Khfd - stock.adobe.com
Secure by Design: Von Compliance zu Cyberresilienz
Security-Modelle, die vor allem auf Perimeter-Schutz und einzelne Kontrollmechanismen setzen, geraten unter Druck. Mit NIS2 reagiert der Gesetzgeber auf die veränderte Risikolage.
Mit NIS2, dem neuen EU-Rechtsrahmen für Cybersicherheit, verschärft die EU die regulatorischen Anforderungen deutlich. Neben klassischen KRITIS-Betreibern rücken nun auch IT-Dienstleister wie Managed Service Provider, Cloud-Anbieter, Rechenzentren und viele mittelständische Anbieter in den Fokus. Damit steigt die Zahl der betroffenen Organisationen in Deutschland von rund 4.500 auf etwa 29.500 Unternehmen in 18 Sektoren. Nach Auslegung des BSI können selbst konzerninterne IT-Dienstleister unter NIS2 fallen, wenn sie mit administrativem Zugriff operative Leistungen an Netz- und Informationssystemen anderer Konzerneinheiten erbringen.
Die Richtlinie definiert damit erstmals einen verbindlichen Mindeststandard. Sicherheit ist damit nicht nur eine technische Maßnahme, sondern ein Zusammenspiel aus Prozessen, Verantwortlichkeiten und Architektur. Im Vordergrund steht dabei nicht nur die bloße Existenz einzelner Kontrollen, sondern ihre Wirksamkeit im laufenden Betrieb. Unternehmen, die Sicherheit vor allem als Compliance-Thema behandeln, erkennen Schwächen häufig erst dann, wenn im Ernstfall bereits Zeit verloren geht.
Die neue Bedrohungsrealität
Die verschärften Anforderungen spiegeln vor allem eine veränderte Bedrohungslage wider. Angriffe verlaufen heute selten entlang klarer technischer Grenzen. Stattdessen verbinden sie Schwachstellen in Systemen, Identitäten und Prozessen zu neuen Angriffsketten. Hinzu kommt ein Faktor, den viele Organisationen weiter unterschätzen: Menschliche Fehler und technische Schwachstellen greifen häufig direkt ineinander. Gerade Social Engineering, vor allem Phishing, zeigt immer wieder, wie schnell aus einzelnen Fehlhandlungen weitreichende Sicherheitsvorfälle entstehen.
In vielen Organisationen trifft diese Realität auf Sicherheitsarchitekturen, die historisch gewachsen sind. Unternehmen nutzen häufig eine Vielzahl einzelner Security-Tools, ohne sie konsistent zu integrieren. Asset- und Identitätsmanagement bleiben dabei häufig lückenhaft. Dadurch fehlt oft die notwendige Transparenz über Systeme, Zugriffsrechte, Verantwortlichkeiten und technische Abhängigkeiten. Betreibt ein Unternehmen beispielsweise Vulnerability Scanner, Endpoint Protection und SIEM ohne zentrale Korrelation, bleiben wichtige Zusammenhänge oft unerkannt. Eine kritische Schwachstelle, ungewöhnliche Prozessaktivität und ein auffälliger Authentifizierungsversuch erscheinen dann jeweils nur als Warnsignale mittlerer Priorität. Zusammengenommen können sie jedoch auf aktive Ausnutzung hindeuten.
Cloud- und Hybrid-Umgebungen erhöhen die Komplexität zusätzlich. Wenn sich Anwendungen, Daten und Identitäten über verschiedene Plattformen, Teams und externe Dienstleister verteilen, werden Zuständigkeiten schnell diffus. Das zeigt sich besonders im Ernstfall: Incident-Response-Pläne sind in vielen Unternehmen zwar vorhanden, werden aber oft weder realitätsnah getestet noch konsequent in operative Eskalationsprozesse eingebunden.
„Unternehmen, die NIS2 nicht nur als Compliance-Vorgabe lesen, sondern als Impuls für eine integrierte Sicherheitsarchitektur nutzen, stärken damit nicht nur ihre regulatorische Aufstellung, sondern vor allem ihre operative Cyberresilienz.“
Okay Güler, Cloudyrion
Security-by-Design als Grundlage resilienter IT-Strukturen
Im Kontext von NIS2 wird Security by Design vom technischen Leitbild zum operativen Grundprinzip. Sicherheitsanforderungen werden nicht erst im Audit oder nach einem Sicherheitsvorfall relevant, sondern früh in Architekturentscheidungen, Betriebsmodelle und Systemdesign integriert. Ziel ist ein belastbares Sicherheitsniveau. Dieses darf nicht von Einzelmaßnahmen oder Projektphasen abhängen, sondern muss strukturell in der IT-Landschaft verankert sein.
