We use cookies to analyse site usage and improve your experience. No tracking occurs until you accept.
    20 MoreContact
    DeutschFrançaisEnglish

    KI-Cybersicherheit Luxemburg: KMU-Leitfaden

    20 More AI Studio
    AI Strategy
    KI-Cybersicherheit Luxemburg: KMU-Leitfaden

    KI-Cybersicherheit Luxemburg: KMU-Leitfaden

    Erfahren Sie mehr über KI-Implementierung in Luxemburg in unserem umfassenden Leitfaden.

    Cyberkriminelle sind längst keine Einzeltäter mehr. Es sind professionell organisierte Gruppierungen, die dieselben KI-Werkzeuge einsetzen wie seriöse Unternehmen — und Luxemburg, mit seinem überproportional großen Finanzsektor und der hohen Dichte an grenzüberschreitend tätigen Unternehmen, steht direkt im Fadenkreuz.

    Im Jahr 2025 verzeichnete das nationale CERT Luxemburgs (CIRCL) einen Anstieg der gemeldeten Cyber-Vorfälle um 43 % gegenüber dem Vorjahr. KI-gestützte Phishing-Kampagnen und Deepfake-basierter Betrug sind die am schnellsten wachsenden Bedrohungskategorien. Für die über 40.000 KMU des Landes hat sich die Frage verschoben — von "Werden wir angegriffen?" zu "Sind wir vorbereitet, wenn es passiert?"

    Dieser Leitfaden erläutert, wie KI sowohl die Cyberbedrohungen als auch die Cyberabwehr für luxemburgische Unternehmen verändert, was die NIS2-Richtlinie für Ihre Compliance-Pflichten bedeutet, und welche konkreten Schritte KMU jetzt unternehmen können.

    Wie KI die Cyberbedrohungen Gegen Luxemburger Unternehmen Verschärft

    Die unbequeme Realität: KI verschärft den Online-Betrug in Luxemburg — und in ganz Europa — in besorgniserregendem Tempo. Angreifer nutzen generative KI, um Bedrohungen zu entwickeln, die schwerer zu erkennen, schneller einsetzbar und kostengünstiger skalierbar sind als alles bisher Dagewesene.

    KI-gestütztes Phishing und Social Engineering

    Traditionelle Phishing-Mails waren oft leicht zu erkennen: Rechtschreibfehler, generische Anreden, verdächtige Absenderadressen. KI hat diese Warnsignale beseitigt. Große Sprachmodelle erzeugen perfekt formulierte, kontextuell relevante Phishing-Nachrichten in jeder der drei Amtssprachen Luxemburgs — sowie auf Englisch, Portugiesisch und in jeder anderen Sprache der multinationalen Belegschaft des Landes.

    Spear-Phishing im großen Maßstab ist die entscheidende Entwicklung. Angreifer nutzen KI, um LinkedIn-Profile, Unternehmenswebseiten und öffentliche Meldungen auszuwerten und anschließend personalisierte Nachrichten zu generieren, die echte Kollegen, reale Projekte und tatsächliche Geschäftsereignisse erwähnen. Ein Finanzvorstand einer luxemburgischen PSF könnte eine E-Mail erhalten, die scheinbar von seinem CSSF-Ansprechpartner stammt, auf eine tatsächliche regulatorische Frist Bezug nimmt und einen schädlichen Anhang als Compliance-Update tarnt.

    Deepfakes und Stimmklonung

    Deepfake-Technologie hat sich von der Kuriosität zur operativen Bedrohung entwickelt. 2024 verlor ein multinationaler Konzern 25 Millionen Dollar, nachdem ein Mitarbeiter durch einen Videoanruf mit KI-generierten Deepfakes von Führungskräften getäuscht wurde. Luxemburgs Position als internationaler Finanzstandort macht es für diese Art von Angriff besonders anfällig.

    Stimmklonung benötigt lediglich drei Sekunden Audiomaterial, um eine überzeugende Kopie zu erstellen. Vorstandsmitglieder, Geschäftsführer und Fondsverwalter, die auf öffentlichen Konferenzen, in Podcasts oder in Medieninterviews auftreten, liefern unwissentlich das Rohmaterial für solche Angriffe.

