Deutsche Unternehmen wiegen sich in gefährlicher Sicherheit: Laut dem Cyber Security Report 2026 von Schwarz Digits unterschätzen 48 Prozent der befragten Firmen ihre Verpflichtungen unter der NIS2-Richtlinie massiv. Bei umsatzstarken Kleinunternehmen mit 10 bis 49 Mitarbeitern und mehr als 10 Millionen Euro Jahresumsatz schließen sogar 92 Prozent eine Betroffenheit fälschlicherweise aus – obwohl sie regulierungspflichtig sind.

Die repräsentative Umfrage unter 1.001 deutschen Unternehmen offenbart ein dramatisches Informationsdefizit. Während Cyberangriffe der deutschen Wirtschaft jährlich über 202 Milliarden Euro kosten und 70 Prozent aller Wirtschaftsschäden ausmachen, fehlt vielen Betrieben das Bewusstsein für ihre rechtlichen Pflichten. Die NIS2-Richtlinie ist in Deutschland seit dem 6. Dezember 2025 in Kraft und sieht empfindliche Sanktionen vor: Bei besonders wichtigen Einrichtungen drohen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, bei wichtigen Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent.

„Cybersicherheit ist im Jahr 2026 keine IT-Aufgabe mehr, sondern eine Existenzfrage für jede Geschäftsführung“, warnt Christian Müller, Co-CEO von Schwarz Digits. „Wer NIS2 als bürokratische Last missversteht, riskiert nicht nur schmerzhafte Sanktionen, sondern die operative Substanz seines Unternehmens.“

Besonders kritisch: 62 Prozent der Unternehmen fühlen sich bei der NIS2-Einführung von Behörden unzureichend unterstützt. Nur 21 Prozent attestieren politischen und verwaltungstechnischen Maßnahmen ausreichenden Schutz. Die Länder schneiden mit 7 Prozent positiver Bewertung am schlechtesten ab, gefolgt von Kommunen mit 12 Prozent und dem Bund mit 15 Prozent.

Künstliche Intelligenz als unterschätztes Risiko

Während 73 Prozent der großen Unternehmen klare Regeln zum KI-Einsatz implementiert haben, stufen 54 Prozent aller Befragten das Cyberrisiko durch KI-Nutzung als nicht oder überhaupt nicht vorhanden ein. Dr. Alexander Schellong, Managing Director Institutes, Accelerators & Cybersecurity bei Schwarz Digits, zeichnet ein düsteres Bild: „In den nächsten zwölf Monaten werden autonome KI-Angriffe unsere heutigen Sicherheitsansätze überrennen. Ein zentrales Ziel wird dabei die Manipulation von KI-Entscheidungen in der realen Welt sein – der sogenannte kinetische Prompt-Hack.“

Mit diesem Begriff beschreibt Schellong Angriffe, bei denen manipulierte Eingaben die KI-Systeme zu Entscheidungen bringen, die physische Konsequenzen haben – etwa in autonomen Systemen, Robotik oder Steuerungssystemen. Die Gefahr: Solche Angriffe erfordern keine menschliche Interaktion und sind schwer zu verhindern.

Lieferketten als Einfallstor

Jedes zweite Unternehmen registriert Angriffe bei Zulieferern, doch 75 Prozent verzichten auf regelmäßige Sicherheitsaudits ihrer Partner. Nur ein Drittel überblickt die tatsächlichen Abhängigkeiten in der Lieferkette. Besonders verheerend: IT-Dienstleister und kompromittierte Software-Updates zählen zu den schadenträchtigsten Bedrohungen. Nach Lieferkettenangriffen kann die vollständige Betriebswiederherstellung bis zu 30 Tage dauern.

Die Cybersicherheitsbudgets liegen zwar im Durchschnitt bei 17 Prozent des IT-Budgets, bleiben aber reaktiv und regulatorisch getrieben. Trotz der massiven Bedrohungslage investieren nur 13 Prozent der Unternehmen gezielt in dedizierte Ressourcen zur Reduktion technologischer Abhängigkeiten – obwohl 42 Prozent bereit wären, für souveräne Lösungen mehr zu bezahlen.

