DDoS-Angriffe unter NIS 2
Erkennungssignale, Mitigationsschichten und die Meldeentscheidung nach Artikel 23 NIS 2 und Artikel 11 Absatz 6 DVO 2024/2690.
Warum DDoS direkt unter Artikel 23 fällt
Ein verteilter Denial-of-Service-Angriff überlastet ein Ziel mit Datenverkehr aus vielen Quellen, sodass legitime Nutzer den Dienst nicht mehr erreichen. Unter NIS 2 ist weniger die technische Kategorie entscheidend, sondern die Wirkung. Sobald ein DDoS-Angriff einen Dienst der Einrichtung messbar beeinträchtigt oder unterbricht, wird er nach Artikel 23 NIS 2 zu einem meldepflichtigen Ereignis mit fester Kaskade.
Artikel 11 Absatz 6 der Durchführungsverordnung (EU) 2024/2690 (DVO) nennt Denial-of-Service ausdrücklich als eine der Kategorien, die für Anbieter digitaler Infrastruktur und IKT-Dienste als erheblicher Sicherheitsvorfall gelten. Für andere wesentliche und wichtige Einrichtungen gilt der allgemeine Erheblichkeitstest aus Artikel 23 Absatz 3 NIS 2. In beiden Fällen ist die Auswirkung auf die Diensteverfügbarkeit der dominante Auslöser.
Eine Einrichtung, die eine Website, eine API, ein Onlineportal, ein Zahlungsgateway, einen DNS-Resolver oder einen anderen aus dem Internet erreichbaren Dienst betreibt, erreicht die Meldeschwelle typischerweise schneller, als sie ihre Abwehr skalieren kann. Die rechtliche Kaskade läuft daher parallel zur Mitigation, nicht danach.
EU-Richtlinie (unionsweit verbindlich)
Die Mitgliedstaaten stellen sicher, dass wesentliche und wichtige Einrichtungen dem CSIRT oder gegebenenfalls der zuständigen Behörde Folgendes übermitteln: a) unverzüglich und in jedem Fall innerhalb von 24 Stunden, nachdem sie von dem erheblichen Sicherheitsvorfall Kenntnis erlangt haben, eine Frühwarnung; b) unverzüglich und in jedem Fall innerhalb von 72 Stunden, nachdem sie von dem erheblichen Sicherheitsvorfall Kenntnis erlangt haben, eine Meldung des Sicherheitsvorfalls; c) auf Ersuchen eines CSIRT oder gegebenenfalls der zuständigen Behörde einen Zwischenbericht über einschlägige Aktualisierungen des Sachstands; d) spätestens einen Monat nach der Übermittlung der Meldung des Sicherheitsvorfalls nach Buchstabe b einen Abschlussbericht; e) bei einem laufenden Sicherheitsvorfall zum Zeitpunkt der Übermittlung des Abschlussberichts gemäß Buchstabe d stellen die Mitgliedstaaten sicher, dass die betroffenen Einrichtungen zu diesem Zeitpunkt einen Fortschrittsbericht und innerhalb eines Monats nach Bearbeitung des Sicherheitsvorfalls einen Abschlussbericht vorlegen.
Artikel 23 Absatz 4 NIS 2. Die Meldefrist beginnt mit dem Moment der Kenntnisnahme des erheblichen Sicherheitsvorfalls, nicht mit Beginn oder Ende der Mitigation. Ein DDoS, der nach einem Monat noch andauert, löst die Fortschrittsbericht-Variante nach Buchstabe e aus.
EU-Durchführungsverordnung (technisch verbindlich)
Ein Denial-of-Service-Angriff oder ein verteilter Denial-of-Service-Angriff gilt für Einrichtungen, die digitale Infrastrukturdienste erbringen, und Einrichtungen, die IKT-Dienstemanagement erbringen, als erheblicher Sicherheitsvorfall, sofern der Angriff zur vollständigen Nichtverfügbarkeit des Dienstes oder zu einer erheblichen Beeinträchtigung des Dienstes führt.
Artikel 11 Absatz 6 der Durchführungsverordnung (EU) 2024/2690. Die DVO gilt unmittelbar für DNS-Diensteanbieter, TLD-Namensregister, Cloud-Computing-Dienste, Rechenzentrumsdienste, Content-Delivery-Networks, verwaltete Dienste, verwaltete Sicherheitsdienste, Onlinemarktplätze, Online-Suchmaschinen und Anbieter sozialer Netzwerke. Für diese Einrichtungstypen ist ein DoS- oder DDoS-Vorfall mit vollständiger Nichtverfügbarkeit oder erheblicher Beeinträchtigung namentlich erheblich.
Nationales Beispiel (Deutschland)
Wesentliche und wichtige Einrichtungen melden dem Bundesamt erhebliche Sicherheitsvorfälle. Die Meldung erfolgt unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme als Frühwarnung, innerhalb von 72 Stunden als Meldung mit erster Bewertung und innerhalb eines Monats als Abschlussbericht.
