Neuer Text

NIS2 im Kontext des IT-Grundschutzes

4. August 2025
Bildquelle: NIS2 Wappen - KI-generiert


Was Sie über NIS2 wissen sollten

Einleitung

Die europäische Richtlinie NIS2 (Network and Information Security Directive 2) markiert einen bedeutenden Meilenstein in der europäischen Cybersicherheitslandschaft. Ziel ist die Stärkung der Widerstandsfähigkeit kritischer und wichtiger Einrichtungen gegen Cyberbedrohungen. Für deutsche Organisationen, die dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) folgen, stellt sich die Frage, wie NIS2-Anforderungen integriert und effizient umgesetzt werden können. Dieser Artikel beleuchtet die Schnittstellen zwischen NIS2 und IT-Grundschutz, identifiziert Synergien und gibt konkrete Empfehlungen zur Umsetzung.


Was ist NIS2?

Die NIS2-Richtlinie wurde am 27. Dezember 2022 im EU-Amtsblatt veröffentlicht und muss bis Oktober 2024 in nationales Recht überführt werden. Sie löst die bisherige NIS-Richtlinie von 2016 ab und weitet deren Anwendungsbereich erheblich aus.

Wesentliche Neuerungen

  • Erweiterung der betroffenen Sektoren und Unternehmen (z. B. Hersteller kritischer Produkte, Postdienste, Abfallwirtschaft)
  • Schärfere Anforderungen an Risikomanagement und Meldung von Sicherheitsvorfällen
  • Verpflichtende Maßnahmen zur Cybersicherheit
  • Haftung und persönliche Verantwortung von Unternehmensleitungen
  • Strengere Aufsicht und empfindliche Sanktionen


Meldepflichten nach NIS2

Ein zentrales Element der NIS2-Richtlinie sind die gestaffelten Meldepflichten. Unternehmen müssen Sicherheitsvorfälle, die erhebliche Auswirkungen auf ihre Dienstleistungen haben könnten, innerhalb klar definierter Zeitfenster melden:

  • Frühwarnung innerhalb von 24 Stunden nach Feststellung des Vorfalls
  • Detailbericht nach 72 Stunden mit ersten Analysen, Auswirkungen und ergriffenen Maßnahmen
  • Abschlussbericht innerhalb eines Monats mit vollständiger Ursachenanalyse und Lessons Learned

Diese Anforderungen gehen über bisherige Standards hinaus und erfordern vorbereitete Prozesse, klare Verantwortlichkeiten und abgestimmte Kommunikationswege.

Grundlagen des IT-Grundschutzes

Der IT-Grundschutz des BSI bietet ein praxisorientiertes Vorgehensmodell zur Absicherung von Informationsverbünden. Er besteht aus dem IT-Grundschutz-Kompendium, methodischen Bausteinen, Gefährdungskatalogen und Umsetzungshinweisen.


Ziele und Aufbau

  • Etablierung eines Information Security Management Systems (ISMS)
  • Systematische Risikoanalyse und Ableitung geeigneter Sicherheitsmaßnahmen
  • Modularer Aufbau durch Bausteine für verschiedene IT-Komponenten, Prozesse und Szenarien
  • Kompatibilität mit ISO 27001 (internationale Norm für Informationssicherheitsmanagement)


Anforderungen an die Lieferkettensicherheit

Ein neuer Schwerpunkt in NIS2 liegt auf der Sicherheit innerhalb der Lieferketten. Unternehmen müssen Risiken bewerten, die durch Abhängigkeiten von externen Dienstleistern, Softwareanbietern oder Hardwarelieferanten entstehen. Erwartet werden:

  • Risikobewertungen von Dritten
  • Sicherheitsanforderungen in Verträgen
  • Nachweise über Sicherheitsmaßnahmen von Lieferanten


Hier bietet der IT-Grundschutz mit dem Baustein „IT-Systeme in Fremdbetreuung“ (SYS.4.2) sowie entsprechenden Prüflisten und Musterverträgen eine solide Grundlage.


