Cyber-Resilienz, Nachhaltigkeit und Künstliche Intelligenz__„Unbezwingbares Bürokratiemonster erschaffen“

Neue Vorschriften für Cyber-Resilienz, Nachhaltigkeit und Künstliche Intelligenz: Die Bonner Wirtschafts-Akademie warnt vor einer dreiköpfigen Bürokratie-Hydra. „Über 90 Prozent der Firmen werden allein mit den ESG-Pflichten überfordert sein. Von Cybersicherheit und KI gar nicht zu reden“, sagt Geschäftsführer Harald Müller.

In diesem Herbst schlage eine dreifache Welle neuer bürokratischer Herausforderungen über der Wirtschaft zusammen, warnt die Bonner Wirtschafts-Akademie (BWA). Als die drei Schwerpunkte der Monsterbürokratie nennt die BWA die Themengebiete Cyber-Resilienz, Künstliche Intelligenz sowie Environment, Social, Governance (ESG, Umwelt, Soziales und Unternehmensführung).

„Dieser dreiköpfigen Bürokratie-Hydra werden über 90 Prozent der deutschen Wirtschaft weitgehend hilflos gegenüberstehen“, befürchtet BWA-Geschäftsführer Harald Müller. „Der Mittelstand sowieso, aber auch viele große Unternehmen werden von dieser dreifachen Welle überrollt werden.“
 
Besonders schwerwiegend seien die Auswirkungen der Network & Information Security-Richtlinie (NIS2) für Cybersicherheit, die Nachhaltigkeits-Berichtspflichten laut Corporate Sustainability Reporting Directive (CSRD) und die Folgen der KI-Verordnung (Artificial Intelligence Act) unter anderem in Bezug auf den Datenschutz.

Neue Cybersecurity-Richtlinie gilt ab Oktober

Auf dem Gebiet Cyber-Resilienz greift die neue NIS2-Richtlinie ab Oktober 2024. Die eigentlich primär für die Betreiber sogenannter Kritischer Infrastrukturen gedachte Verordnung zur Abwehr von Hackerangriffen betrifft laut BWA faktisch einen Großteil der mittelständischen Wirtschaft.

So fallen die Betreiber und Zulieferer in den Branchen Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwässer, digitale Infrastruktur, IKT-Dienstleistungsmanagement, Öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Herstellung, Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion, -verarbeitung und -vertrieb, Produktion, Herstellung von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen/elektronischen Geräten, digitale Anbieter und Forschung unter NIS2.

„Nur wer in keiner dieser Branchen aktiv ist oder dort einen Kunden hat, darf NIS2 ignorieren. Faktisch bedeutet dies: Wer die Basiskriterien von 50 oder mehr Mitarbeitern und zehn Millionen Euro oder mehr Jahresumsatz erfüllt, sollte sich besser auf NIS2 einstellen“, sagt Müller.

„Angesichts von mehr als 2.000 Angriffen täglich aus dem Internet ist die Erhöhung der Cybersicherheit zweifellos ein wichtiges Thema“, gesteht Harald Müller der Bürokratie zu. „Aber der Anforderungskatalog des Gesetzgebers ist derart umfangreich, dass er für viele Mittelständler kaum erfüllbar ist.“

So müssen sich die Firmen gemäß NIS2 um Risikobewertungen, Anwendungen der Kryptografie, Sicherheitsvorfälle, IT-Sicherheitstrainings, die Sicherheit bei der Beschaffung von Systemen, Multi-Faktor-Authentifizierung, Mitarbeiter mit Zugang zu sensiblen oder auch nur wichtigen Daten, das Management des Geschäftsbetriebs während und nach einem Sicherheitsvorfall, die Sicherheit der Supply Chain und die Bewertung der Wirksamkeit von Sicherheitsmaßnahmen kümmern.

Unbezwingbares Bürokratiemonster

„Im Grunde muss sich jedes Unternehmen nicht nur um die eigene Cyberresilienz bemühen, was schon schwer genug ist, sondern auch um die aller Zulieferer und Zulieferer von Zulieferern sowie um die von Kunden und Kunden der Kunden“, so Harald Müller.

„Faktisch ist das unmöglich. Egal, wie viele Köpfe dieser Bürokratie-Hydra abgeschlagen werden, wachsen angesichts von täglich rund 70 aufgedeckten Schwachstellen in Softwareprogrammen laut Bundesamt für Sicherheit in der Informationstechnologie ständig neue Risikoköpfe nach. Der Gesetzgeber hat ein unbezwingbares Bürokratiemonster erschaffen.“

CSRD-Daten ab Anfang 2025 erfassen

Im ESG-Bereich drängt vor allem die EU-Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive, CSRD) zur zügigen Umsetzung. Dabei unterliegen viele Mittelständler einem fatalen Irrtum über den Umsetzungszeitraum, hat die Bonner Wirtschafts-Akademie bei zahlreichen Projekten festgestellt.

Die CSRD trat Anfang 2023 in Kraft, galt aber bislang nur für Unternehmen, die bereits der Pflicht zur nichtfinanziellen Erklärung unterliegen. Ab 2025 gilt sie für alle großen Unternehmen und ab Anfang 2026 auch für kleine und mittlere Unternehmen.

BWA-Chef Harald Müller warnt: „Viele Mittelständler widmen der CSRD noch nicht die dringend notwendige Aufmerksamkeit, weil bis 2026 vermeintlich noch über ein Jahr Zeit ist. Das ist ein fataler Irrtum: Wer ab 2026 berichtspflichtig ist, muss rückwirkend für das Jahr 2025 berichten.“

Das dazu notwendige Berichtswesen müsse also noch in diesem Jahr eingerichtet werden, um ab Anfang nächsten Jahres mindestens die gesetzlich vorgeschriebenen 82 Minimalangaben mit 127 Kennzahlen zu erfassen.

