Deutsche Unternehmen wiegen sich in gefährlicher Sicherheit: Laut dem Cyber Security Report 2026 von Schwarz Digits unterschätzen 48 Prozent der befragten Firmen ihre Verpflichtungen unter der NIS2-Richtlinie massiv. Bei umsatzstarken Kleinunternehmen mit 10 bis 49 Mitarbeitern und mehr als 10 Millionen Euro Jahresumsatz schließen sogar 92 Prozent eine Betroffenheit fälschlicherweise aus – obwohl sie regulierungspflichtig sind.

Die repräsentative Umfrage unter 1.001 deutschen Unternehmen offenbart ein dramatisches Informationsdefizit. Während Cyberangriffe der deutschen Wirtschaft jährlich über 202 Milliarden Euro kosten und 70 Prozent aller Wirtschaftsschäden ausmachen, fehlt vielen Betrieben das Bewusstsein für ihre rechtlichen Pflichten. Die NIS2-Richtlinie ist in Deutschland seit dem 6. Dezember 2025 in Kraft und sieht empfindliche Sanktionen vor: Bei besonders wichtigen Einrichtungen drohen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, bei wichtigen Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent.

„Cybersicherheit ist im Jahr 2026 keine IT-Aufgabe mehr, sondern eine Existenzfrage für jede Geschäftsführung“, warnt Christian Müller, Co-CEO von Schwarz Digits. „Wer NIS2 als bürokratische Last missversteht, riskiert nicht nur schmerzhafte Sanktionen, sondern die operative Substanz seines Unternehmens.“

Besonders kritisch: 62 Prozent der Unternehmen fühlen sich bei der NIS2-Einführung von Behörden unzureichend unterstützt. Nur 21 Prozent attestieren politischen und verwaltungstechnischen Maßnahmen ausreichenden Schutz. Die Länder schneiden mit 7 Prozent positiver Bewertung am schlechtesten ab, gefolgt von Kommunen mit 12 Prozent und dem Bund mit 15 Prozent.

Künstliche Intelligenz als unterschätztes Risiko

Während 73 Prozent der großen Unternehmen klare Regeln zum KI-Einsatz implementiert haben, stufen 54 Prozent aller Befragten das Cyberrisiko durch KI-Nutzung als nicht oder überhaupt nicht vorhanden ein. Dr. Alexander Schellong, Managing Director Institutes, Accelerators & Cybersecurity bei Schwarz Digits, zeichnet ein düsteres Bild: „In den nächsten zwölf Monaten werden autonome KI-Angriffe unsere heutigen Sicherheitsansätze überrennen. Ein zentrales Ziel wird dabei die Manipulation von KI-Entscheidungen in der realen Welt sein – der sogenannte kinetische Prompt-Hack.“

Mit diesem Begriff beschreibt Schellong Angriffe, bei denen manipulierte Eingaben die KI-Systeme zu Entscheidungen bringen, die physische Konsequenzen haben – etwa in autonomen Systemen, Robotik oder Steuerungssystemen. Die Gefahr: Solche Angriffe erfordern keine menschliche Interaktion und sind schwer zu verhindern.

Lieferketten als Einfallstor

Jedes zweite Unternehmen registriert Angriffe bei Zulieferern, doch 75 Prozent verzichten auf regelmäßige Sicherheitsaudits ihrer Partner. Nur ein Drittel überblickt die tatsächlichen Abhängigkeiten in der Lieferkette. Besonders verheerend: IT-Dienstleister und kompromittierte Software-Updates zählen zu den schadenträchtigsten Bedrohungen. Nach Lieferkettenangriffen kann die vollständige Betriebswiederherstellung bis zu 30 Tage dauern.

Die Cybersicherheitsbudgets liegen zwar im Durchschnitt bei 17 Prozent des IT-Budgets, bleiben aber reaktiv und regulatorisch getrieben. Trotz der massiven Bedrohungslage investieren nur 13 Prozent der Unternehmen gezielt in dedizierte Ressourcen zur Reduktion technologischer Abhängigkeiten – obwohl 42 Prozent bereit wären, für souveräne Lösungen mehr zu bezahlen.

