Bis Oktober 2024 müssen Unternehmen in Deutschland die näher rückende NIS2-Richtlinie umsetzen. Aber mangels wasserdichter Sicherheits- und Identitätskonzepte, sind nur die wenigsten sind überhaupt darauf vorbereitet.
Auch wenn die NIS2 Richtlinie und Zero Trust Initiativen zwei ganz unterschiedliche Ansätze sind, steuern sie doch auf dasselbe Ziel hin: die Sicherheit von Informationssystemen und Netzwerken nachhaltig zu stärken.
(Bild: putilov_denis - stock.adobe.com)
Der Countdown läuft: Ab dem 17. Oktober 2023 wird es zumindest für diejenigen Unternehmen in Deutschland ernst, die mindestens 50 Mitarbeitende beschäftigen und einen jährlichen Umsatz von 50 Millionen EUR tätigen. Zudem müssen sie in den Geltungsbereich „Essential Entities“ oder „Important Entities“ fallen. Treffen diese Kriterien zu, sind sie ab diesem Datum dazu verpflichtet, ein funktionsfähiges Risikomanagement einzuführen sowie alle notwendigen Vorkehrungen dafür zu treffen, um die IT-Sicherheit ihrer Anlagen, Netzwerke, IT-Systeme sowie deren Zugänge verstärkt abzusichern. Ein zusätzlicher Kraftakt: Sie müssen die Qualität dieses erhöhten Sicherheitsniveaus selbst ermitteln. Was sowohl angesichts des Fachkräftemangels, aber auch bezogen auf das entsprechend nötige Knowhow keine leichte Sache sein dürfte.
Und um es gleich vorwegzunehmen, Ignorieren ist keine Option: Denn halten die Firmen nicht die entsprechende Frist ein, um die neuen Vorschriften umzusetzen, blühen ihnen Strafen bis zu zehn Millionen Euro. Schlimmer noch: Gemäß einem Referentenentwurf des Bundesinnenministeriums muss die Firmenleitung bei Fehlern in der Umsetzung mit dem Privatvermögen haften. Bevor sich die betroffenen Führungskräfte allerdings dieser Konsequenzen so richtig bewusstwerden, sollten sie Maßnahmen ergreifen, wie beispielsweise die Implementierung einer belastbaren Zero Trust Initiative, um den Anforderungen der NIS2-Richtlinie gerecht zu werden.
Die gibt an, was der erhöhte Sicherheitsschutz beinhalten soll. So werden die Unternehmen beispielsweise dazu verpflichtet, ihre Maßnahmen zum Schutz vor Cyberangriffen zu verbessern, insgesamt strengere Sicherheitsstandards zu etablieren und IT-Systeme immer auf dem neusten Stand zu halten. Allerdings lässt der entsprechende Referentenentwurf zu wünschen übrig, denn er bietet wenig Konkretes.
Aber die Zeit wird knapp, denn für die Aufwertung der gesamten IT-Sicherheitsarchitektur haben die Unternehmen nur noch ein paar Monate Zeit. Die Richtlinie ist derzeit wohl nicht nur das Regelwerk der EU mit dem höchsten Stellenwert für eine sichere Infrastruktur, sie ist auch eine kleine Revolution für diejenigen Unternehmen, deren Schutz vor Cyberattacken über viele gewachsene Insellösungen bisher weit verteilt über die gesamte Organisation war. Hier braucht es mehr Zentralität, um schnell und unkompliziert Risikoanalysen nach einem Angriff zu fahren oder auch die angeforderte Notfall-Kommunikation zu starten.
Hinsichtlich einer verbesserten Cybersicherheit ist es in jedem Fall ratsam, sich zunächst um die Robustheit der Access-Management Prozesse zu kümmern. Damit vielfältige Zugänge durchgängig sicher gemacht werden können.
Denn gerade im weit verzweigten Netz unterschiedlicher Nutzerzugänge – von Mitarbeitenden bis Lieferanten – lauern die größten Gefahren. Unsere weltweite Erhebung zum Status Quo der Zero Trust Initiativen gibt in diesem Kontext Aufschluss darüber, wie angesichts einer dynamischen Bedrohungslage ein erhöhtes Sicherheitsniveau erreicht werden kann. Oder anders ausgedrückt: Wie bereit die IT-Sicherheitsetagen für eine verpflichtende Cyber-Vorsorge schon sind, und wo es noch Nachholbedarf gibt.
Zero-Trust gewinnt an Boden
Konkret geben 61 Prozent der befragten Entscheider an, bereits eine Zero-Trust-Strategie implementiert zu haben. Weitere 28 Prozent planen, dies innerhalb der nächsten 6-12 Monate umzusetzen. Anders ausgedrückt befinden sich derzeit sechs von zehn Unternehmen auf dem Weg zu einer umfassenderen Umsetzung von Zero Trust, im Vergleich zu 24 Prozent im Vorjahr.
