Aufnahme von EmDee aus wikimedia zeigt das Berlaymont-Gebäude in Brüssel.
Corporate & Finance 29.04.2026

Risikoprofil 2026: Vorsicht wird teuerste Strategie

5 Min. Lesezeit

Die vier MBF-Media-Magazine cloudmagazin, MyBusinessFuture, Digital Chiefs und SecurityToday haben im April 2026 in Summe 24 Originalrecherchen zu sechs parallelen Bewegungen veröffentlicht. Liest man sie als zusammenhängende Bilanz, ergibt sich ein verschobenes Risikoprofil. Vorsicht wird 2026 zur teuersten Position. Mittelstandsentscheider, die abwarten ob NIS2 wirklich greift, ob der EU-AI-Act am 2. August scharfgestellt wird, ob KI im CRM mehr ist als ein Verkaufsargument, zahlen ab dem dritten Quartal mehr als die, die sich exponiert haben. Eine April-Bilanz aus Sicht der Geschäftsführung.

Das Wichtigste in Kürze

  • Sechs Bewegungen, ein Risikoprofil. DAX-Spinoffs bei Continental, Infineon und ThyssenKrupp, Made-for-Germany-Zwischenbilanz mit 800 Milliarden Euro Zusagen ohne Mittelstandseffekt, NIS2/BSI-KRITIS/C5-Compliance-Trio, EU-AI-Act-Stichtag 2. August, drei Top-Level-Phishing-Vorfälle in Berlin, KI-Konsolidierung im CRM bei Salesforce, HubSpot und Microsoft Dynamics.
  • Drei Risikotypen. Regulatorische Stichtage (AI Act, NIS2, KRITIS-Schwellen), Bewertungsverschiebungen (Holding-Logik, M&A-Multiples, Förderzugang) und operative Angriffsflächen (Top-Level-Awareness, CRM-KI-Architektur). Nicht alles ist gleich dringend, aber jede Bewegung verändert die Kosten des Abwartens.
  • Konkrete Hebel pro Cluster. Architektur-Review vor dem 2. August spart nach Hyperscaler-Erfahrungswerten 70 bis 130 Prozent gegenüber einer Q3-Nachrüstung. Top-Level-Awareness liegt im Mittel bei 12.000 Euro Schulungsaufwand und verhindert in dokumentierten Fällen Schäden zwischen 380.000 Euro und 2,4 Millionen Euro pro Vorfall.
  • Vorsicht kippt von Tugend zu Kostenposition. Die Mittelstands-Tugend funktionierte, solange Marktstrukturen stabil waren. 2026 ist sie nicht mehr neutral, weil drei der sechs Cluster Stichtags-Charakter haben und drei weitere die Bewertungsmechanik verschieben.

VerwandtMade for Germany: Zwischenbilanz mit Lücken  /  RevOps: KI im CRM beendet die Silo-Diskussion

Drei Risikotypen, an denen sich der April sortiert

Die sechs Bewegungen wirken auf den ersten Blick wie ein Risiko-Dauerfeuer. Sortiert man sie nach der Frage, was die Geschäftsführung tun muss, ergeben sich drei Typen. Der erste Typ sind regulatorische Stichtage: EU-AI-Act-Pflichten zum 2. August 2026, NIS2-Inspektionen seit Q4 2025, abgesenkte BSI-KRITIS-Schwellen für 2026. Das sind Fristen, keine Optionen.

Der zweite Typ sind Bewertungsverschiebungen. DAX-Spinoffs senken Multiples für vertikal integrierte Mischkonzerne, Made-for-Germany-Förderzugang trennt aktive von passiven Mittelständlern, die KI-Konsolidierung im CRM verschiebt die Tool-Frage in eine Datenmodell-Frage. Das sind Trends, die das eigene Bewertungsfundament verändern, ohne formellen Stichtag.

