WOODLANDS ADVISORY
Woodlands Advisory · Threat Intelligence

Executive Threat Dashboard

DACH Threat Landscape · Regulatory Deadlines · Personal Risk Assessment

Request Advisory →
Live|DACH Threat Landscape|Wed, 08 July 2026
Threat Level:HIGHMultiple actively exploited vulnerabilities in core systems
Weekly Report

What happened this week?

KW 22 · 31. Mai 2026

Drei aktiv ausgenutzte Mai-Schwachstellen treffen genau die Kontrollpunkte, die Unternehmen für „sicher" halten.

Der Mai 2026 endet mit einer ungewöhnlich dichten Folge aktiv ausgenutzter Schwachstellen, die ausgerechnet jene Komponenten betreffen, die in Risikobetrachtungen typischerweise als Kontrolle gelten – nicht als Angriffsfläche: CVE-2026-20182 im Cisco Catalyst SD-WAN Controller (CVSS 10.0, unauthentifizierter Auth-Bypass mit Admin-Zugriff, von Cisco PSIRT als aktiv ausgenutzt bestätigt, am 14. Mai von CISA in den KEV-Katalog aufgenommen); CVE-2026-6973 in Ivanti Endpoint Manager Mobile (CVSS 7.2, authentifizierter Admin-RCE, von Ivanti als Zero-Day bestätigt, BSI-Sicherheitshinweis vom 7. Mai, CISA-Frist für Bundesbehörden auf nur drei Tage gesetzt); und CVE-2026-41091 in der Microsoft Defender Malware Protection Engine (CVSS 7.8, lokale Privilegienerhöhung auf SYSTEM via Link-Following, am 20. Mai in den KEV-Katalog aufgenommen, Patch-Frist für US-Bundesbehörden: 3. Juni 2026). Parallel dazu hat CISA am 21. Mai eine in Trend Micro Apex One aktiv ausgenutzte Directory-Traversal-Schwachstelle (CVE-2026-34926) aufgenommen, die kompromittierte Apex-One-Server zur Verteilung von Schadcode an alle angeschlossenen Endpoint-Agents missbrauchen lässt.

Das gemeinsame Muster: Angegriffen werden Network-Edge (Cisco SD-WAN), Mobile-Device-Management (Ivanti EPMM), Endpoint-Protection (Microsoft Defender, Trend Micro Apex One) – also genau die Schicht, die in Audit-Reports als „Detective" oder „Preventive Control" geführt wird. Wer ein kompromittiertes EDR oder ein kompromittiertes MDM betreibt, hat keinen blinden Fleck mehr, sondern einen feindlich kontrollierten Sensor. Die Qilin-Ransomware-Gruppe bleibt nach dokumentierter Übernahme durch Moonstone Sleet (Nordkorea) der dominierende RaaS-Akteur im DACH-Raum; der Charakter der Angriffe ist nicht mehr rein finanziell motiviert. Auf regulatorischer Seite läuft die aktive NIS2-Durchsetzung durch das BSI weiter – die Registrierungsfrist ist seit dem 6. März abgelaufen, erste Bußgeldverfahren nach §30 BSIG sind in Bearbeitung.

Woodlands empfiehlt für diese Woche: (1) Cisco Catalyst SD-WAN Controller (vSmart/vManage) sofort auf die durch Cisco bereitgestellten Fixed Releases aktualisieren – bei Verdacht auf Kompromittierung NETCONF-Sessions und SD-WAN-Fabric-Konfiguration forensisch prüfen; (2) Ivanti EPMM auf 12.6.1.1 / 12.7.0.1 / 12.8.0.1 aktualisieren und Admin-Zugriffe rückwirkend auf ungewöhnliche Aktivität seit April prüfen – Zwei-Faktor und Privileged-Access-Reviews für die EPMM-Konsole sind nicht optional; (3) Microsoft Defender Malware Protection Engine ≥ 1.1.26040.8 verteilen (automatisches Update prüfen, nicht annehmen) und Link-Following-Artefakte in EDR-Telemetrie korrelieren; (4) Trend Micro Apex One On-Premise auf Build 17079/18012 patchen und das Apex-One-Key-Table-Verzeichnis auf unerlaubte Schreibzugriffe untersuchen.

