Ende 2022 hat die EU die zweite „Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau“ beschlossen, die NIS-2-Richtlinie. Die Umsetzung der EU-Richtlinie in Deutschland dauert nun schon über zwei Jahre an. Sie wird wohl frühestens zum dritten Jahrestag im Winter gelingen.

Vor einem Jahr startete die letzte Bundesregierung mit dem „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“. Experten kritisierten den Entwurf. Wegen dem Ende der Ampel-Regierung wurde er nicht beschlossen.

Im Oktober 2024 lief die Umsetzungsfrist der EU ab. Die EU-Kommission eröffnete ein Vertragsverletzungsverfahren gegen Deutschland. Im Mai forderte sie erneut eine Umsetzung binnen zwei Monaten. Auch diese Frist ist längst verstrichen.

Höchste Zeit, das Tempo zu erhöhen. Die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik, Claudia Plattner, hofft auf eine Umsetzung bis Anfang 2026. Solange die derzeitige Regierung stabil bleibt, ist das (noch) zu schaffen.

Vor zwei Wochen hat das Bundeskabinett ein entsprechendes Gesetz beschlossen. Allerdings weist der „Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ nach wie vor erheblichen Nachbesserungsbedarf auf, dem sich hoffentlich der Bundestag noch widmet.

Steigende Cyberbedrohungen

Die zweite NIS-Richtlinie soll gegenüber ihrer Vorgängerin von 2016 mehr Einrichtungen erfassen, konkretere Vorgaben machen und die Umsetzung in den EU-Mitgliedstaaten stärker harmonisieren. Außerdem soll sie die Kooperation zwischen den Mitgliedstaaten fördern und darauf hinwirken, dass die nationalen Cybersicherheitsbehörden mehr Ressourcen erhalten. Kurz: Was die erste NIS-Richtlinie begann, sollte die NIS-2-Richtlinie erreichen.

Maßgeblich trägt der erweiterte Anwendungsbereich zu diesem Ziel bei: Künftig sollen statt 8.000 Einrichtungen knapp 30.000 Unternehmen erfasst sein. Die NIS-2-Richtlinie reguliert also nicht einzelne Sektoren, sondern visiert einen weitreichenden Wirtschaftsschutz an. Dabei differenziert sie zwischen wesentlichen Einrichtungen, die strengeren Anforderungen unterliegen, und wichtigen Einrichtungen verschiedener Sektoren.

Zweierlei Maß für Unternehmen und Staat

Nicht nur Bundesregierung und Gesetzgebung, sondern auch die Wirtschaft muss sich dem Thema NIS-2-Umsetzung widmen. Das BSI beginnt bereits jetzt, Unternehmen zu beraten, und bietet beispielsweise eine Orientierungshilfe zur Betroffenheitsprüfung an.

Dies täuscht jedoch nicht darüber hinweg, dass die zögerliche Umsetzung der NIS-2-Richtlinie in Unternehmen vor allem durch die verspätete gesetzgeberische Umsetzung bedingt ist. Hier beginnt bereits die erste Scheinheiligkeit: Während die Politik nicht in die Gänge kommt, sollten Unternehmen ihre Hausaufgaben idealerweise noch vor Beschluss des NIS-2-Umsetzungsgesetzes erledigt haben.

Die zweite Scheinheiligkeit liegt in der – breit diskutierten und kritisierten – Ausnahme der Bundesverwaltung vom Pflichtenprogramm der NIS-2-Richtlinie: Unternehmen treffen von Registrierungs- und Meldepflichten bis hin zu einem Maßnahmenkatalog mit zehn Punkten zahlreiche Anforderungen.

Die Bundesverwaltung muss dagegen im Grundsatz nur (vom BSI noch auszuarbeitende) Mindeststandards erfüllen. Lediglich das Bundeskanzleramt und die Bundesministerien müssen zusätzlich die BSI-Standards sowie das IT-Grundschutz-Kompendium einhalten.

Ob der Grund hierfür in den knappen Haushaltsmitteln liegt oder der bisherigen Verschleppung des Themas IT-Sicherheit in Bundesbehörden, ist unklar. Spätestens der Bericht des Bundesrechnungshofs sollte die Bundesregierung eigentlich motivieren, Cybersicherheit konsequent umzusetzen.

Endlich ein CISO Bund?

Diese Mängel vermag auch nicht das Portfolio neuer Rollen und Ämter auf Bundesebene zu kaschieren: Künftig soll es eine(n) Informationssicherheitsbeauftragte(n) der Bundesverwaltung geben, die/der für die IT-Sicherheitsprozesse verantwortlich ist. Ebenso soll jedes einzelne Ressort eine(n) Informationssicherheitsbeauftragte(n) erhalten – sowie für wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen.

