Ein System wird aktualisiert, ein neuer Dienst geht online, ein weiteres Tool wird integriert. Jeder dieser Schritte erhöht die Geschwindigkeit und Flexibilität im Alltag, bringt aber auch neue Risiken mit sich. Während Prozesse optimiert werden, wächst im Hintergrund eine komplexe Angriffsfläche, die oft nur unvollständig erfasst wird. Welche Rolle spielt IT-Sicherheit heute wirklich für den wirtschaftlichen Erfolg?

Die digitale Gesellschaft hat physische Anstrengungen gegen Geschwindigkeit und Verfügbarkeit eingetauscht. Die Möglichkeit, Dinge sofort und von überall aus zu erledigen, macht vieles bequemer und die Wirtschaft produktiver. Doch der Zugewinn an Komfort hat seinen Preis. Jede neue Softwareanwendung, jedes vernetzte System vergrößert die IT-Landschaft und die damit verbundenen Sicherheitsrisiken. Wer als Unternehmen die Kontrolle über sein digitales Ökosystem verliert, riskiert im Angriffsfall die Existenz seines Betriebs. Darum darf Sicherheit nicht als isoliertes IT-Problem behandelt werden, sondern muss integraler Bestandteil der Wertschöpfungskette sein.

„Digital First“ erfordert „Security First“

Der Bitkom Cyber Security Report (2025) beziffert den jährlichen Schaden durch Cyberattacken in Deutschland auf 202,4 Milliarden Euro. Dieser Wert markiert einen historischen Höchststand und offenbart ein strukturelles Missverhältnis: Die Digitalisierung in den Unternehmen schreitet schneller voran als die technische Absicherung der vernetzten Systeme. Gleichzeitig steigen die Frequenz und Qualität der Cyberangriffe an. Wie BSI-Präsidentin Claudia Plattner im Lagebericht zur Cybersicherheit vom November 2025 ausführte, sind die digitalen Angriffsflächen in Deutschland unzureichend geschützt. Doch gerade kleinere und mittlere Unternehmen (KMU) zögern bei Investitionen in Cybersicherheit und verkennen die Bedrohungslage. Die Annahme, Angreifende fokussierten sich ausschließlich auf DAX-Konzerne, ist eine Fehleinschätzung, die gravierende Folgen haben kann. Denn dem Bericht zufolge richteten sich 80 Prozent der angezeigten Angriffe gegen KMU.

Die NIS-2-Richtlinie ist somit die notwendige Konsequenz, die betroffene Unternehmen gesetzlich zu einem Mindestmaß an Sicherheit und Meldepflichten verpflichtet. Selbst wenn ein KMU zu klein ist, um direkt unter NIS2 zu fallen (unter 50 Mitarbeitende), wird es indirekt zur Bewertung und zum Nachweis seiner IT-Sicherheit gezwungen. Denn größere Unternehmen, die direkt reguliert sind, müssen ihre eigene Lieferkette absichern und geben diese Pflicht per Vertrag an ihre KMU-Zuliefernden weiter. Betriebe, die ihre Schutzmaßnahmen nicht nachweisen können, riskieren, von großen Auftraggebenden als „Sicherheitsrisiko“ aus der Lieferkette ausgeschlossen zu werden.

Historisches Wachstum und infrastrukturelle Komplexität

Das Risiko instabiler IT-Strukturen betrifft Organisationen jeder Größenordnung: Die Integration neuer digitaler Services in technologisch veraltete Bestandssysteme erhöht die Systemkomplexität und untergräbt die IT-Sicherheit. Die ATHENE-Studie zur IT-Sicherheit der Länder (Schulmann/Waidner, Feb. 2026) belegt dies für die öffentliche Verwaltung: Trotz eines Systemzuwachses von über 50 Prozent (2023–2025) blieb eine echte Modernisierung aus, da Cloud-Lösungen meist parallel zu Altsystemen betrieben werden. Diese Fragmentierung erschwert die zentrale Steuerung und schafft unkontrollierbare Sicherheitsrisiken.

Inventarisierungsmethoden, die auf internen Datenbanken basieren, stoßen dabei unweigerlich an ihre Grenzen. Da hier nur erfasst wird, was der IT bereits bekannt ist, bleiben neue Cloud-Dienste, Subdomains oder Anwendungen oft unsichtbar. In der Folge entsteht eine Diskrepanz zwischen der dokumentierten und der tatsächlich existierenden digitalen Angriffsfläche. Eine automatisierte IT-Risikoanalyse (External Attack Surface Management · EASM) liefert hingegen die notwendige Transparenz, indem sie die Perspektive wechselt, alle aus dem Internet erreichbaren Systeme von außen identifiziert und auf deren aktuellen IT-Sicherheitsstatus prüft. Als kontinuierliches Audit erfasst sie Instanzen und Dienste, deckt Fehlkonfigurationen und vergessene Altsysteme (Schatten-IT) auf. Das macht das wahre Ausmaß der IT-Angriffsfläche messbar und liefert die notwendigen Erkenntnisse, um potenzielle Sicherheitslücken gezielt zu schließen.