Fabian Hausner, Gründer & CEO, Woodlands Advisory
KW 18 · 3. Mai 2026

Drei aktive Exploits, ein Durchsetzungsschock – die DACH-Bedrohungslage verschärft sich auf breiter Front.

KW 18 bringt drei gleichzeitig aktiv ausgenutzte Schwachstellen in zentraler Unternehmensinfrastruktur: CVE-2026-41940 in cPanel & WHM (CVSS 9.8, Zero-Day seit dem 23. Februar 2026 – zwei Monate vor dem Notfallpatch), CVE-2026-33824 im Windows IKE Extension Service (CVSS 9.8, unauthentifizierter SYSTEM-RCE mit Wurm-Potenzial via UDP 500) und CVE-2026-31431 "Copy Fail" im Linux-Kernel (lokale Root-Eskalation auf nahezu allen Linux-Distributionen seit 2017, PoC öffentlich verfügbar, von CISA am 1. Mai in den KEV-Katalog aufgenommen). Alle drei Schwachstellen setzen keine oder minimale Vorautorisierung voraus – ein Szenario, das Sicherheitsteams maximal unter Zeitdruck setzt. Das BSI hat für zwei der drei Schwachstellen eigene Warnmeldungen herausgegeben.

Parallel dazu beginnt das BSI mit der aktiven NIS2-Durchsetzung. Die dreimonatige Registrierungsfrist ist am 6. März 2026 abgelaufen; rund 18.500 Unternehmen haben sie versäumt. Erste Bußgeldverfahren nach §30 BSIG laufen an, persönliche Geschäftsführerhaftung nach §38 BSIG ist explizit vorgesehen. Hinzu kommt die Qilin-Ransomware-Gruppe, die mit 29 bestätigten Angriffen in Deutschland die DACH-Statistiken anführt. Seit März 2026 ist eine operative Verbindung zur nordkoreanischen staatlich gestützten Gruppe Moonstone Sleet dokumentiert – der Charakter der Angriffe verlagert sich damit von rein finanziell zu geopolitisch motiviert.

Woodlands empfiehlt für diese Woche: (1) cPanel- und Windows IKE-Systeme sofort patchen oder bis zur Patchmöglichkeit netzwerkseitig isolieren – Exposition prüfen, aktive Sessions invalidieren; (2) Linux-Server auf CVE-2026-31431 prüfen und Kernel-Updates einspielen, in Cloud- und Kubernetes-Umgebungen mit besonderer Priorität; (3) NIS2-Registrierung beim BSI nachholen und Meldeprozesse nach §32 NIS2UmsuCG dokumentieren – der Wechsel von Gnadenfrist zu aktiver Strafverfolgung ist diese Woche vollzogen.

Fabian Hausner, Gründer & CEO, Woodlands Advisory
KW 15 · 7. April 2026

Geopolitische Eskalation trifft digitale Infrastruktur – DACH-Unternehmen im Fadenkreuz.

Die erste Aprilwoche markiert eine neue Qualität in der Bedrohungslage für den DACH-Raum: Staatlich gesteuerte Akteure aus dem osteuropäischen und ostasiatischen Raum haben ihre Angriffskapazitäten auf kritische Infrastruktur, Finanzinstitute und mittelständische Zulieferer konzentriert. Parallel dazu hat das BSI drei kritische Schwachstellen in weit verbreiteten VPN-Lösungen (Ivanti Connect Secure, Cisco ASA) als aktiv ausgenutzt eingestuft. Die Anzahl der gemeldeten Sicherheitsvorfälle im DACH-Raum ist gegenüber Vorwoche um 34% gestiegen.

Besonders auffällig ist die Zunahme von Supply-Chain-Angriffen auf Software-Dienstleister im DACH-Raum. Angreifer kompromittieren gezielt kleinere Softwarehäuser, um über deren Update-Mechanismen Zugang zu größeren Unternehmensinfrastrukturen zu erhalten – ein klassischer „Trusted-Supplier"-Angriff, der in der internen Risikobetrachtung vieler Unternehmen noch immer unterrepräsentiert ist. Drei bestätigte Vorfälle dieser Art wurden diese Woche bekannt.

