gesponsertCredential Management mit Passwork NIS2-Compliance ohne IT-Überlastung

6 min Lesedauer

Gesponsert von

Das neue NIS2-Gesetz zwingt tausende deutsche Firmen zur Nachweisführung – doch Compliance darf nicht zur Dauerbelastung der IT werden. Mit einem strukturierten Credential Vault lassen sich Auditor-Anforderungen erfüllen, Helpdesk-Tickets reduzieren und Offboarding automatisieren. Ein richtiges Credential Management ist damit zugleich Sicherheits- und Effizienzprojekt.

Unternehmen profitieren operativ, wenn sie die NIS2-Vorbereitung als Anlass nehmen, ihr Credential Management grundlegend zu ordnen.(Bild:  Passwork)
Unternehmen profitieren operativ, wenn sie die NIS2-Vorbereitung als Anlass nehmen, ihr Credential Management grundlegend zu ordnen.
(Bild: Passwork)

Das NIS2-Umsetzungsgesetz gilt seit dem 6. Dezember 2025 — die BSI-Registrierungsfrist ist bereits abgelaufen. Rund 29.500 deutsche Unternehmen fallen unter die neue Regulierung, und die ersten aktiven Prüfzyklen des BSI laufen bereits. Die Frage ist nicht mehr, ob Sie compliant sein müssen, sondern wie Sie es mit dem Team werden, das Sie bereits haben. Ein richtig aufgesetztes Credential Management erfüllt die Anforderungen des Auditors und reduziert gleichzeitig die operative Belastung. Das sind nicht zwei Projekte, sondern eines.

Das eigentliche Problem: Compliance kostet IT-Ressourcen, die Sie nicht haben

Laut Bitkom sind in Deutschland derzeit rund 109.000 IT-Stellen unbesetzt, ausgeschriebene Positionen bleiben im Schnitt 7,7 Monate offen. Gleichzeitig wächst der regulatorische Druck: §30 BSIG-neu verpflichtet betroffene Einrichtungen zu dokumentierten Risikomanagementmaßnahmen, MFA, Verschlüsselung und Zugriffsprotokollierung. ENISAs NIS Investments Report zeigt, dass 34 Prozent der EU-Organisationen Identity & Access Management als den am stärksten nachgefragten Kompetenzbereich bei der Einstellung von Cybersicherheitspersonal nennen.

Bildergalerie

Das Paradox: Jede Verschärfung der Passwortrichtlinien, längere Mindestlängen, kürzere Ablauffristen, kein Wiederverwenden, verlängert die Helpdesk-Queue. Passwort-Resets machen laut Specops bis zu 30 Prozent aller Helpdesk-Tickets aus. Mehr Sicherheit bedeutet also zunächst mehr operativen Aufwand, es sei denn, Sie wählen Werkzeuge, die beides gleichzeitig lösen.

Die Lücke, die IAM allein nicht schließt

NIS2-Compliance scheitert in der Praxis selten an der SSO-Konfiguration. Sie scheitert an den Credentials, die außerhalb des SSO-Perimeters liegen: gemeinsam genutzte Dienstkonten, API-Keys, Datenbankpasswörter, Zugangsdaten für Legacy-Systeme. Diese Objekte haben keinen einzelnen Eigentümer, keinen Ablaufmechanismus und keinen Audit-Trail.

Genau dort setzen Auditoren an. Der ECSO NIS2 Transposition Tracker bestätigt: Nationale Behörden prüfen nicht nur das Vorhandensein von Richtliniendokumenten, sondern verlangen dokumentierte Nachweise der tatsächlichen Zugriffssteuerung. Wer beim Audit nur eine PDF-Policy vorlegen kann, aber keinen exportierbaren Log, hat ein Problem.

Passwork gibt Ihrem Team ein strukturiertes Vault mit rollenbasierter Zugriffskontrolle, AD/LDAP-Synchronisation und vollständigem Audit-Log, gebaut für genau dieses Szenario.

NIS2-Compliance mit Passwork

Das Minimum für den NIS2-Audit: vier Kontrollen nach §30 BSIG

Die Mindestanforderungen an das Credential Management für einen NIS2-Audit umfassen vier Kontrollen: eine dokumentierte Zugriffsrichtlinie, MFA auf allen privilegierten und Remote-Zugängen, Verschlüsselung der Credentials im Ruhezustand und bei der Übertragung sowie ein Zugriffsprotokoll mit Widerrufsnachweisen. Auditoren prüfen alle vier, nicht nur die Richtlinie.

