Phishing-Vorfall unter NIS 2
Wie Phishing die Erheblichkeitsschwelle reisst, was die Meldekaskade abfragt und was ein typisches Playbook parallel abarbeitet.
Worum es auf dieser Seite geht
Phishing ist unter NIS 2 keine eigene regulatorische Kategorie. Die Richtlinie behandelt einen erfolgreichen Phishing-Angriff als einen möglichen erheblichen Sicherheitsvorfall unter anderen. Der qualitative Test aus Art. 23(3) NIS 2 ist derselbe wie für jeden anderen Vorfalltyp. Die Durchführungsverordnung (EU) 2024/2690 (CIR) nennt in Anhang Abschnitt 11.6 Kategorien, die für Einrichtungen der digitalen Infrastruktur per Definition als erheblich gelten.
Den entscheidenden Auslöser übersehen viele Teams: die Kompromittierung von Zugangsdaten. Eine Phishing-Mail, die funktionierende Zugangsdaten für ein kritisches Konto abgegriffen hat, ist kein Beinahe-Vorfall. Es ist ein erfolgreicher, nicht autorisierter Zugriff. Ob er die Schwelle nach Art. 23(3) tatsächlich reisst, hängt davon ab, was das Konto erreichen konnte, was abgeflossen ist und welche Dienste betroffen sind.
Diese Seite beschreibt die Mechanik, keine Rechtsberatung. Sie erklärt die Uhren der Frühwarnung, Vorfallsmeldung und Abschlussmeldung nach Art. 23(4) NIS 2, was ein typisches SOC-Playbook an Eindämmung und Beweissicherung übernimmt und wo Art. 33 DSGVO parallel mitläuft, wenn personenbezogene Daten betroffen sind.
Richtlinie (EU) 2022/2555 (NIS 2), Art. 23(3)
Ein Sicherheitsvorfall gilt als erheblich, wenn (a) er schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann oder (b) er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.
Das ist die einzige allgemeine Definition eines erheblichen Sicherheitsvorfalls im EU-Recht. Beide Punkte enthalten die Möglichkeitsform (verursachen kann), also zählt auch das Schadenspotenzial, nicht nur der eingetretene Schaden. Ein Phishing-Fall, der Zugangsdaten zu einem privilegierten Konto kompromittiert hat, kann Buchstabe (a) bereits erfüllen, bevor ein Dienst tatsächlich ausgefallen ist.
CIR (EU) 2024/2690, Anhang Abschnitt 11.6
Ein Sicherheitsvorfall gilt als erheblich, wenn er schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann oder wenn er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.
Abschnitt 11.6 listet Kategorien, die für die von der CIR erfassten Einrichtungen der digitalen Infrastruktur immer als erheblich gelten: Ransomware, Abfluss personenbezogener oder sensibler Daten, Denial-of-Service gegen wesentliche Dienste, Verlust der Vertraulichkeit oder Integrität kritischer Werte. Greift eine dieser Kategorien in einem Phishing-Fall, ist die Schwellenfrage geschlossen. Für Sektoren ausserhalb der CIR steht der qualitative Test aus Art. 23(3) allein.
§32 BSIG (Deutschland)
Wesentliche und wichtige Einrichtungen melden erhebliche Sicherheitsvorfälle dem Bundesamt unverzüglich, spätestens innerhalb der in Artikel 23 Absatz 4 der Richtlinie (EU) 2022/2555 genannten Fristen.
Deutschland übernimmt die Kaskade der Richtlinie und routet die Meldung über das BSI-Portal unter meldung.bsi.bund.de. §32 BSIG ist der deutsche Anker. Die materiellen Fristen bleiben die aus Art. 23(4) NIS 2: Frühwarnung in 24 Stunden, Vorfallsmeldung in 72 Stunden, Abschlussmeldung in einem Monat.
Triage und Schwellenentscheidung
Die Uhr beginnt mit der Kenntnisnahme der Einrichtung. Kenntnisnahme heisst: eine zuständige Person in der Organisation weiss genug, um einen erheblichen Vorfall zu vermuten, nicht erst, wenn die Untersuchung abgeschlossen ist. Die Triage beantwortet drei Fragen: welche Konten sind kompromittiert, was können diese Konten erreichen, fällt der Fall unter eine Kategorie aus CIR Anhang Abschnitt 11.6. Wenn ja, ist die Schwellenfrage geschlossen und die Frühwarnung wird vorbereitet.
