Wer sollte das lesen: Kommunikationsteams, Justiziare, Verantwortliche für die Vorfallsreaktion, Leiter des Kundendienstes, Compliance-Teams, regulierte Einrichtungen.
Die Warnpflicht ist ein grundlegendes Prinzip der modernen Cybersicherheit. Wenn eine Organisation eine erhebliche Cyberbedrohung feststellt, die sich gegen ihre Kunden oder Nutzer richtet, hat sie eine moralische und zunehmend auch rechtliche Pflicht, die Bedrohung und Schutzmaßnahmen zu kommunizieren. Die NIS2-Richtlinie kodifiziert dieses Prinzip in Artikel 23 Absatz 2, wonach „wesentliche und wichtige Einrichtungen den Empfängern ihrer Dienste, die potenziell von einer erheblichen Cyberbedrohung betroffen sind, unverzüglich alle Maßnahmen oder Abhilfen mitteilen, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen können. Gegebenenfalls unterrichten die Einrichtungen diese Empfänger auch über die erhebliche Cyberbedrohung selbst.”
Diese Verpflichtung ist im Prinzip einfach, in der Praxis aber komplex. Wann genau muss eine Einrichtung benachrichtigen? Was gilt als „erhebliche” Bedrohung? Wie detailliert muss die Warnung sein? Wer soll sie versenden: das Compliance-Team, das Kommunikationsteam oder das technische Team? Wie soll die Organisation Transparenz mit der Vermeidung von Panik oder Fehlinformationen in Einklang bringen? Dieser Beitrag entpackt Artikel 23 Absatz 2 und erläutert, wie wesentliche und wichtige Einrichtungen die Cyberbedrohungsbenachrichtigung angehen sollten.
Der Ansatz der Richtlinie zur Bedrohungsbenachrichtigung unterscheidet sich von der Vorfallsmeldung. Ein Vorfall ist ein tatsächlich eingetretenes Sicherheitsereignis, das bereits Schaden verursacht hat oder verursachen könnte. Eine Bedrohung ist ein potenzieller Angriff oder eine gegnerische Aktivität, die noch nicht zu einem Vorfall geworden ist oder für eine Einrichtung zu einem Vorfall geworden ist, aber für andere Risiken schafft. Wenn beispielsweise ein Telekommunikationsanbieter feststellt, dass ein Angreifer das Netzwerk auf Schwachstellen scannt, ist das eine Bedrohung, noch kein Vorfall. Führt das Scannen zu einem Einbruch, wird daraus ein Vorfall. Der Anbieter muss Diensteempfänger sowohl vor der Bedrohung als auch vor dem Vorfall warnen, aber Zeitpunkt, Inhalt und Übermittlungsweg unterscheiden sich.
Erhebliche Cyberbedrohungen nach Artikel 23 Absatz 2
Die Richtlinie definiert „erhebliche Cyberbedrohung” nicht mit mathematischer Präzision. Stattdessen legt sie Prinzipien fest. Eine Bedrohung ist erheblich, wenn sie „geeignet ist, die Bereitstellung dieser Dienste zu beeinträchtigen”, oder wenn sie ein Risiko für Diensteempfänger schafft. Diese Formulierung ist bewusst flexibel, denn Bedrohungen unterscheiden sich stark je nach Sektor, ausgenutzter Schwachstelle und Fähigkeiten des Angreifers.
Einige Bedrohungen sind offensichtlich. Wenn ein Cloud-Dienstanbieter eine bekannte Ransomware-Variante entdeckt, die in seiner Umgebung aktiv nach ungepatchten Servern sucht, und diese Server Kundendaten enthalten könnten, ist das eindeutig eine erhebliche Bedrohung. Der Anbieter sollte seine Kunden sofort warnen. Andere Bedrohungen sind mehrdeutiger. Wenn der Anbieter ein automatisiertes Scannen erkennt, das dem Muster eines unterschiedslos verbreiteten Wurms entspricht, aber die Sicherheitskontrollen des Anbieters die Ausnutzung verhindern, ist die Bedrohung dann noch erheblich? Die Richtlinie würde sagen: bewerten Sie Wahrscheinlichkeit und potenzielle Auswirkung. Deutet das Scan-Muster darauf hin, dass sich der Wurm weiterentwickelt, um diese Kontrollen zu umgehen, ist die Bedrohung erheblich. Sind die Scans alte Bekannte und Ihre Kontrollen bewährt, ist sie es womöglich nicht.
