. IT-Sicherheitslage „besorgniserregend“: Lagebericht des BSI, Zugriff am November 8, 2025, https://publicgovernance.de/html/de/IT_Sicherheitslage_Lagebericht_BSI.htm
2. Die Lage der IT-Sicherheit in Deutschland 2024 – BSI, Zugriff am November 8, 2025, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2024.pdf?__blob=publicationFile&v=5
3. NIS2-Umsetzungsgesetz in Deutschland 2025 – OpenKRITIS, Zugriff am November 8, 2025, https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html
4. KRITIS-Dachgesetz: Resilienz Kritischer Infrastrukturen – OpenKRITIS, Zugriff am November 8, 2025, https://www.openkritis.de/it-sicherheitsgesetz/kritis-dachgesetz-sicherheitsgesetz-3-0.html
5. ISO/IEC 27001 Zertifizierung – Informationssicherheit systematisch managen, Zugriff am November 8, 2025, https://certification.tuv.com/de/de/audits-zertifizierungen/zertifiziernugen-it-security-datenschutz/iso-27001-zertifizierung/
6. Cyberangriffe auf Unternehmen: Welche Trends 2025 deutsche Firmen betreffen werden, Zugriff am November 8, 2025, https://detacon.de/blog/cyberangriffe-auf-unternehmen-welche-trends-2025-deutsche-firmen-betreffen-werden
7. CrowdStrike 2025 European Threat Landscape Report Release, Zugriff am November 8, 2025, https://www.crowdstrike.com/en-us/press-releases/crowdstrike-2025-european-threat-landscape-report-ransomware-hits-region-at-record-pace/
8. BSI – #nis2know: Sichere Lieferkette, Zugriff am November 8, 2025, https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Infopakete/NIS-2-Lieferkette/NIS-2-Lieferkette_node.html
9. KRITIS-Gesetzgebung und BSIG – OpenKRITIS, Zugriff am November 8, 2025, https://www.openkritis.de/it-sicherheitsgesetz/gesetzgebung-kritis-bsig.html
10. Aktueller Stand des NIS-2-Umsetzungsgesetzes – GUTcert, Zugriff am November 8, 2025, https://www.gut-cert.de/de/news-reader/news-2025-01-aktueller-stand-des-nis-2-umsetzungsgesetzes
11. Wann tritt it-Sicherheitsgesetz 3.0 in Kraft? – frag.hugo, Zugriff am November 8, 2025, https://www.fraghugo.de/wann-tritt-it-sicherheitsgesetz-3-0-in-kraft/
12. NIS-2-regulierte Unternehmen – BSI, Zugriff am November 8, 2025, https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/nis-2-regulierte-unternehmen_node.html
13. NIS-2: Ihr Leitfaden zur Cybersicherheit und Konformität – IHK Region Stuttgart, Zugriff am November 8, 2025, https://www.ihk.de/stuttgart/fuer-unternehmen/innovation/digitale-wirtschaft/internet-recht/nis-2-neue-pflichten-fuer-unternehmen-6216836
14. BSI – IKTconcept Consulting & Projektmanagement, Zugriff am November 8, 2025, https://iktconcept.com/it-glossar/bsi/
15. BSI: IT-Grundschutz umfassend modernisiert – IHK Hannover, Zugriff am November 8, 2025, https://www.ihk.de/hannover/hauptnavigation/unternehmensfoerderung/sicherheit/digitale-sicherheit/it-sicherheit/bsi-it-grundschutz-umfassend-modernisiert-5269750
16. ISO 27001 vs. BSI-IT-Grundschutz – Vergleich und Handlungsempfehlungen – WEKA Media, Zugriff am November 8, 2025, https://www.weka.de/unternehmensfuehrung/iso-27001-vs-bsi-it-grundschutz-vergleich-und-handlungsempfehlungen/
17. ISO 27001-Zertifizierung auf Basis von IT-Grundschutz – BSI, Zugriff am November 8, 2025, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Zertifizierung-von-Managementsystemen/ISO-27001-Basis-IT-Grundschutz/iso-27001-basis-it-grundschutz_node.html
18. VdS 10000 – die bessere Wahl für kleine Unternehmen – Cortina Consult, Zugriff am November 8, 2025, https://cortina-consult.com/informationssicherheit/wissen/vds10000/
19. VdS 10000 – Das ISMS für kleine und mittlere Unternehmen (KMU), Zugriff am November 8, 2025, https://vds.de/kompetenzen/cyber-security/zertifizierungen/informationssicherheits-und-datenschutzmanagement/vds-10000-informationssicherheit-fuer-kmu
20. TISAX Compliance for Automotive Suppliers A Complete Guide – VComply, Zugriff am November 8, 2025, https://www.v-comply.com/blog/tisax-compliance/
21. Information security | VDA, Zugriff am November 8, 2025, https://www.vda.de/en/topics/digitization/data/information-security
22. VDA ISA: Information Security Assessment for Automotive (TISAX-Ready), Zugriff am November 8, 2025, https://www.automotivequal.com/vda-isa-questionnaire-a-tool-for-assessing-information-security-management-in-the-automotive-industry/
23. Transition to TISAX VDA ISA Version 6 – DNV, Zugriff am November 8, 2025, https://www.dnv.us/assurance/Management-Systems/new-iso/transition/transition-to-tisax-vda-isa-version-6/
