WOODLANDS ADVISORY
Alle Artikel
Strategie· 7 min

Am Tisch mit 1&1 — warum der Cyber-Markt jetzt kippt, nicht in fünf Jahren

Woodlands Advisory hat sich am 30. Juni mit Robert Henninger, Head of Information Security bei 1&1, ausgetauscht. Ein Konzern mit rund 16 Millionen Kundenverträgen und Mitverantwortung für kritische Telekommunikationsinfrastruktur im offenen Dialog mit einer jungen Boutique. Warum das Gespräch für uns eher eine Bestätigung war — und was die IBM-2025-Zahlen, NIS2, EU AI Act, CRA und DORA für die kommenden Quartale bedeuten.

Glasfassade mit blauem 1&1 Logo — Standort von 1&1 in Deutschland, gesehen von der Straße aus.

Am 30. Juni saß Woodlands Advisory, eine junge Boutique im Cyber-Segment, mit Robert Henninger, Head of Information Security bei 1&1, an einem Tisch.

Ein Konzern mit rund 16 Millionen Kundenverträgen und Mitverantwortung für kritische Teile der deutschen Telekommunikations-Infrastruktur im offenen Dialog mit einem Team, das seine Geschichte im Markt gerade erst schreibt.

Für uns war das weniger ein "Meeting" als eine Bestätigung. Denn die Fragen, die auf Group-Level bei 1&1 auf dem Tisch liegen, sind exakt die Fragen, an denen wir jeden Tag mit institutionellen Investoren, M&A-Beratern und wachsenden Portfoliofirmen arbeiten. Und diese Fragen werden gerade für alle dringlicher.

Warum jetzt: Der Cyber-Markt kippt. Nicht in fünf Jahren. Jetzt.

Die IBM Cost of a Data Breach 2025-Zahlen markieren einen Wendepunkt:

  • Bei den Unternehmen, die einen KI-bezogenen Sicherheitsvorfall meldeten, hatten 97 % keine geeigneten Zugriffskontrollen für ihre KI-Systeme im Einsatz.
  • 63 % der betroffenen Unternehmen verfügen über keine ausgereifte KI-Governance-Policy — sie fehlt entweder komplett oder ist noch in Entwicklung.
  • Wer Shadow-AI unkontrolliert laufen lässt, zahlt im Schadensfall im Durchschnitt 670.000 USD zusätzlich — obendrauf auf die 4,44 Mio USD, die ein Datenvorfall global bereits im Mittel kostet (IBM 2025, leicht gesunken gegenüber 4,88 Mio USD 2024).

Gleichzeitig zieht die Regulatorik aus mehreren Richtungen an:

  • Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft. Keine Übergangsfrist, BSI-Registrierung grundsätzlich bis zum 6. März 2026 erforderlich (das BSI hat eine Nachfrist bis zum 31. Juli 2026 eingeräumt). Der regulierte Perimeter erweitert sich von rund 4.500 auf etwa 29.500 Einheiten. Persönliche, nicht delegierbare Verantwortung der Geschäftsleitung über § 38 BSIG.
  • Der EU AI Act sollte am 2. August 2026 in die scharfe Enforcement-Phase gehen; der aktuell im Trilog verhandelte Digital Omnibus zeichnet eine Verschiebung der Hochrisiko-Pflichten (Anhang III) auf 2. Dezember 2027 ab. Selbst mit Verschiebung bleibt die Strafstruktur schärfer, als es die DSGVO je war.
  • Die Meldepflichten aus dem Cyber Resilience Act starten am 11. September 2026; volle Konformität inklusive CE-Kennzeichnung und Konformitätsbewertung bis zum 11. Dezember 2027. Betroffen: jedes Produkt mit digitalen Elementen, das im EU-Markt in Verkehr gebracht wird. Enforcement schließt Produktrückrufe und EU-Marktverbote ein.
  • DORA gilt seit dem 17. Januar 2025 — 2026 markiert den Übergang zur aktiven Aufsicht: BaFin-Follow-up-Audits, die erste Welle TLPT-Designations, konkrete Sanktionsverfahren. Branchenerhebungen sehen weiterhin weniger als die Hälfte der Finanzinstitute als voll DORA-konform an. Zu den möglichen Sanktionen gehören temporäre Berufsverbote für Senior Manager und das Verbot einzelner ICT-Dienstleistungen.
  • Gartner prognostiziert, dass bis Ende 2026 rund 40 % aller Enterprise-Anwendungen aufgabenspezifische KI-Agenten enthalten — heute sind es unter 5 %. Eine Angriffsfläche, für die die meisten Security-Architekturen nie gebaut wurden.

