Anna SchmidtAm 19. März 2026 vermeldete CD Projekt Group ein Rekordergebnis: 867 Millionen PLN Umsatz und 595 Millionen PLN Nettogewinn – das zweitbeste Jahr in der Unternehmensgeschichte. Gleichzeitig wächst der polnische Spieleentwickler rasant: von 707 auf 933 Entwickler innerhalb eines Jahres, mit 499 Mitarbeitern allein an The Witcher 4. Was steckt hinter diesem Boom – und was können deutsche Unternehmen daraus lernen?
Vom Ransomware-Angriff zum Rekordergebnis
2021 wurde CD Projekt Red Opfer eines schwerwiegenden Ransomware-Angriffs. Die Hackergruppe HelloKitty infiltrierte die IT-Systeme des Unternehmens und stahl Quellcode von Cyberpunk 2077 und The Witcher 3 – für ein Spieleunternehmen ein maximaler Vertrauensschaden. Mitarbeiterdaten wurden kompromittiert, der Schaden war immens.
Fünf Jahre später steht das Unternehmen mit einem Rekordgewinn da. Dieser Turnaround ist kein Zufall: Laut Unternehmensberichten investierte CD Projekt massiv in die Härtung seiner IT-Sicherheitsinfrastruktur nach dem Angriff. Zugangsverwaltung, Netzwerksegmentierung und Incident-Response-Prozesse wurden grundlegend überarbeitet.
Das ist eine Lektion, die auch deutsche KMU beherzigen sollten – nicht erst nach einem Angriff.
Warum wachsende Unternehmen besonders gefährdet sind
CD Projekt wuchs im letzten Jahr um 24 Prozent – 226 neue Entwickler kamen in zwölf Monaten dazu. Jeder neue Mitarbeiter ist eine potenzielle Angriffsfläche: neues Endgerät, neue Zugangsdaten, neue E-Mail-Adresse, die in Phishing-Kampagnen auftaucht.
Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) war Ransomware 2025 erneut die häufigste Bedrohung für deutsche Unternehmen. Besonders betroffen: Mittelständler mit 50 bis 500 Mitarbeitern, die zu groß sind, um unter dem Radar zu bleiben, und zu klein, um eine vollwertige IT-Sicherheitsabteilung zu unterhalten.
Das Muster ähnelt dem von CD Projekt vor 2021: schnelles Wachstum, viele neue Systeme, unzureichende Sicherheitsprozesse.
Die NIS2-Richtlinie: neue Pflichten ab 2024
Für deutsche Unternehmen kommt ein weiterer Faktor hinzu: Seit Oktober 2024 gilt die NIS2-Richtlinie der EU in deutsches Recht umgesetzt. Sie verpflichtet Unternehmen ab bestimmten Größenschwellen – grob: ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in kritischen oder wichtigen Sektoren – zu konkreten Cybersicherheitsmaßnahmen.
Zu den Pflichten gehören:
- Risikomanagementsysteme für IT-Sicherheit
- Meldepflichten bei Sicherheitsvorfällen innerhalb von 24 Stunden
- Sicherheitsanforderungen an die Lieferkette
- Regelmäßige Schulungen für Führungskräfte und Mitarbeiter
Verstöße können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden. Viele Mittelständler sind sich noch nicht bewusst, dass sie unter die Richtlinie fallen.
Was der CD-Projekt-Fall für Ihre IT-Sicherheitsstrategie bedeutet
Aus dem Fall CD Projekt lassen sich drei konkrete Lehren ziehen:
1. Backup und Trennung von Produktionssystemen. Der HelloKitty-Angriff funktionierte, weil Quellcode und Produktionssysteme nicht ausreichend isoliert waren. Offline-Backups und Netzwerksegmentierung hätten den Schaden drastisch begrenzt. Dies gilt für jedes Unternehmen – nicht nur für Software-Firmen.
2. Zugriffsrechte nach dem Prinzip der minimalen Berechtigung. Jeder Mitarbeiter sollte nur auf die Systeme und Daten zugreifen können, die er für seine Arbeit braucht. CD Projekt hat dieses Prinzip nach dem Angriff konsequent umgesetzt. Für KMU bedeutet das: regelmäßige Reviews der Zugriffsrechte, besonders nach Mitarbeiterwechseln.
3. Incident Response Plan vor dem Ernstfall. Ein Angriff ist keine Frage des Ob, sondern des Wann. Ein vorab definierter Reaktionsplan – wer informiert wird, welche Systeme abgeschaltet werden, wie die Kommunikation läuft – kann den Schaden drastisch reduzieren. Ohne Plan verlieren Unternehmen im Ernstfall wertvolle Stunden.
IT-Sicherheitsberater: Wann externe Hilfe sinnvoll ist
Viele Mittelständler verfügen nicht über die internen Ressourcen, um NIS2-Anforderungen eigenständig umzusetzen. Ein externer IT-Sicherheitsberater kann helfen:
- Eine Gap-Analyse durchzuführen: Wo steht Ihr Unternehmen aktuell, und was fehlt für die NIS2-Compliance?
- Risikobasierte Sicherheitsmaßnahmen zu priorisieren – statt Pauschlösungen zu kaufen, die nicht zum Risikoprofil passen
- Mitarbeiter zu schulen, denn laut BSI ist der Mensch nach wie vor das schwächste Glied in der Sicherheitskette
- Im Ernstfall als erster Ansprechpartner für Forensik und Meldepflichten zu fungieren
Für Unternehmen, die den ersten Schritt noch nicht gemacht haben, ist jetzt der richtige Zeitpunkt. CD Projekt hat gezeigt: Auch nach einem schwerwiegenden Angriff ist eine Erholung möglich – aber besser ist es, es gar nicht so weit kommen zu lassen.
Eine Beratung durch einen IT-Sicherheitsexperten kann Ihnen helfen, die richtigen Maßnahmen für Ihre spezifische Situation zu identifizieren – ohne unnötige Investitionen in Lösungen, die Sie nicht brauchen.
Ausblick: Gaming und Cybersecurity konvergieren
The Witcher 4 und Cyberpunk 2077 auf der Nintendo Switch 2 – CD Projekt bedient 2026 ein riesiges globales Publikum. Mit jedem neuen Vertriebskanal steigt auch die Angriffsfläche: Vertriebsplattformen, Spielaccounts, Zahlungsdaten. Das Unternehmen hat aus 2021 gelernt.
Interessant ist auch die Perspektive der Investoren: CD Projekts schnelles Wachstum macht das Unternehmen für institutionelle Investoren attraktiver – aber auch riskanter, wenn IT-Sicherheit nicht mithalten kann. Ein einziger Ransomware-Angriff kann den Börsenkurs innerhalb von Stunden abstürzen lassen. Anleger, die in Technologieunternehmen investieren, sollten daher nicht nur auf das Umsatzwachstum schauen, sondern auch auf die Reife des Sicherheitsmanagements.
Für deutsche Unternehmen gilt: IT-Sicherheit ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Wer heute in Grundlagen wie Backup-Strategie, Zugriffsmanagement und Mitarbeitersensibilisierung investiert, spart morgen teure Schadensbegrenzung. Deutsche Unternehmen müssen nicht erst einen Milliardenschaden erleiden, um in IT-Sicherheit zu investieren. Die Frage ist nicht ob, sondern wie gut vorbereitet Sie sind.
Hinweis: Dieser Artikel dient der allgemeinen Information. Für verbindliche Aussagen zur NIS2-Konformität wenden Sie sich an einen spezialisierten IT-Sicherheitsberater oder Rechtsanwalt.