24. Information Security in the Automotive Industry – Tisax® | SGS Germany, Zugriff am November 8, 2025, https://www.sgs.com/en-de/news/2021/09/information-security-in-the-automotive-industry-tisax
25. Art. 5 DSGVO – Grundsätze für die Verarbeitung personenbezogener Daten, Zugriff am November 8, 2025, https://dsgvo-gesetz.de/art-5-dsgvo/
26. Datenschutz in der EU – Datenschutz-Grundverordnung – BMI, Zugriff am November 8, 2025, https://www.bmi.bund.de/SharedDocs/faqs/DE/themen/it-digitalpolitik/datenschutz/datenschutzgrundvo-liste.html
27. DSGVO und IT-Sicherheits-Rahmenrichtlinie – Datenschutz PRAXIS, Zugriff am November 8, 2025, https://www.datenschutz-praxis.de/tom/it-sicherheitsrahmenrichtlinie/
28. Merkblatt Datenschutz und IT-Sicherheit – BAFA, Zugriff am November 8, 2025, https://www.bafa.de/SharedDocs/Downloads/DE/Energie/esz_merkblatt_datenschutz_it.pdf?__blob=publicationFile&v=4
29. Cloud Computing Compliance Criteria Catalogue (C5) – Amazon Web Services, Zugriff am November 8, 2025, https://aws.amazon.com/compliance/bsi-c5/
30. BSI C5:2020 | Google Cloud, Zugriff am November 8, 2025, https://cloud.google.com/security/compliance/bsi-c5
31. Germany C5:2020 – Azure Compliance – Microsoft Learn, Zugriff am November 8, 2025, https://learn.microsoft.com/en-us/azure/compliance/offerings/offering-germany-c5
32. C5 criteria catalogue – BSI, Zugriff am November 8, 2025, https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/kriterienkatalog-c5_node.html
33. Cloud Computing Compliance Criteria Catalog (C5) – Microsoft Learn, Zugriff am November 8, 2025, https://learn.microsoft.com/en-us/compliance/regulatory/offering-c5-germany
34. IT-Risikoanalyse nach ISO 27001: Erklärung & Beispiele – Proliance, Zugriff am November 8, 2025, https://www.proliance.ai/blog/risikoanalyse-iso-27001
35. BSI-Standard 200-3: Risikomanagement, Zugriff am November 8, 2025, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-3-Risikomanagement/bsi-standard-200-3-risikomanagement_node.html
36. I have an IT security incident — organisational checklist – BSI, Zugriff am November 8, 2025, https://www.bsi.bund.de/EN/IT-Sicherheitsvorfall/Unternehmen/Ich-habe-einen-IT-Sicherheitsvorfall-Checkliste-Organisatorisches/ich-habe-einen-it-sicherheitsvorfall-checkliste-organisatorisches_node.html
37. Incident Response – BSI, Zugriff am November 8, 2025, https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/Vorfallunterstuetzung/vorfallsunterstuetzung_node.html
38. Ready to Respond for Germany – BSI, Zugriff am November 8, 2025, https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/reaktion.html
39. 2025 European Supply Chain Cybersecurity: NIS2 & more – BitSight Technologies, Zugriff am November 8, 2025, https://www.bitsight.com/blog/nis2-and-european-supply-chain-security
40. Zero Trust – BSI, Zugriff am November 8, 2025, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Zero-Trust/zero-trust_node.html
41. 10 cyber security tips for companies – BSI, Zugriff am November 8, 2025, https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Unternehmen-allgemein/10-Tipps-zur-Cyber-Sicherheit-fuer-Unternehmen/10-tipps-zur-cyber-sicherheit-fuer-unternehmen_node.html
42. IT security at the workplace – BSI, Zugriff am November 8, 2025, https://www.bsi.bund.de/EN/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Social-Engineering/IT-Sicherheit-am-Arbeitsplatz/it-sicherheit-am-arbeitsplatz.html
43. Basic IT security tips – BSI, Zugriff am November 8, 2025, https://www.bsi.bund.de/EN/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/cyber-sicherheitsempfehlungen_node.html
44. Sicherheitsstandards für Internet-of-Things-Geräte (IoT) – Eidgenössisches Finanzdepartement EFD, Zugriff am November 8, 2025, https://www.efd.admin.ch/dam/de/sd-web/NsF1UaqtrO7C/internet-things-de.pdf
45. IT-Sicherheitsanforderungen und Konformitätsprüfung des IT-Sicherheitskennzeichens – BSI, Zugriff am November 8, 2025, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/IT-Sicherheitskennzeichen/fuer-Hersteller/Sicherheitsanforderungen/IT-SiK-Sicherheitsanforderungen_node.html
46. Consumer IoT – BSI, Zugriff am November 8, 2025, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Consumer-IoT/Consumer-IoT_node.html
47. Antworten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) – Deutscher Bundestag, Zugriff am November 8, 2025, https://www.bundestag.de/resource/blob/949326/67af46a4995d91070d4dfd8275c43eb8/Stellungnahme-BSI-data.pdf
48. Kriterienkataloge des BSI zu KI | usd AG, Zugriff am November 8, 2025, https://www.usd.de/bsi-ki-kriterienkataloge-finanzsektor-verwaltung/