In der Praxis lassen sich erhebliche Cyberbedrohungen in Kategorien einteilen:
- Zero-Day-Schwachstellen: eine Softwareschwachstelle, die dem Hersteller unbekannt ist und für die kein Patch existiert. Stellt eine Einrichtung fest, dass ein Angreifer eine Zero-Day-Lücke in Software ausnutzt, die bei ihren Kunden weit verbreitet ist, müssen die Diensteempfänger davon erfahren, damit sie Umgehungsmaßnahmen anwenden können.
- Ransomware-Kampagnen: Hinweise darauf, dass eine bestimmte Ransomware-Variante den Sektor oder Kundenstamm der Einrichtung ins Visier nimmt. Das ist erheblich, weil Ransomware zu schweren Betriebsstörungen und finanziellen Verlusten führen kann.
- Botnetz-Infektionen: die Feststellung, dass Kundengeräte oder -systeme kompromittiert sind und an Botnetzen oder anderen bösartigen Aktivitäten teilnehmen. Das ist erheblich, weil es zu einer weiteren Kompromittierung oder zu einer rechtlichen Haftung des Kunden führen kann.
- Kompromittierte Zugangsdaten: Hinweise darauf, dass Benutzernamen und Passwörter für die Dienste der Einrichtung gestohlen wurden oder auf Darknet-Marktplätzen kursieren. Empfänger müssen Passwörter ändern und ihre Konten auf Missbrauch überwachen.
- Lieferkettenangriffe: Hinweise darauf, dass ein von der Einrichtung oder ihren Kunden genutzter Lieferant kompromittiert wurde und bösartige Updates oder Produkte verteilt. Diensteempfänger müssen wissen, welche Produkte oder Versionen betroffen sind und wie sie sich schützen können.
- Distributed-Denial-of-Service-Bedrohungen: Erkenntnisse, dass ein bestimmter Kunde oder Sektor von Angreifern ins Visier genommen wird, die eine große DDoS-Kampagne vorbereiten. Empfänger können sich vorbereiten, indem sie DDoS-Schutz aktivieren, Ingress-Filter anpassen oder ihre eigenen Kunden warnen.
Zeitpunkt: „unverzüglich”
Die Richtlinie verlangt eine Benachrichtigung „unverzüglich”. Das ist ein rechtlicher Standard, der „so bald wie praktisch möglich” bedeutet. Er ist nicht identisch mit „sofort”, denn eine Einrichtung kann nicht benachrichtigen, bevor sie bewertet hat, ob eine Bedrohung real und erheblich ist. Sobald diese Bewertung aber erfolgt ist, ist eine Verzögerung nicht akzeptabel.
In der Praxis bedeutet das:
Sobald eine glaubwürdige Bedrohung identifiziert und bewertet ist, sollte der Kommunikationsprozess innerhalb von Stunden beginnen, nicht Tagen. Eine interne E-Mail des Sicherheitsteams an das Kommunikationsteam um 10 Uhr sollte am späten Nachmittag zu einer Kundenbenachrichtigung führen, sofern keine unvorhergesehenen Komplikationen auftreten.
Muss die Einrichtung Hunderttausende von Kunden benachrichtigen, benötigt sie ein System, das dies effizient leistet: E-Mail, SMS, In-App-Benachrichtigungen oder Portalwarnungen. Jeden Kunden einzeln anzurufen ist nicht machbar. Die Einrichtung sollte vorbereitete Benachrichtigungskanäle und Vorlagen bereithalten, damit die Mechanik der Benachrichtigung die Botschaft nicht verzögert.
Ist die Einrichtung noch dabei zu bewerten, ob eine Bedrohung wirklich erheblich ist, sollte sie dies den Kunden ausdrücklich mitteilen: „Wir haben eine potenzielle Bedrohung erkannt und untersuchen sie. Wir werden Sie innerhalb von X Stunden informieren.” Das wahrt Transparenz und vermeidet Fehlalarme.
Der Maßstab „unverzüglich” erkennt an, dass vollkommene Information unmöglich ist. Einrichtungen müssen nicht auf eine vollständige Untersuchung warten, bevor sie benachrichtigen. Eine vorläufige Warnung ist besser als eine verspätete umfassende, wenn die Bedrohung sofortiges Handeln der Diensteempfänger erfordert.
Inhalt: was Diensteempfängern mitgeteilt werden soll
Die Richtlinie legt fest, dass Einrichtungen „Maßnahmen oder Abhilfen, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen können” mitteilen und „gegebenenfalls die Einrichtungen diese Empfänger auch über die erhebliche Cyberbedrohung selbst unterrichten.”
