Als Nahtoderfahrung beschreiben Opfer von Cyberattacken diese Angriffe. Mit der NIS2 will die EU vor allem für wesentliche Einrichtungen einen wirkungsvollen Schutz durchsetzen. Wer seine Hausaufgaben nicht schon gemacht hat, sollte jetzt handeln.
Cyberattacken sind ein ernstzunehmendes Risko. Die NIS2 soll den Schutz vor Cyberkriminellen auf ein neues Level heben.
Im Mai 2023 meldete Heise Online, dass „ein Unbefugter Zugriff auf eines der E-Mail-Postfächer (Microsoft)“ des Bundesverbands der Pharmazeutischen Industrie (BPI e.V.) erlangte: „Möglicherweise wurden dabei E-Mail-Adressen, Daten aus Signaturen, Namen, Telefonnummern, postalische Adressen und Nachrichteninhalte eingesehen.“
Der BPI verarbeitet seine Post mit Hilfe von Microsoft? Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hält die Verwendung der Bürosoftware des Konzerns für unzulässig. Unzulässig wäre es auch, wenn der BPI personenbezogene Daten unverschlüsselt speichern und den Nutzerinnen nur schwache Passwörter ohne Mehrfachauthentifizierung (MFA) und Berechtigungsmanagement (IAM) einrichten würde. Solche Schutzmaßnahmen sollen gegen Phishing wirksam sein und werden von Experten als „Stand der Technik“ (SdT) bezeichnet. SdT ist nach DSGVO verpflichtend und der Verband muss darlegen, dass er vergleichbar wirksame Maßnahmen getroffen hat. Alles Andere müsste der BPI – der „Rechenschaftspflicht“ nach DSGVO sei Dank – nachweisen.
NIS2: Es bleibt noch etwas mehr als ein Jahr für die Umsetzung
Rechtsverstöße von Verwaltungsmitarbeitern sind selten lebensgefährlich. Aber mit elektronischen Steuerungen ändert sich das. Fehlfunktionen lassen sich in Cyberangriffen vorsätzlich verursachen. Tödliche Unfälle soll es dadurch bereits gegeben haben.
Mit Hilfe der „Richtlinie zur Netzwerk- und Informationssicherheit NIS“ will die Europäische Union seit 2016 für Cybersicherheit der Produktion sorgen. Schon damals sollten die Verpflichteten – nach Schätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zwischen „500 und 1.500 Unternehmen“ – den Stand der Technik umsetzen und erhebliche IT-Sicherheitsvorfälle an das BSI melden.
Ab Oktober 2024 ist die NIS2 einzuhalten: Die „starke Verschlüsselung“, MFA und IAM werden auch hier gefordert. Doch die NIS2 will mehr: Unternehmensleiter sollen persönlich für den Nachweis von „Cybersicherheitsmaßnahmen auf organisatorischer Ebene“ haften.
Mehr als 150.000 Unternehmen sind von der NIS2 betroffen
Die Richtlinie verpflichtet „wesentliche Einrichtungen“ in 18 Sektoren, beispielsweise Energie, Bankwesen oder Verkehr; zur Energiewirtschaft gehören nach NIS2 auch Erdöl, Erdgas, und Wasserstoff. Wesentlich ist darüber hinaus die Ver- und Entsorgung von Trink- oder Abwasser. Diejenigen, die in der „Produktion, Herstellung und Handel mit chemischen Stoffen“ unterwegs sind, gehören als „sonstige kritische Sektoren“ zu den „wichtigen Einrichtungen“.
So könnten „mehr als 150.000 Unternehmen“ unter die Neuregelung fallen.
Für wesentliche Einrichtungen gelten nach Artikel 32, Absatz 1 der Richtlinie „Aufsichts- und Durchsetzungsmaßnahmen“ – wie beispielsweise „Vor-Ort-Kontrollen und externe Aufsichtsmaßnahmen“, „Stichprobenkontrollen“, „regelmäßige und gezielte Sicherheitsprüfungen“, „Sicherheitsscans“. Gegen die wichtigen Einrichtungen sollen derlei Messer erst dann zum Einsatz kommen, wenn „Nachweise, Hinweise oder Informationen vorgelegt (werden), wonach eine wichtige Einrichtung mutmaßlich dieser Richtlinie [...] nicht nachkommt“.
