Das „Internet der Dinge" (IoT) wächst: Schätzungen zufolge soll die Anzahl vernetzter Geräte von 75 Milliarden Geräten in 2025 auf 275 Milliarden in 2035 steigen. Dazu könnten nicht nur schlaue Autos, sondern auch medizinische Implantate und Roboter in der Industrie gehören.
Ähnlich sieht's mit der Geschwindigkeit aus, mit der diese Dinge Daten übertragen können: Heute sollen viele Haushalte mit einem Gigabit pro Sekunde (Gbit/s) im Netz unterwegs sein. Bis 2030 werden uns „Datenraten im Terabit-pro-Sekunde-Bereich (Tbit/s, Anm. des Autors), eine Latenz von einem Zehntel Millisekunde ohne Jitter, millimetergenaue Sensorik und Ortung sowie nahtlose Konnektivität" in Aussicht gestellt. 1 Terabit sind 1.000 Gigabit. Diese breitbandige Vernetzung von Allem mit Allem wird als Hyperkonnektivität bezeichnet.
Die Steuerung der hypervernetzten Welt durch Cloud-KI-Quantencomputer treibt Innovation, Effizienz und neue Geschäftsmodelle voran. Die Elektro- und Digitalindustrie hofft auf eine Verdopplung ihrer Umsätze bis 2035 gegenüber dem vergangenen Jahr sowie die Kompensation von rund 1,5 Millionen fehlenden Fachkräften durch Automatisierung im gleichen Zeitraum.
Doch die Vernetzerei birgt nicht nur gewaltige Chancen, sondern auch ebensolche Risiken: Angenommen die Datenbank eines Kleinstunternehmens umfasst 100 Gigabyte (GByte), so würde die (kriminelle) Übertragung dieser Datenbank mit einer Geschwindigkeit von 1 GBit/s laut Heise Bandbreitenrechner 13 Minuten und 20 Sekunden benötigen. Bei 1 TBit/s benötigt der gleiche Vorgang nur noch eine Sekunde. Da muss die Verantwortliche ganz schön fix sein, um diese kriminelle Datenübertragung noch abbrechen zu können!
100 GByte @ 1 GBit/s → 13 Min 20 Sek
100 GByte @ 1 TBit/s → 1 Sekunde
Die Leistungsfähigkeit von Datenspeichern, Übertragungskapazität und Analysesoftware wird von Kriminellen konsequent genutzt – Wissenschaftler warnen, wir müssten uns auf „autonome generative Gegner einstellen".
Einem „KI-basierten Cyberangriffsagenten" wäre dann nur noch aufzutragen: „Kompromittiere domain.com". Das kann jedes Kind! Eine solche Angriffsqualität stellten internationale Geheimdienste im Juni 2026 den Verantwortlichen bereits innerhalb von „Monaten" in Aussicht.
Dabei könnten sie reiche Beute machen: „In Deutschland werden durchschnittlich 119 neue IT-Sicherheitslücken pro Tag bekannt", beklagte T-Systems einen Monat zuvor. Was damit zusammenhängen könnte, dass es auch den Verantwortlichen am Bewusstsein für diese systematische Entwicklung mangelt: Diese werden mit dem Bekenntnis zitiert, die Datenschutzgrundverordnung (DSGVO) sei ihnen „scheißegal".
Die Firma Startup Defense befürchtet, „viele Gründer und Mitarbeiter von Start-ups" seien sich „nicht voll und ganz der Bedeutung der Cybersicherheit oder der potenziellen Risiken bewusst, die mit einem mangelnden Schutz ihrer digitalen Ressourcen verbunden sind". Ergebnis: „Neun von zehn Unternehmen bewertet eigene Cybersicherheit als gut." Tatsächlich billigt die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI) den „meisten" Unternehmen nicht einmal das Cybersicherheits-„Seepferdchen" DIN SPEC 27076 zu, „um sicher bis zum Beckenrand zu kommen." Dabei soll grade die vielbesungene „Startup-Kultur" aus Jungunternehmen „das perfekte Ziel für Cyberkriminelle" machen.
Die Lücke im Bildungsniveau von Angreifern und Angegriffenen ist die optimale Voraussetzung für einen „Super-Wurm" – der könnte nach Meinung des Computerwissenschaftlers Matt Bishop von der Universität Kalifornien „ungefähr drei Viertel der Computer der Welt ausschalten". Das wiederum könnte zu einem Ausfall der Versorgung mit Strom, Gas und Wasser führen: „Neben Fehlfunktionen von IT-Komponenten können kompromittierte Systeme auch zu Sachschäden führen oder sogar lebensbedrohlich sein."