Der dritte Typ sind operative Angriffsflächen. Top-Level-Phishing in der Berliner Politik zeigt, wo Awareness-Programme im Mittelstand nicht greifen. RevOps-KI-Konsolidierung legt Pipeline-Lücken in dualen Stacks offen. Beides ist nicht gesetzlich vorgegeben, kostet aber im laufenden Betrieb messbar.

Drei DAX-Spinoffs zeigen, wie Holding-Logik 2026 abgewertet wird

Continental hat Anfang April 2026 die Abspaltung der ContiTech bestätigt, Infineon kündigte 2,7 Milliarden Euro zusätzliches CapEx für das Geschäftsjahr an, ThyssenKrupp brachte die Marine Systems an die Frankfurter Börse. Drei Konzerne, drei eigene Bewertungslogiken. Die Gemeinsamkeit: Der Kapitalmarkt zahlt 2026 für Holding-Diversifikation schlechter als für klar geschnittene Bewertungseinheiten.

Für Familienunternehmen, Beteiligungsholdings und Unternehmensgruppen mit Nachfolge- oder Verkaufsperspektive heißt das: Die Konzernstruktur ist 2026 kein juristisches Nebenthema mehr, sondern Teil der Bewertung. Auf KPI-Ebene sinken M&A-Multiples für vertikal integrierte Mischkonzerne laut PwC seit dem vierten Quartal 2025 um durchschnittlich 1,8 EBITDA-Punkte. Eine Strukturentscheidung für eine 2027er-Transaktion fällt damit im Sommer 2026, nicht in der Verhandlungsphase. Parallel zeigt die Sovereign-AI-Diskussion auf der Hannover Messe, dass Vorstandsentscheidungen über Cloud- und KI-Souveränität gerade aus dem PMO an den Bewertungsausschuss wandern.

800 Milliarden Euro Zusagen, Mittelstand bisher ohne messbare Bewilligung

Die Initiative Made for Germany ist seit Juli 2025 aktiv, zählt 129 Mitglieder und über 800 Milliarden Euro Investitionszusagen für 2025 bis 2028. Das deutsche BIP wuchs Ende 2025 um 0,2 Prozent. 85 Prozent der Unternehmen erwarten laut ifo-Lagebericht für 2026 keine Besserung. BDI-Präsident Wolfram Leibinger nennt die Lage die schwerste Krise seit Gründung der Bundesrepublik. Drei Förder-Cluster sind operativ greifbar: Mittelstand-Digital-Zentren mit Skizzen-Frist 30. April für neue themen- und branchenspezifische Konsortien, IPCEI-AI mit über einer Milliarde Euro Volumen und IPCEI-Halbleiter mit 38 ausgewählten deutschen Projekten.

Beim IPCEI-AI lief die nationale Skizzen-Frist bereits am 21. Januar 2026 ab. Was im Mai bleibt, ist das europäische Matchmaking, in dem sich Mittelständler an bestehende Projekte als Anwender oder Lieferant andocken. Die Förder-Volumina pro Projekt liegen bei bis zu 25 Millionen Euro, der Bearbeitungsaufwand pro Andock-Profil bei nach Branchenangaben vier bis sechs Tagen. Wer den Mai ohne diese Bewertung schließt, lässt einen Slot liegen, dessen Wiederöffnung sich auf das vierte Quartal 2026 oder 2027 verschiebt.

Parallel verändert der Trump-2.0-Stresstest die Außenkulisse: 26 Prozent Maschinenbau-Zoll, 15 Prozent EU-Pharma-Zoll, das Intel-Magdeburg-Aus. Das Abwarten der Zoll-Drohung führt 2026 ins Leere, weil die Zoll-Realität im ersten Quartal angekommen ist. Der Deloitte State of AI Enterprise 2026 dokumentiert zusätzlich eine wachsende Execution-Lücke zwischen Hidden Champions mit operativem KI-Einsatz in Pricing und Forecasting auf der einen Seite und der Pilotmodus-Mehrheit auf der anderen.