Auch die „Risikomanagementmaßnahmen im Bereich der Cybersicherheit“ müssen SdT entsprechen. Ausdrücklich erwähnt wird, dass „die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen an Schulungen teilnehmen müssen“ und dass „allen Mitarbeitern regelmäßig entsprechende Schulungen anzubieten (sind), um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.“
NIS2 verspricht mehr Qualität in Sicherheitsfragen
Der Sicherheitsberater Christian Kress kommentiert: „NIS2 ist wie Datenschutz auf Ecstasy“. Andreas Lederle, Geschäftsführer von Erdwärme Grünwald, hält die strikte NIS-2 Richtlinie jedoch nicht für übertrieben. „Ich war selbst schon Opfer einer Cyberattacke und kann aus eigener Erfahrung sagen, dass es die Nahtoderfahrung für jeden Geschäftsführer ist“, so Lederle im Interview.
Ein Sicherheitsberater hofft, die Verordnung werde „zu einer Qualitätssteigerung über die Jahre führen, da letztendlich das gesamte Know-how steigen wird.“ – Andere sind weniger optimistisch – Sicherheitsexperte Timo Kob befürchtete gegenüber dem Handelsblatt vor einem halben Jahr: „21 Monate reichen für die Umsetzung von NIS 2 nicht, das Scheitern ist vorprogrammiert“.
Schwache Passwörter sind immer noch ein hohes Risiko
Die 20 am häufigsten verwendeten Passwörter der Branche
(Bild: Datawrapper)
Knapp könnte es vor allem für die werden, die quasi bei Null anfangen: "123456“ soll bei den Beschäftigten der Öl- und Gasindustrie das beliebteste Passwort sein – so das Ergebnis einer Studie der Firma Nord Pass. „Password“ kam auf Platz 2. Offenbar sind sich die Angestellten der Öl- und Gaswirtschaft nicht bewusst, dass sich Passwörter „jeglicher Art“ (also einschließlich Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen) mit sieben Zeichen innerhalb von sechs Minuten knacken lassen. Solche besonders beliebten Passwörter dieser Branche sollen sich mit Hilfe von Künstlicher Intelligenz „augenblicklich“ herausbringen lassen – behauptet die Firma Home Security Heroes.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Es wäre gut gewesen, wenn der BPI seine Mitglieder über Risiken und Rechtsfolgen der Digitalisierung informiert hätte – das hätte dem Biotech-Unternehmen Evotec womöglich einen Angriff im vergangenen Monat und im Ergebnis den Verlust von 12 Prozent seines Firmenwerts innerhalb eines Tages erspart.
Wie aber sollte der Verband das tun, wenn er sich nicht einmal selbst zu helfen weiß? PROCESS hat den BPI um Auskunft zu seiner Datenpanne gebeten, aber keine Antwort erhalten.