Dieses „Gewimmel“ erfordert Koordination, und zwar durch eine(n) Koordinator(in) für Informationssicherheit. Der Gesetzesentwurf schweigt zu den Aufgaben und Kompetenzen dieses Amts; die Gesetzesbegründung stellt klar, dass hiermit (endlich) „CISO Bund“ eingeführt werde. Alles Übrige soll dann ein Kabinettsbeschluss regeln. Wichtig sei nur, dass „die Funktion möglichst unabhängig organisiert“ werde. Eine gute Lösung wäre es, den CISO Bund dem BSI beziehungsweise dessen Präsidentin zu übertragen.

Prekäre Stellung des BSI

Damit lässt sich gleich zum nächsten, bislang unbefriedigend gelösten Problem überleiten: die Abhängigkeit des BSI von Weisungen des Bundesinnenministeriums, dem beispielsweise auch die Nachrichtendienste und andere Sicherheitsbehörden unterfallen. Dieses Thema ist ein alter Hut und schon seit der Errichtung des BSI wiederholt problematisiert worden.

Ungeachtet der verschiedenen denkbaren Modelle ist entscheidend, ob das BSI in der Lage ist, transparent, nachvollziehbar und nach fachlicher Kompetenz zu handeln. Das NIS-2-Umsetzungsgesetz hätte die Aufgaben des BSI anpassen können, um klarzustellen, dass das BSI nicht auf Weisung des Bundesinnenministeriums wider der Förderung von Cybersicherheit handelt. Insbesondere eine explizite Pflicht des BSI, gemeldete Schwachstellen an den jeweiligen Hersteller weiterzugeben, würde das Vertrauen in die Behörde stärken.

EU systematisiert, Deutschland verwirrt

Doch nicht nur die Grundsatzentscheidungen des Gesetzesentwurfs enttäuschen. Die EU bemüht sich, seit der Cybersicherheitsverordnung ein kohärentes Begriffsgerüst für das Cybersicherheitsrecht zu entwerfen. Das reicht von einer einheitlichen Cybersicherheitsdefinition bis hin zu einem einheitlichen Verständnis von Schwachstellen.

Dieses Unterfangen konterkariert die Bundesregierung in ihrem Entwurf wiederholt. So verwendet der Entwurf unter anderem die Begriffe „Informationssicherheit“, „Netz- und Informationssicherheit“, „IT-Sicherheit“ und „Cybersicherheit“. Die Neuordnung des BSI-Gesetzes wäre eine Chance gewesen, auch inhaltlich Systematik herzustellen.

Zudem macht sie aus wesentlichen Einrichtungen jetzt „besonders wichtige“ Einrichtungen – wohl, weil sie die Bezeichnungen „wesentlich“ und „wichtig“ für irreführend hielt. Ob diese Bedenken berechtigt sind, ist Ansichtssache, verdeutlicht die „Wesentlichkeit“ doch die Bedeutung bestimmter Einrichtungen und Dienste für unsere Gesellschaft – ganz nach dem Sinngehalt kritischer Infrastrukturen. Jedenfalls sprengt dieser deutsche Sonderweg die EU-rechtliche Systembildung auf nicht gerade sprachgewandte Weise.

Auch die Einführung der „kritischen Anlagen“ weicht vom europäischen Konzept ab und stiftet gemeinsam mit den „kritischen Komponenten“ und „kritischen Dienstleistungen“ Verwirrung. Denn die NIS-2-Richtlinie löst sich vom Begriff der „Kritischen Infrastrukturen“, um die Cybersicherheit in der gesamten EU an Schlüsselstellen zu stärken.

Kritikwürdig ist allgemein die fehlende Systematisierungsleistung dieser Gesetzes-Novelle: Weder der allgemeine Aufbau des Gesetzentwurfs noch beispielsweise die Reihenfolge der Aufgaben des BSI wirken durchdacht. Das Bundesinnenministerium hätte mehr Struktur schaffen können – auch, um die Praktikabilität zu erhöhen.

Auch der Maßnahmenkatalog, den besonders wichtige und wichtige Einrichtungen erfüllen müssen, ist sowohl irreführend, weil er zu falscher Sicherheit verleiht, als auch nicht auf alle Einrichtungen gleichermaßen anwendbar. Der Verweis auf den Stand der Technik wäre hier zielführender und in der Praxis deutlich besser gestaltbar gewesen.