    Automatisierte Schwachstellenausnutzung

    KI-Tools scannen Netzwerke und Software mit einer Geschwindigkeit nach Schwachstellen, die kein menschliches Sicherheitsteam erreichen kann. Sobald eine Lücke gefunden ist, generiert und testet die KI automatisch Exploit-Code. Was erfahrene Hacker früher Wochen kostete, erledigen automatisierte Systeme heute in Stunden.

    KI-gestützte Cyberbedrohungslandschaft

    Wie KI die Cyberabwehr Stärkt

    Dieselben KI-Fähigkeiten, die Angreifer nutzen, geben auch Verteidigern beispiellose Werkzeuge an die Hand. Für luxemburgische KMU ist KI-gestützte Cybersicherheit kein Luxus mehr, der Großunternehmen vorbehalten ist — sie wird zunehmend zugänglich und angesichts der Bedrohungslage zunehmend unverzichtbar.

    Bedrohungserkennung in Echtzeit und Anomalieerkennung

    Traditionelle Cybersicherheit stützt sich auf bekannte Bedrohungssignaturen — im Wesentlichen eine Datenbank bereits identifizierter Angriffe. KI-gestützte Systeme gehen weiter, indem sie Referenzmuster für normales Netzwerkverhalten erstellen und Abweichungen von diesen Mustern melden.

    Zentrale Fähigkeiten umfassen:

    • Verhaltensanalyse: Erkennung, wenn ein Benutzerkonto plötzlich auf nie zuvor berührte Dateien zugreift, ungewöhnliche Datenmengen herunterlädt oder sich von unerwarteten Standorten anmeldet
    • Netzwerkverkehrsüberwachung: Identifikation von Command-and-Control-Kommunikation, Datenexfiltrationsversuchen und lateraler Bewegung innerhalb von Netzwerken — selbst wenn Angreifer verschlüsselte Kanäle nutzen
    • E-Mail-Sicherheit: Analyse von Schreibstil, Absenderverhalten und Link-Eigenschaften, um KI-generiertes Phishing abzufangen, das herkömmliche Filter passiert
    • Endpoint-Erkennung: Überwachung einzelner Geräte auf Anzeichen von Kompromittierung, Ransomware-Verschlüsselungsverhalten oder nicht autorisierte Softwareinstallation

    Für ein luxemburgisches KMU mit 50 bis 200 Mitarbeitern kann ein KI-gestütztes SIEM-System (Security Information and Event Management) täglich Millionen von Protokolleinträgen verarbeiten und auf eine Handvoll umsetzbarer Warnungen verdichten, die ein kleines IT-Team tatsächlich untersuchen kann.

    Automatisierte Vorfallsreaktion

    Geschwindigkeit ist in der Cybersicherheit entscheidend. Die durchschnittliche Zeit zur Eindämmung einer Datenschutzverletzung betrug 2025 weltweit 258 Tage. KI-gestützte automatisierte Reaktion kann diesen Zeitraum für viele Angriffsarten auf Minuten reduzieren.

    Automatisierte Playbooks, die durch KI-Erkennung ausgelöst werden, können:

    • Kompromittierte Endpunkte innerhalb von Sekunden vom Netzwerk isolieren
    • Verdächtige IP-Adressen und Domain-Verbindungen blockieren
    • Kompromittierte Benutzerkonten deaktivieren und gleichzeitig Administratoren alarmieren
    • Backup-Überprüfungs- und Wiederherstellungsverfahren einleiten
    • Forensische Berichte für regulatorische Meldepflichten erstellen

    Dies ist besonders relevant für luxemburgische Unternehmen, die der NIS2-Richtlinie unterliegen, welche strikte Fristen für die Vorfallsmeldung vorschreibt.

    KI-gestützte Betrugserkennung für Finanzdienstleistungen

    Luxemburg ist Europas zweitgrößtes Fondszentrum und ein bedeutender Standort für Banken, Versicherungen und Zahlungsdienste. KI-Betrugserkennung im Finanzsektor hat sich zu einem kritischen Anwendungsfeld entwickelt.

