Ransomware unter NIS 2
Die Mechanik der ersten 24 Stunden: was eingedämmt wird, wer informiert wird und was die Richtlinie tatsächlich verlangt.
Worum es auf dieser Seite geht
Ransomware ist unter NIS 2 keine eigene regulatorische Kategorie. Die Richtlinie behandelt sie als einen erheblichen Sicherheitsvorfall unter anderen. Die Durchführungsverordnung (EU) 2024/2690 nennt Ransomware in Anhang Abschnitt 11.6 ausdrücklich als anerkannte Kategorie eines erheblichen Vorfalls für Einrichtungen der digitalen Infrastruktur. Die Pflichten selbst stehen in Artikel 21 (Risikomanagementmaßnahmen) und Artikel 23 (Meldekaskade) der Richtlinie.
Die Seite richtet sich an Geschäftsführung, IT Leitung oder CISO in Unternehmen mit 50 bis 250 Beschäftigten, die entweder gerade getroffen wurden oder wissen wollen, wie die ersten Stunden aussehen sollten. Es ist keine Rechtsberatung und ersetzt keinen Incident Response Vertrag. Es ist die rechtliche Mechanik rund um die technische Arbeit.
Der wichtigste Satz: Eindämmung, Meldung, Geschäftsleitungsentscheidung und Strafverfolgung laufen parallel, nicht nacheinander. Die Richtlinie erlaubt es nicht, einen Strang zu beenden, bevor der nächste beginnt.
Richtlinie (EU) 2022/2555 (NIS 2)
Artikel 21 Absatz 2 Buchstabe c: Aufrechterhaltung des Betriebs, etwa Backup Management und Wiederherstellung nach einem Notfall, sowie Krisenmanagement. Artikel 21 Absatz 2 Buchstabe i: Konzepte und Verfahren zu Kryptografie und, soweit angemessen, Verschlüsselung.
Artikel 21 Absatz 2 Buchstabe c trägt die Pflicht zu wiederherstellbaren Backups. Geprüft wird nicht, ob ein Backup existiert, sondern ob es sich unter Angriffsbedingungen wiederherstellen lässt. Artikel 21 Absatz 2 Buchstabe i regelt die Verschlüsselungslage, die bestimmt, ob der Angreifer alles im Klartext liest, was er anfasst. Artikel 23 setzt dann die vierstufige Meldekaskade: Frühwarnung innerhalb von 24 Stunden, Vorfallsmeldung innerhalb von 72 Stunden, Zwischenbericht auf Anforderung, Abschlussbericht innerhalb eines Monats.
Durchführungsverordnung (EU) 2024/2690
Anhang Abschnitt 11.6 listet Ransomware unter den Vorfallsszenarien, die für Einrichtungen mit digitalen Infrastrukturdiensten einen erheblichen Sicherheitsvorfall darstellen.
Die CIR gilt unmittelbar, ohne nationale Umsetzung, und sagt für die von ihr erfassten Einrichtungstypen (im Wesentlichen die elf Kategorien digitaler Infrastruktur und digitaler Dienste), was als erheblich gilt. Für Sektoren außerhalb ihres Anwendungsbereichs greift weiterhin der Erheblichkeitstest aus Artikel 23 Absatz 3 NIS 2: erhebliche Betriebsstörung, finanzieller Schaden oder erheblicher materieller oder immaterieller Schaden für Dritte. Ransomware, die die Produktion lahmlegt, erfüllt diesen Test fast immer.
BSIG (Deutschland)
§30 BSIG: dem Risiko angemessene technische und organisatorische Maßnahmen. §32 BSIG: Meldung an das BSI über das Meldeportal unter bsi.bund.de. §44 BSIG: Zusammenarbeit des BSI mit den Strafverfolgungsbehörden.
Das BSIG ist das deutsche Umsetzungsbeispiel. Niederlande und Österreich haben ihre eigenen Gesetze. Die Kaskade 24 Stunden, 72 Stunden, Zwischenbericht, ein Monat ist Richtlinienebene und in allen Mitgliedstaaten identisch. Der Meldekanal ist national: in Deutschland das BSI Meldeportal, getrennt davon die zuständige Datenschutzaufsichtsbehörde nach Artikel 33 DSGVO, wenn personenbezogene Daten betroffen sind, und nochmals getrennt das LKA oder BKA, wenn ein Ermittlungsverfahren eingeleitet werden soll.
