Das neue NIS2-Gesetz zwingt tausende deutsche Firmen zur Nachweisführung – doch Compliance darf nicht zur Dauerbelastung der IT werden. Mit einem strukturierten Credential Vault lassen sich Auditor-Anforderungen erfüllen, Helpdesk-Tickets reduzieren und Offboarding automatisieren. Ein richtiges Credential Management ist damit zugleich Sicherheits- und Effizienzprojekt.
Unternehmen profitieren operativ, wenn sie die NIS2-Vorbereitung als Anlass nehmen, ihr Credential Management grundlegend zu ordnen.
(Bild: Passwork)
Das NIS2-Umsetzungsgesetz gilt seit dem 6. Dezember 2025 — die BSI-Registrierungsfrist ist bereits abgelaufen. Rund 29.500 deutsche Unternehmen fallen unter die neue Regulierung, und die ersten aktiven Prüfzyklen des BSI laufen bereits. Die Frage ist nicht mehr, ob Sie compliant sein müssen, sondern wie Sie es mit dem Team werden, das Sie bereits haben. Ein richtig aufgesetztes Credential Management erfüllt die Anforderungen des Auditors und reduziert gleichzeitig die operative Belastung. Das sind nicht zwei Projekte, sondern eines.
Das eigentliche Problem: Compliance kostet IT-Ressourcen, die Sie nicht haben
Laut Bitkom sind in Deutschland derzeit rund 109.000 IT-Stellen unbesetzt, ausgeschriebene Positionen bleiben im Schnitt 7,7 Monate offen. Gleichzeitig wächst der regulatorische Druck: §30 BSIG-neu verpflichtet betroffene Einrichtungen zu dokumentierten Risikomanagementmaßnahmen, MFA, Verschlüsselung und Zugriffsprotokollierung. ENISAs NIS Investments Report zeigt, dass 34 Prozent der EU-Organisationen Identity & Access Management als den am stärksten nachgefragten Kompetenzbereich bei der Einstellung von Cybersicherheitspersonal nennen.
Bildergalerie
Das Paradox: Jede Verschärfung der Passwortrichtlinien, längere Mindestlängen, kürzere Ablauffristen, kein Wiederverwenden, verlängert die Helpdesk-Queue. Passwort-Resets machen laut Specops bis zu 30 Prozent aller Helpdesk-Tickets aus. Mehr Sicherheit bedeutet also zunächst mehr operativen Aufwand, es sei denn, Sie wählen Werkzeuge, die beides gleichzeitig lösen.
Die Lücke, die IAM allein nicht schließt
NIS2-Compliance scheitert in der Praxis selten an der SSO-Konfiguration. Sie scheitert an den Credentials, die außerhalb des SSO-Perimeters liegen: gemeinsam genutzte Dienstkonten, API-Keys, Datenbankpasswörter, Zugangsdaten für Legacy-Systeme. Diese Objekte haben keinen einzelnen Eigentümer, keinen Ablaufmechanismus und keinen Audit-Trail.
Genau dort setzen Auditoren an. Der ECSO NIS2 Transposition Tracker bestätigt: Nationale Behörden prüfen nicht nur das Vorhandensein von Richtliniendokumenten, sondern verlangen dokumentierte Nachweise der tatsächlichen Zugriffssteuerung. Wer beim Audit nur eine PDF-Policy vorlegen kann, aber keinen exportierbaren Log, hat ein Problem.
Passwork gibt Ihrem Team ein strukturiertes Vault mit rollenbasierter Zugriffskontrolle, AD/LDAP-Synchronisation und vollständigem Audit-Log, gebaut für genau dieses Szenario.
Das Minimum für den NIS2-Audit: vier Kontrollen nach §30 BSIG
Die Mindestanforderungen an das Credential Management für einen NIS2-Audit umfassen vier Kontrollen: eine dokumentierte Zugriffsrichtlinie, MFA auf allen privilegierten und Remote-Zugängen, Verschlüsselung der Credentials im Ruhezustand und bei der Übertragung sowie ein Zugriffsprotokoll mit Widerrufsnachweisen. Auditoren prüfen alle vier, nicht nur die Richtlinie.