    KI-Betrugserkennungssysteme analysieren Transaktionsmuster gleichzeitig über mehrere Dimensionen:

    • Transaktionsgeschwindigkeit und -volumen: Erkennung plötzlicher Spitzen bei Transaktionshäufigkeit oder -wert
    • Geografische Anomalien: Markierung von Transaktionen aus ungewöhnlichen Standorten im Vergleich zur Kontohistorie
    • Verhaltensbiometrie: Analyse der Benutzerinteraktion mit Banking-Oberflächen — Tippmuster, Mausbewegungen, Sitzungsdauer — zur Erkennung von Kontoübernahmen
    • Netzwerkanalyse: Kartierung der Beziehungen zwischen Konten, Begünstigten und Gegenparteien zur Identifikation von Geldwäschenetzwerken

    Luxemburgische Fonds und PSFs, die KI-gestützte Betrugserkennung einsetzen, berichten von einer Reduktion der Fehlalarme um 60 bis 80 % im Vergleich zu regelbasierten Systemen — bei gleichzeitig höherer Aufdeckung tatsächlicher Betrugsfälle. Das wirkt sich unmittelbar auf die Betriebskosten und die Beziehung zur CSSF aus.

    KI-Dashboard zur Betrugserkennung

    NIS2-Richtlinie: Was Luxemburger KMU Wissen Müssen

    Die NIS2-Richtlinie (Richtlinie über Netz- und Informationssicherheit 2) wurde im Januar 2025 in luxemburgisches Recht umgesetzt und erweitert den Kreis der Unternehmen, die robuste Cybersicherheitsmaßnahmen vorhalten müssen, erheblich. Ihre NIS2-Pflichten zu verstehen, ist keine Option mehr — es ist eine gesetzliche Anforderung.

    Welche Luxemburger Unternehmen Sind Betroffen?

    NIS2 gilt für zwei Kategorien von Einrichtungen:

    Wesentliche Einrichtungen (strengere Anforderungen und proaktive Aufsicht):

    • Energieversorger und Versorgungsunternehmen
    • Transport- und Logistikunternehmen
    • Banken und Finanzmarktinfrastrukturen
    • Gesundheitsdienstleister
    • Trinkwasserversorgung und -verteilung
    • Digitale Infrastruktur (DNS, TLD-Registrierungsstellen, Cloud-Anbieter, Rechenzentren)

    Wichtige Einrichtungen (leichtere Aufsicht, aber dennoch erhebliche Anforderungen):

    • Post- und Kurierdienste
    • Abfallwirtschaftsunternehmen
    • Chemische Herstellung und Vertrieb
    • Lebensmittelproduktion und -verteilung
    • Herstellung von Medizinprodukten, Elektronik und Maschinen
    • Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)

    Wichtig für KMU: NIS2 gilt grundsätzlich für mittlere und große Unternehmen (ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz). Bestimmte Einrichtungen sind jedoch unabhängig von ihrer Größe erfasst — darunter Vertrauensdiensteanbieter, DNS-Anbieter und alleinige Erbringer wesentlicher Dienste in einem Mitgliedstaat.

    Zentrale NIS2-Compliance-Anforderungen

    1. Risikomanagementmaßnahmen: Umsetzung von Richtlinien für Risikoanalyse, Vorfallsbehandlung, Geschäftskontinuität, Lieferkettensicherheit und Schwachstellenoffenlegung
    2. Vorfallsmeldung: Meldung erheblicher Vorfälle an das nationale CSIRT Luxemburgs innerhalb von 24 Stunden (Frühwarnung), 72 Stunden (Vorfallsmeldung) und einem Monat (Abschlussbericht)
    3. Verantwortlichkeit der Geschäftsleitung: Die Geschäftsführung muss Cybersicherheitsmaßnahmen genehmigen und kann bei Nichteinhaltung persönlich haftbar gemacht werden
    4. Lieferkettensicherheit: Bewertung und Management der Cybersicherheitsrisiken von Zulieferern und Dienstleistern
    5. Verschlüsselung und Zugangskontrolle: Umsetzung angemessener technischer Maßnahmen einschließlich Verschlüsselung, Multi-Faktor-Authentifizierung und Zugangsmanagement

    Sanktionen bei Nichteinhaltung

    Die Strafen sind erheblich:

    • Wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist
    • Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes
    • Persönliche Haftung der Geschäftsleitung: Einzelne Geschäftsführer können persönlich zur Verantwortung gezogen werden

