Wer sollte das lesen: Telekommunikationsanbieter, Netzbetreiber, Teams für Kommunikationssicherheit und Compliance-Verantwortliche.
Die NIS2-Richtlinie rückt die Verschlüsselung ins Zentrum der Cybersicherheitsstrategie für die kritischen Infrastrukturen Europas. Für Telekommunikationsanbieter und öffentlich zugängliche elektronische Kommunikationsdienste ist Verschlüsselung nicht länger optional, sondern eine grundlegende Sicherheitsanforderung. Der Ansatz der Richtlinie in Bezug auf Verschlüsselung ist jedoch nuanciert. Anstatt eine pauschale Verpflichtung aufzuerlegen, erkennt sie an, dass Verschlüsselungstechnologien unterschiedliche Dinge schützen und auf verschiedenen Ebenen der Netzinfrastruktur arbeiten. Dieser Beitrag erläutert, wie NIS2 die Verschlüsselung behandelt, wann sie verpflichtend wird und warum auch diejenigen, die keinen direkten Anforderungen unterliegen, sie als unverzichtbar betrachten sollten.
Die Europäische Union erkennt Verschlüsselung seit langem als Grundpfeiler digitaler Rechte und Sicherheit an. Die NIS2-Richtlinie bekräftigt dies durch Erwägungsgrund 98, in dem betont wird, dass „der Einsatz von Verschlüsselungstechnologien, insbesondere Ende-zu-Ende-Verschlüsselung, sowie datenzentrierter Sicherheitskonzepte wie Kartografie, Segmentierung, Tagging, Zugriffsrichtlinien und Zugriffsmanagement sowie automatisierter Zugriffsentscheidungen gefördert werden sollte”. Diese Formulierung ist bewusst gewählt. Verschlüsselung wird nicht als technisches Detail dargestellt, das an Ingenieure delegiert werden kann, sondern als politische Priorität, die das Bekenntnis Europas sowohl zu Sicherheit als auch zum Datenschutz widerspiegelt.
Für Anbieter öffentlicher elektronischer Kommunikationsnetze und öffentlich zugänglicher elektronischer Kommunikationsdienste, eine Kategorie, die die meisten Telekommunikationsbetreiber und großen Internetdiensteanbieter umfasst, nimmt NIS2 eine bedingte, aber entschiedene Haltung ein. Die Richtlinie besagt, dass „wo dies erforderlich ist, der Einsatz von Verschlüsselung, insbesondere Ende-zu-Ende-Verschlüsselung, verpflichtend sein sollte”. Dies schafft ein Spektrum an Verpflichtungen. Die Formulierung „wo dies erforderlich ist” gibt den Regulierungsbehörden und zuständigen Behörden Flexibilität, um den Kontext, die Bedrohungslage und die technische Machbarkeit zu beurteilen. Die Standarderwartung ist jedoch klar: Verschlüsselung ist die Grundlage, nicht die Ausnahme.
Wann wird Verschlüsselung verpflichtend?
Der NIS2-Rahmen schreibt keinen einzelnen Zeitpunkt vor, zu dem die Verschlüsselung von freiwillig zu verpflichtend wechselt. Stattdessen treffen die zuständigen Behörden in jedem Mitgliedstaat verhältnismäßige Beurteilungen auf der Grundlage der angebotenen Dienste, der Sensibilität der betroffenen Daten und des Schadensrisikos, falls Kommunikation abgefangen oder verändert wird. Für einen großen Mobilfunknetzbetreiber, der personenbezogene Daten und Kommunikation von Millionen Nutzern verarbeitet, liegt die Schwelle für „Erforderlichkeit” außerordentlich niedrig. Für einen kleineren Internetdiensteanbieter, der einen regionalen Markt bedient, kann die Beurteilung anders ausfallen, auch wenn die Vermutung bestehen bleibt, dass Verschlüsselung erforderlich ist.
