Auch in Österreich wird die NIS2-Richtlinie in naher Zukunft in nationales Recht umgesetzt. Für betroffene Unternehmen bedeutet das: Die Messlatte für Cyberresilienz wird höher und der Kommunikationskanal Nummer eins, E-Mail, rückt zu Recht in den Fokus. Wer jetzt nur auf Virenscanner und Spam-Filter setzt, unterschätzt das Risiko und verpasst die Chance, mit überschaubarem Aufwand echte Resilienz zu schaffen. [...]
Die NIS-2-Richtlinie hätte bis 17. Oktober 2024 in allen EU-Mitgliedstaaten umgesetzt werden sollen. Dies ist in vielen EU-Mitgliedstaaten (darunter Österreich und Deutschland) nicht gelungen, die Europäische Kommission hat dazu ein Vertragsverletzungsverfahren eingeleitet. Der Aufschub verschafft den betroffenen Einrichtungen mehr Zeit für die Vorbereitung, weil die Regelungen für die Unternehmen erst mit der Umsetzung in nationales Recht gelten.
In Deutschland wurde das NIS2-Umsetzungsgesetz nun im Bundestag verabschiedet. Wann die Umsetzung in Österreich genau erfolgt, ist abhängig vom parlamentarischen Gesetzgebungsprozess und derzeit noch offen. Der aktuelle Stand ist, dass der Entwurf des NISG 2024 (Initiativantrag zum Netz- und Informationssicherheitsgesetz 2024) im Nationalrat behandelt wurde, aber an der notwendigen Zweidrittelmehrheit gescheitert ist und daher nicht beschlossen wurde.
Für Unternehmen gilt: Die grundlegenden Vorgaben, was zu tun ist, liegen mit der NIS2-Richtlinie vor. Es ist wichtig, sich jetzt vorzubereiten, da die Implementierung der Maßnahmen abhängig vom Reifegrad der Cybersicherheit viele Monate im Unternehmen in Anspruch nimmt.
Ganzheitlicher Ansatz
NIS2 ist mit einem strukturierten Vorgehen gut umsetzbar. Die Richtlinie verlangt angemessene und verhältnismäßige Maßnahmen – also State-of-the-Art-Schutz, klare Prozesse und belastbare Forensik. Übersetzt in die E-Mail-Praxis heißt das: Unternehmen benötigen einen ganzheitlichen Ansatz, der Prävention, Erkennung, Reaktion sowie den Wiederanlauf nach einem erfolgten Cyberangriff abdeckt.
Während Unternehmen bisher oft mit signaturbasierten Filtern und einfachen Phishing-Erkennungsmechanismen ausgekommen sind, reicht das spätestens unter NIS2 nicht mehr aus. Social Engineering, gezieltes Spear-Phishing und polymorphe Malware entwickeln sich täglich weiter. KI-gestützte Analysen, URL-Protection und Sandboxing sind heute Stand der Technik und für die Einhaltung von Artikel 21 der NIS2-Richtlinie de facto elementare Bausteine. Diese Technologien ermöglichen es unter anderem, gefälschte Absender und Domain-Adressen zu erkennen, verdächtige Links in Echtzeit zu blockieren und unbekannte Malware durch Verhaltensanalysen zu identifizieren.
Lieferkettensicherheit durch End-to-End-Verschlüsselung
Das zentrale Problem von E-Mails besteht darin, dass diese standardmäßig zunächst einmal unsicher sind, da sie keine Authentifizierung, Autorisierung oder Verschlüsselung während der Übertragung erfordern.
Eine durchgängige Verschlüsselung sensibler Kommunikation in der Lieferkette ohne Medienbrüche und Hürden für Partner ist entscheidend, auch wenn diese keine eigene Public Key Infrastructure (PKI) betreiben. Die NIS2-Richtlinie fordert explizit Konzepte und Verfahren für den Einsatz von Kryptografie. Das bedeutet konkret: E-Mails mit kritischen oder sensiblen Inhalten müssen verschlüsselt werden, um die Vertraulichkeit und Integrität gegenüber Zulieferern und Partnern zu gewährleisten.