    Wie KI die NIS2-Compliance Unterstützt

    KI schützt nicht nur vor Angriffen — sie hilft auch, die spezifischen NIS2-Anforderungen zu erfüllen:

    • Kontinuierliche Risikobewertung: KI-gestützte Tools führen Echtzeit-Risiko-Dashboards, die die NIS2-Anforderung einer fortlaufenden Risikoanalyse erfüllen
    • Automatisierte Vorfallserkennung und -meldung: KI-Systeme können Vorfälle erkennen und vorläufige Berichte innerhalb des 24-Stunden-Frühwarnfensters erstellen
    • Lieferkettenüberwachung: KI analysiert kontinuierlich die Sicherheitslage der Lieferanten, Risikobewertungen und Schwachstellen Dritter
    • Audit-Trail und Dokumentation: KI-Systeme protokollieren automatisch Sicherheitsereignisse, Entscheidungen und Reaktionen und erstellen die von NIS2 geforderte Compliance-Dokumentation

    Für Unternehmen, die ihre technologische Gesamtreife neben der Cybersicherheit bewerten müssen, bietet unser Leitfaden zur IT-Bewertung für KI-Bereitschaft einen strukturierten Rahmen.

    Die Kostengleichung: Cyber-Vorfälle vs. KI-gestützter Schutz

    Luxemburger Unternehmen zögern häufig bei Cybersicherheitsinvestitionen, weil die Kosten abstrakt erscheinen — bis ein Vorfall eintritt. Die Zahlen sprechen eine deutliche Sprache.

    Die Kosten eines Cyber-Vorfalls

    • Durchschnittliche Kosten einer Datenschutzverletzung in der EU: 4,3 Millionen Euro (Zahlen von 2025), ein Anstieg von 12 % gegenüber 2023
    • KMU-spezifische Auswirkung: Für Unternehmen mit weniger als 500 Mitarbeitern betragen die durchschnittlichen Kosten einer Verletzung 2,8 Millionen Euro — für kleinere Betriebe oft existenzbedrohend
    • Ausfallkosten: Das durchschnittliche luxemburgische Unternehmen verliert 5.600 Euro pro Stunde IT-Ausfall. Ransomware-Angriffe verursachen durchschnittlich 21 Tage Betriebsstörung
    • Regulatorische Bußgelder: NIS2-Sanktionen bis zu 10 Millionen Euro, DSGVO-Bußgelder (die CNPD hat in Luxemburg Bußgelder bis zu 746.000 Euro verhängt) und mögliche CSSF-Sanktionen für regulierte Einrichtungen
    • Reputationsschaden: 65 % der Verbraucher verlieren nach einer Datenschutzverletzung das Vertrauen in ein Unternehmen. In Luxemburgs beziehungsorientierter Geschäftskultur ist diese Wirkung verstärkt

    Die Kosten KI-gestützten Schutzes

    • Verwaltete KI-Sicherheitsdienste: 800 bis 3.000 Euro monatlich für KMU mit 20 bis 200 Mitarbeitern, einschließlich Endpoint-Erkennung, E-Mail-Sicherheit und 24/7-Überwachung
    • KI-gestützte SIEM-Implementierung: 15.000 bis 50.000 Euro Ersteinrichtung plus 500 bis 2.000 Euro monatlich für Cloud-Lösungen
    • KI-Sicherheitsschulungen für Mitarbeiter: 50 bis 150 Euro pro Mitarbeiter jährlich für Phishing-Simulationsplattformen und Sicherheitsbewusstsein
    • NIS2-Compliance-Bewertung und Lückenanalyse: 5.000 bis 20.000 Euro einmalig

    Die Rechnung ist einfach: Eine jährliche KI-Cybersicherheitsinvestition von 20.000 bis 60.000 Euro schützt vor potenziellen Verlusten von 2 bis 5 Millionen Euro. Die Rendite ist nicht spekulativ — sie ist versicherungsmathematisch belegbar.