Die Cyberrisiken wachsen bis 2035 exponentiell
EU-Richtlinien wie DSGVO, NIS-2 und das Cybersicherheitsgesetz (CRA) sowie nationale Gesetze verpflichten Unternehmen zu proaktivem Cyberschutz. Zentral ist die Forderung nach dem „Stand der Technik". Das BSI definiert diesen nicht als statischen Checklistenpunkt, sondern als dynamisches, risikoproportionales System, dessen Verfahren, Einrichtungen und Betriebsweisen sich in der Praxis bewährt haben sollen, auf neuesten wissenschaftlich vertretbaren Erkenntnissen basieren und kontinuierlich an neue Bedrohungen angepasst werden. Instrumente wie der IT-Grundschutz (für Großunternehmen) und CyberRisikoCheck (für KMU) operationalisieren diese Vorgabe für die Praxis und machen Sicherheit messbar, dokumentierbar und auditierbar.
Das Ziel besteht darin, „Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu wahren." Dieses Ziel zu erreichen bzw. zu erhalten, wird umso schwieriger, je näher wir dem eingangs beschriebenen Ideal der Hyperkonnektivität kommen.
Daten müssen rechtlich kontrolliert in der EU verarbeitet werden – physisch kann dies auch über souveräne Cloud-Anbieter (gemäß des Europäischen Klassifizierungssystems EUCS) oder technische Garantien (z. B. durch quantensichere Verschlüsselung) sichergestellt werden.
Und nur die Berechtigten dürfen mit regelkonformen Werkzeugen auf diese zugreifen können. Um zu vermeiden, dass Daten aus Anwendungen nicht-europäischer Anbieter den hiesigen Rechtsraum verlassen oder gar missbraucht werden, begünstigt die EU den Wechsel in Behörden von proprietären (nicht-europäischen) Anwendungen hin zu Freier Software und Offenen Standards mit dem Cloud and AI Development Act (CADA). Frankreich, Dänemark, Bund und Länder sowie speziell Schleswig-Holstein haben erste Schritte in die Unabhängigkeit unternommen. Was zu einem Sogeffekt führen könnte: Wer die Bedeutung der Regelkonformität verstanden und umgesetzt hat, achtet darauf, dass seine Dienstleister das auch tun, denn die Verantwortliche bleibt regelmäßig für die Auswahl, Steuerung und Überwachung von Auftragsverarbeitern und Dienstleistern verantwortlich! Und die EU erhofft sich von CADA „Ausstrahlungseffekte auf den privaten Sektor".
Hinzu kommt: Wenn CADA, NIS2 und ähnliche Regelwerke dazu führen, dass Behörden und deren Lieferketten verstärkt auf transparente, auditierbare und souveräne Softwarelösungen setzen, kann dies langfristig die Auslegung dessen beeinflussen, was Aufsichtsbehörden als angemessene Governance für Vertraulichkeit, Integrität und Verfügbarkeit ansehen.
Trotz klarer Vorgaben klafft eine große Umsetzungs- und Bewusstseinslücke. Hauptursachen sind:
Die Steuerung potentiell lebensbedrohlicher Systeme mit Hilfe von Sicherheitsalpträumen, die in einem rechtsunsicheren Umfeld betrieben werden, lässt sich kaum als regelkonform rechtfertigen.
Um die Chancen der Hyperkonnektivität zu nutzen und die Hyperrisiken zu beherrschen, ist ein strategischer Wandel hin zur „Hyperresilienz" erforderlich. Hyperresilienz bedeutet, dass Organisationen nicht nur Angriffe abwehren, sondern ihre Handlungsfähigkeit auch unter Störungen, Ausfällen und Krisen aufrechterhalten können.
Konkrete, regulierungsrelevante Handlungsfelder sind:
Dazu können Null Vertrauen, E2EE, (hardwarebasiertes) FIDO2, IAM, SBOM, SIEM, KI-gestützte Anomalieerkennung sowie regelmäßige Angriffsübungen beitragen. Was fehlt, ist ein Werkzeug, mit dessen Hilfe die KMU die getroffenen Maßnahmen kontinuierlich daraufhin prüfen können, ob sie noch dem Stand der Technik genügen.
Um das Bewusstsein der Verantwortlichen für Cybersicherheitsdefizite in vernetzten Produkten und Diensten zu schärfen, sollten diese haftungsrechtlich und wirtschaftlich ähnlich behandelt werden wie klassische Konstruktionsfehler. Dies stärkt die Verbindlichkeit von „Datenschutz durch Gestaltung und als Standard", schafft klare Verantwortlichkeiten entlang der Lieferkette und fördert proaktive Risikominderung statt reaktiver Schadensbegrenzung.