Technische Eindämmung und forensische Sicherung
Betroffene Segmente isolieren, ohne sie zu löschen. Der häufigste Fehler unter Stress ist Ausschalten und Neuaufsetzen, bevor irgendein Abbild gezogen wurde. Damit verschwinden gleichzeitig die Beweise, die das BSI und die Strafverfolgung brauchen, und die Indikatoren, die zeigen, was der Angreifer sonst noch berührt hat. Vom Netz nehmen, nicht ausschalten. Speicher und Datenträger abbilden, bevor Maßnahmen greifen. Wiederherstellung aus dem zuletzt geprüften sauberen Backup auf isolierter Infrastruktur starten. Artikel 21 Absatz 2 Buchstabe c NIS 2 verlangt, dass das Backup wiederherstellbar ist, nicht nur vorhanden. Der häufigste Ausfallpunkt in auditierten Vorfällen sind Backups, die online lagen und zusammen mit der Produktion verschlüsselt wurden.
Entscheidung der Geschäftsleitung
Artikel 20 NIS 2 nimmt die Geschäftsleitung persönlich in die Pflicht. Im laufenden Ransomware Vorfall gibt es drei Entscheidungen, die nur die Geschäftsleitung zeichnen kann: einen erheblichen Vorfall nach Artikel 23 zu deklarieren, die Ausgaben für externe Incident Response zu autorisieren und eine Lösegeldforderung abzulehnen oder zu prüfen. Die Entscheidung und ihre Begründung werden in Echtzeit dokumentiert. Der Audit Trail der Plattform ist dafür gebaut. Es geht nicht darum, in der zweiten Stunde die perfekte Antwort zu haben. Es geht darum, eine dokumentierte Entscheidung einer rechenschaftspflichtigen Person zu haben.
Meldekaskade an die Behörde
Artikel 23 NIS 2 ist eine vierstufige Kaskade mit harten Fristen. Frühwarnung an das nationale CSIRT oder die zuständige Behörde innerhalb von 24 Stunden ab Kenntnisnahme. Vorfallsmeldung innerhalb von 72 Stunden mit erster Einschätzung von Schwere und Auswirkungen sowie verfügbaren Kompromittierungsindikatoren. Zwischenbericht auf Anforderung. Abschlussbericht innerhalb eines Monats. In Deutschland läuft das über das BSI Meldeportal nach §32 BSIG. Sind personenbezogene Daten betroffen, läuft Artikel 33 DSGVO mit eigener 72 Stunden Frist parallel an die Datenschutzaufsicht. Die beiden Meldungen sind getrennt und gehen an unterschiedliche Behörden.
Schnelligkeit vor Vollständigkeit
Die BSI Position ist ausdrücklich: Schnelligkeit vor Vollständigkeit. Die 24 Stunden Frühwarnung nach Artikel 23 Absatz 4 NIS 2 ist kein vollständiger Bericht. Es ist eine Mitteilung mit dem, was bekannt ist. Es ist zulässig zu schreiben, dass der Umfang noch nicht feststeht. Es ist nicht zulässig zu warten, bis er feststeht. Eine unvollständige Frühwarnung fristgerecht abzusetzen und später nachzuziehen, ist der richtlinienkonforme Weg. Auf Klarheit warten ist es nicht.
Zahlung ist eine unternehmerische Entscheidung, kein Compliance Shortcut
Das BSI rät von Lösegeldzahlung ab und hält in seinem Material ausdrücklich fest, dass Versicherungsleistungen kein Risikotransfer im Sinne von Artikel 21 sind: pauschaler Risikotransfer ist ausgeschlossen. Zahlung erlischt die Meldepflicht nicht, erfüllt die Pflicht zum wiederherstellbaren Backup nach Artikel 21 Absatz 2 Buchstabe c nicht und stoppt kein Ermittlungsverfahren. Die Entscheidung über eine Zahlung ist von den vier parallelen Strängen getrennt und ersetzt sie nie.
BSI und CERT Bund (Deutschland)
Das Bundesamt für Sicherheit in der Informationstechnik ist die zuständige Behörde für NIS 2 Meldungen in Deutschland. Meldungen nach §32 BSIG laufen über das BSI Meldeportal unter bsi.bund.de. Das CERT Bund innerhalb des BSI koordiniert die technische Reaktion. Auf EU Ebene ist das von der ENISA koordinierte CSIRTs Netzwerk der vorgelagerte Kanal zwischen den nationalen CSIRTs.