Daraus ergeben sich zwei Informationsebenen:
- Stufe 1 (immer): Schutzmaßnahmen, die Diensteempfänger ergreifen können. Das sind die praktischen Schritte, die das Risiko reduzieren. Beispiele: Passwort ändern, Software aktualisieren, Zwei-Faktor-Authentifizierung aktivieren, betroffenes Gerät vom Netzwerk trennen, Konto auf unbefugten Zugriff überwachen, unseren Support kontaktieren, wenn Sie verdächtige Aktivitäten bemerken.
- Stufe 2 (gegebenenfalls): Informationen über die Bedrohung selbst. Dazu können der Name der Schadsoftware, die Art der ausgenutzten Schwachstelle, der Zielsektor, die geschätzte Zahl betroffener Kunden oder der vermutlich verantwortliche Bedrohungsakteur zählen.
Diese Unterscheidung spiegelt die Erkenntnis der Richtlinie wider, dass Diensteempfänger nicht immer detaillierte Bedrohungsaufklärung brauchen, um sich zu schützen. Oft brauchen sie umsetzbare Handlungsanweisungen. Ein Kunde, der die technischen Details einer Zero-Day-Schwachstelle nicht versteht, profitiert trotzdem von der Aufforderung „aktualisieren Sie Ihre Software sofort”. Umgekehrt möchten manche Diensteempfänger, insbesondere Organisationen mit eigenen Sicherheitsteams, Bedrohungsaufklärung erhalten, um Risiken zu bewerten und defensive Maßnahmen zu ergreifen.
Eine Einrichtung sollte beide Stufen bereitstellen, wo dies machbar ist, aber Stufe 1 priorisieren. Ein Kunde, der nur die Schutzmaßnahmen erhält, ist besser bedient als einer, der eine detaillierte Bedrohungsanalyse ohne klare Handlungsanweisung erhält. Die Formulierung „gegebenenfalls” der Richtlinie gibt Einrichtungen die Flexibilität, ihr Publikum zu bewerten und die Botschaft anzupassen.
Transparenz und Verantwortung im Gleichgewicht
Cyberbedrohungsbenachrichtigungen bewegen sich auf einem schmalen Grat zwischen Transparenz und Verantwortung. Sagt man zu viel, geraten Kunden in Panik, verlassen den Dienst oder ergreifen unpassende Maßnahmen. Sagt man zu wenig, verstehen Kunden den Schweregrad nicht und treffen keine Vorkehrungen. Sagt man das Falsche, verbreitet sich Fehlinformation.
Mehrere Praktiken helfen, diese Balance zu finden:
- Verwenden Sie klare Sprache. Vermeiden Sie Fachjargon. Wenn Sie Fachbegriffe verwenden müssen, erklären Sie sie. Viele Diensteempfänger haben keine Sicherheitsexpertise. Eine Benachrichtigung mit dem Wortlaut „eine Kompromittierung von Zugangsdaten hat Ihren Benutzernamen und Ihren Passwort-Hash offengelegt” sollte stattdessen lauten: „Ihre Anmeldedaten könnten gestohlen worden sein. Ändern Sie Ihr Passwort sofort.”
- Quantifizieren Sie, wo Sie können. „Eine Schwachstelle, die einige Kunden betrifft” ist vage und beängstigend. „Eine Schwachstelle, die 0,5 % der Kunden in Frankreich betrifft” ist konkret und hilft Empfängern zu beurteilen, ob sie wahrscheinlich betroffen sind.
- Unterscheiden Sie zwischen „bestätigt” und „vermutet”. Haben Sie bestätigt, dass ein Kundenkonto kompromittiert wurde, sagen Sie es. Vermuten Sie, dass ein Kunde aufgrund der Ziele des Bedrohungsakteurs betroffen sein könnte, sagen Sie „könnte”. Präzision in der Sprache schafft Vertrauen.
- Vermeiden Sie es, Kunden die Schuld zu geben (auch wenn sie Fehler gemacht haben). Eine Benachrichtigung wie „Kunden, die keine Zwei-Faktor-Authentifizierung aktiviert haben, sind gefährdet” klingt anklagend. Besser: „Wir empfehlen dringend, die Zwei-Faktor-Authentifizierung zu aktivieren. Hier ist die Anleitung.”
- Bieten Sie Unterstützung an. Nachdem Sie Kunden über eine Bedrohung informiert haben, stellen Sie Support-Ressourcen bereit. Das kann eine temporäre Hotline sein, eine FAQ auf Ihrer Website oder dedizierte Support-Tickets für Kunden, die glauben, betroffen zu sein.
- Testen Sie Ihre Benachrichtigung im Voraus. Führen Sie eine Übung durch, bei der Sie eine Bedrohungsbenachrichtigung entwerfen und mit einer kleinen Gruppe teilen, einschließlich nichttechnischer Personen, um zu prüfen, ob sie klar, umsetzbar und angemessen ist.
