Forschungstag IT-Sicherheit

NIS2-Informationsdossier für Unternehmen

Unabhängige Orientierung · Keine Rechtsberatung · Keine Verbindung zum BSI

NIS2 Passwort- und MFA-Richtlinien

Orientierung und Einordnung

  • Für wen relevant: Unternehmen mit Bezug zu Passwort- und MFA-Richtlinien.
  • Häufige Prüffelder: Nachweisführung, Verantwortlichkeiten und Risikosteuerung.
  • Hinweis: Diese Seite bietet eine sachliche Orientierung und ersetzt keine rechtliche oder fachliche Einzelfallprüfung.

Ihre Mitarbeiter hassen MFA. Ihre Admins hassen endlose Diskussionen. Ihr Management will „erstmal abwarten“.

Das Problem: NIS2 wartet nicht. Wenn ein kompromittiertes Passwort heute den Zugriff auf VPN, Microsoft 365, RMM, ERP oder Kundendaten ermöglicht, haben Sie kein Komfortproblem. Sie haben ein Haftungsproblem.

Für IT-Leiter und MSPs bieten die NIS2-Anforderungen an starke Authentifizierung einen konkreten Anlass, MFA-Maßnahmen strukturiert einzuführen, zu dokumentieren und intern verbindlich zu verankern.

Was NIS2 zu Zugriffsschutz und Authentifizierung fordert

NIS2 verlangt keine hübschen PowerPoint-Sicherheitskonzepte. NIS2 verlangt angemessene technische und organisatorische Maßnahmen, die Angriffe real verhindern. Für Geschäftsleitung und IT bedeutet das: Risiko erkennen, Maßnahme definieren, Umsetzung nachweisen.

Das BSI formuliert den praktischen Kern unmissverständlich: „Ein verlorenes Passwort darf keinen Komplettzugriff ermöglichen. Multi-Faktor-Authentifizierung (MFA), verschlüsselte Kommunikation und Notfallkanäle sind essenziell, um Spionage, Sabotage oder Erpressung zu verhindern.“

Übersetzt aus dem Behörden-Deutsch:

  • Ein Passwort allein ist kein Schutzmechanismus mehr.
  • Ein VPN-Zugang ohne starke MFA ist ein Einfallstor.
  • Admin-Konten ohne hardwarebasierte Absicherung sind ein Management-Risiko.
  • „Die Mitarbeiter finden das unbequem“ ist keine rechtliche Verteidigung.
  • Die Geschäftsführung bleibt in der Verantwortung.

Besonders kritisch: privileged Accounts. Domain Admins. RMM-Zugänge. Cloud-Admins. Backup-Systeme. Identitätsprovider. Wenn hier nur Passwort plus SMS-Code läuft, betreiben Sie einen Flickenteppich mit Haftungspotenzial.

FIDO2-Keys sind deshalb keine IT-Spielerei. Sie sind eine belastbare Antwort auf ein konkretes Risiko: Phishing, Credential Theft, Session Hijacking und Passwort-Recycling.

Warum Passwortrichtlinien allein keinen ausreichenden Schutz bieten

Die meisten Anbieter verkaufen Ihnen ein ISO-Template, eine neue Firewall oder ein Awareness-Training. Das sieht gut aus. Es löst aber nicht Ihr Kernproblem.

Ihr Kernproblem ist nicht fehlende Dokumentation. Ihr Kernproblem ist: Ein kompromittierter Mitarbeiter- oder Admin-Account kann zu viel Schaden anrichten.

Was die Konkurrenz verschweigt:

  • Eine neue Firewall stoppt keinen gültigen Login mit gestohlenen Zugangsdaten.
  • Passwort-Richtlinien allein erzeugen Frust, aber keine belastbare Sicherheit.
  • SMS-MFA ist besser als nichts, aber anfällig gegen SIM-Swapping und Phishing.
  • App-basierte Push-MFA wird von Nutzern blind bestätigt.
  • ISO-Checklisten sind oft Papier-Tiger, wenn die technische Erzwingung fehlt.

NIS2 ist hier der Hebel für IT-Admins. Nicht als Drohkulisse. Sondern als klare Governance-Grundlage.

