Eine aktuelle Navex-Umfrage zeigt: Über ein Drittel der deutschen Unternehmen hatte in den letzten drei Jahren mit Datenschutz- und Cybersicherheitsverletzungen zu kämpfen, dennoch bewerten 60 Prozent ihre Compliance-Programme als sehr gut.
Deutsche Unternehmen bewerten ihre eigenen Compliance-Strukturen im Schnitt sehr gut, obwohl mehr als ein Drittel der Befragten in den letzten drei Jahren von Sicherheitsverletzungen betroffen war.
Eine Studie des Risikomanagementunternehmens Navex zeigt: Deutsche Unternehmen bewerten ihre eigenen Compliance-Strukturen im Schnitt sehr gut, obwohl mehr als ein Drittel der Befragten in den letzten drei Jahren von Sicherheitsverletzungen betroffen war. Durch veraltete Strukturen und eine unzureichende Priorisierung können viele Betriebe den zunehmenden Anforderungen und Vorschriften des Risikomanagements nur schwer gerecht werden. Unzureichende Prävention und fehlende Krisenstrategien können dann selbst für marktstabile Unternehmen innerhalb kürzester Zeit zu einer existenziellen Bedrohung werden.
Oliver Riehl ist Regional Vice President Sales bei Navex.
(Bild: Navex)
Oliver Riehl, Regional Vice President Sales bei Navex, erläutert, wie ein Wandel der Firmenkultur und neue Technologien die Compliance in Deutschland nachhaltig prägen können: „Schwächen im Risiko- und Compliance-Management werden häufig durch das Fehlen einer Speak-up-Kultur verschärft. Wenn Mitarbeitende Verstöße nicht melden, werden Lücken zu spät oder gar nicht erkannt. Das kann zu einem trügerischen Sicherheitsgefühl führen.“
Regularien überfordern deutsche Wirtschaft
Trotz dieser alarmierenden Statistiken verlassen sich viele Betriebe auf bestehende, scheinbar solide Strukturen, anstatt diese weiterzuentwickeln. Währenddessen steigt der regulatorische Druck. Laut der Studie ist fast jeder dritte deutsche Betrieb mit der Umsetzung von EU-Vorschriften wie der Corporate Sustainability Due Diligence Directive (CSDDD), dem AI-Act oder der Hinweisgeberrichtlinie überfordert. Denn analog zur Zahl der Richtlinien wächst auch der Zuständigkeitsbereich von Compliance-Programmen exponentiell. Dieser kann oft nicht mehr durch die bisherigen Strukturen abgebildet werden. Riehl ist deshalb der Meinung: „Risikomanagement wird zunehmend zu einer gemeinsamen Verantwortung aller Mitarbeitenden. Betriebe sollten deswegen vermehrt in Weiterbildung investieren und eine vertrauensvolle Unternehmenskultur fördern.“
Ein wesentlicher Faktor, der die Entwicklung einer ethischen Unternehmenskultur behindert, ist der Navex-Studie zufolge das fehlende Engagement und die mangelnde Unterstützung durch das Top-Management. Zwar geben die meisten befragten Unternehmen an, dass ihre Führung die Einhaltung von Regeln und Vorschriften fördert. Doch sind die beiden am häufigsten genannten Hindernisse für ein wirksames Risikomanagement eine geringe Priorisierung des Themas sowie fehlender Rückhalt durch die Unternehmensleitung.
Es besteht immer die Gefahr, dass Führungskräfte kurzfristige Erfolge höher gewichten. Sie wollen, dass das Unternehmen in den nächsten fünf Jahren gut performt – übersehen dabei aber Risiken, die später erheblichen Schaden anrichten können.
Oliver Riehl, Regional Vice President Sales bei Navex
Laut der Navex-Umfrage haben 2025 lediglich 60 Prozent der deutschen Aufsichtsgremien regelmäßige Berichte zu Compliance-Themen erhalten. Nur 26 Prozent setzten sich intensiv mit dem Thema auseinander. Besonders alarmierend: Nahezu 30 Prozent der Befragten berichten, dass ihre Führungskräfte sogar unethische Methoden zur Erreichung geschäftlicher Ziele ermutigt oder die Arbeit von Compliance-Verantwortlichen aktiv behindert haben.