Woodlands empfiehlt für diese Woche: (1) Ivanti Connect Secure und Cisco ASA sofort auf aktuelle Patches prüfen, (2) Software-Drittanbieter auf aktuelle Sicherheitszertifizierungen prüfen und Lieferketten-Risiko in das nächste Board-Update aufnehmen, (3) Netzwerksegmentierung überprüfen – besonders die Isolation von Produktions- und Büronetzen.

Fabian Hausner, Gründer & CEO, Woodlands Advisory
KW 13 · 24. März 2026

Erhöhte Aktivität auf breiter Front – kein Einzelereignis, sondern ein Muster.

Die vergangene Woche war geprägt durch drei parallele Entwicklungen: die aktive Ausnutzung einer kritischen Fortinet-Schwachstelle durch staatlich gesteuerte APT-Gruppen, eine koordinierte Ransomware-Kampagne gegen den deutschen Mittelstand sowie die ersten offiziellen BSI-Bußgeldverfahren unter NIS2. Jede dieser Entwicklungen wäre für sich genommen bereits bemerkenswert – ihr gleichzeitiges Auftreten ist kein Zufall.

Für Entscheider bedeutet das: Der Zeitdruck, Sicherheitsmaßnahmen zu dokumentieren und nachweisbar zu machen, hat sich in dieser Woche spürbar erhöht. Unternehmen, die ihre Incident-Response-Prozesse noch nicht formalisiert haben, stehen vor einem doppelten Risiko: technischer Kompromittierung und regulatorischer Konsequenz.

Woodlands empfiehlt, in den nächsten zwei Wochen drei Prioritäten zu setzen: (1) Fortinet-Systeme sofort patchen oder isolieren, (2) den eigenen NIS2-Meldeprozess intern überprüfen, (3) das Board über die aktuelle Haftungslage informieren.

Fabian Hausner, Gründer & CEO, Woodlands Advisory
Threat Radar

Active Threats in the DACH Region

Summary

CVE-2026-20182 ist ein Authentication-Bypass im Peering-Authentifizierungsmechanismus des Cisco Catalyst SD-WAN Controllers (vormals SD-WAN vSmart) und des Cisco Catalyst SD-WAN Managers (vormals vManage). Ein unauthentifizierter, entfernter Angreifer kann sich durch präparierte Requests als interner hochprivilegierter Account anmelden, NETCONF-Zugriff erlangen und die gesamte SD-WAN-Fabric-Konfiguration manipulieren. Das Cisco PSIRT hat im Mai 2026 limitierte aktive Ausnutzung bestätigt; CISA hat die Schwachstelle am 14. Mai 2026 in den KEV-Katalog aufgenommen.

Woodlands Assessment

SD-WAN-Controller sind nicht nur ein Netzwerkbaustein – sie sind die Steuerungsebene, über die in vielen DACH-Konzernen die gesamte Standort-zu-Standort-Anbindung, Cloud-Konnektivität und Segmentierungspolitik definiert wird. Wer hier Admin-Zugriff erlangt, kontrolliert die Topologie, nicht nur einen Endpunkt. Die Tatsache, dass keine Authentifizierung benötigt wird und der CVSS bei 10.0 liegt, macht diese Schwachstelle zur derzeit gefährlichsten offenen Edge-Komponente im Markt.

Recommendation

Sofortiges Einspielen der von Cisco bereitgestellten Fixed Releases für Catalyst SD-WAN Controller und Manager. Externe Erreichbarkeit der Management-Plane einschränken, NETCONF-Sessions und Konfigurationsänderungen seit Mitte April auf ungewöhnliche Muster prüfen. Bei Verdacht auf Kompromittierung: SD-WAN-Fabric als kompromittierte Vertrauensgrenze behandeln – nicht nur den Controller.