Mehrere Faktoren drängen die meisten Telekommunikationsdienste in Richtung verpflichtender Verschlüsselung. Erstens transportiert die Telekommunikation per Definition sensible personenbezogene Daten. Anrufe, Nachrichten und der Online-Verkehr offenbaren intime Details aus dem Leben der Menschen: medizinische Informationen, Finanzdaten, Familienkommunikation. Die Ende-zu-Ende-Verschlüsselung stellt sicher, dass nicht einmal der Diensteanbieter auf diese Daten zugreifen kann. Dieser doppelte Nutzen (Schutz der Nutzer und Schutz des Anbieters vor Haftung) macht Verschlüsselung für jeden Dienst, der solche Inhalte verarbeitet, praktisch verpflichtend.
Zweitens erkennt die Richtlinie an, dass die Verschlüsselung mit legitimen Strafverfolgungs- und nationalen Sicherheitsbefugnissen in Einklang gebracht werden muss. Erwägungsgrund 98 stellt ausdrücklich fest, dass „der Einsatz von Ende-zu-Ende-Verschlüsselung mit den Befugnissen der Mitgliedstaaten in Einklang gebracht werden sollte, um den Schutz ihrer wesentlichen Sicherheitsinteressen und der öffentlichen Sicherheit sicherzustellen und um die Verhütung, Untersuchung, Aufdeckung und Verfolgung von Straftaten gemäß dem Unionsrecht zu ermöglichen”. Dies ist kein Schlupfloch, das die Verschlüsselung schwächt. Vielmehr wird damit anerkannt, dass Verschlüsselungstechnologien und staatliche Behörden im selben regulatorischen Ökosystem agieren. Der entscheidende Vorbehalt der Richtlinie ist, dass dieser Ausgleich „die Ende-zu-Ende-Verschlüsselung nicht schwächen sollte, die eine kritische Technologie für den wirksamen Schutz von Daten und Privatsphäre sowie für die Sicherheit der Kommunikation darstellt”. Die Verschlüsselung bleibt stark; es ist der rechtliche Rahmen darum herum, der sich anpassen muss.
Über die Verschlüsselung hinaus: Datenzentrierte Sicherheitskonzepte
Viele Unternehmen reduzieren Verschlüsselung auf eine einzige Technologie, in der Regel TLS für Webverkehr oder IPsec für Netzwerke. NIS2 vertritt eine breitere Sichtweise. Erwägungsgrund 98 verweist auf „datenzentrierte Sicherheitskonzepte wie Kartografie, Segmentierung, Tagging, Zugriffsrichtlinien und Zugriffsmanagement sowie automatisierte Zugriffsentscheidungen”. Diese Begriffe beschreiben architektonische Muster, die zusammen mit der Verschlüsselung wirken.
Kartografie bedeutet, Datenflüsse abzubilden und zu verstehen, wo sensible Informationen in Ihren Systemen vorliegen. Bei der Segmentierung geht es darum, Ihr Netzwerk so zu unterteilen, dass sich eine Kompromittierung in einem Bereich nicht automatisch auf alle anderen ausbreiten kann. Tagging weist Daten Metadaten zu, sodass Systeme Regeln auf der Grundlage von Sensibilität oder regulatorischen Anforderungen durchsetzen können. Zugriffsrichtlinien und Zugriffsmanagement definieren, wer unter welchen Bedingungen auf welche Daten zugreifen kann. Automatisierte Zugriffsentscheidungen erweitern dies auf Maschinen, die in Echtzeit auf der Grundlage von Richtlinien entscheiden, ob eine Transaktion zugelassen wird.
Zusammen schaffen diese Elemente eine gestaffelte Verteidigung. Die Verschlüsselung schützt Daten bei der Übertragung und im Ruhezustand. Datenzentrierte Konzepte stellen sicher, dass ein Angreifer, selbst wenn er Ihren Perimeter durchdringt, mehrere Kontrollebenen überwinden muss, bevor er auf sensible Informationen zugreifen kann. Für Telekommunikationsanbieter bedeutet dies, die Ende-zu-Ende-Verschlüsselung mit internen Kontrollen zu kombinieren, die verhindern, dass Ihr eigenes Betriebspersonal beiläufig auf Nutzerkommunikation zugreift, sowie mit Systemen, die anomale Zugriffsmuster in Echtzeit kennzeichnen.