Sie können gegenüber Management und Belegschaft argumentieren:

  • Die Maßnahme ist risikobasiert erforderlich.
  • Die Geschäftsführung muss angemessene Sicherheitsmaßnahmen sicherstellen.
  • Passwortlose Authentifizierung reduziert Angriffsfläche und Support-Aufwand.
  • Widerstand einzelner Nutzer schlägt keine gesetzliche Organisationspflicht.

Zero-Trust beginnt nicht mit einem Strategieworkshop. Zero-Trust beginnt damit, dass niemand mehr allein mit einem Passwort in kritische Systeme kommt.

Schritte zur risikobasierten MFA-Einführung und Dokumentation

  1. Kritische Konten sofort priorisieren:
    Erstellen Sie innerhalb von 48 Stunden eine Liste aller Konten mit hohem Schadenspotenzial: Domain Admins, Global Admins, Exchange-Admins, RMM-User, Backup-Admins, VPN-Administratoren, Service-Accounts mit interaktivem Login. Diese Konten erhalten zuerst FIDO2. Keine Ausnahme. Keine Übergangsdebatte.

  2. MFA per Policy erzwingen, nicht per Empfehlung:
    Deaktivieren Sie freiwillige Registrierung und weiche Opt-in-Modelle. Setzen Sie Conditional Access, Entra ID Security Defaults, Gruppenrichtlinien oder IdP-Policies so, dass ohne registrierten Hardware-Key kein Zugriff auf kritische Anwendungen möglich ist. Dokumentieren Sie die Entscheidung als NIS2-Risikomaßnahme. Damit wird aus „IT-Wunsch“ eine Management-Anordnung.

  3. Management-Argumentation schriftlich fixieren:
    Legen Sie eine kurze Entscheidungsvorlage vor: Risiko, Maßnahme, betroffene Systeme, Umsetzungsfrist, Ausnahmeprozess. Schreiben Sie klar hinein: Ein Passwortverlust darf keinen Komplettzugriff ermöglichen. Wer trotzdem eine Ausnahme will, muss sie fachlich begründen, befristen und durch die Geschäftsleitung freigeben lassen. Damit verschieben Sie das Risiko dahin, wo es hingehört: in die Verantwortungsebene.

Checkliste: NIS2-Argumentation für MFA und Zugriffsschutz

Die Checkliste gibt einen strukturierten Überblick, wie MFA-Anforderungen gegenüber Management, Betriebsrat und Belegschaft begründet und nachvollziehbar dokumentiert werden können – mit Fokus auf risikobasierte Priorisierung und nachweisbare Umsetzung. Sie dient der internen Vorbereitung und ersetzt keine rechtliche oder organisationsrechtliche Beratung.

Verwandte Seiten

NIS2 für Awareness und Mitarbeiterschulung

Orientierung für Unternehmen, die NIS2-Schulungen, Awareness-Maßnahmen und Phishing-Tests nachvollziehbar planen und dokumentieren möchten.

NIS2 für Chemie und Pharma

Einordnung für Chemie- und Pharmaunternehmen zu NIS2-Betroffenheit, Schutz sensibler Produktionsdaten und Anforderungen an die Lieferkettensicherheit.

NIS2 für E-Commerce und Handel

Orientierung für Online-Händler und E-Commerce-Betreiber zu NIS2-Anforderungen, Kundendatenschutz und sicherer Zahlungsabwicklung.

FAQ

Bin ich von NIS2 betroffen?

Ob Ihr Unternehmen betroffen ist, hängt von Branche, Unternehmensgröße, kritischen Dienstleistungen und Lieferkettenrollen ab. Eine strukturierte Prüfung ist sinnvoll.

Reicht eine einmalige Maßnahme aus?

Nein. NIS2 erfordert fortlaufendes Risikomanagement, regelmäßige Überprüfung und dokumentierte Verbesserungen.

Ersetzt diese Seite eine Beratung?

Nein. Dieses Informationsangebot ersetzt keine Rechtsberatung, IT-Sicherheitsberatung oder behördliche Auskunft.