Summary

CVE-2026-6973 ist eine Improper-Input-Validation-Schwachstelle in Ivanti Endpoint Manager Mobile (EPMM), die einem entfernt authentifizierten Nutzer mit Administratorzugriff Remote Code Execution ermöglicht. Ivanti hat die Schwachstelle am 7. Mai 2026 als aktiv ausgenutzten Zero-Day bestätigt und Patches für die Versionen 12.6.1.1, 12.7.0.1 und 12.8.0.1 veröffentlicht. CISA hat die Schwachstelle am selben Tag in den KEV-Katalog aufgenommen und US-Bundesbehörden eine Frist von nur drei Tagen (bis 10. Mai 2026) zur Behebung gesetzt – ein ungewöhnlich kurzer Wert. Das BSI hat eine Sicherheitsmitteilung mit Kritikalität „Hoch" veröffentlicht.

Woodlands Assessment

EPMM verwaltet Smartphones und Tablets von Außendienst, Geschäftsführung und Werksleitung – also genau die mobilen Endgeräte, auf denen E-Mail-Zugriff, M&A-Dokumente und VPN-Konfigurationen liegen. Ein kompromittierter EPMM-Server bedeutet nicht nur Datenzugriff, sondern die Möglichkeit, manipulierte Konfigurationen und Apps zentral an alle verbundenen Geräte auszurollen. Die Tatsache, dass CISA eine Drei-Tage-Frist gesetzt hat, ist Signalwirkung – das ist keine Routine-Schwachstelle, sondern ein Worst-Case-Szenario für Mobile-Device-Management.

Recommendation

Sofortige Aktualisierung auf EPMM 12.6.1.1, 12.7.0.1 oder 12.8.0.1. Administrative EPMM-Zugriffe seit April 2026 auf ungewöhnliche Aktivität prüfen, sämtliche Admin-Credentials rotieren und MFA für die EPMM-Konsole verpflichtend machen. Bei Verdacht auf Kompromittierung: konfigurierte Geräte forensisch betrachten, da MDM-Push-Funktionalität Schadcode an die Endgeräte verteilen kann.

Summary

CVE-2026-41091 ist eine Elevation-of-Privilege-Schwachstelle in der Microsoft Malware Protection Engine (Microsoft Defender). Defender löst symbolische Links beim Dateizugriff nicht korrekt auf; ein lokal angemeldeter Angreifer kann einen Link auf eine geschützte Systemressource setzen, sodass Defender mit SYSTEM-Privilegien auf das Ziel zugreift. Microsoft hat den Fix in Engine-Version 1.1.26040.8 bereitgestellt; CISA hat die Schwachstelle am 20. Mai 2026 in den KEV-Katalog aufgenommen mit Patch-Frist 3. Juni 2026 für US-Bundesbehörden. Parallel exploited Microsoft die verwandte CVE-2026-45498 (Defender Denial of Service).

Woodlands Assessment

Microsoft Defender ist in DACH-Unternehmensumgebungen praktisch ubiquitär – sowohl in Standalone-Lizenzen als auch in Defender for Endpoint. Eine Privilege-Escalation in der Schutzkomponente selbst kehrt die Sicherheitsannahme um: Das Werkzeug, das gegen lokale Eskalation schützen soll, wird zum Eskalationsvektor. Besonders relevant in Umgebungen mit lokal authentifizierten Standardnutzern (Helpdesk-Sessions, Citrix-/AVD-Hosts, Shared Workstations).

Recommendation

Verifizieren, dass Microsoft Malware Protection Engine ≥ 1.1.26040.8 auf allen Endpunkten ausgerollt ist – automatische Update-Verteilung prüfen, nicht annehmen. EDR-Telemetrie auf Link-Following-Muster und ungewöhnliche Defender-Aktivität korrelieren. In Citrix-, AVD- und VDI-Umgebungen mit Priorität behandeln, da mehrere Nutzer dieselbe Engine-Instanz teilen.