Dieser Artikel erschien zuerst auf unserem Partnerportal PROCESS.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f6/51/f651404395d1655ecfa20879930712cd/0129045915v2.jpeg "Gregor Liedhegener gehört nun zur Firmenleitung von Enreach am deutschen Standort Bochum. (Bild: © Enreach)")
:quality(80)/p7i.vogel.de/wcms/76/71/7671625a0fed3298a58928830fccd075/0129044146v2.jpeg "Ben Jones, Chief Technology Officer (CTO) bei Infinigate (Bild: Infinigate)")
:quality(80)/p7i.vogel.de/wcms/ec/57/ec578f26cbc8dd2cb06a61728c77afde/0129045922v1.jpeg "Michael Stuhr übernimmt als Country Manager die Leitung von Acer Deutschland. (Bild: Acer)")
:quality(80)/p7i.vogel.de/wcms/41/75/41755062d6019da04cfc7a8d8cdece50/0129024223v1.jpeg "Jakob Saga ist neuer Vorstand bei dem IT-Distributor Herweck. (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/33/cb/33cb307d4589586381bd14375db1b0fd/0128956017v1.jpeg "Digitale Souveränität ist keine passive Eigenschaft, sondern muss aktiv hergestellt werden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/65/ca/65caf26a0edab21ed681959e43563a72/0129034174v2.jpeg "„Tabellen sind oft Schatzkammern sensibler Daten – von Finanz- und Strategieinformationen bis zu HR- und Kundendaten. Dennoch werden sie nicht wie andere hochriskante Daten behandelt“, warnt Patricia Egger, Head of Security bei Proton. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/cb/53cbcd51e8acac98d6143c439041a659/0129049626v1.jpeg "Der IT-Branche geht es gut, vor allem Software und Cloud sind Erfolgsgaranten. (Bild: © metamorworks - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b8/d3/b8d38ddfbd4bce34f4583bc69c94e184/0129050070v1.jpeg "Das Dell Pro Education 11 2-in-1 ist eher für jüngere Schüler bestimmt, während das Dell Pro Education 14 Laptop in der Oberstufe zum Einsatz kommen soll. Auf Intel-Prozessoren der N-Serie basien beide Geräte. (Bild: Dell, GPT Imgae Editor (KI-generiert))")
:quality(80)/p7i.vogel.de/wcms/ad/1f/ad1f9112b6fbb20d996ed43967b24018/0128993706v1.jpeg "Der Dokumentenscanner ADS-4550W verarbeitet mit seinen beiden Scanzeilen bis zu 35 doppelseitig bedruckte DIN-A4-Seiten pro Minute. Der automatische Vorlageneinzug fasst bis zu 70 Blatt. (Bild: Brother)")
:quality(80)/p7i.vogel.de/wcms/07/e0/07e07ee324199940b030411e90ffb7a7/0128970749v2.jpeg "KI-Security kann nur mit klaren Governance-Strukturen, Verantwortlichkeiten und menschlichem Einsatz wirksam zur Prävention beitragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/25/34/25346a6de4fae49d5134a5d87fa16b68/0128837620v1.jpeg "Cloud Computing und Künstliche Intelligenz sind eng miteinander verwoben. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/51/045147bb59a65fc397dbc16c853a021b/0128604323v2.jpeg "Mobile IT entwickelt sich 2026 zu einem vernetzten Ökosystem aus Geräten, Services und KI-gestützten Funktionen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e2/77/e27778e620a361b893b926153234cd09/0128440397v1.jpeg "Kaum zu glauben, aber wahr: Es gibt Datacenter-Stilllegungen und Schließungen, trotz KI und Bau-Boom. Das Autoren-Duo Anna Kobylinska und Filipe Martins kümmern sich umd das Aus und beschreiben, wo das Pendel am stärksten ausschlägt. (Bild: © trahko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/aa/85/aa853f49052d57a3aee3e482f5a4f052/0129026996v2.jpeg "KMU erhalten nun einfachen Zugang zu bewährten IT-Sicherheitslösungen. (Bild: © Cisco Team)")
:quality(80)/p7i.vogel.de/wcms/3e/fa/3efacb47d1c6a526f593592dc476ac21/0129029791v2.jpeg "Mit dem Entwurf zur Überarbeitung des Cybersecurity Act will die EU-Kommission die Cybersecurity in der EU stärken und harmonisieren. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/65/2f/652fe9e44c62b/profi-logo-2022-anthrazit-dunkel-fav.png "profi-logo-2022-anthrazit-dunkel-fav (Profi)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/61900/61906/65.jpg "HDIT_LOGO RZ_130920_F_RGB.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b8/59/b859f7fdef280568933ab9b7e9e48556/0124259288v2.jpeg "Die NIS2-Richtlinie verschärft die Cybersicherheitsanforderungen für kritische Sektoren in der EU. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b7/02/b702a78a60a2be9c8bae1d8c4608661f/0125297112v2.jpeg "Viele Unternehmen müssen sich infolge der NIS2-Richtlinie intensiver als bisher mit Cyberrisiken und einer Stärkung ihrer Resilienz befassen. (Bild: © Egor - stock.adobe.com)")