BKA und Zentrale Ansprechstellen Cybercrime der Länder
Ransomware ist eine Straftat nach §202a, §202b, §303a und §303b StGB. Das Ermittlungsverfahren läuft getrennt von der Meldung an die Behörde. Jedes Landeskriminalamt hat eine Zentrale Ansprechstelle Cybercrime (ZAC). Das BKA führt die föderale Cybercrime Linie. §44 BSIG regelt ausdrücklich die Zusammenarbeit des BSI mit den Strafverfolgungsbehörden, was bedeutet: eine Meldung beim BSI ist keine Strafanzeige, und umgekehrt. Eine Strafanzeige ist eine eigene Entscheidung, die die Geschäftsleitung trifft.
Sektoraufsicht, Datenschutzaufsicht, Lieferkette
Drei weitere Kanäle können gleichzeitig offen sein. Sind personenbezogene Daten betroffen, läuft die Meldung nach Artikel 33 DSGVO an die zuständige Datenschutzaufsichtsbehörde mit eigener 72 Stunden Frist. Manche Sektoren (Energie, Finanzen, Gesundheit) haben zusätzliche sektorspezifische Meldepflichten, die NIS 2 ausdrücklich unberührt lässt. Und nach Artikel 21 Absatz 2 Buchstabe d NIS 2 können Ransomware Vorfälle bei einem Dienstleister vertragliche Benachrichtigungspflichten gegenüber den eigenen Kunden auslösen, auch wenn man nicht selbst die direkt betroffene Einrichtung ist.
Lösegeld zahlen, Schlüssel bekommen, weitermachen.
Mit der Zahlung schließt sich der Vorgang nicht. Die Meldekaskade nach Artikel 23 NIS 2 läuft weiter. Die Pflicht zum wiederherstellbaren Backup nach Artikel 21 Absatz 2 Buchstabe c wird im nächsten Jahr von der Aufsicht geprüft, und eine bezahlte Wiederherstellung ist kein Nachweis dafür. Die Datenschutzaufsicht fragt nach Artikel 33 DSGVO weiterhin, welche personenbezogenen Daten den Perimeter verlassen haben. In den meisten dokumentierten Fällen kommt der Angreifer entweder selbst zurück oder verkauft den Zugang an eine andere Gruppe.
Sofort alles ausschalten, um die Ausbreitung zu stoppen.
Ausschalten löscht den flüchtigen Speicher, bevor ein Abbild gezogen werden kann. Die forensischen Beweise, die das BSI für die Frühwarnung braucht, die Kompromittierungsindikatoren, die der Rest der Umgebung braucht, und die Artefakte, auf die ein Ermittlungsverfahren angewiesen ist, liegen im Moment des Angriffs alle im RAM. Auf Netzwerkebene isolieren, Speicher und Datenträger sichern, dann beheben. Die fünfzehn Minuten gesicherter Beweise sind mehr wert als die fünfzehn Minuten vermiedener Ausbreitung in ohnehin schon isolierten Segmenten.
Erst melden, wenn der ganze Umfang feststeht.
Artikel 23 Absatz 4 NIS 2 verlangt die Frühwarnung innerhalb von 24 Stunden ab Kenntnisnahme, nicht innerhalb von 24 Stunden ab vollständigem Lagebild. Die Richtlinie erlaubt ausdrücklich, dass die Frühwarnung ein unvollständiges Bild ist. Über die 24 Stunden hinaus auf Klarheit zu warten, ist der häufigste Grund, warum Einrichtungen die Frist reißen. Die BSI Position Schnelligkeit vor Vollständigkeit gibt genau die Intention der Richtlinie wieder.
Ein Maschinenbauunternehmen in Baden Württemberg mit 180 Beschäftigten, eingestuft als wichtige Einrichtung unter NIS 2 wegen Sektor und Mitarbeiterzahl. 07:42 Uhr an einem Dienstag: Produktions ERP wirft Zertifikatsfehler, Dateifreigaben unlesbar, auf drei Servern eine Lösegeldforderung. 07:58 Uhr: IT Leitung trennt das betroffene VLAN am Switch, Maschinen laufen weiter. 08:15 Uhr: Geschäftsführer informiert, beruft die Geschäftsleitung innerhalb einer Stunde ein und aktiviert den vorhandenen externen Incident Response Vertrag. 09:30 Uhr: Geschäftsleitung in einem Raum, drei Entscheidungen im Audit Log dokumentiert: Erklärung als erheblicher Vorfall nach Artikel 23, Beauftragung der externen IR, noch keine Entscheidung zur Zahlung. 10:40 Uhr: externe IR beginnt mit der Speichersicherung auf den betroffenen Hosts. 12:15 Uhr: 24 Stunden Frühwarnung über das BSI Meldeportal nach §32 BSIG abgesetzt, mit dem Hinweis, dass der Umfang noch nicht feststeht, eine Ransomware Familie vermutet wird und ein Datenabfluss bisher nicht bestätigt ist.