Moderne Secure E-Mail Gateways lösen diese Anforderung pragmatisch. Sie ermöglichen „One-Click“-Verschlüsselung mit standardisierten Verfahren, ohne dass sich Absender mit technischen Details oder Schlüsselverwaltung auseinandersetzen müssen. Empfänger ohne eigene Verschlüsselungslösung werden idealerweise über ein sicheres Webmail-Postfach eingebunden, über das sie die verschlüsselten Nachrichten lesen können.
Betriebsstabilität und Notfallplanung
NIS2 verlangt außerdem belastbare Betriebs- und Notfallprozesse. Für E-Mail bedeutet das: Klare und funktionierende Continuity.-Konzepte müssen vorbereitet sein, nicht erst im Fall des Falles improvisiert. Ein vorprovisionierter, externer Fallback-Service, der bei einem Angriff sofort übernimmt und Postfächer samt Kontakten und Nachrichtenhistorie unter den bekannten E-Mailadressen per Webmail bereitstellt, ist für die Handlungsfähigkeit einer Organisation entscheidend.
Ebenso zentral ist die Fähigkeit, bereits zugestellte Nachrichten rückwirkend zu analysieren und zu entschärfen – ganz unabhängig von der eingesetzten E-Mail-Infrastruktur. Eine spezialisierte und zeitgemäße Clawback-Technologie erstellt beim E-Mail-Empfang digitale Fingerabdrücke aller Dateianlagen, speichert diese in einer Datenbank und gleicht sie kontinuierlich gegen neue Erkenntnisse aus der Malware-Forschung ab. Sobald eine potenziell gefährliche Nachricht erkannt wird, kann diese je nach Konfiguration automatisch in Quarantäne verschoben oder gelöscht werden.
Forensische Fähigkeiten und Meldepflichten
Schließlich führt kein Weg an professioneller Forensik, transparentem Monitoring und Reporting vorbei. Artikel 23 der NIS2-Richtlinie verlangt innerhalb von 24 Stunden einen Initialreport, nach 72 Stunden einen Update-Bericht und nach einem Monat eine detaillierte Abschlussdokumentation. Dies ist nur möglich, wenn E-Mail-Sicherheitsereignisse in Echtzeit in ein zentrales Security Information and Event Management (SIEM) fließen und es nachvollziehbare Playbooks für die Incident Response, klare Rollen und eine geübte Berichtskette gibt. So reduzieren sich im Ernstfall nicht nur Bußgeldrisiken, sondern vor allem die Zeit bis zur Eindämmung.Je transparenter eine Security-Lösung Daten und Metriken etwa für Tools wie Splunk, Dynatrace oder Grafana bereitstellt, desto zukunftssicherer stellen sich Unternehmen auch im Blick auf zukünftige regulatorische Anforderungen auf.
Fazit: Jetzt handeln
Die gute Nachricht: Für IT-Entscheider ist NIS2 in der E-Mail-Domäne schnell greifbar. Wenn Unternehmen neben technischen Maßnahmen auch Sensiblisierung gegen Social Engineering und ein straffes Anbieter- und Schnittstellenmanagement umsetzen, entsteht in wenigen Iterationen eine NIS2-konforme, belastbare Kommunikationsumgebung.
NIS2 ist kein Selbstzweck. Die Richtlinie bildet den Rahmen, den der Stand der Technik einfordert, und hebt Geschäftskommunikation per E-Mail auf ein sicheres Niveau. Unternehmen, die jetzt handeln, schützen nicht nur sich und ihre Lieferkette, sondern leisten einen wesentlichen Beitrag zur Cybersicherheit der gesamten Europäischen Gemeinschaft und vermeiden das teuerste aller Risiken: den ungeplanten Stillstand.
* Sören Schulte ist E-Mail-Security-Experte bei Retarus.
Be the first to comment