Digitale Souveränität bleibt Wunschdenken

Mit dem EU Cloud Sovereignty Framework führt der Report ein neues Bewertungsmodell für digitale Souveränität ein. Von 27 analysierten Enterprise-Produkten erfüllen nur 10 die EU-Mindestanforderungen. EU-basierte Open-Source-Lösungen führen das Ranking an, während außereuropäische proprietäre Plattformen oft aufgrund jurisdiktioneller Abhängigkeiten wie dem US CLOUD Act durchfallen. Dennoch fließen aktuell 80 Prozent der EU-Softwareausgaben an US-Anbieter.

„Digitale Souveränität ist zur strategischen Notwendigkeit gereift“, betont Rolf Schumann, Co-CEO von Schwarz Digits. „Wer sich in einseitige Abhängigkeiten außereuropäischer Plattformen begibt, verliert langfristig die Kontrolle über seine Daten und seine Handlungsfähigkeit.“

Die Frustration über rein defensive Strategien zeigt sich deutlich: 79 Prozent der Unternehmen befürworten staatliche Hackbacks, über 50 Prozent wünschen sich Hackback-Befugnisse sogar für private Akteure. Der Report wertet dies als Zeichen wachsender Frustration über die defensive Positionierung gegenüber professionalisierten Angreifern.

Der vollständige Cyber Security Report 2026 wurde am 5. März 2026 auf der Cyber Security Conference in Heilbronn veröffentlicht.

(fo)

Soll der Staat soziale Medien für Minderjährige verbieten – und sollen alle Nutzer*innen beweisen müssen, dass sie keine Kinder mehr sind? Darum geht es in der international brodelnden Social-Media-Debatte. Australien hat ein solches Social-Media-Verbot seit Dezember. Nachmachen möchten das unter anderem die CDU, Bundeskanzler Friedrich Merz und SPD-Vizekanzler Lars Klingbeil sowie die Staats- und Regierungschef*innen weiterer EU-Länder.

In Umfragen klopfen Meinungsforscher*innen ab, wie Menschen in Deutschland das bewerten. Welche Social-Media-Regulierung ist gut, welche schlecht? Die bisherigen Ergebnisse zeigen: Je differenzierter man fragt, desto differenzierter sind die Antworten.

Mehrheiten für Verbote: Es kommt aufs Alter an

Jüngst hat das Deutsche Institut für Wirtschaftsforschung (DIW) die Ergebnisse einer repräsentativen Umfrage mit 2.685 Menschen aus Deutschland veröffentlicht. Das australische Modell mit einer Altersgrenze von 16 Jahren fällt bei den Befragten durch: Die Mehrheit von 50,4 Prozent lehnt es ab, nur 33 Prozent finden es gut.

Mit einer niedrigen Altersgrenze von 12 Jahren dagegen könnten sich laut DIW die meisten anfreunden: 71 Prozent befürworten das.

Im Widerspruch zur DIW-Umfrage stehen ältere Umfragen des ifo Instituts und des Instituts Insa. Demnach befürworten die meisten Deutschen durchaus ein Verbot bis 16 Jahre. Die Befragten hatten aber nicht die Wahl zwischen mehreren Altersstufen. Eine breite Palette an Altersstufen bekamen dagegen die Befragten durch das Bundesinstitut für Bevölkerungsforschung vorgesetzt. Die meisten (38 Prozent) entschieden sich für 14 Jahre.

14 Jahre ist auch die Grenze, auf die sich jüngst die CDU per Parteitagsbeschluss geeinigt hat. Wichtige SPD-Politiker*innen wollen sie ebenso haben. Hierzu gibt es auch eine Erhebung der Forschungsgruppe Wahlen für das ZDF-Politbarometer: Demnach finden das 81 Prozent der Befragten gut.

Wer nicht weiter bohrt, könnte an dieser Stelle den Eindruck gewinnen: Solange die Altersgrenze nicht zu hoch ist, dürfte ein Social-Media-Verbot bei den meisten Menschen in Deutschland auf Wohlwollen stoßen. Aber das greift zu kurz.

Alterskontrollen für alle: Die Frage, die fast niemand stellt

Ein Social-Media-Verbot allein würde zunächst wenig ändern, denn Altersgrenzen für soziale Medien gibt es schon heute. Viele der größten Plattformen schreiben ein Mindestalter von 13 Jahren vor und löschen Accounts, die mutmaßlich jüngeren Menschen gehören. Das betrifft etwa Instagram oder TikTok. Bei YouTube beträgt das offizielle Mindestalter sogar 16 Jahre. Würde es nach CDU und SPD gehen, dürften Kinder YouTube künftig schon früher legal nutzen als heute.