Digitale Souveränität bleibt Wunschdenken

Mit dem EU Cloud Sovereignty Framework führt der Report ein neues Bewertungsmodell für digitale Souveränität ein. Von 27 analysierten Enterprise-Produkten erfüllen nur 10 die EU-Mindestanforderungen. EU-basierte Open-Source-Lösungen führen das Ranking an, während außereuropäische proprietäre Plattformen oft aufgrund jurisdiktioneller Abhängigkeiten wie dem US CLOUD Act durchfallen. Dennoch fließen aktuell 80 Prozent der EU-Softwareausgaben an US-Anbieter.

„Digitale Souveränität ist zur strategischen Notwendigkeit gereift“, betont Rolf Schumann, Co-CEO von Schwarz Digits. „Wer sich in einseitige Abhängigkeiten außereuropäischer Plattformen begibt, verliert langfristig die Kontrolle über seine Daten und seine Handlungsfähigkeit.“

Die Frustration über rein defensive Strategien zeigt sich deutlich: 79 Prozent der Unternehmen befürworten staatliche Hackbacks, über 50 Prozent wünschen sich Hackback-Befugnisse sogar für private Akteure. Der Report wertet dies als Zeichen wachsender Frustration über die defensive Positionierung gegenüber professionalisierten Angreifern.

Der vollständige Cyber Security Report 2026 wurde am 5. März 2026 auf der Cyber Security Conference in Heilbronn veröffentlicht.

(fo)

Soll der Staat soziale Medien für Minderjährige verbieten – und sollen alle Nutzer*innen beweisen müssen, dass sie keine Kinder mehr sind? Darum geht es in der international brodelnden Social-Media-Debatte. Australien hat ein solches Social-Media-Verbot seit Dezember. Nachmachen möchten das unter anderem die CDU, Bundeskanzler Friedrich Merz und SPD-Vizekanzler Lars Klingbeil sowie die Staats- und Regierungschef*innen weiterer EU-Länder.

In Umfragen klopfen Meinungsforscher*innen ab, wie Menschen in Deutschland das bewerten. Welche Social-Media-Regulierung ist gut, welche schlecht? Die bisherigen Ergebnisse zeigen: Je differenzierter man fragt, desto differenzierter sind die Antworten.

Mehrheiten für Verbote: Es kommt aufs Alter an

Jüngst hat das Deutsche Institut für Wirtschaftsforschung (DIW) die Ergebnisse einer repräsentativen Umfrage mit 2.685 Menschen aus Deutschland veröffentlicht. Das australische Modell mit einer Altersgrenze von 16 Jahren fällt bei den Befragten durch: Die Mehrheit von 50,4 Prozent lehnt es ab, nur 33 Prozent finden es gut.

Mit einer niedrigen Altersgrenze von 12 Jahren dagegen könnten sich laut DIW die meisten anfreunden: 71 Prozent befürworten das.

Im Widerspruch zur DIW-Umfrage stehen ältere Umfragen des ifo Instituts und des Instituts Insa. Demnach befürworten die meisten Deutschen durchaus ein Verbot bis 16 Jahre. Die Befragten hatten aber nicht die Wahl zwischen mehreren Altersstufen. Eine breite Palette an Altersstufen bekamen dagegen die Befragten durch das Bundesinstitut für Bevölkerungsforschung vorgesetzt. Die meisten (38 Prozent) entschieden sich für 14 Jahre.

14 Jahre ist auch die Grenze, auf die sich jüngst die CDU per Parteitagsbeschluss geeinigt hat. Wichtige SPD-Politiker*innen wollen sie ebenso haben. Hierzu gibt es auch eine Erhebung der Forschungsgruppe Wahlen für das ZDF-Politbarometer: Demnach finden das 81 Prozent der Befragten gut.

Wer nicht weiter bohrt, könnte an dieser Stelle den Eindruck gewinnen: Solange die Altersgrenze nicht zu hoch ist, dürfte ein Social-Media-Verbot bei den meisten Menschen in Deutschland auf Wohlwollen stoßen. Aber das greift zu kurz.

Alterskontrollen für alle: Die Frage, die fast niemand stellt

Ein Social-Media-Verbot allein würde zunächst wenig ändern, denn Altersgrenzen für soziale Medien gibt es schon heute. Viele der größten Plattformen schreiben ein Mindestalter von 13 Jahren vor und löschen Accounts, die mutmaßlich jüngeren Menschen gehören. Das betrifft etwa Instagram oder TikTok. Bei YouTube beträgt das offizielle Mindestalter sogar 16 Jahre. Würde es nach CDU und SPD gehen, dürften Kinder YouTube künftig schon früher legal nutzen als heute.