    Das Cybersicherheits-Ökosystem Luxemburgs: Zentrale Ressourcen

    Luxemburg hat eines der am weitesten entwickelten nationalen Cybersicherheits-Ökosysteme Europas aufgebaut. KMU sollten diese Ressourcen nutzen:

    Nationale Institutionen

    • CIRCL (Computer Incident Response Center Luxembourg): Kostenlose Unterstützung bei der Vorfallsreaktion und Bedrohungsinformationen für luxemburgische Unternehmen. CIRCL betreibt MISP (Malware Information Sharing Platform), die weltweit von Organisationen genutzt wird
    • POST CyberForce: Luxemburgs größtes verwaltetes Security Operations Center mit 24/7-Überwachung, Vorfallsreaktion und Bedrohungsinformationen, zugeschnitten auf den lokalen Markt
    • CNPD (Commission Nationale pour la Protection des Données): Luxemburgs Datenschutzbehörde, die auch als nationale Referenzbehörde für den EU AI Act fungiert. Die CNPD-Leitlinien zum Datenschutz durch Technikgestaltung überschneiden sich direkt mit Cybersicherheitsanforderungen
    • CSSF: Für regulierte Finanzunternehmen bietet die CSSF spezifische Orientierungshilfen zum ICT-Risikomanagement und hat KI-Governance in ihren Aufsichtsrahmen integriert
    • ILR (Institut Luxembourgeois de Régulation): Die zuständige Behörde für die Umsetzung und Durchsetzung von NIS2 in Luxemburg

    Branchenressourcen

    • SECURITYMADEIN.LU: Staatlich unterstützte Initiative, die kostenlose Cybersicherheits-Tools, Schulungen und Diagnosedienste für luxemburgische Unternehmen bereitstellt
    • Luxembourg House of Cybersecurity: Nationale Agentur, die die Cybersicherheitsstrategie des Landes koordiniert und Risikobewertungsrahmen sowie Vorfallsunterstützung anbietet
    • Cybersecurity Competence Center (C3): Test- und Zertifizierungseinrichtungen für luxemburgische Unternehmen
    Cybersicherheitsinfrastruktur Luxemburg

    Praktische Schritte: Was Luxemburger KMU Jetzt Tun Sollten

    Auf einen Cyberangriff zu warten, bevor man in Cybersicherheit investiert, ist wie auf einen Brand zu warten, bevor man eine Versicherung abschließt. Hier ist ein praktischer Fahrplan für luxemburgische KMU.

    Sofortmaßnahmen (Diesen Monat)

    1. Cybersicherheits-Basiswertung durchführen: Nutzen Sie die kostenlosen Tools von SECURITYMADEIN.LU, um Ihre aktuelle Sicherheitslage zu bewerten
    2. Multi-Faktor-Authentifizierung (MFA) aktivieren für alle geschäftskritischen Systeme — E-Mail, Cloud-Speicher, Finanzanwendungen, VPN-Zugang
    3. NIS2-Status prüfen: Ermitteln Sie, ob Ihr Unternehmen in den Anwendungsbereich fällt und welche Kategorie (wesentlich oder wichtig) zutrifft
    4. KI-gestützte E-Mail-Sicherheit einführen: Diese einzelne Maßnahme blockiert den häufigsten Angriffsvektor

    Kurzfristige Maßnahmen (Nächste 90 Tage)

    1. KI-gestützte Endpoint Detection and Response (EDR) implementieren: Lösungen von CrowdStrike, SentinelOne oder Microsoft Defender for Endpoint nutzen KI zur Erkennung und Eindämmung von Bedrohungen auf einzelnen Geräten
    2. Vorfallsreaktionsplan erstellen: Dokumentieren Sie, wer im Falle einer Verletzung was tut — einschließlich NIS2-Meldefristen und CNPD-Verletzungsmeldeverfahren
    3. Mitarbeiter zu KI-verstärkten Bedrohungen schulen: Führen Sie KI-gestützte Phishing-Simulationen durch und stellen Sie sicher, dass die Belegschaft Deepfake- und Stimmklonungsrisiken versteht
    4. Cybersicherheit der Lieferkette bewerten: Kartieren Sie Ihre kritischen Zulieferer und bewerten Sie deren Sicherheitslage — NIS2 verlangt dies

    Mittelfristige Maßnahmen (Nächste 6 bis 12 Monate)

