Ein Kommentar von Sören Schulte, Email Security Experte bei Retarus
Die Verabschiedung des NIS2-Umsetzungsgesetzes im Bundestag mit deutlicher Verspätung ist mehr als nur ein politischer Etappenschritt. Für Betreiber kritischer Infrastrukturen und für eine wachsende Zahl „wichtiger» und „besonders wichtiger» Einrichtungen bedeutet es: Die Messlatte für Cyberresilienz steigt, und der Kommunikationskanal Nummer eins, E-Mail, rückt zu Recht in den Fokus. Wer jetzt nur auf Virenscanner und Spam-Filter setzt, unterschätzt das Risiko und verpasst die Chance, mit überschaubarem Aufwand echte Resilienz zu schaffen.
NIS2 ist mit einem strukturierten Vorgehen gut umsetzbar. Die Richtlinie verlangt angemessene und verhältnismässige Massnahmen – also State-of-the-Art-Schutz, klare Prozesse und belastbare Forensik. Übersetzt in die E-Mail-Praxis heisst das: Unternehmen benötigen einen ganzheitlichen Ansatz, der Prävention, Erkennung, Reaktion sowie den Wiederanlauf nach einem erfolgten Cyberangriff abdeckt.
Während Unternehmen bisher oft mit signaturbasierten Filtern und einfachen Phishing-Erkennungsmechanismen ausgekommen sind, reicht das spätestens unter NIS2 nicht mehr aus. Social Engineering, gezieltes Spear-Phishing und polymorphe Malware entwickeln sich täglich weiter. KI-gestützte Analysen, URL-Protection und Sandboxing sind heute Stand der Technik und für die Einhaltung von Artikel 21 der NIS2-Richtlinie de facto elementare Bausteine. Diese Technologien ermöglichen es unter anderem, gefälschte Absender und Domain-Adressen zu erkennen, verdächtige Links in Echtzeit zu blockieren und unbekannte Malware durch Verhaltensanalysen zu identifizieren.
Lieferkettensicherheit durch End-to-End-Verschlüsselung
Das zentrale Problem von E-Mails besteht darin, dass diese standardmässig zunächst einmal unsicher sind, da sie keine Authentifizierung, Autorisierung oder Verschlüsselung während der Übertragung erfordern.
Eine durchgängige Verschlüsselung sensibler Kommunikation in der Lieferkette ohne Medienbrüche und Hürden für Partner ist entscheidend, auch wenn diese keine eigene Public Key Infrastructure (PKI) betreiben. Die NIS2-Richtlinie fordert explizit Konzepte und Verfahren für den Einsatz von Kryptografie. Das bedeutet konkret: E-Mails mit kritischen oder sensiblen Inhalten müssen verschlüsselt werden, um die Vertraulichkeit und Integrität gegenüber Zulieferern und Partnern zu gewährleisten.
Moderne Secure E-Mail Gateways lösen diese Anforderung pragmatisch. Sie ermöglichen „One-Click»-Verschlüsselung mit standardisierten Verfahren, ohne dass sich Absender mit technischen Details oder Schlüsselverwaltung auseinandersetzen müssen. Empfänger ohne eigene Verschlüsselungslösung werden idealerweise über ein sicheres Webmail-Postfach eingebunden, über das sie die verschlüsselten Nachrichten lesen können.
Betriebsstabilität und Notfallplanung
NIS2 verlangt ausserdem belastbare Betriebs- und Notfallprozesse. Für E-Mail bedeutet das: Klare und funktionierende Continuity.-Konzepte müssen vorbereitet sein, nicht erst im Fall des Falles improvisiert. Ein vorprovisionierter, externer Fallback-Service, der bei einem Angriff sofort übernimmt und Postfächer samt Kontakten und Nachrichtenhistorie unter den bekannten E-Mailadressen per Webmail bereitstellt, ist für die Handlungsfähigkeit einer Organisation entscheidend.
Ebenso zentral ist die Fähigkeit, bereits zugestellte Nachrichten rückwirkend zu analysieren und zu entschärfen – ganz unabhängig von der eingesetzten E-Mail-Infrastruktur. Eine spezialisierte und zeitgemässe Clawback-Technologie erstellt beim E-Mail-Empfang digitale Fingerabdrücke aller Dateianlagen, speichert diese in einer Datenbank und gleicht sie kontinuierlich gegen neue Erkenntnisse aus der Malware-Forschung ab. Sobald eine potenziell gefährliche Nachricht erkannt wird, kann diese je nach Konfiguration automatisch in Quarantäne verschoben oder gelöscht werden.
Forensische Fähigkeiten und Meldepflichten
Schliesslich führt kein Weg an professioneller Forensik, transparentem Monitoring und Reporting vorbei. Artikel 23 der NIS2-Richtlinie verlangt innerhalb von 24 Stunden einen Initialreport, nach 72 Stunden einen Update-Bericht und nach einem Monat eine detaillierte Abschlussdokumentation. Dies ist nur möglich, wenn E-Mail-Sicherheitsereignisse in Echtzeit in ein zentrales Security Information and Event Management (SIEM) fliessen und es nachvollziehbare Playbooks für die Incident Response, klare Rollen und eine geübte Berichtskette gibt. So reduzieren sich im Ernstfall nicht nur Bussgeldrisiken, sondern vor allem die Zeit bis zur Eindämmung.Je transparenter eine Security-Lösung Daten und Metriken etwa für Tools wie Splunk, Dynatrace oder Grafana bereitstellt, desto zukunftssicherer stellen sich Unternehmen auch im Blick auf zukünftige regulatorische Anforderungen auf.
Fazit: Jetzt handeln
Die gute Nachricht: Für IT-Entscheider ist NIS2 in der E-Mail-Domäne schnell greifbar. Wenn Unternehmen neben technischen Massnahmen auch Sensiblisierung gegen Social Engineering und ein straffes Anbieter- und Schnittstellenmanagement umsetzen, entsteht in wenigen Iterationen eine NIS2-konforme, belastbare Kommunikationsumgebung.
NIS2 ist kein Selbstzweck. Die Richtlinie bildet den Rahmen, den der Stand der Technik einfordert, und hebt Geschäftskommunikation per E-Mail auf ein sicheres Niveau. Unternehmen, die jetzt handeln, schützen nicht nur sich und ihre Lieferkette, sondern leisten einen wesentlichen Beitrag zur Cybersicherheit der gesamten Europäischen Gemeinschaft und vermeiden das teuerste aller Risiken: den ungeplanten Stillstand.