4. Februar 2025

NIS-2: All-Gefahren-Ansatz? – Was müssen Sie tun

Von Joachim Reinke

Februar 4, 2025

Allgefahrenansatz, Gefahr, NIS-2

Viele Unternehmen denken bei NIS-2 zuerst an klassische Cyberangriffe: Phishing, Ransomware, Schwachstellen, Hacker. Das ist verständlich, aber zu kurz gedacht.

Denn NIS-2 verlangt keinen reinen Blick auf digitale Angriffe, sondern einen All-Gefahren-Ansatz. Gemeint ist damit: Sicherheitsmaßnahmen sollen nicht nur einzelne Cyberbedrohungen betrachten, sondern grundsätzlich alle relevanten Gefahren, die Netz- und Informationssysteme sowie deren physische Umgebung beeinträchtigen können. Genau so ist der Ansatz in Artikel 21 angelegt.

Die kurze Antwort

Der All-Gefahren-Ansatz bedeutet: Sie sollen Informationssicherheit nicht zu eng denken.

Es geht nicht nur um Malware, Passwörter und Firewalls. Es geht auch um Dinge wie:

  • Ausfälle von Dienstleistern;
  • Strom- oder Telekommunikationsausfälle;
  • physische Vorfälle wie Brand, Diebstahl oder Wasserschäden;
  • Fehlverhalten oder Überforderung von Mitarbeitern;
  • Schwächen in Entwicklung, Betrieb und Veränderungsprozessen;
  • Probleme in der Lieferkette.

NIS-2 verlangt also keine reine IT-Abwehr, sondern ein breiteres Risikomanagement für den zuverlässigen Betrieb Ihrer Systeme und der dafür nötigen Umgebung.

Was mit "All-Gefahren" wirklich gemeint ist

Der Begriff klingt größer, als er ist. Er bedeutet nicht, dass ein Unternehmen jede denkbare Katastrophe bis ins letzte Detail ausmodellieren muss. Gemeint ist etwas Nüchterneres:

Sie dürfen Risiken nicht künstlich auf Cyberangriffe verengen, wenn in der Praxis auch andere Ursachen denselben Schaden auslösen können.

Ein kritischer Ausfall kann genauso gut entstehen durch:

  • einen kompromittierten Cloud-Anbieter;
  • einen Fehler in einer Änderung oder Migration;
  • einen langen Internetausfall;
  • einen Wasserschaden im Serverraum;
  • den Ausfall einer Schlüsselperson;
  • fehlende Reaktionsfähigkeit bei einem Vorfall.

Genau deshalb nennt Artikel 21 nicht nur Sicherheitsmaßnahmen im engeren Sinn, sondern auch Business Continuity, Lieferkettensicherheit, Sicherheitsbewertung, Schulung, Personalsicherheit, Zugriffskontrolle und Asset Management.

Der häufigste Denkfehler

Der häufigste Denkfehler lautet: NIS-2 ist ein Thema für die IT.

Das ist zu eng.

NIS-2 betrifft natürlich technische Sicherheit. Aber der All-Gefahren-Ansatz zwingt Unternehmen gerade dazu, auch organisatorische, physische und betriebliche Abhängigkeiten einzubeziehen. Wer nur seine Firewall-Landschaft verbessert, aber Lieferanten, Wiederanlauf, Mitarbeiterverhalten oder physische Risiken ignoriert, denkt noch nicht breit genug.

Was Unternehmen praktisch betrachten sollten

Wenn man den All-Gefahren-Ansatz sauber herunterbricht, landet man in der Praxis meist bei diesen Themenfeldern:

1. Technische Gefahren

Das ist der naheliegende Teil:

  • Malware;
  • Schwachstellen;
  • kompromittierte Konten;
  • Angriffe auf Netzwerke und Anwendungen;
  • Fehlkonfigurationen;
  • unsichere Entwicklung oder Wartung.

Diese Themen bleiben wichtig. Sie sind nur nicht das Ganze.

2. Organisatorische Gefahren

Viele Vorfälle entstehen nicht, weil Technik fehlt, sondern weil Organisation nicht trägt.

Dazu gehören zum Beispiel:

  • unklare Zuständigkeiten;
  • fehlende Eskalationswege;
  • mangelnde Übung für Vorfälle;
  • schlechte Entscheidungswege;
  • unsaubere Onboarding- oder Offboarding-Prozesse;
  • fehlende Reviews oder Wirksamkeitskontrollen.

Gerade hier zeigt sich oft, ob Sicherheitsmanagement nur auf dem Papier existiert oder im Alltag funktioniert.