Umsetzung in der Telekommunikationsinfrastruktur
Die Richtlinie erkennt an, dass nicht alle Dienste gleich sind und dass Verschlüsselung nicht überall in gleicher Weise angewendet werden sollte. Die Erwartung ist jedoch, dass Anbieter ihre Dienste bewerten und Verschlüsselung dort einsetzen, wo sie Kommunikation oder Daten vor unbefugtem Zugriff schützt.
Für verbraucherorientierte Dienste (Mobilfunknetze, Festnetz-Breitband, E-Mail) ist die Vorgabe am stärksten. Diese Dienste verarbeiten per Definition persönliche Kommunikation und Daten. Verschlüsselung sollte die Voreinstellung sein. Dies umfasst sowohl die Verschlüsselung zwischen Nutzergeräten und der Anbieterinfrastruktur (Transportsicherheit) als auch, soweit technisch und wirtschaftlich machbar, die Ende-zu-Ende-Verschlüsselung für sensible Dienste wie Messaging oder Sprachanrufe.
Für Geschäftskundendienste und Unternehmensanbindungen ist die Situation komplexer. Einige Unternehmenskunden verfügen über eine eigene Sicherheitsinfrastruktur und möchten möglicherweise keine vom Anbieter aufgezwungene Verschlüsselung, wenn diese ihre eigene Sicherheitsüberwachung verhindert. NIS2 verlangt jedoch, dass die Stellen „Maßnahmen zum Cybersicherheitsrisikomanagement” verhältnismäßig zu den Risiken handhaben. Für die meisten Unternehmen stärkt die Annahme der Verschlüsselung durch den Telekommunikationsanbieter ihre Gesamtposition eher, als dass sie sie schwächt, vorausgesetzt, sie kontrollieren die Verschlüsselungsschlüssel.
Für Netzwerkoperationen und Verbindungen zwischen Anbietern schützt die Verschlüsselung das Rückgrat des Internets vor Störungen, Abhörversuchen oder Manipulationen. Sicheres Routing und verschlüsselte Steuerungskanäle sind grundlegend. Die Betonung der Richtlinie auf die Förderung „sicherer Routing-Standards” in Erwägungsgrund 99 bekräftigt, dass Betreiber die Infrastruktur des Netzbetriebs selbst als sensiblen Sicherheitsbereich behandeln sollten.
Verschlüsselung und das breitere Sicherheits-Ökosystem
Verschlüsselung ist kein Allheilmittel. Ihre Wirksamkeit hängt von einem ordnungsgemäßen Schlüsselmanagement, regelmäßigen Software-Updates zur Schließung von Schwachstellen in kryptografischen Bibliotheken und der systematischen Entfernung schwacher kryptografischer Algorithmen ab. Der breitere Rahmen von NIS2, einschließlich der Verpflichtungen zur Meldung von Vorfällen, der Offenlegung von Schwachstellen und der Sicherheitsrisikobewertungen, schafft die Governance-Struktur, die die Verschlüsselung sinnvoll macht.
Wenn ein Telekommunikationsanbieter beispielsweise eine starke Verschlüsselung einsetzt, bekannte Schwachstellen in seiner Verschlüsselungssoftware jedoch nicht behebt, wird die Verschlüsselung zu einem falschen Sicherheitsgefühl. Umgekehrt wird die Einhaltung der Vorschriften zur reinen Symbolik, wenn ein Anbieter zwar fortlaufendes Patching umsetzt, aber veraltete, schwache Verschlüsselungsalgorithmen einsetzt. NIS2 begegnet diesem Problem, indem es von den Stellen verlangt, Cybersicherheitsrisiken ganzheitlich zu steuern und nicht als isolierte Kontrollen.
Verschlüsselung erfordert auch Transparenz gegenüber den Nutzern. Wenn Sie die Kommunikation der Nutzer verschlüsseln, müssen diese verstehen, was verschlüsselt ist, was nicht, wer die Verschlüsselungsschlüssel besitzt und was geschieht, wenn Schlüssel verloren gehen. Aus diesem Grund verlangt Erwägungsgrund 104, dass „Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste Sicherheit durch Konzeption und Voreinstellung umsetzen und ihre Dienstempfänger über erhebliche Cyberbedrohungen sowie über Maßnahmen informieren sollten, die sie ergreifen können, um die Sicherheit ihrer Geräte und ihrer Kommunikation zu schützen, beispielsweise durch den Einsatz bestimmter Arten von Software oder Verschlüsselungstechnologien”. Verschlüsselung ist am wirkungsvollsten, wenn die Nutzer sie verstehen und fundierte Entscheidungen über ihre Kommunikation treffen können.