Die Berichtspflichten ab 2025 umfassen die Berechnung des ökologischen Fußabdrucks anhand des Energieverbrauchs und der Treibhausgasemissionen, das Wassermanagement, Abfall- und Recyclingquoten, Lieferkette und Lieferantenmanagement, Engagement und Entwicklung der Mitarbeitenden sowie soziale Auswirkungen.

Über 90 Prozent der Firmen überfordert?

„Allein die Erfassung aller dieser sogenannten Datenpunkte stellt für die Unternehmen eine große Herausforderung dar, die parallel zum Tagesgeschäft bewältigt werden muss“, sagt Harald Müller. In vielen Firmen sei die Digitalisierung nichtfinanzieller Informationen noch gar nicht umgesetzt, sondern die Daten würden einmal jährlich in den unterschiedlichen Bereichen abgefragt und konsolidiert.

„IT-Systeme, um die Daten, Ziele und Ambitionen auf den CSRD-Gebieten zu verfolgen, haben die wenigsten Mittelständler in Betrieb“, weiß Harald Müller. Zudem sei es mit der Erfassung aller dieser Angaben keineswegs getan.

„Der Teufel liegt im wortwörtlichen Sinne im Detail, denn jede Angabepflicht verlangt weitere Details und verweist auf zusätzliche Konkretisierungen und Ergänzungen in den Anwendungsleitlinien. Zudem sind für verschiedene Pflichtangaben mehrere Szenarien durchzuführen und die entsprechenden Daten zu analysieren, um Auswirkungen, Risiken und Chancen zu bewerten.“

Nach Einschätzung der Bonner Wirtschafts-Akademie werden mehr als 90 Prozent der mittelständischen Unternehmen in Deutschland mit dem ESG- und CSRD-Pflichten überfordert sein.

„Die Unternehmen müssen wohl darauf vertrauen, dass auf behördlicher Seite kaum die Kapazitäten bestehen, alle Angaben zu überprüfen, und der Staatsapparat in seinem eigenen Bürokratiewahn letztendlich steckenbleibt“, sagt Müller. „Es dürfte also in vielen Fällen auf absehbare Zeit genügen, wenn der Nachhaltigkeitsbericht einigermaßen glaubwürdig aussieht.“

Doppelte Bedrohung durch Künstliche Intelligenz

Bei Künstlicher Intelligenz (KI) sieht die Akademie gleich zwei akute Gefahrenpotenziale: den AI Act (KI-Gesetz) der Europäischen Union und die sogenannte Schatten-KI, also den betrieblichen Einsatz von KI-Programmen wie ChatGPT, Gemini oder Copilot durch einzelne Beschäftigte ohne Zustimmung des Unternehmens.

Die Gesetzgebung klassifiziert KI-Systeme in vier Risikokategorien: unannehmbares, hohes, begrenztes und minimales Risiko. „Damit ist für jeden KI-Einsatz im Unternehmen herauszufinden und zu dokumentieren, in welche Risikoklasse er fällt“, sagt Harald Müller.

Das gelte nicht nur für die Hersteller von KI-Systemen, also etwa Konzerne wie Open AI, Google oder Microsoft, sondern für jede Firma, die KI im eigenen Betrieb verwendet. „Allein dies mag viele Mittelständler abschrecken, die Produktivitätsvorteile der KI überhaupt für sich zu nutzen.“

Doch die Sachlage ist laut BWA noch viel komplexer: In vielen Firmen setzen die Beschäftigten gängige KI-Programme ein, um ihre Arbeit schneller und einfacher zu erledigen, ohne ihre Vorgesetzten zu informieren. „Diese Schatten-KI breitet sich seit weit über einem Jahr in der Wirtschaft aus, ohne dass dies in den Chefetagen überhaupt bekannt wird“, weiß Harald Müller aus vielen Projekten.

Das Problem dabei: Die Beschäftigten laden zuhauf personenbezogene Daten und Betriebsgeheimnisse in die KI-Programme hoch und verletzten damit den Datenschutz und die Corporate Governance.

„In manchen Firmen sind ganze Personallisten bei ChatGPT gelandet, weil ein Mitarbeiter in der Personalabteilung eine Analyse des Personalbestands etwa in Bezug auf Alter, Betriebszugehörigkeit, Ausbildung oder Personalverantwortung von der KI erhalten wollte“, sagt Harald Müller. „Verletzungen der Datenschutz-Grundverordnung durch KI sind derzeit im Mittelstand wie in großen Unternehmen an der Tagesordnung.“

Die Unternehmen seien gut beraten, klare und restriktive Richtlinien für den betrieblichen KI-Einsatz zu formulieren. Das möge die Schatten-KI zwar nicht vollständig unterbinden, aber erhöhe wenigstens die Sensibilität für das Thema bei der Belegschaft und stelle auch eine rechtliche Absicherung für das Management dar, so der BWA-Chef.

Initiative ergreifen

Harald Müller hält die Erfüllung aller Vorschriften, die durch die Bürokratielawine im Herbst auf die Unternehmen zukommen, für unmöglich. Sie deshalb zu ignorieren, sei allerdings nicht zu empfehlen. „Vorstand und Geschäftsführung sind gut beraten, auf allen Gebieten die Initiative zu ergreifen und zumindest den Anschein zu erwecken, sich ernsthaft um die Themen zu kümmern. Das senkt auf jeden Fall das persönliche Haftungsrisiko, wenn etwas schiefgeht.“