(Auszug aus der Pressemitteilung)
Acht Jahre nach Einführung der DSGVO und angesichts neu hinzugekommener Regularien zur Cyberresilienz wie NIS2 oder DORA stehen Datensicherung und damit Datenschutz erneut vor neuen Anforderungen. KI-Modelle wie Anthropics Mythos werden zu einem drastischen Anstieg von Datenschutzvorfällen führen.
Es ist wichtig, dass Unternehmen, Organisationen oder Behörden mehr tun, um die Folgen von Sicherheitsvorfällen besser und effizienter einzudämmen. Mit NIS2, DORA und der DSGVO hat die EU den regulativen Rahmen und ein Bußgeldsystem eingeführt, um die Verantwortlichen zu mehr operativer Resilienz zu verpflichten. Für Verstöße gegen die DSGVO wurden inzwischen Bußgelder in Höhe von rund sechs Milliarden Euro in 2888 Fällen ausgesprochen. Die Richtlinien NIS2 und DORA werden die Durchsetzung anhand eines ähnlichen Bußgeldkonzept regeln. Mit dem Unterschied, dass nun die Geschäftsführer selbst mit ihrem Vermögen haften sollen. Die deutsche Bank- und Finanzaufsicht Bafin hat im Dezember 2025 über 600 schwere Vorfälle seit dem DORA-Start gemeldet, will aber laut Bafin-Exekutivdirektor Nikolas Speer auf einen ehrlichen und direkten Dialog mit den Instituten setzen. Erste medienwirksame Fälle bei NIS2 und DORA sind nur eine Frage der Zeit.
Leider ist mit einem Anstieg der Fälle offengelegter Informationen zu rechnen, da sich mit dem durch bösartige User zweckentfremdeten KI-Modell Mythos die grundlegenden Sicherheitsrisiken massiv verschieben. Mythos kann eigenständig Schwachstellen in IT-Systemen aufzuspüren und Sicherheitslücken verketten. Da fast jedes Unternehmen personenbezogene Daten verarbeitet, können Hacker durch solche KI-gestützten Angriffe schneller und in größerem Stil Zugriff auf sensible Daten erhalten. Open-Source-Umgebungen sind besonders betroffen. Lücken etwa im 27 Jahre als sicher eingeschätzten Betriebssystem OpenBSD werden jetzt mit Mythos entdeckt.
Cyberkriminelle werden zudem eigene KI-Werkzeuge entwickeln, um ihre Attacken qualitativ aufzuwerten. Gerade Pishing-Attacken werden sie mit Large Lange Modells stärker personalisieren, um gezielt Zugangsdaten der relevanten internen Anwender mit den entsprechenden Privilegien abzugreifen. Neun von zehn Attacken basieren bereits jetzt auf kompromittierten Identitäten und Identitätssystemen.
Für weitere Risiken sorgt die Schatten-KI von Mitarbeitern in den einzelnen Abteilungen. Viele Mitarbeitende füttern interne Unternehmensdaten mit Modellen von externen Anbietern, ohne dass ein DSGVO-konformer Vertrag zur Auftragsverarbeitung (AVV) besteht. In der anderen Richtung können sie auch eigene Daten ohne Rückversicherung hochladen und gegen den Datenschutz verstoßen.
Meldepflichten erfordern schnelle Analyse und Reaktionszeiten
Eine der drängendsten Vorgaben der DSGVO ist die Meldepflicht bei Cybervorfällen. Die DSGVO verlangt, dass Datenschutzverletzungen innerhalb von 72 Stunden berichtet werden – NIS2 und DORA innerhalb von 24 Stunden.
Um solche Vorgaben im Ernstfall einhalten zu können, müssen Unternehmen unbedingt ihren Datenbestand, ihre Applikationen und ihre Umgebung verstehen und sensible Daten sowie Assets entsprechend im Vorfeld kategorisieren und priorisieren. Das ist eine zentrale Bedingung, um im Ernstfall handlungsfähig zu bleiben.
Damit legen sie im Vorab fest, welche Infrastruktur und Systeme, Anwendungen, Prozesse und Umgebungen absolut notwendig sind, um einen Notbetrieb aufrechtzuhalten. Ein solches Minimalpaket wird dann in einer isolierten Umgebung gesichert abgelegt, so dass es von Angriffen unberührt bleibt. Im Falle einer Attacke wird das Notpaket in einem isolierten Cleanroom aktiviert, von dem aus die Teams für IT Security und Infrastruktur gemeinsam in vorher festgelegten Abläufen zur Wiederherstellung der Cyberresilienz die Produktionsumgebung gehärtet neu aufspielen – und parallel den Angriff, betroffene Daten und Hintertüren untersuchen. Ein möglicher Untersuchungsgegenstand ist die Veränderung von Zugriffsrechten von Nutzern, Anwendungen oder Identitäten. Einerseits für deren Beleg, andererseits, um durch Zurücksetzen eines Privilegs vielleicht doch noch den Abfluss von Daten zu verhindern. Nur wer dank dieser Vorgabe sofort und ohne Unterbrechung handeln und automatisierte Resilienzabläufe starten kann, wird den knappen Meldepflichten und der Schnelligkeit der Angreifer gerecht werden können. Viele Unternehmen, die solche Vorbereitungen unterlassen, sind im Ereignisfall viel zu langsam und benötigen durchschnittlich 24 Tage, um den Betrieb wieder aufzunehmen.
Automatismen für Geschwindigkeit
Es wird essenziell sein, diesen Automatismen ebenfalls Workflows gegenüberzustellen, welche die Folgen einer erfolgreichen Attacke eindämmen und die IT-Systeme strukturiert wiederherstellen.
Die dafür notwendigen Resilienzabläufe verankern die Krisensicherheit der IT fest in den täglichen operativen Betrieb. Sie führen Organisationen weg von passiven, reaktiven Backup-Strategien hin zu einem aktiven, kontinuierlichen Resilienzstatus. Resilience Operations sollen es den Teams aus den Bereichen Sicherheit, Infrastruktur, Business und Betrieb ermöglichen, jeden kritischen Dienst genau jetzt wiederherstellen – mit voller Gewissheit und nachweislich. Das umfasst auch die Zurücksetzung von für den illegalen Datenzugriff missbrauchten Identitäten, um weitere Schäden zu verhindern.
Die KI wird auch im guten Sinn diese Abläufe automatisieren helfen und so die Balance zu den Fähigkeiten der Angreifer wiederherstellen. Wer Verstöße gegen die DSGVO vermeiden will, kann sich nicht mehr länger nur auf eine starke Abwehr verlassen. Er muss sich darauf vorbereiten, seine Daten, Anwendungen und Infrastrukturen schnell, sauber und funktionsfähig wiederherzustellen zu können.
Marc Molyneux, Field CTO, Commvault
Neueste Kommentare
24. Mai 2026
20. Mai 2026
19. Mai 2026
19. Mai 2026
18. Mai 2026
17. Mai 2026