Nicht überraschend: 51 Prozent aller befragten Entscheider werten das Identitätsmanagement als "sehr wichtig" für ihre Security-Strategie. Im Vergleich dazu lag dieser Anteil im letzten Jahr bei lediglich etwa 27 Prozent. Darüber hinaus stimmt die Hälfte dieser Entscheidungsträger überein, dass die Verantwortung für Zero Trust und Identitätsmanagement bei den Sicherheitsteams liegen sollte. Diese Entwicklung könnte wahrscheinlich darauf zurückzuführen sein, dass identitätsbasierte Angriffe, wie beispielsweise Phishing, nach wie vor zu den am weitesten verbreiteten Bedrohungen gehören. Sicherheitsteams verfügen im Vergleich zur IT über spezifischere Kompetenzen in diesem Bereich. Was auch den NIS2-Anforderungen entgegenkommen dürfte.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Mehr Budget für neue ZT-Initiativen
Entsprechende Budgets sollen für die Umsetzung dieser Initiativen bereitgestellt werden. Ganze 80 Prozent gaben an, dass ihre Budgets im Vergleich zum Vorjahr gestiegen sind. Genauer gesagt berichten 60 Prozent von Budgetsteigerungen von bis zu 25 Prozent, während ein weiteres Fünftel noch größere Zuwächse verzeichnet. Dieser Anstieg der Investitionen ist vor allem auf die Zunahme hybrider Arbeitsmodelle, den uneingeschränkten Zugriff auf Cloudumgebungen sowie die steigende Anzahl von Angriffen auf Firmennetzwerke insgesamt zurückzuführen. Trotzdem hier Gelder verfügbar gemacht werden sollen, ist Zero Trust alles andere als ein Selbstläufer und keine Frage der technischen Reife.
Denn laut Erhebung gehört der Mitarbeiter selbst zu den größten Unsicherheitsfaktoren, da er sich heute von überall einloggen kann. Hinzu kommen fehlende Fachkenntnisse aufgrund zu niedriger Personalstände im IT-Security Bereich sowie teils veraltete IT-Infrastrukturen. Die Herausforderungen von Zero Trust sind also komplexer und struktureller geworden. Weshalb es für die Einhaltung von NIS2 neben der technologischen Vorsorge auch die ablauforganisatorische und personelle Vorbereitung braucht.
Ein Drittel setzt auf MFA
Um dem Unsicherheitsfaktor „Mitarbeiter“ bestmöglich beikommen zu können, setzen 34 Prozent aller gefragten IT- und Security-Entscheider auf die Multifaktor-Authentifizierung. Sowohl für externe Partner, wie auch Lieferanten. 33 Prozent bevorzugen diese Sicherheitsmaßnahme für ihre eigenen Mitarbeitenden. Im Gegensatz zum letztjährigen Bericht, neigen jetzt zwei von drei Unternehmen dazu, den Schwerpunkt stärker auf die Sicherheit im Rahmen des Zero Trust-Ansatzes zu legen. Der ist allerdings von Branche zu Branche noch recht unterschiedlich.
Größte Fortschritte im Finanzwesen und der Softwareindustrie
Je nachdem ob und in welcher Intensität Branchen gesetzlichen Regularien unterliegen, variieren auch die von ihnen eingesetzten Sicherheits-Maßnahmen, um zuverlässige Compliance sicherstellen zu können. Betrachtet man beispielsweise die Branchen Finanz- und Gesundheitswesen sowie den öffentlichen Sektor und die Softwareindustrie, fällt auf, dass alle Branche zwar in puncto Zero Trust die größten Implementierungs-Fortschritte gemacht haben, dennoch viel Wegstrecke zurückgelegt werden muss. Finanzdienstleister führen mit 71 Prozent das Feld der Zero Trust Initiativen an, dicht gefolgt von der Softwareindustrie mit 69 Prozent. Die öffentliche Verwaltung (58 Prozent) und das Gesundheitswesen (47 Prozent) liegen auf Platz drei und vier.
Kaum eine Branche verzeichnete im vergangenen Jahr so viele Sicherheitsangriffe wie der Finanzsektor. In den Jahren 2021, 2022 und auch im aktuellen Jahr gehörte diese Branche regelmäßig zu denjenigen, die sich mit den schwerwiegendsten Datenschutzverletzungen auseinandersetzen musste - häufig betraf es Millionen von Verbraucherdaten. Daher wurde Zero Trust hier besonders frühzeitig implementiert. Schon 2022 setzten bereits die Hälfte aller weltweit befragten Entscheidungsträger auf Zero Trust. In diesem Jahr stieg diese Zahl um weitere 21 Prozent. Mehr als 90 Prozent der Befragten messen dabei dem Identitätsmanagement eine Schlüsselrolle bei.
Hinsichtlich des Ressourcenschutzes haben Finanzdienstleister ihre Server, Datenbanken und SaaS-Anwendungen besonders im Fokus. 62 Prozent geben an, bereits Maßnahmen zum Schutz dieser Ressourcen ergriffen zu haben, während 51 Prozent entsprechende Planungen vornehmen. In Bezug auf den Zugriffsschutz setzen 43 Prozent auf Single Sign-On (SSO) oder Multifaktor-Authentifizierung. Darüber hinaus nutzen 36 Prozent Privileged Access Management für die Cloud.