§ 32 BSIG (NIS2UmsuCG). Die deutsche Umsetzung bildet die Kaskade aus Artikel 23 Absatz 4 wortgleich ab. Meldungen gehen über das BSI-Meldeportal an das BSI. Andere Mitgliedstaaten nutzen ihre nationalen CSIRTs oder zuständigen Behörden; die Substanz bleibt identisch.
Erkennungssignale auf SOC-Ebene
Typische Indikatoren aus Netzwerkmonitoring oder SOC sind ein plötzlicher Anstieg eingehenden Datenvolumens, ein Einbruch der erfolgreichen Anfragequote, auffällige Verbindungszahlen an Edge-Geräten, Häufungen identischer User Agents oder Anfragemuster, erhöhte Latenz oder Paketverluste an den Perimeter-Links und Sättigungsalarme von Upstream-Providern. Zusammen mit einem messbaren Rückgang der Diensteverfügbarkeit wird daraus ein Sicherheitsvorfall im Sinne von Artikel 6 Absatz 6 NIS 2.
Verbreitete Mitigationsschichten
Gängige Mitigationsmuster sind Upstream-Filterung beim Internet-Service-Provider, Scrubbing über einen Drittanbieter für DDoS-Schutz, Rate Limiting und Verbindungsdrosselung am Edge, Anycast und geografische Verteilung, Blackholing oder Null-Routing der Angriffsquellen auf Carrier-Ebene sowie Application-Layer-Schutzmechanismen wie Bot-Management. Mehrschichtige Verteidigung wird hier beschrieben, nicht empfohlen. Die angemessene Kombination ergibt sich aus der Risikobewertung nach Artikel 21 NIS 2.
Meldeentscheidung nach Artikel 23
Sobald die Diensteverfügbarkeit so betroffen ist, dass Artikel 23 Absatz 3 NIS 2 oder bei digitaler Infrastruktur Artikel 11 Absatz 6 DVO greift, startet die Kaskade: Frühwarnung innerhalb 24 Stunden, Meldung innerhalb 72 Stunden, Zwischenbericht auf Ersuchen, Abschlussbericht innerhalb eines Monats, Fortschrittsbericht, wenn der Vorfall am Monatsende noch andauert.
Auslöser ist die Auswirkung, nicht das Angriffsvolumen
Artikel 23 Absatz 3 NIS 2 definiert Erheblichkeit über die Wirkung auf den Dienst: schwerwiegende Betriebsstörungen, finanzielle Verluste oder materielle und immaterielle Schäden bei anderen natürlichen oder juristischen Personen. Ein 500-Gbit/s-Angriff, der vollständig absorbiert wird, ist allein noch kein erheblicher Sicherheitsvorfall. Ein 5-Gbit/s-Angriff, der ein Portal eine Stunde lang offline nimmt, in der Regel schon. Für digitale Infrastruktur ist der Test nach Artikel 11 Absatz 6 DVO noch direkter: vollständige Nichtverfügbarkeit oder erhebliche Beeinträchtigung.
DDoS verdeckt häufig ein zweites Ereignis
Volumetrische Angriffe dienen mitunter als Tarnung für Credential Stuffing, Datenabfluss oder die Ausbringung von Ransomware. Die im Abschlussbericht nach Artikel 23 Absatz 4 Buchstabe d NIS 2 vorgesehene Aufarbeitung trennt typischerweise das sichtbare Verfügbarkeitsereignis von einem sekundären Zugriffs- oder Integritätsereignis, das während oder nach der Flut entdeckt wurde.
BSI als nationales CSIRT und Meldestelle
In Deutschland nimmt das BSI Meldungen nach Artikel 23 über das Meldeportal nach § 32 BSIG entgegen. Das BSI veröffentlicht zusätzlich operative Leitfäden wie den BSI-Standard 200-4 (BCM) und technische Hinweise. Diese sind Orientierungsmaterial, keine zusätzlichen Meldepflichten. Andere Mitgliedstaaten haben parallele Strukturen (NCSC-NL, ANSSI, NCSC-IE und so weiter).
ISP-Zusammenarbeit und Upstream-Filterung
Internet-Service-Provider können Angriffsverkehr filtern oder absorbieren, bevor er den Kundenedge erreicht. In Deutschland arbeiten Anbieter elektronischer Kommunikationsdienste nach TKG mit dem BSI zur Bedrohungsabwehr zusammen. BSI TR-03103 beschreibt technische Schnittstellen für bestimmte Kategorien. Für die meldepflichtige Einrichtung ist entscheidend, dass ISP-Mitigation die Meldepflicht nach Artikel 23 nicht aufhebt, wenn der Dienst bereits betroffen war.