Weg aus der Regulierung

Hinzu kommen die „vernachlässigbaren“ Geschäftstätigkeiten: Sofern die Geschäftstätigkeiten, die den durch die NIS-2-Richtlinie regulierten Einrichtungsarten entsprechen, insgesamt nur eine deutlich untergeordnete Rolle spielen, entfallen die Pflichten zu mehr Cybersicherheit.

Dieser Passus öffnet Unternehmen daher einen Weg aus der Regulierung – bei bislang unklarer Definition von Grenzen und Maßstäben ebenjener vernachlässigbaren Geschäftstätigkeiten. Zugleich verfehlt Deutschland mit derlei Vorstößen das eigentlich angestrebte Ziel der Mindestharmonisierung durch die NIS-2-Richtlinie.

Wesentliche Fragen unbeantwortet

Enttäuschend ist nicht zuletzt auch, dass das NIS-2-Umsetzungsgesetz einigen wichtigen, vieldiskutierten Fragen ausweicht, die schon seit mehreren Jahren den Kern der nationalen Cybersicherheitsdebatte ausmachen.

Beispielsweise lässt der Entwurf ungeklärt, ob das BSI gemeldete Schwachstellen zurückbehalten und an Sicherheitsbehörden weitergeben darf, damit diese etwa Online-Durchsuchungen oder Quellen-Telekommunikationsüberwachung durchführen, das heißt per „Staatstrojaner“ IT-Systeme überwachen können. Die Weitergabe von gemeldeten Schwachstellen untersagt der Gesetzesentwurf nicht.

Dabei hat das Bundesverfassungsgericht der Gesetzgebung aufgegeben, bei der Geheimhaltung und Verwendung von Zero-Day-Schwachstellen (dem Hersteller unbekannte Schwachstellen) zu regeln, inwiefern der Ermittlungserfolg mit dem Interesse der Allgemeinheit an der Benachrichtigung der Hersteller und Behebung von Schwachstellen abzuwiegen ist (sogenanntes Schwachstellen-Management).

Bedauerlich ist vor allem, dass die Zurückbehaltung von Zero-Day-Schwachstellen zu nachrichtendienstlichen und Strafverfolgungszwecken nicht ausgeschlossen ist. Und es ist ungünstig, dass die Regierung nicht wenigstens die Umstände und Maßstäbe für die Geheimhaltung von Schwachstellen regelt.

Auch der bislang noch unklare Plan zur Umsetzung der EU-Richtlinie über die Resilienz kritischer Einrichtungen bewirkt, dass die Neuregelung des BSI-Gesetzes wohl bald Nachbesserungen erfordert. Denn ein ganzheitlicher Regulierungsansatz, der den Schutz vor physischen Gefahren und hybriden Bedrohungen mitdenkt, ist nach wie vor nicht gegeben, obwohl eigentlich in diesen Zeiten unbedingt erforderlich.

Die kommenden Wochen sind entscheidend

Der NIS-2-Umsetzungsentwurf für Deutschland wird in den nächsten Wochen bestimmen, wie sich das Thema Cybersicherheit hierzulande entwickeln wird: Werden alle Einrichtungen – Unternehmen wie Behörden – ihre Resilienz stärken oder werden Pflichten abgeschwächt und das Sicherheitsniveau systemisch gesenkt?

Die Politik sieht, dass Cybersicherheit Geld kostet. Ein Mangel an Cybersicherheit kostet aber ebenso – von Ransomware-Zahlungen bis hin zur Bewältigung von Cyberangriffen, zum Beispiel durch Arbeitsstunden und Kosten für neue IT-Systeme. Und nie war die Zeit günstiger als jetzt, um in die Cybersicherheit zu investieren.

Dennis-Kenji Kipker ist Research Director am Cyberintelligence Institute und Mitglied des Vorstands der Europäischen Akademie für Informationsfreiheit und Datenschutz in Berlin.

Carolin Kemper ist Forschungsreferentin am Deutschen Forschungsinstitut für öffentliche Verwaltung.

Der Netzwerkausrüster Cisco schließt mit Sicherheitsupdates verschiedene Schwachstellen in seinen Firewalls und dazugehöriger Software. Nach erfolgreichen Attacken auf die Lecks können Angreifer Geräte im schlimmsten Fall vollständig kompromittieren. Auch wenn es derzeit noch keine Berichte zu laufenden Attacken gibt, sollten Admins mit dem Patchen nicht zu lange zögern.