Gemeinsamkeiten von NIS2 und IT-Grundschutz

Sowohl NIS2 als auch der IT-Grundschutz verfolgen das Ziel, ein angemessenes Sicherheitsniveau für IT-Systeme und Daten zu gewährleisten. Viele Anforderungen überschneiden sich.

Synergien im Risikomanagement

NIS2 fordert ein Risikomanagement, das technische, operative und organisatorische Maßnahmen umfasst. Der IT-Grundschutz bietet hier mit seiner systematischen Gefährdungs- und Maßnahmenanalyse ein etabliertes Werkzeug.


Vorgaben zur Vorfallbehandlung

NIS2 schreibt eine schnelle Meldung schwerwiegender Sicherheitsvorfälle vor (innerhalb von 24 Stunden). Der IT-Grundschutz enthält Prozesse zur Ereignisbehandlung und Notfallmanagement, die sich anpassen lassen.

Schulung und Sensibilisierung

Beide Regelwerke betonen die Bedeutung von Schulung und Awareness. Der IT-Grundschutz bietet konkrete Umsetzungshinweise für Awareness-Maßnahmen, die auch für NIS2 geeignet sind.

Rolle des Informationssicherheitsbeauftragten (ISB)

Im Rahmen der Umsetzung von NIS2 spielt der Informationssicherheitsbeauftragte eine zentrale Rolle. Er fungiert als Bindeglied zwischen operativer Umsetzung, Unternehmensleitung und Aufsichtsbehörden. Zu seinen Aufgaben zählen unter anderem:

  • Koordination der Risikoanalysen
  • Vorbereitung der Meldeverfahren
  • Dokumentation der Sicherheitsmaßnahmen
  • Beratung der Leitungsebene hinsichtlich NIS2-Compliance

Der IT-Grundschutz liefert dem ISB bewährte Methoden, Vorlagen und Leitlinien zur Umsetzung dieser Aufgaben.


Unterschiede und Herausforderungen

Trotz vieler Gemeinsamkeiten gibt es auch Unterschiede, die in der praktischen Umsetzung zu beachten sind.

Verpflichtungscharakter

Der IT-Grundschutz ist ein freiwilliges Rahmenwerk (außer für bestimmte Behörden und KRITIS-Betreiber), während NIS2 gesetzlich bindend ist. Unternehmen müssen also sicherstellen, dass sie NIS2-relevante Vorgaben einhalten – unabhängig von einer Grundschutz-Zertifizierung.


Unternehmensweite Verantwortung

NIS2 nimmt explizit die Unternehmensleitung in die Pflicht. Diese muss sicherstellen, dass Cybersicherheitsmaßnahmen umgesetzt werden und trägt persönliche Verantwortung. Der IT-Grundschutz adressiert primär Fachabteilungen und IT-Verantwortliche.

Berichterstattung und Dokumentation

Die Anforderungen an Berichterstattung und Dokumentation sind unter NIS2 höher. Insbesondere müssen Unternehmen die Wirksamkeit ihrer Sicherheitsmaßnahmen regelmäßig nachweisen. Der IT-Grundschutz bietet zwar Dokumentationsrichtlinien, diese müssen jedoch eventuell erweitert werden.


Integration von NIS2-Anforderungen in den IT-Grundschutz

Schritt 1: Relevanzanalyse

Unternehmen sollten zunächst prüfen, ob sie unter den Anwendungsbereich von NIS2 fallen. Die Richtlinie unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen. Kriterien sind u. a. Unternehmensgröße, Branche und Kritikalität der Dienstleistung.


Schritt 2: Gap-Analyse

Ein Abgleich der bestehenden Grundschutz-Umsetzung mit den konkreten NIS2-Vorgaben identifiziert Lücken. Typische Defizite sind unzureichende Meldeprozesse, fehlende Beteiligung der Unternehmensleitung oder nicht dokumentierte Schulungsprogramme.