Ob 12, 14 oder 16 Jahre, der Fokus auf das Alter verkennt den springenden Punkt: die Durchsetzung. Begleitet werden sollen die derzeit diskutierten Social-Media-Verbote nämlich in aller Regel von zuverlässigen Alterskontrollen.

Im Gespräch sind etwa Verfahren, bei denen alle Menschen gegenüber vielen wichtigen Plattformen per Ausweis belegen müssen, dass sie schon alt genug sind. Sonst können sie beispielsweise kein Video auf YouTube liken. Eine häufige Alternative zu Ausweiskontrollen sind biometrische Scans des Gesichts. Auf deren Grundlage soll eine (oft als KI bezeichnete) Software eine Schätzung anstellen. Dabei passieren häufig Fehler.

Solche und weitere Verfahren zur Durchsetzung von Alterskontrollen können sehr invasiv sein. Sie bedeuten nicht nur mehr Frickelei und mehr Hürden für alle Menschen im Netz, sondern greifen auch in die Privatsphäre ein; bergen die Gefahr von Datenschutz-Skandalen – und schließen Hunderttausende Menschen aus, die schlicht keine Papiere haben, um Kontrollen zu meistern. Hunderte Forscher*innen aus Technologie und IT-Sicherheit warnen deshalb eindringlich vor den Folgen von Alterskontrollen.

Das führt zu einer Kernfrage der Social-Media-Debatte: Sind Sie bereit, sich im Internet großflächigen Kontrollen ihrer Ausweispapiere zu unterziehen oder ihr Gesicht scannen zu lassen?

Dieser Aspekt fehlt in den Umfragen vieler Meinungsforscher*innen. Daran gedacht hat zumindest das Institut YouGov im Auftrag des Internet-Branchenverbands eco. Das Ergebnis: Die meisten Befragten wollen solche Kontrollen nicht haben.

• Eine Altersprüfung durch offiziell ausgestellte Dokumente befürworten demnach 44 Prozent.
• Eine KI-basierte Altersschätzung befürworten nur 10 Prozent.

Dennoch wollen die meisten der von YouGov befragten Menschen (82 Prozent) eine Altersgrenze für Social Media. Das legt den Verdacht nahe: Viele finden ein Verbot gut, solange es sie nicht selbst einschränkt.

Breite Mehrheiten für mildere Regulierung

Social-Media-Verbote sind das schärfste Mittel im Versuch, junge Menschen vor digitalen Risiken zu schützen. Sie schränken umfassend Grundrechte wie Teilhabe und Information ein. Es gibt aber auch mildere Mittel. Genau danach hat das DIW gefragt – und reihenweise Zustimmung geerntet. Zum Beispiel:

• „Kinder und Jugendliche sollten besser in Medienkompetenz geschult werden, um soziale Medien sicher nutzen zu können“ – rund 94 Prozent dafür.
• „Eltern sollten stärker darauf achten, wie ihre Kinder soziale Medien nutzen“ – rund 95 Prozent dafür.
• „Für Kinder und Jugendliche sollten nur eingeschränkte Konten (‚Basisaccounts‘) verfügbar sein, bei denen problematische Funktionen – etwa die Kontaktaufnahme durch fremde Personen – deaktiviert sind“ – rund 88 Prozent dafür.

Einen ähnlichen Tenor hatte die Umfrage einer Marktforschungs-Agentur mit 857 Eltern und Kindern, die wir im Januar besprochen haben. Demnach wollten die befragten Kinder, Jugendlichen und Eltern soziale Medien lieber einschränken als verbieten.

Diese Tendenzen zeigen: Es braucht Fragen nach alternativen Ansätzen zu einem Social-Media-Verbot, denn sie machen differenzierte Ansichten in der Bevölkerung überhaupt erst sichtbar.

Soziale Medien: Mehrheit der Deutschen hat differenziertes Bild

Die meisten Menschen in Deutschland sehen offenbar, dass soziale Medien sowohl gut als auch schlecht sein können. Auch das zeigen die Ergebnisse der neuen DIW-Umfrage.