    1. KI-gestütztes SIEM oder MDR (Managed Detection and Response) einführen: Für Unternehmen mit sensiblen Daten oder regulatorischen Pflichten ist 24/7-KI-Überwachung unverzichtbar
    2. Cybersicherheit in Ihre KI-Roadmap integrieren: Wenn Sie weitere KI-Tools in Ihrem Unternehmen einführen, stellen Sie sicher, dass jedes einzelne auf Sicherheitsimplikationen geprüft wird
    3. Cybersicherheitszertifizierung anstreben: ISO 27001 oder die luxemburgspezifische CASES-Zertifizierung demonstriert Sorgfaltspflicht gegenüber Regulatoren und Kunden
    4. POST CyberForce oder einen Managed-Security-Anbieter beauftragen: Für die meisten KMU ist die Auslagerung der 24/7-Sicherheitsüberwachung an ein in Luxemburg ansässiges SOC kosteneffizienter als der Aufbau interner Kapazitäten

    Das Wesentliche: KI-Cybersicherheit ist eine Geschäftsentscheidung, Keine Technische

    Cybersicherheit ist vom IT-Bereich in die Vorstandsetage gewandert. Die NIS2-Richtlinie macht die Geschäftsleitung persönlich verantwortlich. KI ist zugleich Waffe und Schutzschild. Und Luxemburg — mit seiner Konzentration an Finanzdienstleistungen, grenzüberschreitenden Datenströmen und mehrsprachiger Belegschaft — steht vor einer Bedrohungslandschaft, die eine ausgefeilte, KI-gestützte Verteidigung erfordert.

    Unternehmen, die jetzt handeln, werden nicht nur Sicherheitsverletzungen vermeiden — sie werden die operative Widerstandsfähigkeit aufbauen, die Kunden, Regulatoren und Partner zunehmend einfordern. Wer zögert, riskiert katastrophale Verluste, die nicht nur in Euro, sondern auch in Vertrauen gemessen werden.

    Für Unternehmen, die bewerten möchten, wie KI-Cybersicherheit in ihre übergreifende Klassifizierung von Hoch- und Niedrigrisiko-KI-Systemen passt, ist das Verständnis des regulatorischen Rahmens ebenso wichtig.

    Schützen Sie Ihr Luxemburger Unternehmen Mit KI-Gestützter Cybersicherheit

    20 More AI Studio unterstützt luxemburgische KMU bei der Bewertung ihrer Cybersicherheitslage, der Implementierung KI-gestützter Abwehrsysteme und dem Aufbau NIS2-konformer Sicherheitsrahmen — ohne die Komplexität und die Kosten großer Unternehmensberatungen.

    Vereinbaren Sie ein 30-minütiges Beratungsgespräch, um zu besprechen, wie KI die Cyberabwehr Ihres Unternehmens noch heute stärken kann.

    Ready to Transform Your Business with AI?

    Let's discuss how custom AI solutions can eliminate your biggest time drains and boost efficiency.

    Beratung planenBack to Home
    Tags:
    Luxembourg
    Cybersicherheit
    KI
    KMU

    Related Resources

    AI Implementation in Luxembourg

    Explore our comprehensive guide to AI adoption, implementation, and governance in Luxembourg.

    Read the Guide

    Get Expert Guidance

    Discuss your AI implementation needs with our team and get a customized roadmap.

    Schedule Consultation

    Related Posts

    Enterprise IT Assessment Luxembourg: AI Readiness

    How to assess your Luxembourg enterprise IT infrastructure for AI. Readiness checklist, common gaps, and actionable steps to prepare for AI implementation.

    February 8, 2026
    LuxembourgIT AssessmentAI Readiness

    High-Risk vs Low-Risk AI Systems: Classification Guide for Luxembourg 2026

    Is your AI system high-risk under EU law? Learn the exact classification criteria Luxembourg companies must know to avoid fines. Includes compliance checklist.

    December 20, 2025
    AI ComplianceEU AI ActRegulatory

    KI-Kosten für Luxemburger KMU: Budget-Guide 2026

    Was KI für ein Luxemburger KMU in 2026 wirklich kostet. Budgetaufschlüsselung, versteckte Kosten, ROI-Zeitrahmen und Luxemburger Förderungen von 50-75 %.

    February 15, 2026
    KI BudgetKMULuxemburg