einfachISO
NIS-2

NIS-2: SzA – was Unternehmen wirklich brauchen

Joachim Reinke
Von Joachim Reinke
Gründer & Geschäftsführer
NIS-2: Systeme zur Angriffserkennung

Beim Thema NIS-2 taucht schnell die Frage auf: Brauchen wir jetzt zwingend ein "System zur Angriffserkennung"?

Die ehrliche Antwort ist: Nicht für jedes betroffene Unternehmen in exakt derselben Form.

In Deutschland gibt es für Betreiber kritischer Anlagen eine ausdrückliche Pflicht zum Einsatz von Systemen zur Angriffserkennung in § 31 Absatz 2 BSIG. Für andere NIS-2-betroffene Unternehmen läuft das Thema stärker über die allgemeinen Pflichten zu angemessenen, wirksamen und dokumentierten Risikomanagementmaßnahmen.

Für bestimmte digitale und IT-nahe Sektoren konkretisiert die EU-Durchführungsverordnung 2024/2690 das zusätzlich über Monitoring und Logging zur Erkennung relevanter Ereignisse.

Was sind Systeme zur Angriffserkennung überhaupt?

Angriffserkennungssysteme sind nicht "ein einziges Spezialprodukt", sondern als eine große Bandbreite technischer und organisatorischer Maßnahmen, die der Angriffserkennung dienen. In der BSI-FAQ heißt es außerdem ausdrücklich, dass es sich um "durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme" handelt. Das ist wichtig, weil damit klar wird: Ein SzA ist nicht nur ein Tool, sondern möglicherweise eine Mehrzahl solcher Tools, die geeignet verbunden sind - und immer auch eingebettet in einen Prozess zur Anwendung.

Nicht jeder NIS-2-Betroffene hat dieselbe ausdrückliche Pflicht

Hier lohnt sich die saubere Trennung. Für Betreiber kritischer Anlagen ist der Einsatz von Systemen zur Angriffserkennung in Deutschland ausdrücklich gesetzlich vorgeschrieben. Das steht in § 31 Absatz 2 BSIG.

Das BSI weist außerdem darauf hin, dass KRITIS-Betreiber Nachweise über die Umsetzung der Maßnahmen nach §§ 30 und 31 BSIG erbringen müssen. Für andere wichtige und besonders wichtige Einrichtungen nach NIS-2 ist die Pflichtlage breiter formuliert: Dort geht es um angemessene Risikomanagementmaßnahmen insgesamt, nicht um denselben ausdrücklichen SzA-Paragraphen für alle.

Was das für andere NIS-2-Unternehmen praktisch bedeutet

Auch wenn nicht für jedes NIS-2-Unternehmen der SzA-Paragraph gilt, heißt das nicht, dass Angriffserkennung optional wäre. Das Erkennen von Angriffen ist State of the Art. ENISA konkretisiert für die von der EU-Durchführungsverordnung 2024/2690 erfassten digitalen und IT-nahen Sektoren sehr deutlich, dass relevante Einrichtungen Verfahren festlegen und Werkzeuge nutzen müssen, um Aktivitäten auf ihren Netz- und Informationssystemen zu überwachen und zu protokollieren, damit Ereignisse erkannt werden, die als Sicherheitsvorfälle gelten könnten. Das ist praktisch genau die Richtung, in die Angriffserkennung unter NIS-2 gedacht wird.

Angriffserkennung heißt nicht automatisch "teures Spezialprodukt"

Viele Unternehmen denken bei Angriffserkennung sofort an große Plattformen mit sechsstelligen Budgets. Das ist zu kurz gedacht. ENISA nennt bei Monitoring und Logging ausdrücklich Ziele wie threat detection, anomaly detection, incident response support, data loss prevention und forensic investigations support.

Gleichzeitig nennt die Leitlinie bei der Tool-Auswahl Kriterien wie Integration, Minimierung manueller Eingriffe, Fähigkeit zur Datensammlung aus verschiedenen Quellen sowie ausdrücklich Kosten und Lizenzierung. Mit anderen Worten: Die Umsetzung soll funktionieren, aber sie darf und soll natürlich auch verhältnismäßig sein. 

Was praktisch als Angriffserkennung in Frage kommt

In der Praxis kann Angriffserkennung je nach Umgebung sehr unterschiedlich aussehen. Typische Bausteine sind eine zentrale Log-Sammlung, Korrelationsregeln, EDR- oder XDR-Funktionen auf Endgeräten, IDS/IPS, Cloud- und Identity-Logs, Alarmierung bei auffälligen Administrator-Logins, Anomalieerkennung im Netzwerk oder auch eine saubere Kombination aus mehreren dieser Elemente.

