NIS-2 und die Grenzen traditioneller Netzwerksicherheit: Eine technische Einordnung
Seit dem 6. Dezember 2025 gilt das NIS-2-Umsetzungsgesetz in Deutschland. Für rund 30.000 Unternehmen stellt sich damit eine grundlegende Frage: Erfüllen die bestehenden Sicherheitsarchitekturen die neuen gesetzlichen Anforderungen – oder besteht Handlungsbedarf?
Die regulatorische Ausgangslage
Das NIS-2-Umsetzungsgesetz erweitert den Kreis der regulierten Unternehmen erheblich. Betroffen sind nicht mehr nur klassische KRITIS-Betreiber, sondern auch Unternehmen des verarbeitenden Gewerbes, IT-Dienstleister und zahlreiche weitere Branchen. Die Schwelle liegt bei 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz.
Neu ist vor allem die persönliche Haftung der Geschäftsleitung. §38 BSIG verpflichtet Geschäftsführer und Vorstände zur „Billigung und Überwachung" der Risikomanagementmaßnahmen. Ein Verzicht auf Ersatzansprüche bei Pflichtverletzung ist ausdrücklich unwirksam.
Die Bußgeldrahmen differenzieren nach Unternehmenskategorie: Bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes für „wichtige Einrichtungen", bis zu 10 Millionen Euro oder 2% für „besonders wichtige Einrichtungen".
Wo traditionelle Architekturen an ihre Grenzen stoßen
Das Perimeter-Problem
Die meisten Unternehmen setzen auf eine Kombination aus Perimeter-Firewall, VLANs und VPN-Zugängen. Diese Architektur folgt dem „Castle-and-Moat"-Prinzip: Ein starker Schutzwall nach außen, Vertrauen nach innen.
Dieses Modell hat einen systematischen Blindfleck: den East-West-Traffic. Die Kommunikation innerhalb des Netzwerks bleibt weitgehend unkontrolliert. Ein Angreifer, der den Perimeter überwunden hat – etwa durch Phishing oder kompromittierte Zugangsdaten – kann sich lateral durch das Netzwerk bewegen.
Die Zahlen sind ernüchternd: Über 70% erfolgreicher Cyberangriffe nutzen Lateral Movement. 96% dieses Verhaltens löst keinen Alert in SIEM-Systemen aus. Die durchschnittliche Zeit bis zur vollständigen Kompromittierung beträgt 48 Minuten.
VLANs: Segmentierung ohne Kontrolle
VLANs segmentieren Netzwerke auf Layer 2, kontrollieren aber nicht die Kommunikation innerhalb eines Segments. Sie erfordern manuelle ACL-Konfiguration – mit allen damit verbundenen Fehlerquellen. Studien zeigen, dass 70-80% aller Firewall-Regeln in großen Unternehmen veraltet oder redundant sind.
Das NIST SP 800-207 bringt es auf den Punkt: „Perimeter-basierte Netzwerksicherheit hat sich als unzureichend erwiesen, da Angreifer nach Durchbruch des Perimeters ungehindert lateral bewegen können."
VPNs: Einmal authentifiziert, alles offen
VPNs authentifizieren Benutzer beim Verbindungsaufbau und gewähren dann breiten Netzwerkzugang. Ein kompromittierter VPN-Zugang – ob durch gestohlene Credentials oder VPN-Zero-Day – bedeutet Zugang zum gesamten Netzwerk.
Die NIS-2-Anforderung an „kontinuierliche Authentifizierung" (§30 Abs. 2 Nr. 10) steht diesem Modell diametral entgegen.
Was §30 BSIG konkret fordert
Das Gesetz definiert zehn Pflichtmaßnahmen für das Risikomanagement. Drei davon sind mit traditionellen Architekturen besonders schwer nachzuweisen:
Zugriffskontrolle und Zugriffsmanagement (Nr. 9): Gefordert wird nicht nur Kontrolle am Netzwerkeintritt, sondern über alle Kommunikationsbeziehungen. Service-Accounts machen über 70% der Netzwerk-Identitäten aus, aber nur 2,6% der erteilten Berechtigungen werden tatsächlich genutzt.
