Was am 18. Mai veröffentlicht wurde, sollte jede Geschäftsleitung beunruhigen, die Laptops und Smartphones an Mitarbeiter ausgibt. Der Cyberresilienz-Spezialist Absolute Security hat 750 Chief Information Security Officers aus den USA und Großbritannien befragt. Das zentrale Ergebnis: 57 Prozent der Unternehmen mit mehr als 5.000 Beschäftigten wurden bereits Opfer eines Cyberangriffs, dessen Einstiegspunkt ein Laptop oder ein Smartphone war.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Wieso ist das Endgerät der bevorzugte Einstiegspunkt?
Drei Faktoren machen Endgeräte zur attraktivsten Angriffsfläche der vergangenen zwölf Monate. Erstens wandert ein zunehmender Teil sensibler Daten in den lokalen Speicher der Mitarbeiter, weil Cloud-Synchronisation und Offline-Arbeit Standard sind. Zweitens lockern Home-Office-Setups die Netzwerk-Perimeter, die früher als Schutzwall funktioniert haben. Drittens befindet sich auf jedem Endgerät heute mindestens ein KI-Tool, das Daten an externe Server schickt, ohne dass die IT-Abteilung den vollständigen Überblick hat.
Die Studie zeigt zudem eine gefährliche Selbstüberschätzung. 80 Prozent der befragten Führungskräfte halten ihre Organisation für gut vorbereitet. Die Vorfallquote sagt etwas anderes. Wenn jedes zweite Großunternehmen bereits einmal über ein Endgerät kompromittiert wurde, ist die strategische Lücke zwischen wahrgenommener Sicherheit und realer Angriffsfläche so groß wie nie zuvor.
Was hat Shadow AI mit dem Thema zu tun?
Parallel zu den Endgerät-Angriffen wächst eine zweite Bedrohung, die viele Unternehmen unterschätzen. Branchenexperten sprechen von „Shadow AI“, also dem ungenehmigten Einsatz von KI-Tools durch Mitarbeiter ohne Abstimmung mit der Rechtsabteilung. Der Mitarbeiter speist Kundendaten in ein Sprachmodell, scrapt LinkedIn-Profile mit einer KI-Schnittstelle oder lässt einen Cloud-Drive automatisiert durchsuchen.
Rechtlich sind solche Praktiken in den meisten Fällen Verstöße gegen Artikel 6 der DSGVO. Eine gültige Rechtsgrundlage fehlt schlicht, weil weder Einwilligung noch berechtigtes Interesse die Verarbeitung tragen. Die Aufsichtsbehörden weltweit verschärfen den Kurs.
In Saudi-Arabien hat die Datenaufsicht SDAIA kürzlich 48 separate Strafen wegen Verstößen gegen das dortige Datenschutzgesetz verhängt. In Deutschland sind Bußgelder bei NIS2-Verstößen mit bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes belegt, und Vorstände haften persönlich.
Wer 2026 noch Endgerätesicherheit und Shadow AI als zwei getrennte Probleme behandelt, hat den eigentlichen Punkt verpasst. Die KI-Tools laufen auf genau den Geräten, die heute der bevorzugte Einstiegspunkt sind. Beides muss gemeinsam gemanagt werden, sonst rutscht das Risiko durch jede Tür gleichzeitig.
— Markus Seyfferth, Chefredakteur Dr. Web
Wie groß ist die NIS2-Lücke in Deutschland?
Die neue EU-Richtlinie NIS2 trat am 6. März 2026 in Kraft und verpflichtet etwa 29.500 Unternehmen in Deutschland zur Registrierung beim Bundesamt für Sicherheit in der Informationstechnik. Die ernüchternde Realität: Nach Branchenschätzungen hat erst rund ein Drittel der betroffenen Firmen die Registrierung erfolgreich abgeschlossen. Wer betroffen ist und es nicht weiß, sollte heute prüfen, ob das eigene Geschäft unter die NIS2-Definition fällt. Industrie, Logistik, Handel, Gesundheitswirtschaft und Energieversorger sind die häufigsten Treffer.
Verschärft wird die Lage durch raffinierte Live-Angriffe, die selbst Multi-Faktor-Authentifizierung umgehen. Sicherheitsfirmen warnen vor Adversary-in-the-Middle-Phishing, das Sitzungstoken nach erfolgreicher MFA abfängt und parallel auf den Zielservern nutzt. Ein Microsoft-Bulletin von Anfang Mai hat eine solche Kampagne mit mehr als 35.000 betroffenen Nutzern in 13.000 Organisationen dokumentiert.
Für den Mittelstand ist das relevant, weil dieselben Angriffsmuster aktuell auch in regionalen Notfalleinsätzen auftauchen, etwa in einer Welle, über die IT-Dienstleister aus dem Raum Kassel zuletzt berichteten.
Was sollten Mittelständler diese Woche konkret prüfen?
Drei Punkte gehören in jede IT-Sicherheitssitzung der nächsten Tage. Zunächst die Endgerätestrategie. Welche Geräte synchronisieren welche Daten lokal, welche Anti-Malware-Lösung läuft auf wie vielen davon aktuell, und welche Geräte sind seit mehr als 30 Tagen ohne Patch-Update? Eine ehrliche Bestandsaufnahme nennt typischerweise Zahlen, die niemand hören will.
Als zweites die KI-Nutzung im Haus. Eine kurze Mitarbeiterumfrage zu den eingesetzten KI-Tools liefert oft mehr Klarheit als ein halbjähriges Audit. Wer welches Tool für welche Aufgabe nutzt, welche Daten dabei in welche Cloud fließen, und welche Tools ohne IT-Freigabe installiert wurden. Auf dieser Basis lässt sich eine pragmatische KI-Policy ableiten, die nicht jeden Workflow blockiert, aber rote Linien klar setzt.
Der dritte Punkt ist die NIS2-Pflichtprüfung. Wer noch keine Selbstauskunft beim BSI eingereicht hat, sollte das spätestens diese Woche nachholen. Eine erste Orientierung liefern die offiziellen FAQ des Bundesamts. Für die strukturelle Aufbauarbeit lohnt der Blick in den WordPress-Hosting-Vergleich, weil viele DACH-Hoster inzwischen NIS2-konforme Infrastruktur als Standardpaket anbieten, ohne dass eigene Compliance-Architektur aufgebaut werden muss.