ZT-Sicherheitsarchitektur als Grundlage für NIS2
Auch wenn die NIS2 Richtlinie und Zero Trust Initiativen zwei ganz unterschiedliche Ansätze sind, steuern sie doch auf dasselbe Ziel hin: die Sicherheit von Informationssystemen und Netzwerken nachhaltig zu stärken. Daher könnte die weitere Implementierung eines Zero-Trust Modells eine wirksame Strategie sein, um die Sicherheitsanforderungen zu erfüllen und damit die Risiken von Cyberangriffen zu minimieren. Zero Trust bietet eine proaktive Sicherheitsarchitektur, die sich nicht nur auf die Abwehr von externen Angriffen konzentriert, sondern auch auf die Reduzierung interner Bedrohungen. Das ist eine Chance für die IT-Security, die sie im Zuge der NIS2-Konformität ergreifen sollte.
Über den Autor: Sven Kniest ist Vice President Central & Eastern Europe bei Okta.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/a6/24a67fd7a4c87e255ded6d800202bb4c/0129438997v2.jpeg "Wie eine Wetterapp soll Cyros die aktuelle Risikolage abbilden. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/de/1a/de1ae4cb156aee02c7e54345c6c91ec4/0129540842v2.jpeg "96 Prozent der Ransomware-Opfer verlieren ihre Backups, weil Angreifer Wiederherstellungssysteme gezielt angreifen. Immutability macht Backups technisch unveränderlich und schützt vor Manipulation. (Bild: © zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/f3/53f37867628318b5374100ff9bdfdba9/0129583189v2.jpeg "Cyberkriminelle können mithilfe präparierter Client-Anfragen Remote Code im Betriebssystem von Beyondtrust Remote Support und Privileged Remote Access ausführen. (Bild: Sohail - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/9f/b19f3051a921c1675f978918eb036c8f/0128401345v1.jpeg "Tanja Göbel, Commercial Director bei RETN in der DACH-Region, erlebt täglich, wie Betreiber in Europa ihre Routen, Strategien und Partnerschaften neu denken, um in einer veränderten geopolitischen Landschaft verbunden zu bleiben. (Bild: Retn)")
:quality(80)/p7i.vogel.de/wcms/ef/b1/efb1dc214240ce7ebf411b8d8a059a75/0128892977v1.jpeg "Die 6G-Forschungsroadmap positioniert 6G nicht als evolutionären Mobilfunkstandard, sondern als Plattform für KI-basierte, sicherheitskritische und industriell relevante Echtzeitsysteme. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/76/c4/76c4fb4c615fdfbda2b123cd7700352f/0129488424v1.jpeg "Der Q-Day kommt zwischen 2029 und 2035. Harvest Now Decrypt Later-Angriffe gefährden Daten aber schon heute. Das neue eBook „Die Quanten-Bedrohung“ zeigt die Migration zu quantensicherer Verschlüsselung. (Bild: © Patrick Helmholz - AdobeStock / Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/49/68/4968cfb619f90613cca8ba77511df54d/0129472744v2.jpeg "Das BSI empfiehlt, klassische asymmetrische Verschlüsselungsverfahren bis Ende 2031 nicht mehr zu verwenden, da sie aufgrund der Entwicklungen im Quantencomputing nicht sicher sind, was einen dringenden Umstieg auf hybride Verfahren, die quantensichere Algorithmen integrieren, erforderlich mache. (Bild: Alex - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/a0/63a08ef8cf2f357846891924a0c362b5/0129422042v1.jpeg "Active Directory Passwort-Resets explodieren insbesondere bei hybrider Arbeit. Sichere Self-Service-Passwort-Reset-Tools steuern dem entgegen. (Bild: Specops)")
:quality(80)/p7i.vogel.de/wcms/9f/4c/9f4c8b769319bae704bc65017a4ada98/0129424999v2.jpeg "Cyber-Resilienz 2026 bedeutet Handlungsfähigkeit unter laufendem Angriff, aber unkontrollierte Identitäten untergraben genau diese Fähigkeit und machen Systeme unsteuerbar. (Bild: © AminaDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/db/f1dbe322f0469f58d749a8d7439e02aa/0129455085v1.jpeg "ITDR-Lösungen erkennen Konfigurationsprobleme sowie Anomalien in Echtzeit, bevor Angreifer gestohlene Zugangsdaten ausnutzen können. (Bild: aldomurillo / gettyimages)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/4f/74/4f74da1ef2b573b35e8193c1279bfa5e/0129308675v1.jpeg "Tool-Silos und Schatten-KI machen Unternehmen 2026 haftbar – NIS-2, DORA und CRA fordern Konsolidierung, Identitätsmanagement und Enterprise-Browser für Compliance. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/9c/fa9cb07b434bfebc7cc0ee661d1fb07a/0128011752v1.jpeg "Pantelis Astenburg von Versa Networks erläutert die zentralen Schritte zur NIS2-Umsetzung und hebt die Bedeutung klarer Verantwortlichkeiten und konsolidierter Sicherheitsstrukturen hervor. (Bild: Versa Networks)")