Einbruch in Netzwerke möglich

Als am gefährlichsten gilt eine „kritische“ Sicherheitslücke (CVE-2025-20265) mit Höchstwertung (CVSS Score 10 von 10). Sie betrifft das Secure Firewall Management Center. Die Schwachstelle findet sich der Warnmeldung zufolge in der Art der Implementierung des Authentifizierungsstandards RADIUS. Systeme sind Cisco zufolge aber nur verwundbar, wenn für das Webmanagementinterface RADIUS und/oder SSH-Management aktiv sind.

Weil Nutzereingaben bei der Authentifizierung nicht ausreichend überprüft werden, können Angreifer mit bestimmten Anfragen an der Lücke ansetzen und nach einer erfolgreichen Attacke Befehle mit hohen Nutzerrechten ausführen. Aufgrund der kritischen Einstufung und der zentralen Rolle einer Managementlösung ist davon auszugehen, dass Angreifer so Netzwerke kompromittieren können.

Kunden mit Supportvertrag sollen das Sicherheitsupdate automatisch erhalten. Wer eine solche Option nicht gebucht hat, muss in der Warnmeldung einige Angaben machen, um den Patch zu bekommen.

DoS-Attacken

Viele weitere Schwachstellen sind mit dem Bedrohungsgrad „hoch“ eingestuft. In den meisten Fällen können Angreifer DoS-Zustände herbeiführen, was Abstürze auslöst (etwa CVE-2025-20222). Weiterführende Informationen zu den Lücken und Sicherheitsupdates finden Admins in den unterhalb dieser Meldung verlinkten Warnmeldungen.

Liste nach Bedrohungsgrad absteigend sortiert:

Im Juli musste Cisco Sicherheitsmeldungen zu kritischen Schwachstellen in der Cisco Identity Services Engine anpassen. Updates für die kritischen Sicherheitslecks standen zwar bereit, allerdings wurden sie kurz nach Bekanntwerden auch im Internet attackiert.

(des)

Der Anbieter für Finanzsoftware zur Lohnabrechnung oder für Human Resources (HR) Infoniqa wurde Ziel eines Cyberangriffs. Es kam offenbar zu Störungen der cloudbasierten Dienste. Die sollen inzwischen jedoch wieder verfügbar sein.

Auf Anfrage von heise online nennt Infoniqa als Angriffszeitpunkt die Nacht von Sonntag, den 3. August, auf Montag, 4. August. „Wir haben ihn am Montagmorgen erkannt und sofort unsere für solche Fälle vorbereiteten Schutzmaßnahmen ausgeführt. Teil davon war es unter anderem, die betroffenen Systeme herunterzufahren und zu trennen“, sagte ein Unternehmenssprecher.

„Produkte und Lösungen von Infoniqa in Deutschland und Österreich standen den Kunden durchgehend zur Verfügung, etwaige technische Einschränkungen konnten per Dienstag, 12.8., gelöst werden“, führt er weiter aus. Das fehlende „Die“ am Anfang dieses Satzes scheint jedoch wichtig: Infoniqa benennt selbst technische Einschränkungen. Uns liegt zudem ein Leserhinweis vor, dass die Dienste für ihn über eine Woche lang nicht nutzbar waren.

„ONE Start Cloud“ nicht nutzbar

Auch die weitere Stellungnahme vernebelt den Blick auf die tatsächlichen Auswirkungen. Demnach waren „In der Schweiz […] alle Systeme und Dienstleistungen für unsere Kunden zu jeder Zeit ohne Einschränkungen funktionsfähig und sicher“ – jedoch „mit Ausnahme von ONE Start Cloud, für das wir operative Alternativen zur Verfügung stellen konnten“.

Zur Ursache möchte sich Infoniqa während der laufenden Untersuchungen des IT-Vorfalls noch nicht äußern. „Externe Cyber Security Experten und Forensiker analysieren derzeit den Incident. Dabei gilt durchgängig Gründlichkeit vor Geschwindigkeit“, erörtert der Infoniqa-Sprecher. Daher könne das Unternehmen etwa auch noch keine Angaben dazu machen, ob und welche Daten abgeflossen sind.

In einer Benachrichtigungsmail an Kunden hat Infoniqa zudem erwähnt, dass die On-Premises-Installationen nicht eingeschränkt waren, auch von ONE Start nicht. Demnach waren folgende Dienste ohne Einschränkungen weiter nutzbar: ONE Start on premises, ONE 50 Cloud und on premises, ONE 200 Cloud und on premises sowie RunMyPayroll.

(dmk)