Schritt 3: Anpassung des ISMS

Das bestehende ISMS gemäß IT-Grundschutz sollte gezielt um NIS2-relevante Elemente erweitert werden:

  • • Erweiterte Risikobewertung um branchenspezifische Bedrohungsszenarien
  • • Definition von Meldewegen für Sicherheitsvorfälle
  • • Rollenbeschreibung für die Unternehmensleitung
  • • Regelmäßige Management-Reviews


Schritt 4: Dokumentation und Reporting

Die Nachweispflichten unter NIS2 erfordern ein belastbares Berichtswesen. Hier empfiehlt sich die Etablierung von Übersichten zu:

  • Sicherheitsvorfällen und Reaktionszeiten
  • Schulungs- und Awareness-Maßnahmen
  • Wirksamkeitskontrollen und Audits


Anwendungsbeispiel: Mittelständisches Stadtwerk

Ein kommunales Stadtwerk mit ca. 150 Mitarbeitern betreibt kritische Infrastruktur im Bereich Energieversorgung. Es ist bereits nach IT-Grundschutz zertifiziert.

Ausgangssituation

  • ISMS gemäß BSI-Standard 200-2 implementiert
  • Regelmäßige Risikoanalysen und Schutzbedarfsfeststellungen
  • Awareness-Programme für Mitarbeiter

Handlungsbedarf durch NIS2

  • Einbindung der Geschäftsführung in Cybersicherheitsprozesse
  • Nachweisdokumentation zur Meldefähigkeit innerhalb von 24 Stunden
  • Erweiterung der Risikobetrachtung um Lieferketten


Umsetzung

Das ISMS wurde um ein Eskalationsschema für Sicherheitsvorfälle ergänzt. Die Geschäftsführung nimmt vierteljährlich an Management-Reviews teil. Schulungsdokumentationen werden zentral erfasst und ausgewertet. Dadurch erfüllt das Stadtwerk sowohl die Grundschutz-Vorgaben als auch die NIS2-Anforderungen.


Lessons Learned

  • Die frühzeitige Einbindung der Geschäftsführung erleichtert die Umsetzung
  • Eine enge Abstimmung mit externen Partnern verbessert die Lieferkettensicherheit
  • Die Nutzung vorhandener Grundschutz-Bausteine spart erheblichen Umsetzungsaufwand


Fazit

Die NIS2-Richtlinie stellt eine Herausforderung dar, bietet aber auch eine Chance, bestehende Sicherheitsprozesse zu professionalisieren. Unternehmen, die bereits den IT-Grundschutz anwenden, verfügen über eine solide Basis. Durch gezielte Anpassungen lassen sich die NIS2-Vorgaben effizient integrieren.

Wichtig ist eine strukturierte Herangehensweise: von der Relevanzanalyse über die Gap-Analyse bis zur systematischen Erweiterung des ISMS. So kann nicht nur die Compliance sichergestellt, sondern auch die Resilienz gegen Cyberbedrohungen nachhaltig gestärkt werden.


Kurz und knapp

  • NIS2 erweitert die gesetzlichen Pflichten für Unternehmen erheblich
  • Der IT-Grundschutz bietet vielfältige Synergien zur Umsetzung
  • Eine strukturierte Integration spart Ressourcen und erhöht die Compliance
  • Unternehmensleitungen müssen aktiv eingebunden werden
  • Dokumentation und Nachweisführung sind zentrale Erfolgsfaktoren


FAQ zu NIS2 und IT-Grundschutz

Was ist der Unterschied zwischen NIS2 und IT-Grundschutz? NIS2 ist eine gesetzlich bindende EU-Richtlinie. Der IT-Grundschutz ist ein methodisches Rahmenwerk des BSI zur Umsetzung von Informationssicherheit, das freiwillig angewendet werden kann.

Welche Rolle spielt die Unternehmensleitung unter NIS2? Die Leitung ist persönlich verantwortlich für die Umsetzung von Cybersicherheitsmaßnahmen und die Einhaltung der Meldepflichten.