Kontinuierliche Authentifizierung (Nr. 10): Das Gesetz fordert explizit „Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung". Einmalige Authentifizierung am Perimeter erfüllt diese Anforderung nicht.
Lieferkettensicherheit (Nr. 4): Hier geht es auch um die Sicherheitsanbieter selbst. US-basierte SASE-Lösungen unterliegen dem CLOUD Act. US-Behörden können Datenherausgabe erzwingen – unabhängig vom Serverstandort, ohne Vorabbenachrichtigung. Für VS-NfD-klassifizierte Informationen ist die Nutzung von US-Cloud-Diensten nicht zulässig.
Der BSI IT-Grundschutz als Orientierung
Das BSI hat mit dem IT-Grundschutz einen detaillierten Anforderungskatalog geschaffen. Drei Bausteine sind für die Netzwerksicherheit zentral:
NET.1.1 Netzarchitektur und -design fordert „Netztrennung in Sicherheitszonen" mit Whitelisting-Prinzip. Traditionelle VLANs erfüllen diese Anforderung formal, scheitern aber an der dynamischen Realität moderner IT-Umgebungen.
ORP.4 Identitäts- und Berechtigungsmanagement verlangt das „Prinzip der geringsten Berechtigungen" und bei erhöhtem Schutzbedarf „Mehr-Faktor-Authentisierung mit kryptografischen Zertifikaten".
CON.1 Kryptokonzept fordert die „Auswahl geeigneter kryptografischer Verfahren unter Berücksichtigung von BSI TR-02102". Die Empfehlung zur Migration auf Post-Quanten-Kryptografie bis 2030 sollte bei längerfristigen Architekturentscheidungen berücksichtigt werden.
Sektorspezifische Anforderungen
Produzierendes Gewerbe
Die IT/OT-Konvergenz stellt produzierende Unternehmen vor besondere Herausforderungen. OT-Systeme haben Lebenszyklen von 15-20 Jahren, viele basieren auf Legacy-Betriebssystemen ohne native Security-Features. Die Priorität liegt auf Verfügbarkeit – Produktionsstillstand kostet unmittelbar.
Die IEC 62443 definiert das Zones-und-Conduits-Konzept. Security Level 2 verlangt „Schutz gegen vorsätzliche Verletzung mit einfachen Mitteln", SL-3 „mit fortgeschrittenen Mitteln und IACS-Spezialwissen".
Lösungen, die Legacy-OT-Systeme durch „Virtual Patching" schützen – also Schutzmaßnahmen vor dem Gerät statt auf dem Gerät – adressieren beide Anforderungen: Compliance ohne Eingriff in sensible Produktionssysteme.
Energiesektor
Energieversorger sind „Betreiber kritischer Anlagen" und unterliegen zusätzlich dem IT-Sicherheitskatalog der BNetzA sowie dem EU Network Code on Cybersecurity. Eine Zertifizierung nach ISO 27001 und ISO 27019 ist verpflichtend.
§31 BSIG fordert zusätzlich „Systeme zur Angriffserkennung" – eine Anforderung, die über die Standard-NIS-2-Maßnahmen hinausgeht. Die Meldepflichten sind verschärft: 24 Stunden für die Erstmeldung, rund-um-die-Uhr erreichbare Kontaktstelle.
Die Nutzung von US-SASE-Anbietern ist für KRITIS-Betreiber kritisch zu bewerten. Der Wissenschaftliche Dienst des Bundestags bestätigt, dass US-Behörden US-Unternehmen zur Datenherausgabe verpflichten können – unabhängig vom Serverstandort.
Technische Lösungsansätze
Die Alternative zum Perimeter-Modell ist die identitätsbasierte Segmentierung. Statt Netzwerkgrenzen zu definieren, erhält jedes Asset eine kryptografische Identität. Kommunikation erfolgt nur zwischen explizit autorisierten Identitäten.