Offener Austausch schafft Bewusstsein für Compliance
Um langfristig widerstandsfähig zu bleiben, ist ein Bewusstseinswandel in der deutschen Wirtschaft erforderlich: Entscheider müssen die Bedeutung einer konstruktiven Meldekultur erkennen. Wesentlich dafür ist ein intensiverer Austausch zwischen Unternehmen. Riehl betont: „Organisationen sollten offener über ihre Erfahrungen sprechen und bewährte Praktiken miteinander teilen. Dadurch entsteht ein gemeinsames Verständnis dafür, dass Präventionsmaßnahmen nicht nur Risiken reduzieren, sondern auch langfristigen Erfolg sichern.“
Regulierte KI als Compliance-Treiber
Die Navex-Studie macht ferner deutlich, dass neben Unternehmenskultur und Führung auch technologische Entwicklungen den Kurs der Compliance in Deutschland prägen werden. Mehr als die Hälfte der befragten Organisationen setzt bereits zweckgebundene Software in zentralen Bereichen ein. „Plattformen wie Navex One können helfen, den Überblick über interne Bedrohungen zu behalten, das Fallmanagement zu vereinfachen und eine zeitgerechte Nachverfolgung der Fälle sicherzustellen“, erläutert Riehl.
Auch der Einsatz von Künstlicher Intelligenz gewinnt an strategischer Bedeutung: Knapp ein Drittel der Firmen bezeichnet KI als äußerst wichtig für die Compliance-Arbeit. Gleichzeitig bestehen erhebliche Bedenken: Fast 40 Prozent sehen die Gefahr verpasster regulatorischer Änderungen und mehr als ein Drittel bemängeln fehlende Risikosichtbarkeit. Bei knapp 30 Prozent gibt es Lücken in der Umsetzung von Kontrollmechanismen.
„Neue Technologien wie KI bieten enorme Chancen für effizientere Prozesse. Das gilt aber nur, wenn sie eng mit klaren Richtlinien, kontinuierlichem Monitoring und bereichsübergreifender Steuerung verknüpft werden“, sagt Riehl. „So wird Technologie vom reinen Werkzeug zum strategischen Hebel: Unternehmen, die jetzt Software-Integration und eine gesunde Meldekultur konsequent umsetzen, schaffen die Basis für ein zukunftsfähiges GRC-Management.“
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Entscheidungsträger sollten sich jedoch nicht ausschließlich auf neue Technologien konzentrieren. Auch Themen wie die Überwachung von Lieferketten werden im nächsten Jahr stärker in den Fokus rücken. Aktuelle Entwicklungen – etwa die Anpassung des deutschen Lieferkettensorgfaltspflichtengesetzes (LkSG) an die noch nicht endgültig verabschiedete EU-Richtlinie CSDDD – verlangen von Unternehmen zunehmend, Fehlverhalten systematisch zu erkennen
Auch hier zeigt der Navex-Report erhebliche Defizite: Nur 37 Prozent der befragten deutschen Unternehmen haben angegeben, ihre Lieferanten systematisch im Hinblick auf Menschenrechte zu überprüfen. In Bezug auf ESG-Ausrichtung und Transparenz sind es lediglich ein Drittel der Befragten, die entsprechende Prüfungen durchführen.
Wir müssen uns von der Vorstellung verabschieden, dass es ein einziges größtes Risikofeld gibt. Entscheidend ist ein ganzheitlicher Blick. Nur wer alle relevanten Bereiche im Auge behält, kann Risiken wirksam minimieren.