ENISA-Leitfäden und Bedrohungslagebild
ENISA veröffentlicht den jährlichen Threat Landscape Report und Leitfäden zur Vorfallbearbeitung nach Artikel 18 NIS 2. Der Threat Landscape 2024 bestätigt DDoS als eine der am häufigsten beobachteten Bedrohungskategorien quer durch die EU-Sektoren. ENISA-Dokumente sind Referenzmaterial und ändern die Kaskade aus Artikel 23 nicht.
Der ISP regelt das, also muss nichts gemeldet werden
Filterung beim ISP reduziert die Auswirkung, ändert aber den Rechtsauslöser nicht. War der Dienst zwischen Angriffsbeginn und ISP-Mitigation nicht verfügbar oder erheblich beeinträchtigt, greift Artikel 23 Absatz 3 NIS 2 oder Artikel 11 Absatz 6 DVO. Die Meldekaskade läuft parallel zur Reaktion auf Carrier-Ebene.
Das Symptom abzustellen reicht
Rate Limiting und Scrubbing stoppen die Flut, klären aber selten, ob der DDoS ein Ablenkungsmanöver war. Eine Nachbereitung ohne Prüfung von Authentifizierungslogs, ausgehenden Traffic-Anomalien und Konfigurationsänderungen während des Angriffsfensters lässt das sekundäre Ereignis unerkannt. Der Abschlussbericht nach Artikel 23 Absatz 4 Buchstabe d ist der dokumentierte Prüfpunkt dafür.
Wenn der Verkehr normalisiert ist, ist der Vorfall abgeschlossen
Artikel 23 Absatz 4 Buchstabe d NIS 2 verlangt einen Abschlussbericht innerhalb eines Monats nach der Meldung. Der Bericht deckt Ursache, ergriffene Maßnahmen und Lessons Learned ab. Wer das Ticket schließt, sobald der Verkehr fällt, hat typischerweise nichts einzureichen. Das ist selbst eine dokumentierte Pflichtverletzung.
Zwei operative Gewohnheiten unterscheiden Einrichtungen, die DDoS sauber abwickeln, von solchen, die ins Stolpern geraten. Erstens werden Meldeuhr und Mitigationsuhr getrennt geführt. Mitigation kann Stunden dauern. Die 24-Stunden-Frühwarnung hat einen eigenen Verantwortlichen und ein vorbereitetes Template, lange bevor der Vorfall eintritt. Zweitens wird die Nachbereitung im Moment der Erkennung terminiert, nicht am Ende der Flut. Ein Kalendereintrag 25 Tage nach Erkennung erzwingt, dass der Abschlussbericht geschrieben wird, auch bei einem ruhigen Vorfall.
DNS- und Edge-Konfiguration entscheiden mehr als Entscheidungen während des Angriffs. Anycast-Routing, getrennte autoritative DNS-Anbieter, eine getestete Upstream-Filterungsvereinbarung mit dem ISP und ein dokumentierter Kontaktweg zum Carrier-NOC sind typischerweise lange vor dem ersten Paket vorhanden. Dasselbe gilt für die Berichtstemplates. Die Felder, die Frühwarnung und Meldung nach § 32 BSIG und den entsprechenden nationalen Portalen verlangen, sind so statisch, dass sie sich vorab befüllen lassen.
Das Vorfallmodul in nisd2.eu trägt die Kaskade aus Artikel 23 Absatz 4 als strukturierten Ablauf: Frühwarnung nach 24 Stunden, Meldung nach 72 Stunden, Zwischenbericht auf Ersuchen, Abschlussbericht nach einem Monat, Fortschrittsvariante, wenn der Vorfall am Monatsende noch läuft. Die Plattform zeitstempelt jeden Schritt gegen den Moment der Kenntnisnahme, nicht gegen den Angriffsbeginn. Genau das misst die Richtlinie.
Assetbezüge am Vorfall verknüpfen den betroffenen Dienst mit den Einträgen im Inventar nach RSK 2.2. Die Nachbereitung kann so nachvollziehen, welche Assets, Lieferanten und Prozesse beteiligt waren, ohne den Kontext neu aufzubauen.
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 6 Absatz 6 (Definition Sicherheitsvorfall), Artikel 21 (Risikomanagementmaßnahmen), Artikel 23 (Meldepflichten). EUR-Lex: eur-lex.europa.eu/eli/dir/2022/2555/oj
- Durchführungsverordnung (EU) 2024/2690, Artikel 11 Absatz 6 (Denial-of-Service namentlich als erheblicher Sicherheitsvorfall für digitale Infrastruktur und IKT-Diensteanbieter). EUR-Lex: eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSIG (NIS2UmsuCG), § 32 (Meldepflichten gegenüber dem BSI). gesetze-im-internet.de
- BSI-Meldeportal und operative Hinweise zur Vorfallmeldung. bsi.bund.de
- ENISA Threat Landscape 2024, Kapitel DDoS. enisa.europa.eu
- BSI-Standard 200-4 (Business Continuity Management). bsi.bund.de
- BSI TR-03103 (Technische Richtlinienreihe). bsi.bund.de