Digitale Souveränität bedeutet dabei nicht technologische Abschottung, sondern die Fähigkeit, über Daten, Infrastruktur, Sicherheitsmaßnahmen und Lieferketten eigenständig entscheiden zu können. Öffentliche Beschaffung und Förderpolitik können entsprechende Anreize setzen.
International gilt Europa als besonders streng mit seiner Regulierung – es scheint aber einen „Brüssel-Effekt" zu geben, demzufolge die Regulierungsstandards der Europäischen Union de facto zum globalen Standard werden, da es für multinationale Unternehmen effizienter ist, die strengsten geltenden Vorschriften weltweit einzuhalten, anstatt separate Prozesse für verschiedene Rechtsordnungen aufrechtzuerhalten. Das bedeutet: Die Spielregeln gleichen sich weltweit an, und ein Wettbewerbsnachteil durch eine „Bürokratie-Eskalation" besteht in Wahrheit nicht.
Dies gilt sowohl für interne Beschäftigte als auch für externe Dienstleister, Lieferanten und Partner. Ziel ist die systematische Verankerung von Sicherheitskompetenz entlang der gesamten digitalen Wertschöpfungs- und Lieferkette. Das verlangt nach Management.
Reporting-, Prüf- und Zertifizierungsverfahren sind insbesondere für kleine und mittlere Unternehmen essenziell, um hohe Sicherheitsstandards wirtschaftlich umsetzen zu können. Der Staat, Behörden und Verbände sind aufgerufen, die Kleinen mit entsprechenden Werkzeugen zu unterstützen.
Bei der Management-Aufgabe rollenspezifischer Qualifizierung kann „CVEwatch WEB" helfen: Das Werkzeug liefert Echtzeit-Vulnerability-Intelligence der letzten sieben Tage direkt im Browser – keine Registrierung erforderlich, keine Nutzerdaten, kein Lock-in. Gebaut von einem Admin für Admins.
Die Fähigkeit, die eigene Regelkonformität und die sicherheitsrelevanten Eigenschaften der Lieferkette kontinuierlich nachzuweisen, entwickelt sich zunehmend zu einem regulatorischen und wirtschaftlichen Dauerlauf.
Prävention ist wirtschaftlich und rechtlich zwingend: Die Kosten für Systemneuaufbau, Bußgelder, Lösegelder, Schadenersatzforderungen und Rufschäden übersteigen vorbeugende Investitionen um ein Vielfaches. Von den möglichen strafrechtlichen Konsequenzen mal ganz abgesehen, die mit einer Verurteilung wegen fahrlässiger Körperverletzung einhergehen könnten.
Regelkonforme Prozesse umgekehrt sind die Voraussetzung für den Erhalt vorhandener und die Gewinnung neuer Kunden, die Finanzierung am Kapitalmarkt und die Übernahme der Restrisiken durch eine Versicherungsgesellschaft. Da große Unternehmen und öffentliche Auftraggeber die Sicherheit ihrer Lieferketten zunehmend vertraglich absichern müssen, werden Nachweise zur Informationssicherheit immer häufiger zur Voraussetzung für Geschäftsbeziehungen.
Unternehmen, die Cybersicherheit nicht als Kostenfaktor, sondern als strategische Resilienz und rechtliche Notwendigkeit begreifen, sichern sich den langfristigen Wettbewerbsvorteil.
Das muss sich auf das Bildungswesen auswirken: Die Curricula der Natur- und Geisteswissenschaften sind darauf abzuklopfen, ob die Erstsemesterin in den folgenden fünf Jahren tatsächlich das Wissen vermittelt bekommt, um für verantwortungsbewusstes Handeln qualifiziert zu sein. Sonst müsste die Arbeitgeberin damit rechnen, durch Dummheit gefährdet zu werden. Dadurch könnte nicht nur der Ruf der Beschäftigten und der Arbeitgeberin Schaden nehmen, sondern auch der der Hochschule, an der sie studiert hat, sowie der Region, in der sich die Panne abspielt.
Die IT-Regelkonformität wird zur entscheidenden Schlüsselqualifikation, zum entscheidenden Wettbewerbsfaktor – nicht nur für die einzelnen Menschen, sondern auch für Behörden und Unternehmen – und zwar weltweit! Die Zeit für proaktives Handeln ist jetzt.