Viele deutsche Organisationen überschätzen ihren Datenschutz und sind sich der Komplexität moderner Angriffsvektoren sowie der Anforderungen an Compliance oft nicht ausreichend bewusst, was zu gefährlichen Diskrepanzen zwischen Selbstwahrnehmung und tatsächlicher Bedrohungslage führt. Ari Albertini empfiehlt dringend die Automatisierung von Sicherheits- und Compliance-Prozessen, ein aktives Risikomanagement sowie die kritische Prüfung der eingesetzten Software, um europäische Souveränität und nachhaltigen Schutz zu stärken.

FTAPI, Experte für sicheren Datenaustausch und die Automatisierung sensibler Datenprozesse, hat für eine Studie 200 IT- und Sicherheitsverantwortliche befragt, die in ihren Unternehmen maßgeblich an Entscheidungen zum sicheren Datenaustausch beteiligt sind. Im Interview spricht Ari Albertini, Geschäftsführer von FTAPI, über überraschende Erkenntnisse, branchenspezifische Unterschiede und die Notwendigkeit europäischer Souveränität.

FTAPI veröffentlicht jährlich den Secure Data Report zum Stand der Datensicherheit deutscher Unternehmen. Was hat Sie bei den aktuellen Ergebnissen selbst am meisten überrascht?

Mich erstaunt jedes Jahr, wie wenig sich die Ergebnisse im Kern verändern, obwohl sich die Gefahrenlage verschärft. Auch 2025 halten sich 51 Prozent der Unternehmen für »Top-Player« in Sachen Cybersecurity – und das, obwohl Bitkom in demselben Jahr über 200 Milliarden Euro Schaden durch Cyberangriffe meldet. Diese frappierende Diskrepanz sollten sich Entscheider rot an den Bildschirm pinnen.

Ari Albertini,
Geschäftsführer von FTAPI

Woher kommt diese Diskrepanz und in welchen Bereichen überschätzen sich Unternehmen beim Thema Datensicherheit?

Ich frage mich immer wieder: Wie kann das sein, dass 40 Prozent der deutschen Unternehmen den Reifegrad ihres Datenschutzes überschätzen? Und ich glaube, es liegt daran, dass viele gar nicht wissen, wie vielfältig und raffiniert die heutigen Angriffsvektoren sind. Die Selbstüberschätzung kommt also nicht aus Arroganz, sondern aus Unwissenheit. Ich erlebe oft, dass Unternehmen stolz berichten, sie hätten »verschlüsselte E-Mails« – und am Ende ist es eine Zip-Datei mit Passwort.

Zudem schieben viele Unternehmen Compliance auf ihre Mitarbeiter ab, statt systemische Lösungen zu schaffen. Compliance wird häufig mit einfachen Unternehmensregeln gleichgesetzt. Dabei ist sie viel komplexer. Neben horizontalen Gesetzen wie NIS2 oder DSGVO gibt es vertikale Regelungen wie DORA sowie zahlreiche branchenspezifische Vorgaben. Wenn schon IT-Leiter juristische Unterstützung brauchen, um Sicherheit zu gewährleisten, kann man von einzelnen Mitarbeitenden nicht erwarten, dass sie alles Compliance-konform umsetzen können.

Sehen Sie in diesem Kontext Unterschiede zwischen den Branchen – etwa Gesundheitswesen, öffentliche Hand und Industrie?

Der öffentliche Sektor wird oft alleingelassen. Gerade Kommunen fehlt es an Mitteln, obwohl das Risikobewusstsein vorhanden ist. In der freien Wirtschaft, etwa im Finanzsektor, sind die Budgets größer und das Risikomanagement professioneller, weil ein Datenverlust direkt das Image und die Marktanteile bedroht. Im Gesundheitswesen passiert aktuell viel, nicht zuletzt durch Ransomware-Angriffe auf Krankenhäuser. Trotzdem fehlt im digitalen Raum oft noch das Bewusstsein für Gefahren. Selbst wenn der direkte Mitbewerber gehackt wird, fühlen sich viele sicher, sofern sie selbst kein konkreter Cyberangriff betrifft. In der physischen Welt fällt es uns Menschen einfach leichter, Risiken wahrzunehmen, als es im digitalen Raum der Fall ist.

Sowohl der diesjährige BSI-Lagebericht als auch Ihr Secure Data Report kommen zum gleichen Schluss: Die Risiken steigen schneller als die Schutzmaßnahmen. Welche Konsequenzen sollten Entscheider daraus ziehen?