Und im Transaktionsmarkt? Kroll misst in einer Erhebung unter 325 PE-Executives einen durchschnittlichen finanziellen Schaden von 2,1 Mio USD pro Cyber-Vorfall im Portfolio; 26 % der befragten Häuser berichten von reduzierten Bewertungen oder Exit-Preisen als Folge. In prominenten Einzelfällen wurden Bewertungen praktisch über Nacht um zweistellige Prozentsätze reduziert — Verizon–Yahoo 2017 mit 7,25 % des Enterprise Value als saubere Referenzgröße; Uber–SoftBank 2018 mit rund 30 % als schärferes Extrem.

Wer die technische Risikoseite heute nicht in belastbaren Business- und Financial-Impact übersetzt, verliert Zugang. Zugang zu Kapital, zu Kunden — und in manchen Deals zum Entry-Ticket selbst.

Warum das Gespräch mit Robert genau darum ging

Deswegen saßen wir mit Robert am Tisch. Und deswegen fand das Gespräch auf Augenhöhe statt:

  • Wie übersetzt man technisches Risiko in belastbaren Business Impact?
  • Wie hält KI-gestützte Sicherheit einen Reality-Check aus — technisch, ökonomisch, regulatorisch?
  • Wie bereitet man Organisationen auf die kommende Welle an Anforderungen vor, ohne in Compliance-Aktionismus zu verfallen?

Der Unterschied zwischen einem börsennotierten Konzern und einer Portfoliofirma kurz vor Closing liegt nicht im "Was". Er liegt im Kontext, in der Geschwindigkeit und in der Konsequenz der Entscheidung.

Genau an dieser Schnittstelle arbeitet Woodlands

Cyber Due Diligence für institutionelles Kapital im DACH-Raum. Private Equity, Venture Capital, Family Offices und M&A-Berater, die vor der Transaktion wissen wollen, was sie kaufen — und danach, wie sie es schützen. Getragen von einem kuratierten Team aus Senior-Praktikern mit Cloud-, Identity-, AppSec- und Compliance-Schwerpunkt und einem strukturierten Partnernetzwerk (u.a. Vanta, Kertos, Aikido) — kein Outsourcing, keine Junior-Substitution.

Wenn Sie eine konkrete Transaktion im Blick haben oder ein Portfoliomandat, bei dem der Cyber-Workstream im Standard-DD-Setup nicht greift: 20-minütiges Erstgespräch vereinbaren. Vertraulich, auf Augenhöhe.

Wer die Argumentation im Live-Format hören möchte: die vertiefende Auseinandersetzung liefern wir im Detail in Die 4-Mio-Frage — wie Cyber Due Diligence den Kaufpreis bewegt und im Webinar Cyber Due Diligence in M&A.


Danke, Robert, für den offenen Austausch. Und für die Bestätigung: Die richtigen Fragen kennen keine Größenklasse.

Artikel teilen

LinkedInX · Twitter
Woodlands Advisory

Sprechen wir über Ihr konkretes Thema.

20 Minuten. Vertraulich. Unverbindlich.

Erstgespräch vereinbaren →← Zurück zu allen Artikeln