Wie schnell müssen Sicherheitsvorfälle gemeldet werden? Innerhalb von 24 Stunden muss eine Frühwarnung an die zuständige Behörde erfolgen. Es folgen ein Detailbericht nach 72 Stunden und ein Abschlussbericht nach einem Monat.

Wie hilft der IT-Grundschutz bei der Umsetzung von NIS2? Durch systematische Risikoanalysen, definierte Maßnahmenkataloge und Dokumentationshilfen bietet der IT-Grundschutz eine solide Basis zur Umsetzung der NIS2-Anforderungen.

Welche Unternehmen sind von NIS2 betroffen? Grundsätzlich alle mittleren und großen Unternehmen in kritischen und wichtigen Sektoren – darunter Energie, Gesundheit, Verkehr, digitale Dienste, Abfallwirtschaft und viele mehr.


Kurz und knapp


  • NIS2 erweitert die gesetzlichen Pflichten für Unternehmen erheblich
  • Der IT-Grundschutz bietet vielfältige Synergien zur Umsetzung
  • Eine strukturierte Integration spart Ressourcen und erhöht die Compliance
  • Unternehmensleitungen müssen aktiv eingebunden werden
  • Dokumentation und Nachweisführung sind zentrale Erfolgsfaktoren


Exchange Sicherheitslücke

Microsoft Exchange akut gefährdet

8. August 2025
Einleitung Die Schwachstelle CVE 2025 53786 betrifft hybride Microsoft Exchange Umgebungen, in denen eine Verbindung zwischen On Premises Servern und Exchange Online besteht. Sie ermöglicht privilegierte Eskalation im Cloud Bereich, wenn bereits Admin Rechte im lokalen Exchange Server bestehen. Die Kombination aus technischer Komplexität und erheblicher Auswirkung unterstreicht die Dringlichkeit zur Behebung. Hintergrund und technische Analyse Natur der Schwachstelle Elevierung von Rechten (Elevation of Privilege, EoP) in hybriden Deployments: Ein Angreifer mit Administratorzugang zum lokalen Exchange Server kann diesen Zugriff nutzen, um binnen der verbundenen Cloud Umgebung weiterführende Privilegien zu erlangen – dank einer gemeinsam genutzten Service Principal Instanz für Exchange Server und Exchange Online. Microsoft bewertet diesen Vorgang als schwerwiegend, da er nahezu spurlos abläuft – es werden wenig bis keine Audit Spuren hinterlassen. CVSS 3.x Score: 8.0 (High Severity) – Netzwerkangriff möglich, gewisse Hürden (administrativer Zugang nötig), aber mit potenziell vollständiger Kompromittierung von Cloud Identitäten. Entdeckung und Timing Microsoft veröffentlichte am 6. August 2025 die Sicherheitsmeldung inklusive CVE und empfahl dringend die Umsetzung eines im April zuvor veröffentlichten Hotfixes. CISA folgte mit einem offiziellen Alert und ordnete am 7. August 2025 eine Emergency Directive (ED 25 02) an, die US Bundesbehörden verpflichtete, die notwendigen Maßnahmen bis Montag, den 11. August 2025, 09:00 AM ET umzusetzen. Bis dato liegen keine Hinweise auf aktive Exploits vor – jedoch stuft Microsoft den Angriffspfad als technisch realistisch ein („Exploitation More Likely“). Handlungsempfehlungen und technische Maßnahmen Sofortmaßnahmen April Hotfix installieren (auf Systemen mit Exchange 2016 CU23, Exchange 2019 CU14/CU15, oder Subscription Edition RTM) und danach die Health Checker Tools einsetzen zur Bestandsaufnahme. Dedicated Hybrid App implementieren: Ablösung der geteilten Service Principal Konfiguration durch eine dedizierte Exchange Hybrid App (PowerShell Script ConfigureExchangeHybridApplication.ps1 mit entsprechenden Parametern