Kanäle und Zugänglichkeit
Die Richtlinie schreibt den Kommunikationskanal nicht vor, verlangt aber implizit, dass Diensteempfänger die Benachrichtigung tatsächlich erhalten. Das bedeutet:
- Nutzen Sie mehrere Kanäle. Nicht alle Kunden prüfen regelmäßig ihre E-Mails. Einige bevorzugen SMS, andere nutzen In-App-Benachrichtigungen, wieder andere prüfen ihr Kontoportal. Nutzen Sie mehrere Kanäle, um die Reichweite zu maximieren.
- Stellen Sie Zugänglichkeit sicher. Wenn Sie schriftlich benachrichtigen, erwägen Sie, die Information in mehreren Sprachen bereitzustellen, wenn Ihr Dienst international ist, oder in Formaten, die für Menschen mit Behinderungen zugänglich sind (Großschrift, Screenreader-kompatibel usw.).
- Verstecken Sie nichts im Kleingedruckten. Eine in einer Aktualisierung der Nutzungsbedingungen versteckte Bedrohungsbenachrichtigung wird nicht wirksam sein. Sie sollte prominent und leicht auffindbar sein.
- Dokumentieren Sie die Benachrichtigung. Halten Sie fest, wer wann über welchen Kanal benachrichtigt wurde und was ihm mitgeteilt wurde. Das ist nützlich, falls zuständige Behörden später fragen, ob Sie Ihre Pflichten erfüllt haben.
Wann eine Benachrichtigung nicht angemessen ist
Die Richtlinie enthält eine Ermessensklausel: Einrichtungen sollen Empfänger „gegebenenfalls” über die Bedrohung informieren. Das lässt Raum für Situationen, in denen die Benachrichtigung selbst ein größeres Risiko schafft. Zum Beispiel:
Würde die Benachrichtigung einen Angreifer darauf aufmerksam machen, dass Sie seine Präsenz erkannt haben, sodass er Spuren verwischen oder den Angriff eskalieren könnte, bevor Sie reagieren können, kann es angemessen sein, die Benachrichtigung aufzuschieben, bis Sie die Bedrohung eingedämmt haben.
Richtet sich die Bedrohung gegen eine kleine Zahl hochrangiger Ziele (zum Beispiel Führungskräfte, die durch Spear-Phishing angegriffen werden), kann eine breite Benachrichtigung aller Kunden unangemessen sein; benachrichtigen Sie stattdessen nur die Gefährdeten.
Wurde die Bedrohung bereits ausgenutzt und wurden Kunden bereits geschädigt, sollte die Benachrichtigung dies anerkennen und Anleitung zur Wiederherstellung geben, statt zusätzliche Alarmierung zu erzeugen.
In allen Fällen sollte die Regelvermutung die Benachrichtigung sein. Diese Ausnahmen sind eng. Sind Sie unsicher, ob eine Benachrichtigung angemessen ist, benachrichtigen Sie.
Wesentliche Erkenntnisse
- Artikel 23 Absatz 2 NIS2 verpflichtet wesentliche und wichtige Einrichtungen, Diensteempfänger über erhebliche Cyberbedrohungen zu benachrichtigen, die die Diensterbringung beeinträchtigen könnten.
- Eine erhebliche Bedrohung ist eine, die geeignet ist, Diensteempfängern zu schaden, die Einrichtung zu schädigen oder die Ausnutzung von Schwachstellen zu ermöglichen. Zu den Bedrohungen zählen Zero-Day-Schwachstellen, Ransomware-Kampagnen, Botnetz-Infektionen, kompromittierte Zugangsdaten, Lieferkettenangriffe und DDoS-Kampagnen.
- Die Benachrichtigung muss „unverzüglich” erfolgen, also sobald eine Einrichtung beurteilt, dass eine Bedrohung real und erheblich ist, in der Regel innerhalb von Stunden.
- Einrichtungen sollen Schutzmaßnahmen kommunizieren, die Empfänger ergreifen können (verpflichtend), sowie Informationen über die Bedrohung selbst (gegebenenfalls).
- Benachrichtigungen sollten klare Sprache verwenden, Informationen quantifizieren, wo möglich, zwischen bestätigten und vermuteten Bedrohungen unterscheiden und Support-Ressourcen bereitstellen.
- Mehrere Kommunikationskanäle und zugängliche Formate sollten genutzt werden, um sicherzustellen, dass Empfänger die Benachrichtigungen tatsächlich erhalten.