Summary

Die Qilin-Ransomware-Gruppe (Ransomware-as-a-Service) führt die globalen Ransomware-Statistiken 2026 an und ist für 15 % aller veröffentlichten Angriffe verantwortlich. In Deutschland wurden 29 bestätigte Vorfälle registriert, darunter die Kanzlei Harte-Bavendamm und die Partei Die Linke. Seit März 2026 ist eine operative Übernahme durch die nordkoreanische staatlich gestützte Gruppe Moonstone Sleet dokumentiert – was den Charakter von rein finanziell zu geopolitisch motivierten Angriffen verschiebt.

Woodlands Assessment

Die Verbindung zu Moonstone Sleet ist ein Paradigmenwechsel: Qilin ist damit nicht mehr nur eine kriminelle RaaS-Gruppe, sondern ein Werkzeug staatlich gesteuerter Spionage und Destabilisierung. Für DACH-Unternehmen bedeutet das, dass die klassische Ransomware-Reaktion (Zahlen oder Restore) die eigentliche Gefahr – nämlich Datenexfiltration für nachrichtendienstliche Zwecke – nicht adressiert. Wer betroffen ist, muss von einer vollständigen Kompromittierung ausgehen.

Recommendation

Ransomware-Incident-Response-Playbook auf Double-Extortion-Szenarien (Verschlüsselung + Exfiltration) aktualisieren. Offline-Backups verifizieren. Endpoint Detection auf Qilin-IoCs (LSASS-Dumping, VSS-Deletion, Rclone-Aktivität) testen. Bei Verdacht auf Kompromittierung: vor Zahlung immer forensische Analyse des Exfiltrations-Umfangs.

Summary

Die dreimonatige NIS2-Registrierungsfrist ist am 6. März 2026 abgelaufen. Nach BSI-Schätzungen haben rund 18.500 Unternehmen die Frist nicht eingehalten. Das BSI hat mit Mai 2026 den Übergang von der Registrierungsphase zur aktiven Durchsetzung vollzogen. Erste Bußgeldverfahren nach §30 BSIG laufen an. Bußgelder: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen; persönliche Geschäftsführerhaftung nach §38 BSIG.

Woodlands Assessment

Der Wechsel von Gnadenfrist zu aktiver Strafverfolgung ist die relevante Entwicklung dieser Woche – nicht die Schwachstellen. Viele Unternehmen haben NIS2 als IT-Thema behandelt und die Registrierung verpasst, weil niemand in der Geschäftsführung das Datum auf dem Schirm hatte. Jetzt ist Nachregistrierung möglich, aber der Nachweis, dass man die Frist "gutgläubig" verpasst hat, wird schwer zu führen sein – erst recht, wenn gleichzeitig ein Sicherheitsvorfall bekannt wird.

Recommendation

NIS2-Registrierung beim BSI unverzüglich nachholen (registrierung.bsi.bund.de). Dreistufigen Meldeprozess nach §32 NIS2UmsuCG dokumentieren: Frühwarnung 24h, Folgemeldung 72h, Abschlussbericht 1 Monat. Geschäftsführung formal über Haftungsrisiko nach §38 BSIG informieren und dies schriftlich festhalten.

Compliance Calendar

Regulatory Deadlines — Next 12 Months

May 26JunJulAugSeptOctNovDecJan 27FebMarAprMay
Today
NIS2May 26
DORAJul 26
AI ActAug 26
ISOOct 26
NIS2Nov 26
DSGVOJan 27
Sector Analysis

Risk Heatmap by Industry & Threat Vector

Gated
Low
Medium
High
Critical
Ransomware
Supply Chain
Phishing / BEC
Regulation
Data Breach
Insider Threat
SaaS
FinTech
HealthTech
Manufacturing
Retail
Critical Infra
Historical Trends

Ransomware Volume · Breach Costs · Exploit Speed

Gated
94Vorfälle Q1 2026Quelle: BSI Lagebericht + BleepingComputer
94.066.038.0Q1'24Q2'24Q3'24Q4'24Q1'25Q2'25Q3'25Q4'25Q1'2694
DACH Threat Feed

Current Cyber Incidents in the DACH Region

Gated
CriticalDo, 14.05.