ausführen). Credentials bereinigen: Falls Hybrid OAuth oder -Hybrid früher eingerichtet und inzwischen nicht mehr genutzt wird, sind die keyCredentials der Shared Service Principal zurückzusetzen (ResetFirstPartyServicePrincipalKeyCredential). EOL Server vom Netz nehmen, z. B. Exchange oder SharePoint Server vor dem Ende des Supports, um unüberwachte Angriffsflächen zu minimieren. CISAHelp Net Security Strategische Planung Verlagerung auf Microsoft Graph API: Die Nutzung alter Exchange Web Services (EWS) wird schrittweise durch Graph basierte Architektur ersetzt – EWS wird temporär blockiert, finales Abschalten des Shared Principal erfolgt spätestens Ende Oktober 2025. Graph Permissions folgen bis Oktober 2026. Help Net Security Reale Herausforderungen in der Umsetzung In komplexen Hybrid Setups (z. B. bei dezentralen Standorten oder Public Cloud Verbindungen) gestaltet sich das koordinierte Upgrade samt Health Check und Konfigurationsänderung anspruchsvoll – besonders unter Zeitdruck wie bei der CISA Frist. Legacy Strukturen werden häufig nicht konsequent erfasst, sodass Unsicherheiten bezüglich EOL Servern bestehen. Ein fehlender dedizierter Hybrid App führt zu Ausfallrisiken, wenn Shared Principal blockiert wird. Awareness und interne Rollenzuweisung müssen sicherstellen, dass für Zugriff auf Entra ID die Rolle „Application Administrator“ vorhanden ist. Fazit CVE 2025 53786 stellt ein hohes Risiko für hybride Exchange Organisationen dar – trotz fehlender bekannter Exploits. Die Kombination aus hoher Effektivität, fehlender Auditierbarkeit und geschlossener Remote Verfügbarkeit macht zügiges Handeln erforderlich. Durch die bereitgestellten Fixes, Tools und Best Practices lässt sich die Gefahr im laufenden Betrieb erfolgreich vermindern. FAQ Was ist CVE-2025-53786? Eine erhöhte Privilegieneskalation im Exchange Hybrid¬Deployment – bei Wissensvorsprung reicht Adminzugang lokal, um Zugriff auf Exchange Online zu erlangen. Ist die Schwachstelle bereits aktiv ausgenutzt worden? Bis zum heutigen Tage sind keine aktiven Fälle bekannt, jedoch stuft Microsoft die Gefahr als „Exploitation More Likely“ ein. Welche Versionen sind betroffen? Betroffene Systeme umfassen Exchange 2016 CU23, Exchange 2019 CU14/CU15 und Subscription Edition RTM im Hybrid Betrieb. Welche Maßnahmen sind entscheidend? Hotfix installieren, Dedicated Hybrid App einsetzen, Credentials bereinigen, EOL-Server isolieren, Health Checker laufen lassen, Graph-Migration planen. 
SharePoint-Sicherheitslücke

Aktuelle IT-Security-Probleme bei Microsoft SharePoint

5. August 2025
Am 18. Juli 2025 begann eine Welle globaler Angriffe auf lokal betriebene SharePoint-Server mit dem Chaining von zwei zuvor gepatchten Schwachstellen (CVE-2025-49704 und CVE‑2025‑49706), bekannt unter dem Namen „ToolShell“. Microsoft stellte am 19. Juli 2025 fest, dass die ursprünglichen Patches unvollständig waren: n
Server im RZ - KI-generiert

IT-Grundschutz in der Praxis – Strategien für eine resiliente Informations-Sicherheit

2. August 2025
Warum ist IT-Grundschutz so wichtig? Informationssicherheit ist längst nicht mehr nur ein IT-Thema – sie ist Chefsache. Cyberangriffe, Datenverluste und regulatorische Verstöße können gravierende Folgen haben: von Betriebsunterbrechungen bis zu Bußgeldern und Reputationsschäden.