Vorbereitung auf die Verschlüsselung unter NIS2
Wenn Sie ein Telekommunikationsanbieter sind oder einen Kommunikationsdienst betreiben, sollten die NIS2-Verschlüsselungspflichten bereits auf Ihrer Roadmap stehen. Die Frage ist nicht, ob verschlüsselt werden soll, sondern wie dies verhältnismäßig, kosteneffizient und so erfolgen kann, dass Sicherheit, Nutzererfahrung und Geschäftsanforderungen in Einklang gebracht werden.
Beginnen Sie damit, abzubilden, wo sensible Daten durch Ihre Infrastruktur fließen. Identifizieren Sie Dienste, bei denen das Abfangen oder Verändern Schäden verursachen würde, sowohl für Ihre Nutzer als auch für Ihr Haftungsprofil. Arbeiten Sie frühzeitig mit Ihren Aufsichtsbehörden zusammen; viele zuständige Behörden werden Leitlinien dazu veröffentlichen, was sie für unterschiedliche Dienstkategorien als „erforderliche” Verschlüsselung betrachten. Dies vermeidet das kostspielige Szenario, eine Verschlüsselungsarchitektur einzusetzen und sich später sagen zu lassen, dass sie unzureichend ist.
Investieren Sie in das Schlüsselmanagement. Verschlüsselung ist nur so stark wie der Prozess, der Verschlüsselungsschlüssel erzeugt, speichert, rotiert und vernichtet. Schlechtes Schlüsselmanagement ist eine häufige Ursache für das Versagen von Verschlüsselung. Bauen Sie ebenso Prozesse auf, um schwache kryptografische Algorithmen außer Dienst zu stellen und auf stärkere zu aktualisieren, wenn sich Bedrohungen weiterentwickeln und sich Standards ändern.
Behandeln Sie Verschlüsselung schließlich als Teil einer umfassenderen Sicherheitskultur. Schulen Sie Mitarbeitende darin, warum Verschlüsselung wichtig ist, wie sie umgesetzt wird und was passiert, wenn sie versagt. Beziehen Sie Verschlüsselung in Übungen zur Reaktion auf Vorfälle ein. Stellen Sie sicher, dass die Prozesse zur Offenlegung von Schwachstellen auch kryptografische Bibliotheken abdecken. Verschlüsselung ist eine technische Kontrolle, ist aber in die organisatorische Praxis eingebettet.
Wichtige Erkenntnisse
- NIS2 verlangt von Anbietern öffentlicher elektronischer Kommunikationsnetze und öffentlich zugänglicher Kommunikationsdienste den Einsatz von Verschlüsselung, insbesondere Ende-zu-Ende-Verschlüsselung, „wo dies erforderlich ist”, wie von den zuständigen Behörden festgelegt.
- Verschlüsselung muss für die meisten Telekommunikationsdienste für Verbraucher und Unternehmen praktisch verpflichtend sein, da die transportierten Daten (persönliche Kommunikation, Finanzinformationen, Gesundheitsdaten) ihrer Natur nach sensibel sind.
- NIS2 erkennt an, dass starke Verschlüsselung mit den Befugnissen der Strafverfolgung und der nationalen Sicherheit koexistieren kann, sofern die Verschlüsselung selbst nicht geschwächt wird; stattdessen passt sich der rechtliche und regulatorische Rahmen an.
- Über Verschlüsselungsalgorithmen hinaus betont die Richtlinie datenzentrierte Sicherheitskonzepte: Kartografie, Segmentierung, Tagging, Zugriffsrichtlinien und automatisierte Zugriffsentscheidungen.
- Verschlüsselung ist nur dann wirksam, wenn sie mit robustem Schlüsselmanagement, zeitnahem Software-Patching, Nutzerbewusstsein und der Einbindung in das breitere Programm für Sicherheitsrisikomanagement kombiniert wird.