CVE-2026-20182 Cisco Catalyst SD-WAN: CVSS 10.0, unauthentifizierter Admin-Bypass – aktiv ausgenutzt, am 14. Mai in CISA KEV

CISA KEV / Cisco PSIRT
CriticalMi, 07.05.

CVE-2026-6973 Ivanti EPMM: Authentifizierter Admin-RCE als Zero-Day exploitiert – BSI-Warnung, CISA-Frist auf 3 Tage gesetzt

BSI / CISA KEV
HighMi, 20.05.

CVE-2026-41091 Microsoft Defender Engine: Lokale Privilege Escalation zu SYSTEM – Fix in Engine 1.1.26040.8

CISA KEV / Microsoft MSRC
HighDo, 21.05.

CVE-2026-34926 Trend Micro Apex One: Directory Traversal, Schadcode-Verteilung an verbundene Endpoint-Agents – Patch-Frist 4. Juni

CISA KEV / TrendAI
HighMi, 20.05.

CVE-2026-45498 Microsoft Defender: Denial of Service – zusammen mit CVE-2026-41091 in KEV

CISA KEV
HighKW 18

Qilin-Ransomware: 29 bestätigte Angriffe in Deutschland, dokumentierte Verbindung zu Moonstone Sleet (DPRK)

datensicherheit.de
Mediumlfd.

NIS2-Durchsetzung durch BSI läuft weiter – Registrierungsfrist seit 6. März verpasst von rund 18.500 Unternehmen

BSI
Mediumlfd.

DORA: BaFin-Prüfungen laufen – ICT-Risikomanagement und Drittanbieter-Register im Fokus

BaFin

Unlock advanced analytics

Sector heatmap, trend charts and DACH threat feed – verify once, permanent access.

Woodlands Assessment

Monthly Founder Statement

FH
Juni 2026

Wenn die Schutzsoftware selbst zur Schwachstelle wird – über die strategische Bedeutung des Mai-Patternjects.

Der Mai hat ein Muster gezeigt, das ich in meinen Gesprächen mit Vorständen immer wieder ansprechen muss: Die kritischsten aktiv ausgenutzten Schwachstellen lagen nicht in irgendeiner Schatten-IT, sondern in den Komponenten, die offiziell als „Kontrolle" geführt werden. Der Cisco Catalyst SD-WAN Controller. Ivanti EPMM, das Mobile-Device-Management. Microsoft Defender, der Endpoint-Schutz. Trend Micro Apex One, das EDR. Wer auf diese Werkzeuge als Schutz vertraut, hat im Mai 2026 einen Zustand erlebt, in dem genau diese Werkzeuge zur Angriffsfläche wurden – inklusive aktiver Ausnutzung in der Praxis.

Das eigentliche Problem ist nicht die Häufung von Schwachstellen. Das ist die Realität des Betriebs komplexer Software und wird nicht besser werden. Das Problem ist die strategische Annahme dahinter: Wenn Audit-Reports und Versicherungsfragebögen „Endpoint-Schutz: vorhanden" abhaken und damit das Restrisiko als adressiert betrachten, dann ist die nächste Stufe der Reife nicht „mehr Tools", sondern eine andere Frage: Wer prüft, ob die Tools selbst gehärtet, aktuell und unkompromittiert sind? Wenn CISA eine Drei-Tage-Patchfrist setzt – wie im Fall des Ivanti-EPMM-Zero-Days – ist das keine IT-Meldung mehr. Das ist eine Geschäftsentscheidung, weil der ungesicherte Weiterbetrieb mit bekanntem Exploit eine bewusste Risikoakzeptanz durch die Geschäftsführung darstellt, ob die Geschäftsführung das weiß oder nicht.

Meine Empfehlung für Juni: Prüfen Sie nicht, ob Ihre IT Patches einspielen kann. Prüfen Sie, ob Ihre Organisation in der Lage ist, eine Kritisch-Warnung innerhalb von 72 Stunden – und im Ausnahmefall innerhalb von 3 Tagen – durchzuziehen, inklusive Genehmigungsprozess, Kommunikation und Dokumentation. Und prüfen Sie, ob Ihre Sicherheitswerkzeuge selbst in den Patch-Zyklus eingebunden sind, nicht nur das, was sie schützen. Wenn nicht, ist das die eigentliche Schwachstelle. Und die lässt sich nicht mit einem weiteren Tool beheben.