Ob 12, 14 oder 16 Jahre, der Fokus auf das Alter verkennt den springenden Punkt: die Durchsetzung. Begleitet werden sollen die derzeit diskutierten Social-Media-Verbote nämlich in aller Regel von zuverlässigen Alterskontrollen.

Im Gespräch sind etwa Verfahren, bei denen alle Menschen gegenüber vielen wichtigen Plattformen per Ausweis belegen müssen, dass sie schon alt genug sind. Sonst können sie beispielsweise kein Video auf YouTube liken. Eine häufige Alternative zu Ausweiskontrollen sind biometrische Scans des Gesichts. Auf deren Grundlage soll eine (oft als KI bezeichnete) Software eine Schätzung anstellen. Dabei passieren häufig Fehler.

Solche und weitere Verfahren zur Durchsetzung von Alterskontrollen können sehr invasiv sein. Sie bedeuten nicht nur mehr Frickelei und mehr Hürden für alle Menschen im Netz, sondern greifen auch in die Privatsphäre ein; bergen die Gefahr von Datenschutz-Skandalen – und schließen Hunderttausende Menschen aus, die schlicht keine Papiere haben, um Kontrollen zu meistern. Hunderte Forscher*innen aus Technologie und IT-Sicherheit warnen deshalb eindringlich vor den Folgen von Alterskontrollen.

Das führt zu einer Kernfrage der Social-Media-Debatte: Sind Sie bereit, sich im Internet großflächigen Kontrollen ihrer Ausweispapiere zu unterziehen oder ihr Gesicht scannen zu lassen?

Dieser Aspekt fehlt in den Umfragen vieler Meinungsforscher*innen. Daran gedacht hat zumindest das Institut YouGov im Auftrag des Internet-Branchenverbands eco. Das Ergebnis: Die meisten Befragten wollen solche Kontrollen nicht haben.

• Eine Altersprüfung durch offiziell ausgestellte Dokumente befürworten demnach 44 Prozent.
• Eine KI-basierte Altersschätzung befürworten nur 10 Prozent.

Dennoch wollen die meisten der von YouGov befragten Menschen (82 Prozent) eine Altersgrenze für Social Media. Das legt den Verdacht nahe: Viele finden ein Verbot gut, solange es sie nicht selbst einschränkt.

Breite Mehrheiten für mildere Regulierung

Social-Media-Verbote sind das schärfste Mittel im Versuch, junge Menschen vor digitalen Risiken zu schützen. Sie schränken umfassend Grundrechte wie Teilhabe und Information ein. Es gibt aber auch mildere Mittel. Genau danach hat das DIW gefragt – und reihenweise Zustimmung geerntet. Zum Beispiel:

• „Kinder und Jugendliche sollten besser in Medienkompetenz geschult werden, um soziale Medien sicher nutzen zu können“ – rund 94 Prozent dafür.
• „Eltern sollten stärker darauf achten, wie ihre Kinder soziale Medien nutzen“ – rund 95 Prozent dafür.
• „Für Kinder und Jugendliche sollten nur eingeschränkte Konten (‚Basisaccounts‘) verfügbar sein, bei denen problematische Funktionen – etwa die Kontaktaufnahme durch fremde Personen – deaktiviert sind“ – rund 88 Prozent dafür.

Einen ähnlichen Tenor hatte die Umfrage einer Marktforschungs-Agentur mit 857 Eltern und Kindern, die wir im Januar besprochen haben. Demnach wollten die befragten Kinder, Jugendlichen und Eltern soziale Medien lieber einschränken als verbieten.

Diese Tendenzen zeigen: Es braucht Fragen nach alternativen Ansätzen zu einem Social-Media-Verbot, denn sie machen differenzierte Ansichten in der Bevölkerung überhaupt erst sichtbar.

Soziale Medien: Mehrheit der Deutschen hat differenziertes Bild

Die meisten Menschen in Deutschland sehen offenbar, dass soziale Medien sowohl gut als auch schlecht sein können. Auch das zeigen die Ergebnisse der neuen DIW-Umfrage.