Die häufigste Audit-Lücke entsteht bei gemeinsamen Credentials außerhalb des IAM-Perimeters, wo Policy und MFA nicht mehr greifen: Genau hier setzt ein Credential Vault an.
Der verborgene ROI: Compliance als Effizienzgewinn
Compliance ist die Untergrenze, nicht das Ziel. Unternehmen, die NIS2-Vorbereitung als Anlass nehmen, ihr Credential Management grundlegend zu ordnen, profitieren operativ, unabhängig vom Audit.
AD/LDAP-Integration: realistischer Zeitplan
Die typische IAM-Implementierung dauert zwölf bis 18 Monate. Die AD/LDAP-Integration eines Credential Vaults funktioniert anders: Kerninstallation und Verzeichnisanbindung sind in unter einer Stunde abgeschlossen. Vault-Struktur, Rollenkonfiguration und Team-Onboarding dauern je nach Unternehmensgröße ein bis zwei Wochen. Das ist die ehrliche Antwort auf die Frage: „Wie lange dauert NIS2-Credential-Compliance?“
Wenn ein neuer Ingenieur dem DevOps-Team beitritt, erbt er den Vault-Zugriff automatisch über seine AD-Gruppenmitgliedschaft. Wenn jemand das Unternehmen verlässt, reicht es, das AD-Konto zu deaktivieren. Der Vault-Zugriff wird im selben Schritt entzogen, das Ereignis automatisch protokolliert, zeitgestempelt und dem Benutzerdatensatz zugeordnet. Keine manuelle Offboarding-Checkliste. Ein sauberer Nachweis für Auditoren.
Für §30 BSIG-neu ist das ein direkt dokumentierbarer Kontrollnachweis: Sie können zeigen, wie Zugriff gewährt, eingeschränkt und entzogen wird, mit klarem Bezug zur Verzeichnisstruktur.
Helpdesk-Entlastung: konkrete Zahlen
Wenn Nutzer ein strukturiertes Vault haben, verlieren sie Credentials seltener. Statt ein Passwort im Browser, auf einem Notizzettel oder in einer Slack-Nachricht zu speichern, legt der Nutzer es einmal im Vault ab. Kein Reset-Ticket.
Das betrifft vor allem gemeinsam genutzte Accounts: das Staging-Passwort, den Social-Media-Login, das Legacy-System ohne SSO-Unterstützung. Diese Credentials erzeugen die meisten Wiederholungstickets, weil niemand sie wirklich „besitzt“. Ein Vault gibt ihnen einen dauerhaften, zugriffsgesteuerten Ort mit vollständigem Protokoll.
Die Rechnung ist einfach. Bei rund 70 Euro Produktivitätsverlust pro Ticket (Specops) und 200 passwortbezogenen Helpdesk-Tickets pro Monat entstehen monatlich 14.000 Euro Overhead. Eine konservative Halbierung dieses Volumens spart jährlich rund 84.000 Euro.
Diese Einsparung entsteht auf einem Arbeitsmarkt, auf dem IT-Fachkräfte im Bereich Informationssicherheit kaum verfügbar sind. Passwork ist in wenigen Stunden einsatzbereit: §30 BSIG-neu lässt sich mit dem vorhandenen Team erfüllen, ohne auf einen Spezialisten zu warten, den der deutsche Markt schlicht nicht liefert.
Datensouveränität und Audit-Nachweise: Was deutsche CISOs wissen müssen
Für den deutschen Markt ist die Frage nach dem Speicherort der Daten keine akademische. Der US CLOUD Act verpflichtet amerikanische Unternehmen zur Datenherausgabe auf Behördenanforderung, unabhängig davon, wo die Server physisch stehen. Ein Rechtsgutachten der Universität Köln im Auftrag des Bundesinnenministeriums hat das bestätigt: Der Serverstandort in Deutschland schützt nicht, solange der Betreiber ein US-Konzern ist. Datensouveränität ist deshalb für viele Unternehmen keine Option, sondern Voraussetzung.