Dieser Ansatz adressiert die NIS-2-Anforderungen systematisch:
- Risikoanalyse: Automatisierte Asset-Inventarisierung durch kryptografische Identitäten
- Zugriffskontrolle: Technische Durchsetzung des Least-Privilege-Prinzips
- Kontinuierliche Authentifizierung: Jede Verbindung wird einzeln authentifiziert
- Kryptografie: Ende-zu-Ende-Verschlüsselung des gesamten Traffics
- Lieferkettensicherheit: Installation in der Kundenumgebung, keine Drittlandübermittlung
Das BSI-Positionspapier Zero Trust 2023 empfiehlt die „schrittweise Integration unter Beibehaltung bestehender Sicherheitsmaßnahmen". Der Ansatz ersetzt nicht sofort alles, sondern ergänzt und verstärkt bestehende Investitionen.
Die Souveränitätsfrage
Bei der Auswahl von Sicherheitslösungen verdient ein Aspekt besondere Aufmerksamkeit: die Jurisdiktion des Anbieters.
US-basierte Anbieter unterliegen dem CLOUD Act. Das bedeutet konkret:
- Zugriff auf Daten unabhängig vom Serverstandort
- Keine Vorabbenachrichtigung des Kunden
- Geltung auch bei Widerspruch zu lokalem Recht
Das Schrems-II-Urteil des EuGH hat Privacy Shield für unwirksam erklärt. Das Nachfolge-Framework DPF basiert auf einer Executive Order und kann jederzeit aufgehoben werden.
Für Unternehmen mit erhöhtem Schutzbedarf – insbesondere im KRITIS-Umfeld – ist die Frage der Datensouveränität daher nicht akademisch, sondern operativ relevant.
| Kriterium | US-basierte Lösung | EU-souveräne Lösung |
|---|---|---|
| CLOUD Act | anwendbar | nicht anwendbar |
| Schlüsselkontrolle | beim Anbieter | beim Kunden |
| VS-NfD-Eignung | nein | möglich |
| Schrems-II-Risiko | vorhanden | nicht vorhanden |
Fragen für die Audit-Vorbereitung
Die NIS-2-Aufsicht wird Nachweise verlangen. Folgende Fragen sollte jede Organisation für sich beantworten können:
- Segmentierung: Können Sie jede Sicherheitszone mit Eigentümer, Review-Datum und Change-Log nachweisen?
- Lateral Movement: Wie verhindern Sie technisch, dass ein kompromittiertes System mit anderen Systemen kommuniziert?
- Authentifizierung: Wird jede Verbindung einzeln authentifiziert oder nur der Netzwerkeintritt?
- Verschlüsselung: Ist Ihr East-West-Traffic verschlüsselt oder nur der Perimeter-Traffic?
- Lieferkette: Unterliegt Ihr Security-Anbieter dem US CLOUD Act?
- Dokumentation: Können Sie alle Kommunikationsbeziehungen exportieren und auditieren?
Fazit
Das NIS-2-Umsetzungsgesetz markiert einen Paradigmenwechsel in der deutschen Cybersecurity-Regulierung. Die Anforderungen an kontinuierliche Authentifizierung, dokumentierte Segmentierung und Lieferkettensicherheit gehen über das hinaus, was traditionelle Perimeter-Architekturen leisten können.
Die Entscheidung für eine bestimmte Sicherheitsarchitektur ist keine rein technische Frage mehr. Sie hat regulatorische, haftungsrechtliche und – im Fall von US-Anbietern – geopolitische Dimensionen.
Unternehmen, die sowohl die NIS-2-Anforderungen erfüllen als auch ihre digitale Souveränität wahren wollen, sollten ihre bestehende Architektur systematisch gegen die gesetzlichen Anforderungen prüfen. Die Fragen aus dem Audit-Abschnitt bieten dafür einen Ausgangspunkt.
Bleibe informiert:
Dieser Beitrag basiert auf einer technischen Analyse der NIS-2-Anforderungen und ihrer Umsetzung in unterschiedlichen Sicherheitsarchitekturen. Für eine individuelle Bewertung Ihrer Compliance-Situation empfehlen wir die Konsultation mit Ihren Rechts- und Sicherheitsberatern.