Besonders deutlich wird das an typischen Angriffspunkten wie Identitäten, Zugriffsrechten und Systemkonfigurationen. Entscheidend sind daher ein belastbares Identity- und Access-Management (IAM), konsequent umgesetzte Least-Privilege-Konzepte und verbindliche Security-Baselines für Systeme und Plattformen. Sie stellen sicher, dass neue Umgebungen nicht nachträglich gehärtet werden müssen, sondern bereits beim Rollout ein definiertes Schutzniveau mitbringen.
Ebenso entscheidend sind Sicherheitsarchitekturen, die auch im Incident-Fall steuerbar und resilient bleiben. Konzepte wie Defense in Depth setzen in Cloud-Umgebungen auf mehrere unabhängige Schutzschichten, die über Identitäten, Netzwerke, Workloads und Daten hinweg ineinandergreifen. Ein einzelner erfolgreicher Angriff kann so nicht unmittelbar die gesamte Umgebung kompromittieren. Erweitert wird dieser Ansatz durch Zero-Trust-orientierte Zugriffskontrollen sowie durchgängiges Logging und Monitoring, die die frühzeitige Erkennung von Anomalien unterstützen. Angriffe lassen sich so in ihrer lateralen Ausbreitung begrenzen und betroffene Systeme kontrolliert isolieren. Relevant ist das nicht nur für interne Umgebungen. Gleiches gilt für externe Abhängigkeiten wie Lieferketten, Drittanbieter und Managed Service Provider.
Cyberresilienz als operatives Fundament
Im Zentrum von NIS2 steht daher nicht allein die Einhaltung formaler Vorgaben, sondern der Aufbau operativer Cyberresilienz. Dazu gehört, Sicherheitsvorfälle nicht als Sonderfall zu betrachten, sondern als realistische Betriebsszenarien in Architektur, Prozesse und Zuständigkeiten einzubeziehen.
Ob diese Resilienz im Betrieb trägt, zeigen operative Kennzahlen wie Mean Time to Detect (MTTD), Mean Time to Respond (MTTR), Recovery Time Objective (RTO) und Recovery Point Objective (RPO). Sie machen sichtbar, wie schnell Organisationen Vorfälle erkennen, darauf reagieren und kritische Services wieder stabilisieren. Operative Orientierungswerte für IT- und Security-Umgebungen sind hierbei, Sicherheitsvorfälle innerhalb von 30 Minuten zu erkennen und priorisierte Services innerhalb von zwei Stunden wiederherzustellen.
Von der Regulatorik zur Praxis
NIS2 schafft erstmals einen verbindlichen regulatorischen Rahmen, der technische Sicherheitsmaßnahmen eng mit organisatorischer Verantwortung und belastbaren Betriebsprozessen verknüpft. Für viele Unternehmen erhöht das zunächst den Anpassungsdruck.
Gleichzeitig macht die Richtlinie deutlich, dass ein tragfähiges Sicherheitsniveau nicht aus einzelnen Kontrollen oder Nachweisen erwächst. Entscheidend ist vielmehr, dass Sicherheitsanforderungen früh in Architektur, Betrieb und Verantwortlichkeiten einfließen. Secure-by-Design wird damit vom Best Practice zur grundlegenden Voraussetzung, um regulatorische Anforderungen wirksam in Architektur und Betrieb zu übersetzen.
Darin liegt auch eine Chance für die Cybersicherheit: Unternehmen, die Sicherheit nicht erst unter Auditdruck oder nach einem Vorfall nachschärfen, sondern strukturell in ihre IT-Umgebungen einbauen, schaffen bessere Voraussetzungen für belastbare Prozesse, klarere Zuständigkeiten und kontrollierbare Systeme. Für Unternehmen kann das zunächst bedeuten die eigene Betroffenheit zu klären, eine Gap-Analyse durchzuführen und Incident-Response-Pläne unter realistischen Bedingungen zu testen. Sicherheitsanforderungen lassen sich klarer priorisieren und notwendige Architekturmaßnahmen organisatorisch konsequenter durchsetzen.
Unternehmen, die NIS2 nicht nur als Compliance-Vorgabe lesen, sondern als Impuls für eine integrierte Sicherheitsarchitektur nutzen, stärken damit nicht nur ihre regulatorische Aufstellung, sondern vor allem ihre operative Cyberresilienz.
Über den Autor:
Okay Güler ist Gründer und CEO von Cloudyrion. Nachdem er im Banking und Automotive-Bereich Erfahrung als Ethical Hacker sammeln konnte, gründete Güler 2020 Cloudyrion. Seine Motivation: Unternehmen zu helfen, die neuen Herausforderungen im Cyberspace zu bewältigen und Awareness für Secure-by-Design zu schaffen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