IT-Entscheider sollten sich bewusst Zeit nehmen, um Szenarien durchzuspielen: Was passiert, wenn ein zentrales System ausfällt? Wer dabei feststellt, dass das Unternehmen nicht mehr handlungsfähig wäre, muss reagieren. Es braucht ein vernünftiges Risikomanagement und die Bereitschaft, in Souveränität und Schutzmaßnahmen zu investieren. Automatisierung und Digitalisierung müssen genutzt werden, um Prozesse resilienter und effizienter zu gestalten.

Denn überall dort, wo Mitarbeiter heute noch manuell entscheiden müssen, wie sensibel ein Dokument ist oder wie es verschickt werden darf, entstehen Fehler. Automatisierung kann diese Entscheidungen regelbasiert übernehmen und so Prozesse beschleunigen und absichern. Wenn ein Arzt zehn Minuten damit verbringt, herauszufinden, wie eine Datei sicher verschickt wird, fehlt diese Zeit für seine eigentliche Arbeit. Jede Minute, die wir Mitarbeitern zurückgeben, weil sie sich nicht mit Compliance-Fragen aufhalten müssen, ist ein Gewinn für die Wirtschaft. KI und Machine Learning werden hier künftig noch mehr unterstützen –
nicht zuletzt, weil sie Gesetzestexte und Regularien schneller und zuverlässiger auswerten als jeder Mensch.

Mit Blick auf die angesprochene NIS2: Welche drei Hausaufgaben sollten Unternehmen 2026 unbedingt erledigt haben – unabhängig von ihrer Branche?

Erstens sollten sie, wie bereits angedeutet, Automatisierungslösungen für Compliance und Security einführen. Viele Fehler entstehen durch manuelle Prozesse. Zweitens ist es unumgänglich, Risiken im Unternehmen sichtbar und greifbar zu machen, etwa durch Red Teaming oder interne Tests, um das Bewusstsein für die Gefahr zu schärfen. Und drittens lege ich jedem Unternehmen ans Herz, die eingesetzte Softwarelandschaft kritisch zu prüfen: Gibt es europäische Alternativen, die Souveränität und Unabhängigkeit stärken? Das heißt nicht, dass man grundsätzlich keine nicht-europäischen Lösungen kaufen darf. Aber Unternehmen sollten sich bewusst absichern und überlegen, was ihnen ihre eigene Souveränität wert ist.

Stichwort europäische Datensouveränität: Welche Rolle können europäische Initiativen wie der jüngste deutsch-französische Gipfel dabei spielen, eine echte Alternative zu US-Hyper-scalern und Cloud-Act-Abhängigkeiten zu schaffen?

Die Abhängigkeit von nicht-europäischen Anbietern ist enorm. Das hat inzwischen jeder verstanden. Politische Debatten wie beim deutsch-französischen Gipfel sind wichtig, weil sie dem Thema mehr Aufmerksamkeit verschaffen. Was wir hier in Europa aufbauen, ist etwas Einzigartiges, und ich finde es positiv, dass Datenschutz ernst genommen wird. Es wäre aber schön, wenn es neben der Aufmerksamkeit auch eine klare, nachhaltige Strategie gäbe.

Wir brauchen mehr Klarheit und Guidelines für Unternehmen, was sie zu tun haben. Und dann muss dafür gesorgt werden, dass Compliance wirklich so umgesetzt werden kann, dass es hilft. So wird das Thema Compliance zu einem Qualitätssiegel, das man nach außen kommunizieren kann. Früher war es beim Stahl das Gütesiegel »Made in Germany«. In Zukunft wäre es schön, wenn wir sagen könnten: Services hosted in Europe, made in Germany. Wenn ich einem Anbieter meine Daten gebe, kann ich ihm vertrauen. Und wenn wir es dann noch hinkriegen, dass wir das nicht bei US-Hyperscalern betreiben müssen, dann hätten wir vielleicht sogar mal wieder seit Langem einen echten Wettbewerbsvorteil in der Welt.

[1] https://www.ftapi.com/whitepaper/ftapi-secure-data-report-2025

Illustration: © Md Mohsin Ahmed Rakib | Dreamstime.com

2175 Artikel zu „Datenschutz Compliance“

News | IT-Security | Lösungen | Rechenzentrum

Cyber-Compliance-Paradoxon: Konform – bis zum Datenschutzvorfall

5. April 2025

Wenn Unternehmen regulatorische Verpflichtungen konsequent einhalten, warum kommt es dann noch derart häufig zu Datenschutzvorfällen? Diese berechtigte Frage offenbart ein Paradoxon im Kern all dessen, was wir in der Cybersicherheit tun. Man kann den Eindruck gewinnen, dass je stärker wir regulieren, je höher die Compliance-Anforderungen steigen, je umfassender die entsprechenden Regelwerke werden und je mehr…