Eindämmung und Beweissicherung
Ein typisches SOC-Playbook setzt die kompromittierten Zugangsdaten zurück, widerruft aktive Sitzungen, blockiert die Absenderdomäne, isoliert betroffene Endpoints im Netz und sichert vor jedem Neuaufsetzen das Postfach, das Festplattenabbild des Endpoints und die Authentifizierungslogs. Wer das Gerät neu aufsetzt, bevor das Abbild liegt, vernichtet die einzige Quelle dafür, was der Angreifer tatsächlich erreicht hat.
Die Kaskade 24h, 72h, ein Monat
Art. 23(4) NIS 2 setzt drei Fristen ab dem Zeitpunkt der Kenntnisnahme. Innerhalb von 24 Stunden reicht die Einrichtung eine Frühwarnung ein und gibt an, ob ein rechtswidriger oder böswilliger Hintergrund vermutet wird oder ob grenzüberschreitende Auswirkungen vorliegen. Innerhalb von 72 Stunden ergänzt die Vorfallsmeldung die Frühwarnung um eine erste Bewertung, Indikatoren der Kompromittierung und den Schweregrad. Innerhalb eines Monats beschreibt die Abschlussmeldung Ursache, Massnahmen und grenzüberschreitende Wirkung.
Erheblich wird Phishing über die Reichweite des Schadens
Art. 23(3) interessiert sich nicht für die Technik, sondern für die Wirkung. Eine Phishing-Mail, die von einer Buchhaltungskraft geöffnet wurde, ist nicht automatisch erheblich. Dieselbe Mail, die funktionierende Zugangsdaten zum Buchungssystem, zur Lohnabrechnung oder zu einer Kundendatenbank abgegriffen hat, kann Buchstabe (a) zur möglichen Betriebsstörung oder Buchstabe (b) zum Schaden für Dritte erfüllen. Die Frage lautet: was hätte das kompromittierte Konto vor dem Widerruf erreichen können und was wurde im Zeitfenster des Zugriffs tatsächlich erreicht.
Schnelligkeit vor Vollständigkeit
Die BSI-Position lautet 'Schnelligkeit vor Vollständigkeit'. Die Frühwarnung nach 24 Stunden ist genau für die Lage gebaut, in der das Bild unvollständig ist. Das Formular fragt eine erste Einordnung und bekannte Fakten ab, keine fertige Ursachenanalyse. Wer die Frühwarnung zurückhält, bis alles steht, reisst die Frist. Sie lässt sich später nicht nachholen, auch wenn sich am Ende herausstellt, dass der Vorfall doch nicht erheblich war.
BSI: Meldung über meldung.bsi.bund.de
Das BSI betreibt den einheitlichen Meldekanal aus §32 BSIG. Das Portal strukturiert die Eingaben für die 24-Stunden-, 72-Stunden- und Ein-Monats-Stufe und führt die Beweiskette. Die BSI-Position wiederholt den Wortlaut aus Art. 23(3) und bekräftigt 'Schnelligkeit vor Vollständigkeit'. Phishing-Vorfälle, die den qualitativen Test reissen, laufen über diesen Kanal, unabhängig davon, ob auch personenbezogene Daten betroffen sind.
BfDI oder Landesdatenschutzbehörde: Art. 33 DSGVO parallel
Sind personenbezogene Daten betroffen, läuft Art. 33 DSGVO neben NIS 2. Die datenschutzrechtliche Meldung geht innerhalb von 72 Stunden ab Kenntnisnahme an die zuständige Aufsichtsbehörde, ausser die Verletzung führt voraussichtlich nicht zu einem Risiko für natürliche Personen. Die NIS-2-Meldung und die DSGVO-Meldung sind zwei Dokumente an zwei Behörden. Die Faktenlage überschneidet sich, die formellen Kanäle nicht.
ZAC LKA: Strafanzeige als eigene Entscheidung
Ein erfolgreicher Phishing-Angriff ist in der Regel eine Straftat nach §202a, §202b oder §263a StGB. Die Zentrale Ansprechstelle Cybercrime (ZAC) des zuständigen Landeskriminalamts ist der Einstiegspunkt für die Strafanzeige. Sie ist eine eigene Entscheidung der Geschäftsleitung und unabhängig von der regulatorischen Meldung. Keine der Uhren pausiert deshalb.