„Berlaymont Bruxelles: Sitz der Europäischen Kommission.“

Compliance ist 2026 keine Quartalsfrage mehr, sondern eine Architektur-Frage

NIS2, BSI-KRITIS und C5 bilden für DACH-Multi-Cloud-Setups eine Architektur-Anforderung, die quer durch Anwendungslandschaft, Datenhaltung und Identitätsmanagement schneidet. Eine nachträgliche Umsetzung im dritten Quartal 2026 kostet nach Erfahrungswerten der großen Cloud-Provider das 1,7- bis 2,3-fache eines geplanten Greenfield-Compliance-Setups. Die Mehrkosten entstehen durch Re-Migrationen, Identity-Bridges und neue Audit-Zyklen, die im laufenden Betrieb teurer sind als in einer geplanten Architektur-Phase.

Hinzu kommt der EU-AI-Act-Stichtag im Hochsommer: Für viele Pflichten rund um Hochrisiko-KI nach Annex III wird der 2. August 2026 zum operativen Stichtag. Unternehmen müssen bis dahin wissen, welche Systeme betroffen sind, wer verantwortlich ist und welche Nachweise fehlen. Die Council-Verschiebung der Strafzahlungen auf Dezember 2027 läuft im Trilog noch offen, der August-Stichtag selbst bleibt. Acht von 27 EU-Staaten haben überhaupt eine Aufsichtsstelle benannt. In Deutschland übernimmt das BSI die Inspektion ab August. Eine Architektur-Inventur im Mai liefert 90 Tage Reaktionszeit, eine Inventur im Juli liefert deutlich weniger.

Awareness im falschen Stockwerk, KI-Schicht zieht Marketing und Sales zusammen

Die Signal-Phishing-Vorfälle bei Bundestagspräsidentin Julia Klöckner, Bildungsministerin Karin Prien und Bauministerin Verena Hubertz haben einen unbequemen Befund freigelegt. Awareness-Programme erreichen Sachbearbeiter mit reproduzierten Phishing-Tests, das Top-Management bleibt häufig außen vor. Verifikations-Codes werden an vermeintlich vertraute Kontakte weitergereicht, weil Vertrauen auf Personen kalibriert ist und nicht auf Prozesse. Für den Mittelstand heißt das, das Schulungsprogramm vom Kopf nach unten aufzustellen. Ein praxistauglicher Test: Würde der CFO seinen Banking-TAN am Telefon weitergeben, wenn der Anrufer aus der Hausbank vorgibt zu sein. Lautet die Antwort nicht eindeutig nein, ist die Schulung überfällig.

Parallel zieht die KI-Schicht in Salesforce Einstein, HubSpot Breeze und Microsoft Copilot Marketing und Sales 2026 in dieselbe Datenebene. RevOps wird damit zur Plattform-Frage, nicht mehr zur Org-Frage. Forecasting, Lead-Scoring und Pipeline-Hygiene auf getrennten Stacks geben Genauigkeitspunkte und damit Pipeline-Sicherheit für das vierte Quartal ab. Awareness-Architektur und CRM-KI-Architektur sind die zwei Hebel, an denen eine Vorsichts-Position 2026 messbar in eine Kostenposition kippt.

Mai-Vorbereitung: Was zuerst, was danach

Sofort prüfen: Compliance-Architektur. Cloud-Compliance (NIS2, C5, BSI-KRITIS) und EU-AI-Act-Annex-III parallel inventarisieren, mit Ziel-Abschluss vor dem 2. August 2026. Der Q3-Aufschlag bei verspäteter Umsetzung liegt nach Hyperscaler-Erfahrungswerten zwischen 70 und 130 Prozent gegenüber einem geplanten Setup. Diese Position duldet keinen Verzug, weil der Stichtag fest steht.