Mit Bordmitteln anfangen ist oft vernünftiger als Tool-Theater

Für viele Unternehmen ist der sinnvollste Einstieg nicht das große SOC-Märchen, sondern ein sauberer erster Schritt: relevante Logs wirklich aktivieren, zentral sammeln, Aufbewahrung regeln, erste Alarmregeln definieren und Verantwortlichkeiten für Sichtung und Reaktion klären. Gerade wenn Budget und Team begrenzt sind, ist das oft deutlich stärker als eine teure Plattform, die niemand ernsthaft betreibt.

Der häufigste Denkfehler

Der häufigste Denkfehler lautet: "Wir kaufen ein Tool, dann ist Angriffserkennung erledigt." Das stimmt nicht.

Das BSI beschreibt SzA als technisch unterstützte Prozesse mit organisatorischer Einbindung. Wer nur ein Produkt einkauft, aber keine Regelung für Auswertung, Eskalation und Reaktion hat, hat keine belastbare Angriffserkennung.

Was will der Auditor sehen?

Ein Auditor oder Prüfer will in diesem Thema in der Regel nicht hören: "Wir haben da irgendeine Security-Lösung." Er will erkennen, dass klar geregelt ist,

  • welche Aktivitäten überwacht werden;
  • welche Logquellen relevant sind;
  • welche Ereignisse als verdächtig gelten;
  • wer alarmiert wird;
  • wie auf Funde reagiert wird und
  • wer dafür zuständig ist, dass dieses Thema up to date bleibt.

Genau in diese Richtung gehen sowohl die BSI-Definition von SzA als technisch und organisatorisch eingebetteter Prozess als auch ENISAs Anforderungen an Verfahren, Tools, Konfiguration und Benachrichtigung.

Interesse geweckt?

Ist Ihr Unternehmen von NIS-2 betroffen? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns.

Häufig gestellte Fragen

Verlangt NIS-2 für jedes betroffene Unternehmen ausdrücklich ein "System zur Angriffserkennung"?
Nein, nicht in identischer Weise für alle. Für Betreiber kritischer Anlagen gibt es in Deutschland eine ausdrückliche Pflicht in § 31 Absatz 2 BSIG. Für andere NIS-2-betroffene Unternehmen ergibt sich das Thema eher aus den allgemeinen Pflichten zu angemessenen Risikomanagementmaßnahmen und, je nach Sektor, aus konkretisierten Monitoring- und Logging-Anforderungen.
Was versteht das BSI unter einem System zur Angriffserkennung?
Das BSI versteht darunter nicht nur ein einzelnes Produkt, sondern technisch unterstützte und organisatorisch eingebettete Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Also die Erkennung und Auswertung von Ereignissen, die bei der Nutzung von IT-Systemen bemerkt werden und die auf einen Angriff hindeuten können.
Reicht Logging allein schon aus?
Nicht automatisch. Logging ist oft die Grundlage, aber erst mit Auswertung, Alarmierung, Regeln und Reaktion wird daraus belastbare Angriffserkennung.
Braucht man dafür immer ein großes SIEM?
Nein. ENISA nennt bei der Auswahl von Monitoring- und Logging-Werkzeugen ausdrücklich auch Kosten, Integration und vorhandene Fähigkeiten. Für viele Unternehmen ist ein gestufter Ansatz sinnvoller als ein überdimensionierter Tool-Einkauf.
Was ist der wichtigste erste Schritt?
Sichtbar machen, welche Systeme, Anwendungen und Konten wirklich überwacht werden sollen, dann relevante Logs aktivieren, zentralisieren und erste Alarmregeln definieren. Das ist eine praktische Ableitung aus ENISAs Anforderungen an Monitoring und Logging.
Was ist der häufigste Fehler?
Zu glauben, Angriffserkennung sei nach dem Kauf eines Produkts erledigt. Ohne Regeln, Zuständigkeiten und Reaktion bleibt das Thema meist nur halb umgesetzt.

Dieser Artikel gehört zum Thema NIS-2 — erfahren Sie mehr über die Zertifizierung.

Zurück zum Blog

Bevor Sie gehen — sichern Sie sich die ISO 27001 Checkliste

26 Seiten, 5 Kapitel, kostenlos als PDF.

  • Ihr Weg zur Zertifizierung — Einstieg und Überblick
  • Aufbau Ihres ISMS — die acht Komponenten
  • Risikobewertung & -behandlung — strukturiert vorgehen

Kostenlos · Kein Abo · Abmeldung jederzeit