• Risiken sozialer Medien sieht die überwältigende Mehrheit der Befragten. Rund 90 Prozent sagen: „Soziale Medien stellen für Kinder und Jugendliche erhebliche Gefahren dar (zum Beispiel durch Mobbing, sexualisierte Inhalte oder Kontakte mit Fremden).“
• Chancen sozialer Medien sieht eine kleinere, aber immer noch absolute Mehrheit von rund 63 Prozent. Sie sagen: „Soziale Medien bieten Kindern und Jugendlichen wichtige Chancen (zum Beispiel sich auszutauschen, kreativ zu sein oder Zugang zu Informationen und gesellschaftlicher Teilhabe zu erhalten).“
• Sowohl Chancen als auch Risiken erkennt ebenso eine absolute Mehrheit von rund 57 Prozent.
• Nichts als Risiken in sozialen Medien sieht eine Minderheit von rund 19 Prozent, also rund jede*r Fünfte. „Zu dieser Gruppe gehören häufiger Ältere, Lehrkräfte sowie Personen, die soziale Medien nicht nutzen“, ergänzen die DIW-Forschenden.

Das ambivalente Bild der DIW-Umfrage zeigt: Es geht viel Information verloren, wenn Meinungsforschende nur nach Verboten fragen. Solche Zuspitzungen machen Abwägungen unsichtbar, die Menschen durchaus treffen würden, wenn man ihnen die Gelegenheit dazu gibt.

Umfragen sind keine Volksabstimmung

Ein typischer Medienbericht über Meinungsumfragen endet, sobald alle wichtigen Zahlen abgehandelt wurden. In der Folge können die verschiedenen Lager einer Kontroverse die Zahlen als Argument nutzen. Das dürfte auch hier der Fall sein: Das ZDF-Politbarometer gießt Wasser auf die Mühlen der Fans eines Social-Media-Verbots. Die DIW-Umfrage gießt Wasser auf die Mühlen der Kritiker*innen. In beiden Fällen drohen Fehlschlüsse.

Meinungsumfragen messen Meinungen; sie sind keine Volksabstimmungen. In der Social-Media-Debatte können Umfragen Hinweise liefern, welche Maßnahmen Menschen eher akzeptieren oder ablehnen würden. Was aber keine Meinungsumfrage messen kann: Ob eine Regulierung legitim, geeignet, erforderlich und angemessen ist. Dabei sind das die entscheidenden Fragen, an denen sich Regulierungen in einer Demokratie messen lassen müssen.

Wenn es um ein Social-Media-Verbot geht, spielt es dennoch eine große Rolle, wie sehr Menschen es akzeptieren. Denn so ein Verbot trifft alle unmittelbar. Alle müssten sich zu den neuen Hürden und Kontrollen verhalten. Man kann sich entweder fügen und den Ausweis zücken – oder sich widersetzen und die Kontrollen umgehen. Der Erfolg eines Social-Media-Verbots hängt eng damit zusammen, wie Menschen damit umgehen.

Die DIW-Forschenden schlussfolgern:

Die Ergebnisse verdeutlichen, dass eine wirksame Regulierung der Social-Media-Nutzung für Kinder und Jugendliche nicht nur auf pauschale Verbote setzen sollte. Differenzierte Maßnahmenbündel werden von großen Teilen der Bevölkerung akzeptiert und haben daher größere Chancen auf Umsetzung.

Für ein einheitliches Social-Media-Verbot mit flächendeckenden Alterskontrollen bräuchte es neue Gesetze in der EU. Keine neuen Regulierungen bräuchte es dagegen für mildere Mittel. Denn dafür gibt es schon das relativ neue Gesetz über digitale Dienste (DSA). Gerade läuft sogar ein Verfahren gegen TikTok, weil die EU-Kommission findet: das „süchtig machende Design von TikTok verstößt gegen den DSA“.

Welchen Weg wollen Staaten einschlagen? Mit dieser Fragen beschäftigen sich gerade gleich zwei Expert*innen-Kommissionen: Sowohl auf Deutschland-Ebene als auch auf EU-Ebene sollen Fachleute bis Sommer Antworten zur Social-Media-Debatte vorlegen.

Die Unternehmen asgoodasnew und Kirstein haben ihre Kunden in E-Mails über IT-Vorfälle in ihren Onlineshops informiert. Gemein ist beiden das genutzte Oxid-eShop-System, auf das womöglich gerade eine Angriffswelle anläuft. Inzwischen ist klar, dass ein Zahlungsmodul die Sicherheitslücke aufweist.