14:00 Uhr: Datenschutzbeauftragte bestätigt personenbezogene Daten auf zwei der betroffenen Freigaben. Meldung nach Artikel 33 DSGVO wird vorbereitet, die 72 Stunden Frist gegenüber der Datenschutzaufsicht beginnt zu laufen. 16:30 Uhr: Backups als sauber verifiziert auf isolierter Infrastruktur, Wiederherstellung beginnt in einem separaten VLAN. Am Folgetag: Strafanzeige bei der Zentralen Ansprechstelle Cybercrime des Landes. Tag drei: 72 Stunden Vorfallsmeldung nach Artikel 23 NIS 2 mit schärferem Bild: erster Eintrittsvektor, Umfang der Verschlüsselung, keine öffentliche Dienstunterbrechung (das Unternehmen erbringt keine wesentlichen Dienste für Dritte). Innerhalb von vier Wochen: Abschlussbericht nach Artikel 23 Absatz 4 Buchstabe d. Was dieses Unternehmen gerettet hat, waren die wiederherstellbaren Backups, die vier parallelen Stränge, die dokumentierten Entscheidungen der Geschäftsleitung und der Audit Trail. Die Verschlüsselungslage nach Artikel 21 Absatz 2 Buchstabe i hat den Datenabfluss begrenzt. Nichts davon hat eine sechsstellige Beratungsleistung vor dem Vorfall verlangt. Es hat vier aufgeschriebene Dinge an der Wand verlangt: wer ruft wen an, was wird wann gemeldet, wer kann welche Entscheidung zeichnen, und wo liegen die tatsächlich wiederherstellbaren Backups.
Die Plattform hält die vier aufgeschriebenen Dinge an der Wand: die Kontaktliste für BSI, Datenschutzaufsicht und LKA, die Meldevorlagen für die Kaskade 24 Stunden, 72 Stunden und Abschlussbericht nach Artikel 23, die Zuordnung, welches Mitglied der Geschäftsleitung welche Entscheidung zeichnet, und die Verknüpfung zum Nachweis der Backup Konfiguration aus Artikel 21 Absatz 2 Buchstabe c. Alles wird mit Zeitstempel im Audit Trail erfasst, sodass der Abschlussbericht aus echten Daten und nicht aus dem Gedächtnis entsteht.
Die Plattform ist kostenlos und Open Source. Es gibt keine kostenpflichtige Stufe und kein Lock in. Diese Seite soll nichts verkaufen. Sie soll sicherstellen, dass die Geschäftsleitung, wenn nächste Woche ein Ransomware Vorfall hereinkommt, weiß, welche vier Anrufe in welcher Reihenfolge auf welcher Uhr zu führen sind.
- Richtlinie (EU) 2022/2555 (NIS 2): Artikel 20 (Verantwortung der Leitungsorgane), Artikel 21 Absatz 2 Buchstabe c und i (Aufrechterhaltung des Betriebs, Backup, Wiederherstellung, Kryptografie), Artikel 23 (Meldekaskade). EUR-Lex.
- Durchführungsverordnung (EU) 2024/2690, Anhang Abschnitt 11.6 (Ransomware als Kategorie eines erheblichen Sicherheitsvorfalls für Einrichtungen der digitalen Infrastruktur). EUR-Lex.
- BSIG: §30 (Risikomanagementmaßnahmen), §32 (BSI Meldeportal), §44 (Zusammenarbeit mit Strafverfolgung). Gesetze im Internet.
- Verordnung (EU) 2016/679 (DSGVO): Artikel 33 (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde). EUR-Lex.
- BSI: NIS 2 Informationspakete mit den Aussagen Schnelligkeit vor Vollständigkeit und pauschaler Risikotransfer ist ausgeschlossen. bsi.bund.de.
- ENISA: Koordination des CSIRTs Netzwerks für grenzüberschreitende Vorfälle. enisa.europa.eu.