Kontrolle §30 BSIG-neu / Art. 21 NIS2 Was Auditoren konkret prüfen
Dokumentierte Zugriffsrichtlinie §30 Abs. 2 Nr. 3 / Art. 21(2)(i) Schriftliche Policy + System, das sie durchsetzt
MFA auf privilegierten und Remote-Zugängen §30 Abs. 2 Nr. 4 / Art. 21(2)(j) MFA aktiv, nicht nur konfiguriert
Verschlüsselung at rest und in transit §30 Abs. 2 Nr. 2 / Art. 21(2)(h) Nachgewiesenes Verfahren (z. B. AES-256)
Zugriffslog mit Widerrufsnachweisen §30 Abs. 2 Nr. 3 / Art. 21(2)(i) Exportierbarer, zeitgestempelter Log inkl. Offboarding

Die häufigste Audit-Lücke entsteht bei gemeinsamen Credentials außerhalb des IAM-Perimeters, wo Policy und MFA nicht mehr greifen: Genau hier setzt ein Credential Vault an.

Der verborgene ROI: Compliance als Effizienzgewinn

Compliance ist die Untergrenze, nicht das Ziel. Unternehmen, die NIS2-Vorbereitung als Anlass nehmen, ihr Credential Management grundlegend zu ordnen, profitieren operativ, unabhängig vom Audit.

AD/LDAP-Integration: realistischer Zeitplan

Die typische IAM-Implementierung dauert zwölf bis 18 Monate. Die AD/LDAP-Integration eines Credential Vaults funktioniert anders: Kerninstallation und Verzeichnisanbindung sind in unter einer Stunde abgeschlossen. Vault-Struktur, Rollenkonfiguration und Team-Onboarding dauern je nach Unternehmensgröße ein bis zwei Wochen. Das ist die ehrliche Antwort auf die Frage: „Wie lange dauert NIS2-Credential-Compliance?“

Wenn ein neuer Ingenieur dem DevOps-Team beitritt, erbt er den Vault-Zugriff automatisch über seine AD-Gruppenmitgliedschaft. Wenn jemand das Unternehmen verlässt, reicht es, das AD-Konto zu deaktivieren. Der Vault-Zugriff wird im selben Schritt entzogen, das Ereignis automatisch protokolliert, zeitgestempelt und dem Benutzerdatensatz zugeordnet. Keine manuelle Offboarding-Checkliste. Ein sauberer Nachweis für Auditoren.

Für §30 BSIG-neu ist das ein direkt dokumentierbarer Kontrollnachweis: Sie können zeigen, wie Zugriff gewährt, eingeschränkt und entzogen wird, mit klarem Bezug zur Verzeichnisstruktur.

Helpdesk-Entlastung: konkrete Zahlen

Wenn Nutzer ein strukturiertes Vault haben, verlieren sie Credentials seltener. Statt ein Passwort im Browser, auf einem Notizzettel oder in einer Slack-Nachricht zu speichern, legt der Nutzer es einmal im Vault ab. Kein Reset-Ticket.

Das betrifft vor allem gemeinsam genutzte Accounts: das Staging-Passwort, den Social-Media-Login, das Legacy-System ohne SSO-Unterstützung. Diese Credentials erzeugen die meisten Wiederholungstickets, weil niemand sie wirklich „besitzt“. Ein Vault gibt ihnen einen dauerhaften, zugriffsgesteuerten Ort mit vollständigem Protokoll.

Die Rechnung ist einfach. Bei rund 70 Euro Produktivitätsverlust pro Ticket (Specops) und 200 passwortbezogenen Helpdesk-Tickets pro Monat entstehen monatlich 14.000 Euro Overhead. Eine konservative Halbierung dieses Volumens spart jährlich rund 84.000 Euro.

Diese Einsparung entsteht auf einem Arbeitsmarkt, auf dem IT-Fachkräfte im Bereich Informationssicherheit kaum verfügbar sind. Passwork ist in wenigen Stunden einsatzbereit: §30 BSIG-neu lässt sich mit dem vorhandenen Team erfüllen, ohne auf einen Spezialisten zu warten, den der deutsche Markt schlicht nicht liefert.