'Nur ein einzelner Nutzer, also nicht erheblich'
Der Test aus Art. 23(3) fragt, ob der Vorfall schwerwiegende Betriebsstörungen oder erhebliche Schäden für Dritte verursachen kann. Funktionierende Zugangsdaten für ein privilegiertes Konto in der Hand eines Angreifers können beides, unabhängig davon, wie viele Nutzer auf die Mail geklickt haben. Über die Erheblichkeit entscheidet die Reichweite des kompromittierten Kontos, nicht die Grösse der Klick-Population.
'Den Laptop sofort neu aufsetzen, dann ist Ruhe'
Wer den Endpoint vor dem forensischen Abbild neu aufsetzt, vernichtet die einzige Quelle dafür, was der Angreifer im Zugriffsfenster tatsächlich getan hat. Die 72-Stunden-Vorfallsmeldung und die Abschlussmeldung nach einem Monat fragen beide nach Kompromittierungsindikatoren und Ursache. Ohne Abbild sind die Antworten Vermutungen. Ein typisches Playbook isoliert zuerst, sichert Endpoint und Postfach, und setzt erst danach neu auf.
'Bloss leise bleiben, niemandem intern Bescheid sagen'
Art. 23(1)(h) NIS 2 verpflichtet die Einrichtung, gegebenenfalls die Empfänger ihrer Dienste zu informieren, die potenziell betroffen sind. Schweigen nach innen verzögert die zweite Detektionswelle: andere Beschäftigte, die dieselbe Mail erhalten haben, andere Konten, die längst kompromittiert sein können. Eine kurze, sachliche interne Meldung in den ersten Stunden gehört zur Reaktion, nicht zur Pressearbeit.
Das nützlichste, was ein kleines Team vor dem Ernstfall einmal durchspielt, ist die Schwellenentscheidung. Schreiben Sie vorab auf, welche Konten in der Einrichtung als kritisch gelten: Admin-Konsolen, Zahlungssysteme, Identity Provider, Kundendatenbank, OT-Steuerung. Ein Phishing-Vorfall, der eines dieser Konten trifft, ist nach Ihrer eigenen Definition ein Kandidat für Abschnitt 11.6 und die 24-Stunden-Uhr läuft.
Das zweitnützlichste ist die Meldevorlage. Das BSI-Portal fragt eine strukturierte Faktenliste ab. Wer die Frühwarnung im Ernstfall zum ersten Mal entwirft, verliert die ersten zwei Stunden. Eine vorbefüllte Vorlage mit Stammdaten, Sektor, Kontaktwegen und einem leeren Erzählteil lässt sich in unter dreissig Minuten einreichen, sobald die Fakten stehen.
Das Vorfall-Modul öffnet einen Fall mit einem einzigen Zeitstempel der Kenntnisnahme und verankert drei Uhren: 24 Stunden, 72 Stunden, ein Monat. Jede Uhr hat eine eigene Vorlage, vorbefüllt mit den Feldern, die Art. 23(4) und CIR Anhang Abschnitt 11.6 abfragen. Sie tragen ein, was bekannt ist, die Plattform zeigt an, was noch fehlt. Eine separate Uhr nach Art. 33 DSGVO aktiviert sich, wenn der Fall personenbezogene Daten betrifft.
Das Fallprotokoll führt die Kette aus Kenntnisnahmezeit, Eindämmungsmassnahmen, Kommunikation und Einreichungen lückenlos mit. Dieses Protokoll ist die Auditspur, die das BSI-Portal nicht erzeugt, und das Dokument, das ein Prüfer in einer Aufsichtsmassnahme nach §61 BSIG sehen will.
- Richtlinie (EU) 2022/2555 (NIS 2), Art. 23 (Meldepflichten), Art. 21(2)(g) (Schulung und Sensibilisierung), Erwägungsgrund 101 (Indikatoren für Erheblichkeit). EUR-Lex.
- Durchführungsverordnung (EU) 2024/2690 vom 17. Oktober 2024, Anhang Abschnitt 11.6 (Kategorien erheblicher Sicherheitsvorfälle für Einrichtungen der digitalen Infrastruktur). EUR-Lex.
- BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), §32 (Meldepflichten gegenüber dem BSI). gesetze-im-internet.de.
- Verordnung (EU) 2016/679 (DSGVO), Art. 33 (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde binnen 72 Stunden). EUR-Lex.
- BSI, öffentliche Hinweise zur NIS-2-Meldekaskade und zur Position 'Schnelligkeit vor Vollständigkeit'. bsi.bund.de.
- Strafgesetzbuch (StGB) §202a Ausspähen von Daten, §202b Abfangen von Daten, §263a Computerbetrug. gesetze-im-internet.de.