Eine Zero-Knowledge-Architektur mit clientseitiger AES-256-Verschlüsselung stellt sicher, dass der Server niemals Klartext-Credentials sieht. Das erfüllt §30 Abs. 2 Nr. 2 BSIG-neu (Art. 21(2)(h) NIS2) und GDPR Art. 32 gleichzeitig. Dieselbe Architektur nimmt dem Team die manuelle Arbeit bei der Zugriffskontrolle ab: Rechte werden über AD vergeben und entzogen, nicht über Tickets.
Für BSI und Landesdatenschutzbehörden gilt Self-Hosted Credential Management als Goldstandard beim Nachweis geeigneter technischer Maßnahmen: eine architektonische Entscheidung schließt §30 BSIG-neu, DSGVO Art. 32 und das US-CLOUD-Act-Risiko in einem Schritt.
Passwork ist als Self-Hosted-Lösung konzipiert und nach ISO 27001 zertifiziert. Die technischen Deployment-Optionen sind in den Passwork Tech Guides dokumentiert.
Audit-Nachweise auf Abruf
Wissen, dass man compliant ist, und es einem Auditor beweisen können: das sind zwei verschiedene Probleme. Die meisten Unternehmen entdecken diese Lücke erst, wenn sie bereits im Audit-Fenster stehen und versuchen, Zugriffshistorien aus Windows Event Viewer Logs und E-Mail-Threads zu rekonstruieren.
Ein Credential Vault protokolliert jede Aktion: wer auf welches Vault zugegriffen hat, wann, von welcher IP, welche Änderungen vorgenommen wurden. Diese Logs sind exportierbar und zeitgestempelt. Wenn ein Auditor fragt „Zeigen Sie mir, wer in den letzten 90 Tagen Zugriff auf Ihre Produktionsdatenbank-Credentials hatte“, ist der Bericht in Minuten fertig.
Haftungsrahmen: Was §38 BSIG-neu für Geschäftsführer bedeutet
Nach §38 BSIG-neu haften Geschäftsführer und Vorstände persönlich für die Genehmigung und Überwachung der Risikomanagementmaßnahmen gemäß §30 BSIG. Ein Verzicht auf diese Haftung ist gesetzlich ausgeschlossen.
Die Bußgeldstruktur nach §65 BSIG ist konkret:
Besonders wichtige Einrichtungen: bis zu zehn Mio. Euro oder zwei Prozent des weltweiten Jahresumsatzes (der jeweils höhere Betrag gilt)
Wichtige Einrichtungen: bis zu sieben Mio. Euro oder 1,4 Prozent des weltweiten Jahresumsatzes
Das Audit-Log ist kein bürokratischer Overhead. Es ist Ihre primäre Verteidigung, und die Ihres Managements.
Schließen Sie die Lücke, bevor der Auditor sie findet
Die Credential-Lücke, gemeinsame Accounts, Servicekonten, API-Keys außerhalb des SSO-Perimeters, ist die häufigste Schwachstelle in NIS2-Audits. Sie zu schließen erfordert kein Zwölf-Monats-Projekt. Mit der richtigen Architektur sind Kerninstallation und AD/LDAP-Anbindung in einer Stunde erledigt, das vollständige Rollout in ein bis zwei Wochen.
Der BSI-Prüfzyklus läuft. Die Frage ist nicht, ob Ihr Credential Management geprüft wird, sondern ob Sie den Nachweis in Minuten liefern können oder in Tagen suchen. Und während die Auditoren ihre Berichte erhalten, hat der Helpdesk 30 Prozent weniger Tickets, und das Offboarding hört auf, ein manueller Prozess zu sein. Eine Lösung, zwei Ergebnisse.
Passwork ist als Self-Hosted-Lösung verfügbar, ISO 27001 zertifiziert, GDPR- und NIS2-konform by design, mit vollständiger Kontrolle über Ihre Daten.
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.