Kurzfristig absichern: Top-Level-Awareness. Schulungsprogramm für Geschäftsführung und Beirat ansetzen, nicht für die zweite Reihe. Verifikations-Code-Weitergabe ist der konkrete Angriffsvektor. Schulungskosten liegen nach Marktrecherche bei rund 12.000 Euro, der vermiedene Schaden in dokumentierten Fällen zwischen 380.000 Euro und 2,4 Millionen Euro pro Vorfall. Das ist eine Position mit kurzer Time-to-Value und überschaubarem Setup.

Gezielt bewerten: Förder- und Clusterzugang. IPCEI-AI-Matchmaking als Andock-Möglichkeit prüfen, Mittelstand-Digital-Zentren-Konsortien mit Skizzen-Frist 30. April auf passende Beteiligung scannen. Vier bis sechs Bearbeitungstage stehen einem Projektvolumen im zweistelligen Millionenbereich gegenüber. Diese Position ist optional, aber ihr Slot schließt im zweiten Quartal.

Häufige Fragen

Warum wird Vorsicht 2026 zur Kostenposition?

Drei der sechs April-Cluster haben Stichtags-Charakter (EU-AI-Act 2.8.2026, NIS2-Inspektionen seit Q4 2025, IPCEI-Skizzen). Drei weitere (DAX-Spinoffs, RevOps-Konsolidierung, Top-Level-Phishing) verschieben Marktstrukturen, die sich nicht mehr auf die alte Position zurückkalkulieren lassen. Wer im ersten Quartal abwartet, zahlt im dritten Quartal den Aufschlag oder verliert den Förder-Slot.

Welcher der sechs Cluster ist für den Mittelstand am dringendsten?

Die Compliance-Architektur. Der EU-AI-Act-Stichtag am 2. August 2026 ist nicht verschiebbar, NIS2 läuft seit dem vierten Quartal 2025 in der Inspektionsphase, BSI-KRITIS-Schwellen wurden für 2026 abgesenkt. Eine Architektur-Inventur im Mai liefert 90 Tage Reaktionszeit, eine Inventur im Juli liefert deutlich weniger. Die Q3-Nachrüstungs-Kosten liegen nach Hyperscaler-Erfahrungswerten beim 1,7- bis 2,3-fachen einer geplanten Migration.

Wie passt das mit der Mittelstands-Tugend Vorsicht zusammen?

Vorsicht im Mittelstand bedeutete historisch Risikodiversifikation, kleinere Schritte und stabile Kernprozesse. Diese Logik funktionierte, solange Marktstrukturen stabil waren und Stichtags-Druck moderat blieb. 2026 ist beides nicht mehr gegeben: regulatorische Stichtage, geopolitische Zoll-Verschiebungen und KI-Konsolidierung treffen parallel. Die Tugend in der bisherigen Form weiterzuführen, bedeutet 2026 effektiv eine offene Position gegenüber dem Markt.

Stimmt die Aussage, dass IPCEI-AI noch Skizzen annimmt?

Die nationale Skizzen-Frist beim BMWE lief am 21. Januar 2026 ab. Der noch offene Hebel ist das europäische Matchmaking, das im März 2026 mit einem Berliner Event gestartet wurde. Mittelständler ohne eigene Skizze können sich an vorausgewählte Projekte als Anwender oder Lieferant andocken. Die Liste der vorausgewählten Projekte ist über die nationalen Kontaktstellen einsehbar.

Bildquelle: Berlaymont Bruxelles, Sitz der Europäischen Kommission. Foto: EmDee / Wikimedia Commons

Foto: EmDee / Wikimedia Commons (CC BY-SA 4.0)

Lesetipps der Redaktion

Mehr aus dem MBF Media Netzwerk

Auch verfuegbar inEnglisch  ·  Franzoesisch  ·  Spanisch

Auch verfügbar in

Ein Magazin der evernine media GmbH