Fabian Hausner · Founder & CEO, Woodlands AdvisoryStrategiegespräch vereinbaren →
April 2026

Warum die makroökonomische Volatilität Cybersecurity-Budgets zerstört – und was Entscheider jetzt tun müssen.

Die geopolitische Unsicherheit des ersten Quartals 2026 hat eine paradoxe Situation erzeugt: Unternehmen, die angesichts wirtschaftlicher Unsicherheit Budgets kürzen, tun das häufig zuerst bei Sicherheitsausgaben – während genau diese Unsicherheit die Angriffsfläche dramatisch vergrößert. Staatlich gesteuerte Akteure nutzen wirtschaftliche Instabilität gezielt aus, weil sie wissen, dass Unternehmen in Konsolidierungsphasen organisatorisch und technisch verwundbarer werden.

Hinzu kommt ein strukturelles Problem: In einem Umfeld steigender Finanzierungskosten und rückläufiger Bewertungsmultiplikatoren gerät IT-Security in Budgetverhandlungen systematisch unter Druck. Die klassische Argumentation – „wir investieren in Security, weil wir es müssen" – verfängt in Board-Diskussionen über Kostensenkung immer weniger. Was verfängt: die Sprache der Werterhaltung. Ein nicht behobenes Sicherheitsrisiko ist kein IT-Problem. Es ist ein Abwertungsrisiko für das Unternehmen – und das ist genau die Sprache, die PE-Investoren und Kreditgeber sprechen.

Meine Empfehlung für April: Wenn Sie in einem Budget-Review-Gespräch sitzen und Security-Ausgaben verteidigen müssen – rahmen Sie die Frage nicht als Kostendebatte, sondern als Bewertungsfrage. Ein ungesichertes Unternehmen wird bei der nächsten Due Diligence abgewertet. Das ist keine Theorie – das ist der Markt, der seit 2024 Sicherheitsreife systematisch bepreist.

März 2026

Warum NIS2 kein IT-Thema ist – und warum das entscheidend ist.

In den letzten Wochen führe ich auffällig viele Gespräche mit Geschäftsführern, die dasselbe sagen: „Das macht meine IT." Wenn es um NIS2 geht. Wenn es um Lieferkettensicherheit geht. Wenn es um Incident Response geht. Und jedes Mal denke ich: Das ist das eigentliche Risiko.

NIS2 ist kein Technik-Gesetz. Es ist ein Governance-Gesetz. Es regelt, wer persönlich haftet, wenn ein Unternehmen seiner Sorgfaltspflicht nicht nachkommt – und das ist nicht der IT-Leiter. Die erste Welle der BSI-Bußgeldverfahren, die wir gerade sehen, richtet sich gezielt gegen Unternehmen, bei denen die Geschäftsführung nachweislich keine Kenntnis von den eigenen Sicherheitsprozessen hatte. Das ist keine Fahrlässigkeit. Das ist Gleichgültigkeit vor dem Gesetz.

Meine Empfehlung für den März: Setzen Sie sich mit Ihrer IT zusammen und beantworten Sie drei Fragen schriftlich: (1) Was würde in unserem Unternehmen passieren, wenn wir morgen einen Ransomware-Angriff erleben? (2) Wer ist verantwortlich, das BSI zu informieren, und in welchem Zeitfenster? (3) Können wir das belegen? Wenn Sie auf eine dieser Fragen keine klare Antwort haben – sprechen Sie mit uns.

Self-Assessment

How exposed is your company?

RISK
Question 1 of 5

In which sector does your company operate?

Woodlands Advisory

What do these figures mean for your company?

We translate the threat landscape into concrete action recommendations for your specific situation.

Schedule Consultation →Read Insights

The data presented here is based on public sources (BSI, ENISA, BaFin, CISA) and proprietary analysis. It does not constitute legal or compliance advice.