Datensouveränität und Audit-Nachweise: Was deutsche CISOs wissen müssen

Für den deutschen Markt ist die Frage nach dem Speicherort der Daten keine akademische. Der US CLOUD Act verpflichtet amerikanische Unternehmen zur Datenherausgabe auf Behördenanforderung, unabhängig davon, wo die Server physisch stehen. Ein Rechtsgutachten der Universität Köln im Auftrag des Bundesinnenministeriums hat das bestätigt: Der Serverstandort in Deutschland schützt nicht, solange der Betreiber ein US-Konzern ist. Datensouveränität ist deshalb für viele Unternehmen keine Option, sondern Voraussetzung.

Eine Zero-Knowledge-Architektur mit clientseitiger AES-256-Verschlüsselung stellt sicher, dass der Server niemals Klartext-Credentials sieht. Das erfüllt §30 Abs. 2 Nr. 2 BSIG-neu (Art. 21(2)(h) NIS2) und GDPR Art. 32 gleichzeitig. Dieselbe Architektur nimmt dem Team die manuelle Arbeit bei der Zugriffskontrolle ab: Rechte werden über AD vergeben und entzogen, nicht über Tickets.

Für BSI und Landesdatenschutzbehörden gilt Self-Hosted Credential Management als Goldstandard beim Nachweis geeigneter technischer Maßnahmen: eine architektonische Entscheidung schließt §30 BSIG-neu, DSGVO Art. 32 und das US-CLOUD-Act-Risiko in einem Schritt.

Passwork ist als Self-Hosted-Lösung konzipiert und nach ISO 27001 zertifiziert. Die technischen Deployment-Optionen sind in den Passwork Tech Guides dokumentiert.

Audit-Nachweise auf Abruf

Wissen, dass man compliant ist, und es einem Auditor beweisen können: das sind zwei verschiedene Probleme. Die meisten Unternehmen entdecken diese Lücke erst, wenn sie bereits im Audit-Fenster stehen und versuchen, Zugriffshistorien aus Windows Event Viewer Logs und E-Mail-Threads zu rekonstruieren.

Ein Credential Vault protokolliert jede Aktion: wer auf welches Vault zugegriffen hat, wann, von welcher IP, welche Änderungen vorgenommen wurden. Diese Logs sind exportierbar und zeitgestempelt. Wenn ein Auditor fragt „Zeigen Sie mir, wer in den letzten 90 Tagen Zugriff auf Ihre Produktionsdatenbank-Credentials hatte“, ist der Bericht in Minuten fertig.

Haftungsrahmen: Was §38 BSIG-neu für Geschäftsführer bedeutet

Nach §38 BSIG-neu haften Geschäftsführer und Vorstände persönlich für die Genehmigung und Überwachung der Risikomanagementmaßnahmen gemäß §30 BSIG. Ein Verzicht auf diese Haftung ist gesetzlich ausgeschlossen.

Die Bußgeldstruktur nach §65 BSIG ist konkret:

  • Besonders wichtige Einrichtungen: bis zu zehn Mio. Euro oder zwei Prozent des weltweiten Jahresumsatzes (der jeweils höhere Betrag gilt)
  • Wichtige Einrichtungen: bis zu sieben Mio. Euro oder 1,4 Prozent des weltweiten Jahresumsatzes

Das Audit-Log ist kein bürokratischer Overhead. Es ist Ihre primäre Verteidigung, und die Ihres Managements.

Schließen Sie die Lücke, bevor der Auditor sie findet

Die Credential-Lücke, gemeinsame Accounts, Servicekonten, API-Keys außerhalb des SSO-Perimeters, ist die häufigste Schwachstelle in NIS2-Audits. Sie zu schließen erfordert kein Zwölf-Monats-Projekt. Mit der richtigen Architektur sind Kerninstallation und AD/LDAP-Anbindung in einer Stunde erledigt, das vollständige Rollout in ein bis zwei Wochen.

Der BSI-Prüfzyklus läuft. Die Frage ist nicht, ob Ihr Credential Management geprüft wird, sondern ob Sie den Nachweis in Minuten liefern können oder in Tagen suchen. Und während die Auditoren ihre Berichte erhalten, hat der Helpdesk 30 Prozent weniger Tickets, und das Offboarding hört auf, ein manueller Prozess zu sein. Eine Lösung, zwei Ergebnisse.

Passwork ist als Self-Hosted-Lösung verfügbar, ISO 27001 zertifiziert, GDPR- und NIS2-konform by design, mit vollständiger Kontrolle über Ihre Daten.

Erfahren Sie, wie Passwork NIS2-Audit-Bereitschaft mit dem vorhandenen Team ermöglicht

(ID:50894534)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung