Zurück zu Insights
Compliance & Regulation

Sicherheit kritischer Infrastrukturen: Schutz essenzieller Dienste im Zeitalter der NIS2-Richtlinie

Dr. phil. Özkaya Zübeyir Talha, Head of Security Operations
November 24, 2025
18 min read
Critical InfrastructureNIS2OT SecurityKRITISCyber ResilienceICS Security

📄 Download Full Article

Get this 18 min read article as a markdown file for offline reading

Download

Sicherheit kritischer Infrastrukturen: Schutz essenzieller Dienste im Zeitalter der NIS2-Richtlinie

Die Cybersicherheitslandschaft für kritische Infrastrukturen hat sich grundlegend verändert. Da die NIS2-Richtlinie nun in allen EU-Mitgliedstaaten durchsetzbar ist und Ransomware-Angriffe auf essenzielle Dienste im Jahresvergleich um 87 % zugenommen haben, stehen Betreiber kritischer Infrastrukturen unter beispiellosem Druck, ihre Betriebsabläufe abzusichern.

Dieser Leitfaden bietet ein praxisorientiertes Rahmenwerk zum Schutz kritischer Infrastrukturen, das auf die NIS2-Anforderungen, branchenübliche Best Practices und aktuelle Bedrohungsinformationen abgestimmt ist.

Inhaltsverzeichnis

  1. Was zählt als kritische Infrastruktur
  2. Die Bedrohungslandschaft 2026
  3. NIS2-Anforderungen für kritische Infrastrukturen
  4. Defense-in-Depth-Architektur
  5. OT/ICS-Sicherheitsgrundlagen
  6. Perimetersicherheit in der modernen Ära
  7. Rahmenwerk zur Risikobewertung
  8. Incident Response für kritische Infrastrukturen
  9. Überwachung & Erkennung
  10. Compliance-Fahrplan

Was zählt als kritische Infrastruktur

Unter der NIS2-Richtlinie geht kritische Infrastruktur weit über traditionelle Definitionen hinaus. Die Richtlinie unterteilt Organisationen in zwei Stufen:

Wesentliche Einrichtungen

  • Energie: Strom, Öl, Gas, Wasserstoff, Fernwärme
  • Verkehr: Luft-, Schienen-, Wasser- und Straßenverkehr
  • Banken & Finanzmarktinfrastrukturen
  • Gesundheit: Krankenhäuser, Labore, Pharmahersteller, Medizinproduktehersteller
  • Wasser: Trinkwasserversorgung und Abwasserbehandlung
  • Digitale Infrastruktur: DNS, TLD-Registrierungsstellen, Cloud-Anbieter, Rechenzentren, CDNs
  • IKT-Dienstleistungsmanagement: Managed Service Provider, Managed Security Service Provider
  • Öffentliche Verwaltung: Einrichtungen der Zentralregierung
  • Weltraum: Betreiber bodengestützter Infrastrukturen

Wichtige Einrichtungen

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemische Herstellung und Vertrieb
  • Lebensmittelproduktion und -vertrieb
  • Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinenbau, Automobilindustrie)
  • Digitale Anbieter (Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschungseinrichtungen

Schwellenwerte

NIS2 gilt für Organisationen mit:

  • 250+ Beschäftigte oder 50 Mio. €+ Umsatz: Automatisch eingestuft
  • 50–249 Beschäftigte oder 10–50 Mio. € Umsatz: Unterliegen den Anforderungen für wichtige Einrichtungen
  • Unterhalb der Schwellenwerte: Können dennoch einbezogen werden, wenn von Mitgliedstaaten bestimmt

Die Bedrohungslandschaft

Angriffstrends auf kritische Infrastrukturen 2026

Ransomware bleibt die primäre Bedrohung, aber die Angriffsmethoden haben sich weiterentwickelt:

  • Doppelte/Dreifache Erpressung: Datenverschlüsselung + Datendiebstahl + DDoS gegen die Opfer
  • OT-gezielte Malware: Speziell für industrielle Steuerungssysteme (ICS) entwickelte Schadsoftware, in der Tradition von TRITON/TRISIS und Industroyer2
  • Supply-Chain-Angriffe: Kompromittierung von Lieferanten, um Betreiber kritischer Infrastrukturen zu erreichen
  • Nationalstaatliche APTs: Staatlich geförderte Gruppen, die gezielt Energie-, Wasser- und Verkehrssektoren angreifen

Wichtige Kennzahlen:

  • 87 % Anstieg von Ransomware-Angriffen auf kritische Infrastrukturen (2024–2025)
  • Durchschnittliche Ausfallzeit bei Angriffen auf kritische Infrastrukturen: 22 Tage
  • Durchschnittliche Kosten pro Vorfall: 4,2 Mio. €
  • 63 % der Angriffe nutzten bekannte, nicht gepatchte Schwachstellen aus

NIS2-Anforderungen für kritische Infrastrukturen

Mindestsicherheitsmaßnahmen (Artikel 21)

NIS2 schreibt folgende Mindestmaßnahmen für das Cybersicherheits-Risikomanagement vor:

  1. Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme
  2. Verfahren zur Vorfallbehandlung (Erkennung, Reaktion, Wiederherstellung)
  3. Geschäftskontinuität (Backup-Management, Notfallwiederherstellung, Krisenmanagement)
  4. Sicherheit der Lieferkette (Sicherheitsanforderungen an Lieferanten und Dienstleister)
  5. Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
  6. Richtlinien zur Bewertung der Wirksamkeit von Cybersicherheits-Risikomanagementmaßnahmen
  7. Grundlegende Cyberhygiene-Praktiken und Cybersicherheitsschulungen
  8. Richtlinien zum Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
  9. Personalsicherheit (Zugangskontrolle, Asset-Management)
  10. Multi-Faktor-Authentifizierung (MFA) und Lösungen zur kontinuierlichen Authentifizierung

Meldepflichten

ZeitrahmenAnforderung
24 StundenFrühwarnung an das nationale CSIRT
72 StundenVorfallmeldung mit erster Bewertung
1 MonatAbschlussbericht mit Ursachenanalyse und Abhilfemaßnahmen

Sanktionen

  • Wesentliche Einrichtungen: Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
  • Wichtige Einrichtungen: Bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes
  • Managementhaftung: Geschäftsführer können persönlich haftbar gemacht werden

Defense-in-Depth-Architektur

Ein mehrschichtiger Sicherheitsansatz ist für kritische Infrastrukturen unerlässlich:

Schicht 1: Physische Sicherheit

  • Zugangskontrolle zu Einrichtungen (biometrisch + Ausweiskarte)
  • Videoüberwachung mit KI-gestützter Anomalieerkennung
  • Umgebungsüberwachung (Temperatur, Luftfeuchtigkeit, Stromversorgung)

Schicht 2: Netzwerkperimeter

  • Next-Generation Firewalls mit Deep Packet Inspection
  • DMZ-Architektur zur Trennung von IT- und OT-Netzwerken
  • VPN mit MFA für den Fernzugriff
  • DDoS-Schutz und Traffic Scrubbing

Schicht 3: Netzwerksegmentierung

  • Mikrosegmentierung kritischer Systeme
  • Zero Trust Network Access (ZTNA)-Richtlinien
  • VLAN-Isolation zwischen IT- und OT-Umgebungen
  • Software-Defined Perimeter (SDP) für sensible Anlagen

Schicht 4: Endpunktschutz

  • EDR/XDR auf allen IT-Endpunkten
  • Application Whitelisting auf OT-Systemen
  • USB-Gerätekontrolle und Medienscan
  • Patch-Management mit gestaffelter Bereitstellung

Schicht 5: Anwendungssicherheit

  • Web Application Firewalls (WAF) für internetfähige Dienste
  • API-Sicherheits-Gateways
  • Eingabevalidierung und Ausgabekodierung
  • Regelmäßige Penetrationstests

Schicht 6: Datensicherheit

  • Verschlüsselung im Ruhezustand und bei der Übertragung
  • Data Loss Prevention (DLP)-Richtlinien
  • Datenbankaktivitätsüberwachung
  • Backup-Verschlüsselung und Integritätsprüfung

OT/ICS-Sicherheitsgrundlagen

Die Herausforderung der IT-OT-Konvergenz

Kritische Infrastrukturen verbinden zunehmend Operational-Technology-Systeme (OT) mit IT-Netzwerken zur Überwachung und Effizienzsteigerung. Diese Konvergenz schafft neue Angriffsvektoren:

Häufige OT-Schwachstellen:

  • Altsysteme mit nicht mehr unterstützten Betriebssystemen
  • Standardzugangsdaten auf PLCs und SCADA-Systemen
  • Flache Netzwerkarchitekturen ohne Segmentierung
  • Fehlende Verschlüsselung bei industriellen Protokollen (Modbus, DNP3)
  • Seltenes Patching aufgrund von Verfügbarkeitsanforderungen

Purdue-Modell für OT-Sicherheit

Die Purdue Enterprise Reference Architecture definiert Sicherheitszonen:

EbeneBezeichnungBeispieleSicherheitsfokus
5UnternehmenERP, E-Mail, InternetStandard-IT-Sicherheit
4GeschäftsplanungMES, HistoriansDatenaustauschkontrollen
3.5DMZFirewall, Jump ServerKritische Grenze
3StandortbetriebSCADA-ServerEingeschränkter Zugang
2BereichssteuerungHMIs, Engineering-StationenAnwendungskontrolle
1Grundlegende SteuerungPLCs, RTUs, ControllerNetzwerkisolation
0ProzessSensoren, Aktoren, FeldgerätePhysische Sicherheit

Best Practices für OT-Sicherheit

  1. Netzwerksegmentierung: Strikte Trennung von IT und OT mit DMZ
  2. Asset-Inventar: Kenntnis jedes Geräts im OT-Netzwerk (nur passives Scanning!)
  3. Schwachstellenmanagement: Risikobasiertes Patching — niemals während der Produktion ohne vorherige Tests patchen
  4. Zugangskontrolle: Rollenbasierter Zugang mit MFA, keine gemeinsam genutzten Konten
  5. Überwachung: OT-spezifisches IDS (Nozomi, Claroty, Dragos), das industrielle Protokolle versteht
  6. Backup & Wiederherstellung: Offline-Backups von PLC-Programmen und Konfigurationen

Perimetersicherheit in der modernen Ära

Jenseits des traditionellen Perimeterschutzes

Während physische Perimetersicherheit weiterhin wichtig bleibt (Zäune, Kameras, Zugangstore), erstreckt sich der moderne Perimeter auf:

  • Netzwerkperimeter: Firewall-Regeln, IDS/IPS, Verkehrsanalyse
  • Identitätsperimeter: Wer kann auf was zugreifen, von wo und wann
  • Cloud-Perimeter: CASBs, cloud-native Firewalls, Workload Protection
  • Datenperimeter: DLP, Klassifizierung, Zugriffskontrollen auf die Daten selbst

KPIs für Perimetersicherheit

KPIZielwertMessmethode
Mean Time to Detect (MTTD)< 15 MinutenSIEM-Korrelationszeit
Mean Time to Respond (MTTR)< 4 StundenVorfallbehebungszeit
Falsch-Positiv-Rate< 5 %Alarm-Triage-Analyse
Perimeter-EinbruchsversucheBasislinie + TrendIDS/IPS-Protokolle
Patch-Compliance> 95 % innerhalb von 30 TagenSchwachstellenscanner
MFA-Abdeckung100 % externer ZugriffIAM-Audit

Rahmenwerk zur Risikobewertung

Schritt 1: Asset-Identifikation

  • Alle kritischen Systeme, Datenflüsse und Abhängigkeiten erfassen
  • Assets nach Geschäftsauswirkung klassifizieren (kritisch, hoch, mittel, niedrig)
  • Verbindungen zwischen IT- und OT-Systemen dokumentieren

Schritt 2: Bedrohungsbewertung

  • Relevante Bedrohungsakteure identifizieren (Nationalstaaten, Cyberkriminelle, Insider)
  • Bedrohungen mithilfe des MITRE ATT&CK-Frameworks den Assets zuordnen
  • Sektorspezifische Bedrohungen berücksichtigen (z. B. ICS-spezifisches ATT&CK)

Schritt 3: Schwachstellenanalyse

  • Regelmäßige Schwachstellenbewertungen durchführen
  • OT-spezifische Schwachstellen einbeziehen (ICS-CERT-Advisories)
  • Physische Sicherheitsschwachstellen bewerten

Schritt 4: Risikoberechnung

  • Risiko = Eintrittswahrscheinlichkeit × Auswirkung
  • Quantitative Methoden (FAIR) zur finanziellen Risikoabschätzung verwenden
  • Risiken nach Geschäftsauswirkung und Ausnutzbarkeit priorisieren

Schritt 5: Risikobehandlung

  • Akzeptieren: Risikoakzeptanz mit Genehmigung der Geschäftsführung dokumentieren
  • Mindern: Kontrollen implementieren, um Eintrittswahrscheinlichkeit oder Auswirkung zu reduzieren
  • Übertragen: Cyberversicherung für das Restrisiko
  • Vermeiden: Die risikoerzeugende Aktivität einstellen

Incident Response für kritische Infrastrukturen

Besondere Aspekte

Incident Response in kritischen Infrastrukturen unterscheidet sich von der Standard-IT-Vorfallreaktion:

  1. Sicherheit geht vor: Die Sicherheit von Menschen hat absoluten Vorrang vor der Systemverfügbarkeit
  2. Regulatorische Meldung: NIS2 verlangt eine Frühwarnung innerhalb von 24 Stunden
  3. OT-Isolation: Bedrohungen eindämmen, ohne sicherheitskritische Systeme zu stören
  4. Koordination mit mehreren Beteiligten: Regulierungsbehörden, Strafverfolgung, Sektor-ISACs
  5. Beweissicherung: Möglicherweise folgt eine strafrechtliche Ermittlung

Reaktionsprioritäten

  1. Schutz von Leib und Leben — Sicherstellen, dass weder Mitarbeitende noch die Öffentlichkeit zu Schaden kommen
  2. Umweltschutz — Chemische Freisetzungen und Emissionen verhindern
  3. Aufrechterhaltung der Dienste — Essenzielle Dienste aufrechterhalten, soweit sicher möglich
  4. Beweissicherung — Forensische Integrität für Ermittlungen wahren
  5. Kommunikation — Regulierungsbehörden, betroffene Parteien und Medien informieren

Überwachung & Erkennung

Security Operations Center (SOC) für kritische Infrastrukturen

Ein SOC für kritische Infrastrukturen erfordert spezialisierte Fähigkeiten:

  • IT- + OT-Konvergenz: Einheitliche Überwachung beider Umgebungen
  • Protokollkenntnis: Verständnis von SCADA-, Modbus-, DNP3- und BACnet-Protokollen
  • Threat Intelligence: Sektorspezifische Feeds (ICS-CERT, ENISA, nationale CSIRTs)
  • Playbooks: Vorgefertigte Reaktionsverfahren für gängige OT-Angriffsszenarien

Wesentliche Erkennungsanwendungsfälle

  1. Unautorisierter Zugriff auf OT-Netzwerke aus IT- oder externen Quellen
  2. Anomale PLC-Programmierungsänderungen außerhalb von Wartungsfenstern
  3. Ungewöhnliche Datenexfiltration aus SCADA/MES-Systemen
  4. Brute-Force-Versuche gegen HMI- oder Engineering-Workstations
  5. Netzwerk-Scanning innerhalb der OT-Umgebung (deutet auf Aufklärung hin)
  6. Bekannte ICS-Malware-Indikatoren (TRITON, Industroyer, PipeDream-Signaturen)

Compliance-Fahrplan

Phase 1: Bewertung (Monat 1–2)

  • NIS2-Einstufung bestimmen (wesentlich vs. wichtig)
  • Gap-Analyse gegenüber den Anforderungen aus Artikel 21 durchführen
  • Alle IT- und OT-Assets inventarisieren
  • Kritische Dienste und Abhängigkeiten identifizieren

Phase 2: Risikomanagement (Monat 3–4)

  • Umfassende Risikobewertung abschließen
  • Risikobehandlungsplan mit Genehmigung der Geschäftsführung entwickeln
  • Verfahren zur Vorfallbehandlung etablieren
  • Sicherheitsanforderungen für die Lieferkette festlegen

Phase 3: Umsetzung (Monat 5–8)

  • Netzwerksegmentierung implementieren (IT/OT-Trennung)
  • MFA und Zugangskontrollen einführen
  • Überwachungs- und Erkennungsfähigkeiten aufbauen
  • Pläne für Geschäftskontinuität und Notfallwiederherstellung entwickeln
  • Personal im Bereich Cybersicherheitsbewusstsein schulen

Phase 4: Governance (Monat 9–12)

  • Richtlinien für das Cybersicherheits-Risikomanagement etablieren
  • Verfahren zur Wirksamkeitsbewertung implementieren
  • Planspiele und Simulationen durchführen
  • Meldevorlagen für NIS2-Benachrichtigungen vorbereiten
  • Zusammenarbeit mit dem nationalen CSIRT und sektoralen Koordinierungsstellen aufnehmen

Phase 5: Kontinuierliche Verbesserung (fortlaufend)

  • Regelmäßige Penetrationstests und Schwachstellenbewertungen
  • Jährliche Überprüfung und Aktualisierung der Richtlinien
  • Erkenntnisse aus Vorfällen und Übungen
  • Branchenentwicklungen und aufkommende Bedrohungen verfolgen

Fazit

Die Absicherung kritischer Infrastrukturen erfordert einen ganzheitlichen Ansatz, der physische Sicherheit, Netzwerk-, Anwendungs- und Datensicherheit umfasst. Die NIS2-Richtlinie bietet einen regulatorischen Rahmen, doch effektive Sicherheit geht über bloße Compliance hinaus — sie erfordert eine Kultur der kontinuierlichen Verbesserung, sektorübergreifende Zusammenarbeit sowie Investitionen in Technologie und Personal gleichermaßen.

Schützen Sie Ihre kritische Infrastruktur mit fachkundiger Beratung. Unsere CISSP- und GICSP-zertifizierten Berater sind auf Sicherheitsbewertungen kritischer Infrastrukturen, NIS2-Compliance und OT/ICS-Sicherheit spezialisiert. Kontaktieren Sie uns für eine Sicherheitsbewertung.

Verwandte Artikel:

Need Expert Cybersecurity Consulting?

Our team of certified security professionals can help implement the strategies discussed in this article.

Schedule a Consultation

Related Articles

Cloud Security

Cloud IAM Best Practices: Berechtigungsverwaltung in AWS, Azure & GCP im Jahr 2026

16 min readNoah Schütz, M.Sc., Lead Security Specialist
Compliance & Governance

Cybersecurity-Compliance-Frameworks im Vergleich: ISO 27001 vs SOC 2 vs TISAX vs NIS2

16 Min. Lesezeit readDon Amel, B.Sc., Security Trainee