• Risiken sozialer Medien sieht die überwältigende Mehrheit der Befragten. Rund 90 Prozent sagen: „Soziale Medien stellen für Kinder und Jugendliche erhebliche Gefahren dar (zum Beispiel durch Mobbing, sexualisierte Inhalte oder Kontakte mit Fremden).“
• Chancen sozialer Medien sieht eine kleinere, aber immer noch absolute Mehrheit von rund 63 Prozent. Sie sagen: „Soziale Medien bieten Kindern und Jugendlichen wichtige Chancen (zum Beispiel sich auszutauschen, kreativ zu sein oder Zugang zu Informationen und gesellschaftlicher Teilhabe zu erhalten).“
• Sowohl Chancen als auch Risiken erkennt ebenso eine absolute Mehrheit von rund 57 Prozent.
• Nichts als Risiken in sozialen Medien sieht eine Minderheit von rund 19 Prozent, also rund jede*r Fünfte. „Zu dieser Gruppe gehören häufiger Ältere, Lehrkräfte sowie Personen, die soziale Medien nicht nutzen“, ergänzen die DIW-Forschenden.

Das ambivalente Bild der DIW-Umfrage zeigt: Es geht viel Information verloren, wenn Meinungsforschende nur nach Verboten fragen. Solche Zuspitzungen machen Abwägungen unsichtbar, die Menschen durchaus treffen würden, wenn man ihnen die Gelegenheit dazu gibt.

Umfragen sind keine Volksabstimmung

Ein typischer Medienbericht über Meinungsumfragen endet, sobald alle wichtigen Zahlen abgehandelt wurden. In der Folge können die verschiedenen Lager einer Kontroverse die Zahlen als Argument nutzen. Das dürfte auch hier der Fall sein: Das ZDF-Politbarometer gießt Wasser auf die Mühlen der Fans eines Social-Media-Verbots. Die DIW-Umfrage gießt Wasser auf die Mühlen der Kritiker*innen. In beiden Fällen drohen Fehlschlüsse.

Meinungsumfragen messen Meinungen; sie sind keine Volksabstimmungen. In der Social-Media-Debatte können Umfragen Hinweise liefern, welche Maßnahmen Menschen eher akzeptieren oder ablehnen würden. Was aber keine Meinungsumfrage messen kann: Ob eine Regulierung legitim, geeignet, erforderlich und angemessen ist. Dabei sind das die entscheidenden Fragen, an denen sich Regulierungen in einer Demokratie messen lassen müssen.

Wenn es um ein Social-Media-Verbot geht, spielt es dennoch eine große Rolle, wie sehr Menschen es akzeptieren. Denn so ein Verbot trifft alle unmittelbar. Alle müssten sich zu den neuen Hürden und Kontrollen verhalten. Man kann sich entweder fügen und den Ausweis zücken – oder sich widersetzen und die Kontrollen umgehen. Der Erfolg eines Social-Media-Verbots hängt eng damit zusammen, wie Menschen damit umgehen.

Die DIW-Forschenden schlussfolgern:

Die Ergebnisse verdeutlichen, dass eine wirksame Regulierung der Social-Media-Nutzung für Kinder und Jugendliche nicht nur auf pauschale Verbote setzen sollte. Differenzierte Maßnahmenbündel werden von großen Teilen der Bevölkerung akzeptiert und haben daher größere Chancen auf Umsetzung.

Für ein einheitliches Social-Media-Verbot mit flächendeckenden Alterskontrollen bräuchte es neue Gesetze in der EU. Keine neuen Regulierungen bräuchte es dagegen für mildere Mittel. Denn dafür gibt es schon das relativ neue Gesetz über digitale Dienste (DSA). Gerade läuft sogar ein Verfahren gegen TikTok, weil die EU-Kommission findet: das „süchtig machende Design von TikTok verstößt gegen den DSA“.

Welchen Weg wollen Staaten einschlagen? Mit dieser Fragen beschäftigen sich gerade gleich zwei Expert*innen-Kommissionen: Sowohl auf Deutschland-Ebene als auch auf EU-Ebene sollen Fachleute bis Sommer Antworten zur Social-Media-Debatte vorlegen.