3. Menschliche Faktoren

NIS-2 nennt ausdrücklich Cyberhygiene und Schulung sowie Personalsicherheit und Zugriffskontrolle.

Das ist kein Beiwerk. Viele Sicherheitsprobleme hängen direkt mit Menschen zusammen: unbedachte Klicks, schwache Passworthygiene, Überforderung, unklare Verantwortlichkeiten oder privilegierte Rechte ohne saubere Steuerung.

4. Physische und infrastrukturelle Gefahren

Der All-Gefahren-Ansatz bezieht ausdrücklich auch die physische Umgebung von Netz- und Informationssystemen ein.

Damit sind zum Beispiel gemeint:

  • Brand;
  • Wasser;
  • Stromausfall;
  • Ausfall der Kühlung;
  • physischer Zutritt;
  • Diebstahl;
  • Telekommunikationsprobleme.

Genau dieser Punkt wird oft übersehen, wenn Unternehmen NIS-2 nur als Cyberthema lesen.

5. Abhängigkeiten in der Lieferkette

Auch das gehört ausdrücklich hinein.

Wenn ein kritischer Dienstleister, Hoster, Managed Service Provider, Softwareanbieter oder Cloud-Dienst ausfällt oder kompromittiert wird, ist das kein Randthema, sondern Teil Ihrer eigenen Sicherheitslage.

Was das für die Umsetzung bedeutet

Der All-Gefahren-Ansatz ist kein Zusatzkapitel. Er verändert die Art, wie Sie Risiken betrachten.

Praktisch heißt das:

  • Sie starten nicht mit einer reinen Liste von Cyberbedrohungen.
  • Sie betrachten, was Ihren Betrieb stören oder Ihre Systeme beeinträchtigen kann.
  • Sie prüfen, welche Ursachen dafür realistisch sind.
  • Und Sie leiten daraus technische, organisatorische und betriebliche Maßnahmen ab.

Genau dadurch wird aus IT-Security ein belastbareres Sicherheitsmanagement.

Woran man erkennt, dass ein Unternehmen den Ansatz noch nicht verstanden hat

Ein Unternehmen hat den All-Gefahren-Ansatz meist noch nicht sauber verstanden, wenn:

  • nur die IT-Abteilung als zuständig betrachtet wird;
  • Lieferanten nur vertraglich, aber nicht sicherheitsseitig bewertet werden;
  • Business Continuity und Krisenreaktion nicht mitgedacht werden;
  • physische Risiken völlig fehlen;
  • Awareness nur als einmalige Schulung verstanden wird;
  • Schutzmaßnahmen nicht auf ihre Wirksamkeit überprüft werden.

Genau diese Punkte sind für einen Allgefahrenansatz aber notwendig.

Ein hilfreiches Werkzeug für die Umsetzung eines All-Gefahren-Ansatzes ist der Elementar-Gefährdungskatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Ein pragmischer Start für Unternehmen

Sie müssen dafür kein riesiges Theorieprojekt aufbauen.

Ein guter Start sieht oft so aus:

  1. Kritische Systeme, Prozesse und Abhängigkeiten benennen;
  2. Nicht nur Cyberangriffe, sondern auch Betriebs-, Lieferanten-, Personal- und physische Risiken sammeln;
  3. Die wahrscheinlichsten und schädlichsten Szenarien priorisieren;
  4. Vorhandene Maßnahmen dagegen prüfen;
  5. Lücken schließen;
  6. Zuständigkeiten, Reaktion und Wiederanlauf sauber regeln.

Das ist wesentlich näher an NIS-2 als eine rein technische Maßnahmenliste.

FAQ

Unser Tipp

NIS-2 verlangt von Unternehmen, Informationssicherheit breiter zu denken. Wer sich nur auf IT-Security konzentriert, übersieht viele potenzielle Gefahren. Ein All-Gefahren-Ansatz hilft dabei, Risiken umfassend zu identifizieren und gezielt zu minimieren.

Interesse geweckt?

Muss Ihr Unternehmen NIS-2 compliant werden? Dann sprechen Sie mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!

Über den Autor

Joachim Reinke

Joachim Reinke unterstützt seit 2017 Unternehmen beim Aufbau praxistauglicher Managementsysteme für Informationssicherheit und Qualität. In dieser Zeit hat er bereits mehr als 100 Unternehmen begleitet. Er ist zertifizierter Lead Auditor und als Dozent für Informationssicherheit und Qualitätsmanagement bei Zertifizierern und Trainingsanbietern tätig. Kunden schätzen besonders seine klare, praxisnahe und verständliche Vermittlung auch anspruchsvoller Inhalte.

View Comments