Oliver Riehl, Regional Vice President Sales bei Navex
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/ea/44/ea4421ef6d8dcea0d10d9ab51823fe67/0129193951v1.jpeg "Monika Schmetzer ist neue Leiterin der Lenovo ISG Business Group Deutschland und Österreich. Sie folgt auf Dieter Stehle, der das Unternehmen verlässt. (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/ff/64/ff64c80bbb54c2cc5bd3192564ca9b3f/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/42/07/4207a6ae481716e03ae4ec1b66b3743d/0129161840v1.jpeg "Patrick van Tent wird zum neuen Vorstand der Verbundgruppe berufen. (Bild: ElectronicPartner)")
:quality(80)/p7i.vogel.de/wcms/73/8a/738a14c02d5f128dc1aeeb97426878cb/0129113507v1.jpeg "Wire hat sein Führungsteam erweitert und Adam Low (l.) zum CTO sowie Oliver Brown zum CCO berufen. (Bild: Wire)")
:quality(80)/p7i.vogel.de/wcms/48/2a/482a0953bf55fcc497763f7dadb6c5d6/0129166170v2.jpeg "Die beliebteste Passwortwahl hat sich kaum geändert, während Cyberkriminelle immer ausgeklügeltere Methoden entwickeln, um in Konten und Daten einzudringen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/58/9c/589c1ae4ba47109676e32d27326f4156/0129180939v1.jpeg "Omdia sagt für 2026 voraus, dass der Channel-Anteil der weltweiten IT-Ausgaben sinken wird, Partner aber weiterhin eine zentrale Rolle bei IT-Endscheidungen spielen werden. (Bild: GPT Image Editor / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d3/0f/d30f909ea304c3acfdd5bf0a6e54cfe7/0129179494v1.jpeg "Motorola hat neue günstige Smartphones vorgestellt, die IP64-zertifiziert sind und über leistungsfähige Kameras verfügen. (Bild: Motorola)")
:quality(80)/p7i.vogel.de/wcms/11/0f/110f00f836727507d8d29697099001f0/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v. l.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/04/f6/04f6ddd72255faee9ff9922cfedea951/0129047993v2.jpeg "Deepfakes sind ein zweischneidiges Schwert: Sie bieten kreative Möglichkeiten, bergen aber auch ernsthafte Risiken für Unternehmen und deren Sicherheit. (Bild: © ludariimago - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/24/d82467f22cedecb6b9e352aed1e7761f/0129130135v1.jpeg "Die EU erarbeitet Vorschläge für Google mit Blick auf deren KI-Einsatz. (Bild: © bluedesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/71/7371e98d1d3083c53e9c2e4547e1a95c/0129134273v2.jpeg "KI-Projekte erfordern eine leistungsfähige Infrastruktur. Ohne Partner, die das Know-how dafür mitbringen, ist der Weg zu erfolgreichen Lösungen schwer zu finden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/00/1d0036c8b1393bfba719437de22a0659/0129020958v2.jpeg "Wer zieht noch die Fäden? Autonome KI-Systeme stellen Governance und Sicherheit in Unternehmen infrage. (Bild: © Autism in Focus - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/60/cb/60cb1e784befc/securepoint-logo-800-400-max.jpeg "securepoint-logo-800-400-max (Securepoint)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/68/e6/68e65d6a3bdb7/1zu1-snt-heidelberg-2025-eintrittskarten-ticket-sichers.png "1zu1-snt-heidelberg-2025-eintrittskarten-ticket-sichers (www.mike-bergmann.com/hd-snt25)")
:quality(80)/p7i.vogel.de/wcms/4c/c0/4cc0e934acf38127c028a4fcdd424830/0123794941v2.jpeg "Tritt man einen Schritt zurück, so erkennt man, dass eine der größten Hürden nicht im technischen Aspekt der Compliance besteht, sondern in dem Kulturwandel, den NIS2 verlangt. (Bild: Who is Danny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/89/118954ed5d6f2eeaa49a71a56de03c1a/0125532407v2.jpeg "IT-Security-Fachkräfte von Morgen sollten umfangreiche Kenntnisse und Erfahrungen mitbringen, wobei Arbeitgeber flexibel bei Berufsabschlüssen sind und zahlreiche Benefits bieten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f2/e1/f2e1129e0d8d2de135b59658526c8ea7/0120496034v4.jpeg "Nutzer von Integrity Next können aus 37 Umwelt-, Sozial- und Governance-Themen wählen, um Lieferketten nachhaltiger zu machen. (Bild: Midjourney/ KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/f3/0cf3cf33ad351a857366e91d55415ae8/0115612139.jpeg "Wer als Unternehmer in Bürokratie versinkt, hat keine Zeit mehr für Wertschöpfung. (Bild: Designpics - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/4e/084e8779bfc0e8cc1a08827e68210b55/0127411293v1.jpeg "KI hilft vermehrt in Sachen Compliance. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/00/1d0036c8b1393bfba719437de22a0659/0129020958v2.jpeg "Wer zieht noch die Fäden? Autonome KI-Systeme stellen Governance und Sicherheit in Unternehmen infrage. (Bild: © Autism in Focus - stock.adobe.com / KI-generiert)")