Das Open-Source-Projekt Himmelblau hat Version 3.0.0 veröffentlicht und bringt damit umfangreiche Neuerungen für die Authentifizierung von Linux-Systemen gegen Microsoft Entra ID. Zu den wichtigsten Features gehören ein First-Class-OIDC-Support, Linux Hello TOTP sowie erweiterte Compliance-Funktionen für Intune.

Himmelblau ist ein Authentifizierungsframework, das eine nahtlose Integration zwischen Linux-Umgebungen und Microsoft Entra ID ermöglicht. Das unter der GPLv3-Lizenz stehende Projekt entstand als Fork des Kanidm OAuth2 Client und wird hauptsächlich von David Mulder entwickelt, mit Unterstützung von SUSE. Ziel ist es, Linux-Systeme ebenso gut in Microsoft-Infrastrukturen zu integrieren wie Windows-Rechner – inklusive Multi-Faktor-Authentifizierung, Device Trust und Intune-Compliance.

OIDC-Provider ohne Domänenkonfiguration

Die größte Neuerung in Version 3.0.0 ist der umfassende Support für OpenID Connect. Administratoren können nun beliebige OIDC-Provider über die Konfigurationsoption oidc_issuer_url einbinden. Die Implementierung unterstützt Password- und PIN-Flows sowie Breakglass-Mechanismen für Notfallszenarien, wenn der OIDC-Provider nicht erreichbar ist. Besonders hervorzuheben ist die Funktion Domainless OIDC: Nutzer können sich dank ihr auch ohne vorherige Domänenkonfiguration authentifizieren.

Der OIDC-Support macht Himmelblau unabhängiger von Microsoft-Diensten. Administratoren können nun auch alternative Identitäts-Provider wie Keycloak einsetzen. Für eine bessere Keycloak-Kompatibilität wurde seit Himmelblau 2.0 ein OIDC-Provider-Online-Check implementiert, der die Erreichbarkeit des Providers prüft.

Zwei-Faktor-Authentifizierung per TOTP

Mit Linux Hello TOTP führt Himmelblau 3.0 eine Time-based One-Time-Password-Authentifizierung für Linux-Systeme ein. Die Einrichtung erfolgt über QR-Code-basierte Enrollment-Flows, die sowohl im Terminal als auch im GNOME QR-Greeter verfügbar sind. Der QR-Greeter funktioniert ab GNOME 49 und ist mit dem Login von Windows Hello vergleichbar.

Der QR-Greeter selbst wurde ebenfalls erweitert und unterstützt nun OIDC Device Admin Grants (DAG) sowie Microsoft Consumer DAG Flows. Auch persönliche Microsoft-Konten lassen sich nun für die Anmeldung an Linux-Systemen verwenden. Bislang war Himmelblau ausschließlich auf Unternehmen zugeschnitten, diese Funktion erweitert das Einsatzspektrum nun auch auf Privatnutzer.

Erweiterte Compliance und einfacheres Deployment

Für Enterprise-Umgebungen hat Himmelblau 3.0 die Compliance- und Policy-Unterstützung deutlich ausgebaut. Die neue Version bietet Default Custom Compliance Processing und dedizierte Pakete für Browser-SSO-Policy-Deployment. Mit himmelblau-broker steht zudem ein eigenständiges Broker-Paket zur Verfügung, das als separater Service läuft.

Auch die Bereitstellung wurde vereinfacht: Der Daemon startet nun konfigurationslos und automatisch bei der Installation oder einem Upgrade. Single-Domain-Autokonfiguration ermöglicht es, Systeme ohne manuelle Konfiguration in Betrieb zu nehmen. Für Umgebungen ohne Passwordless-Methoden gibt es einen Password-Only Local Authentication Mode.

Breite Distributionsunterstützung

Himmelblau 3.0 unterstützt offiziell openSUSE Tumbleweed, SUSE Linux Enterprise, Fedora, Red Hat Enterprise Linux, Ubuntu, Debian und NixOS. Neu hinzugekommen sind Amazon Linux 2023 und Gentoo. Zudem lässt sich die Software jetzt mit ARM64/aarch64 einsetzen.

Für NixOS-Nutzer bringt die neue Version eine moderne Flake Shell, eine Split-Modulstruktur für himmelblau und himmelblau-desktop sowie typisierte NixOS-Optionen, die aus XML-Konfigurationsdefinitionen generiert werden.

Weitere Informationen und Downloads zu Himmelblau stehen auf GitHub bereit.

(fo)