Fakten statt bloßer Dokumentation

Und dennoch: In vielen Organisationen wiegt der bürokratische Nachweis via Zertifikat mehr als die technische Risikoanalyse der IT-Infrastruktur. Die formelle Zertifizierung suggeriert dem Management eine Sicherheit, die einer kritischen technischen Überprüfung im Alltag oft nicht standhält. Die empirischen Daten des Forschungszentrums ATHENE verdeutlichen, dass Zertifizierungen primär prozessuale Theorie abbilden, jedoch keinen messbaren Vorsprung in der technischen IT-Sicherheit belegen. Da solche Audits systemisch auf Stichproben und Dokumentationsnachweisen basieren, bleibt die reale technische Angriffsfläche meist unbewertet.

Ein External Attack Surface Management (EASM), also eine kontinuierliche Analyse aller von außen erreichbaren IT-Systeme eines Unternehmens, dient hier als objektive Kontrollinstanz. Während Zertifizierungen vor allem Prozesse und Dokumentation prüfen, liefert EASM faktenbasierte Daten über tatsächliche Risiken. Durch die laufende Analyse der externen Angriffsfläche werden Schwachstellen identifiziert und nach ihrem Risiko priorisiert. So wird Cybersicherheit von einer reinen Nachweispflicht zu einem messbaren technischen Zustand.

Das neue Tempo: Exploits in Minuten

Die Integration von KI-Modellen in die Softwareentwicklung hat die Geschwindigkeit von Angriff und Abwehr in der Cybersicherheit deutlich erhöht. Während Unternehmen automatisierte Updates einsetzen, um Sicherheitslücken schneller zu schließen, nutzen Cyberkriminelle Künstliche Intelligenz, um sie schneller aufzuspüren und auszunutzen. So sind funktionsfähige Exploits, also einsatzfähige Angriffsprogramme für eine konkrete Sicherheitslücke, oft schon wenige Minuten nach deren Bekanntwerden verfügbar.

Unter diesen Bedingungen verlieren klassische Patch-Zyklen an Wirkung. Dabei handelt es sich um festgelegte Zeiträume, in denen Unternehmen Sicherheitsupdates einspielen. In der Praxis bedeutet das: Systeme können bereits angegriffen werden, während das IT-Team noch prüft, wie kritisch eine neu entdeckte Schwachstelle tatsächlich ist.

Zusätzlich erschwert ein weiteres Problem die schnelle Reaktion: Neue Sicherheitslücken werden in der zentralen National Vulnerability Database (NVD) zwar erfasst, ihre Bewertung durch das National Institute of Standards and Technology (NIST) erfolgt jedoch häufig mit erheblicher Verzögerung. Dadurch fehlen Unternehmen die Bewertungsdaten, um neue Schwachstellen zügig zu priorisieren und zu schließen. Um diesen Rückstand auszugleichen, kommen KI-gestützte Verfahren zum Einsatz. Sie identifizieren und bewerten Schwachstellen unabhängig von den Analysezyklen des NIST.

Damit diese Informationen auch direkt nutzbar werden, braucht es eine technische Verbindung zu den bestehenden Sicherheitssystemen. Genau hier setzt das Model Context Protocol (MCP) an. Es handelt sich um eine standardisierte Schnittstelle, über die Analyseergebnisse automatisch in die IT-Sicherheitslösungen eines Unternehmens übertragen werden können. Anstatt Daten nur in einzelnen Tools oder Dashboards zu sammeln, werden sie so direkt in laufende Prozesse eingebunden. Das ermöglicht es, Risiken schneller zu erkennen, zu bewerten und priorisiert zu bearbeiten. Da alle Systeme auf dieselbe, verlässliche Datenbasis zugreifen, sinkt zudem das Risiko fehlerhafter oder ungenauer Einschätzungen.

Autonome Resilienz im europäischen Rechtsraum

Die technologische Entwicklung geht inzwischen über das reine Erkennen von Schwachstellen hinaus. KI kann nicht nur analysieren, sondern auch Absicherungsmaßnahmen umsetzen. Das Model Context Protocol (MCP) macht diese Fähigkeit für die Cybersicherheit nutzbar: Es ermöglicht IT-Sicherheitsverantwortlichen, KI standardisiert mit den Daten und Werkzeugen der bestehenden Sicherheitsinfrastruktur zu verbinden. So lassen sich Schwachstellen schneller priorisieren und unmittelbar schließen, zum Beispiel indem ein veraltetes System automatisch isoliert wird, bevor es ausgenutzt werden kann.

Für Unternehmen in Europa ergibt sich daraus eine besondere Anforderung: Je stärker solche Systeme automatisiert arbeiten, desto wichtiger ist es, dass die zugrunde liegenden Daten verlässlich und geschützt sind. Deshalb ist es entscheidend, dass sowohl die Anbietenden der Lösung als auch die Betreibenden des Rechenzentrums in Europa ansässig und unabhängig von US-Konzernen sind. Nur so lassen sich automatisierte Sicherheitsmaßnahmen mit den Anforderungen an Datenschutz und digitale Souveränität vereinbaren und Zugriffe ausländischer Behörden vermeiden.

Quellen und Nachweise

Literatur

• Bitkom e.V.: Studie „Wirtschaftsschutz 2025“
• Bundesamt für Sicherheit in der Informationstechnik (BSI): Die Lage der IT-Sicherheit in Deutschland 2025. Bonn, November 2025.
• Schulmann, H. (2026): Cybernation Deutschland – Sicherheit der IT der Länder. Studie der externen Angriffsfläche der 16 Bundesländer (2023-2025). Nationales Forschungszentrum für angewandte Cybersicherheit ATHENE / Goethe-Universität Frankfurt am Main, Januar 2026.