Der Musikinstrument-Versender Kirstein weist auf einer eigenen Webseite auf den IT-Sicherheitsvorfall hin. Demnach bemerkte das Unternehmen am 27. Februar 2026 „eine sicherheitsrelevante Auffälligkeit“ und versetzte den Onlineshop zunächst in den Wartungsmodus, um ihn etwa 15 Minuten nach Kenntnis vollständig offline zu nehmen. Der Cyberangriff stehe „im Zusammenhang mit einem Modul“ des Onlineshops (derzeit Oxid eShop Enterprise Edition Version 6). Die Sicherheitslücke sei geschlossen und die Schutzmechanismen sowie das Monitoring verstärkt worden – genauere Informationen nennt Kirstein jedoch nicht.

Die Angreifer können Zugriff auf Zugangsdaten zum Onlineshop erlangt haben, laut Kirstein also E-Mail-Adresse und gegebenenfalls Passwort-Hash – der lässt sich jedoch nicht einfach in das Passwort rückübersetzen. Hinweise darauf, dass weitere Adressdaten und Kundeninformationen wie Liefer- und Rechnungsanschriften oder Bestell- und Zahlungsdaten betroffen sind, gebe es bisher nicht. Zur Sicherheit hat Kirstein aktive Sitzungen beendet und die Kunden-Logins zurückgesetzt, sodass Kunden neue Passwörter setzen müssen. Kirstein warnt die Kunden zudem vor möglichem Phishing mit gefälschten Nachrichten: Echte Mails stammen ausschließlich von der @kirstein.de-Domain, das Unternehmen frage nicht nach Passwörtern und schließlich sollten Kunden die Zugangsdaten nur auf der korrekten kirstein.de-Domain eingeben.

Weiterer geknackter Onlineshop

Auf der Webseite von asgoodasnew findet sich keine Versionsnummer des verwendeten Oxid-eShop-Systems. Das Unternehmen weist in E-Mails an Kunden jedoch auf den Hersteller hin und erklärt, dass der Onlineshop am 1. März 2026 durch einen gezielten Cyberangriff kompromittiert wurde. asgoodasnew wird jedoch etwas konkreter: Auch andere Onlineshops seien betroffen, die Sicherheitslücke betreffe ein Zahlungsmodul eines Drittanbieters für das System. Angreifer konnten dadurch Zugriff auf die Datenbank erlangen. Welches Zahlungsmodul von welchem Anbieter konkret verwundbar ist, führt das Start-up nicht aus.

Bei asgoodasnew sind nach bisherigen Erkenntnissen die Stammdaten wie Name und Anschrift sowie die E-Mail-Adresse, der Bestellverlauf und Passwort-Hashes vom Datenleck betroffen. Auch asgoodasnew warnt vor gezieltem Phishing, das mit diesen Daten glaubhafter gestaltet werden kann. Kunden sollen sicherheitshalber die „Passwort vergessen“-Funktion auf der Webseite nutzen, um ihr Passwort zurückzusetzen. Auf der Webseite finden sich anders als bei Kirstein jedoch keine Hinweise auf den IT-Vorfall.

Oxid eShop: Lücke gefunden, Kundeninformation geplant

Der Hersteller des Oxid-eShop-Systems konnte jedoch Licht ins Dunkel bringen. Auf telefonische Anfrage teilte Oxid uns mit, dass das Unternehmen im Laufe des Donnerstags dieser Woche eine E-Mail an potenziell betroffene Kunden versenden will, die über eine Sicherheitslücke im Klarna-Payment-Modul informiert. Ein Patch ist demnach bereits verfügbar. Die E-Mail soll zudem eine konkrete Anleitung zum Schließen des Sicherheitslecks enthalten. Shopbetreiber, die noch keine Informationen dazu haben, sollten bis dahin zumindest das Klarna-Modul deaktivieren oder entfernen und ihr System auf Spuren von unbefugten Zugriffen untersuchen. Derzeit sind uns noch keine Hinweise für (erfolgreiche) Angriffe (Indicators of Compromise, IOC) bekannt. Wir ergänzen gegebenenfalls diese Meldung bei Verfügbarkeit.

(dmk)