{"id":327144,"date":"2026-07-06T00:01:26","date_gmt":"2026-07-05T22:01:26","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=327144"},"modified":"2026-07-03T23:22:44","modified_gmt":"2026-07-03T21:22:44","slug":"nis2-compliance-so-setzen-sie-passwoerter-und-mfa-richtig-um","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/07\/06\/nis2-compliance-so-setzen-sie-passwoerter-und-mfa-richtig-um\/","title":{"rendered":"NIS2-Compliance: Passw\u00f6rter und MFA richtig umsetzen"},"content":{"rendered":"<p><img decoding=\"async\" class=\"alignleft\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2025\/12\/image.png\" alt=\"Specops\" \/><em>Werbung<\/em> \u2013 Die NIS2-Richtlinie der EU verpflichtet \u00fcber 29.000 Unternehmen dazu, Cybersicherheit ernst zu nehmen. Das bedeutet auch, die Verwaltung von Zugriffsrechten und Identit\u00e4ten kritisch zu \u00fcberpr\u00fcfen. Wenn Sie f\u00fcr die IT-Sicherheit eines betroffenen Unternehmens verantwortlich sind, stellen Sie sich wahrscheinlich die Frage:<em> Was genau muss ich in Bezug auf Passw\u00f6rter und Authentifizierung tun? <\/em>Werfen wir einen Blick darauf, welche Anforderungen NIS2 an Identit\u00e4ts- und Zugriffskontrollen stellt und wie Sie eine praxisnahe Roadmap entwickeln, die in der Praxis funktioniert.<\/p>\n<p><!--more--><\/p>\n<h2>Was ist NIS2 und wer muss die Anforderungen erf\u00fcllen?<\/h2>\n<p>Die NIS2-Richtlinie (<a href=\"https:\/\/digital-strategy.ec.europa.eu\/de\/policies\/nis2-directive\" target=\"_blank\" rel=\"noopener\">Network and Information Security Directive<\/a>) hat im Januar 2023 die urspr\u00fcngliche NIS-Richtlinie abgel\u00f6st. Die EU-Mitgliedstaaten waren verpflichtet, die Richtlinie bis Oktober 2024 in nationales Recht umzusetzen. Deutschland hat die NIS2-Richtlinien in das neue BSI-Gesetz (BSIG) integriert, welches am 6. Dezember 2025 in Kraft getreten ist. Die Richtlinie gilt f\u00fcr mittlere und gro\u00dfe Organisationen in 18 kritischen Sektoren, darunter Energieversorgung, Verkehr, Banken, Gesundheitswesen, digitale Infrastrukturen und \u00f6ffentliche Verwaltung.<\/p>\n<p>Wenn Ihr Unternehmen mehr als 50 Mitarbeitende besch\u00e4ftigt oder einen Jahresumsatz von \u00fcber 10 Millionen Euro erzielt und in einem dieser Sektoren t\u00e4tig ist, m\u00fcssen Sie mit hoher Wahrscheinlichkeit die Anforderungen von NIS2 erf\u00fcllen. Die Sanktionen bei Verst\u00f6\u00dfen sind erheblich: Wesentliche Einrichtungen k\u00f6nnen mit Bu\u00dfgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes belegt werden. Wichtige Einrichtungen m\u00fcssen mit Strafen von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes rechnen.<\/p>\n<h2>Wesentliche und wichtige Einrichtungen<\/h2>\n<p>NIS2 unterteilt betroffene Organisationen in zwei Kategorien:<\/p>\n<ul>\n<li><strong>Wesentliche Einrichtungen:<\/strong> Hierzu z\u00e4hlen gro\u00dfe Organisationen in besonders kritischen Sektoren (NIS2: Anhang I), beispielsweise Energieversorgung, Bankenwesen, Gesundheitswesen oder digitale Infrastruktur. Diese Unternehmen unterliegen einer proaktiven Aufsicht mit regelm\u00e4\u00dfigen Audits und Kontrollen. Die maximale Geldbu\u00dfe betr\u00e4gt 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes \u2013 je nachdem, welcher Betrag h\u00f6her ist.<\/li>\n<li><strong>Wichtige Einrichtungen:<\/strong> Zu dieser Kategorie geh\u00f6ren Organisationen aus weiteren kritischen Bereichen (NIS2: Anhang II), beispielsweise Post- und Kurierdienste, Abfallwirtschaft oder Lebensmittelproduktion. Sie unterliegen einer nachgelagerten Aufsicht (\u201eEx-post-Supervision\"), das hei\u00dft, Kontrollen erfolgen in der Regel erst nach gemeldeten Verst\u00f6\u00dfen oder Verdachtsf\u00e4llen. Die maximale Geldbu\u00dfe betr\u00e4gt 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.<\/li>\n<\/ul>\n<p>Beide Kategorien m\u00fcssen die gleichen Cybersicherheitsanforderungen erf\u00fcllen. Der einzige Unterschied liegt ausschlie\u00dflich im Umfang der Aufsicht und der H\u00f6he m\u00f6glicher Sanktionen.<\/p>\n<h2>NIS2:\u00a0Identit\u00e4ts- und Zugriffskontrollen sind entscheidend<\/h2>\n<p>NIS2 nennt Identit\u00e4ts- und Zugriffsmanagement ausdr\u00fccklich als zentrale Sicherheitsma\u00dfnahme. Gem\u00e4\u00df Artikel 21 sind Organisationen dazu verpflichtet, geeignete Richtlinien f\u00fcr die Zugriffskontrolle umzusetzen. Damit wird deutlich, dass schwache Authentifizierungsverfahren nicht l\u00e4nger akzeptabel sind.<\/p>\n<p>Angesichts der aktuellen Bedrohungslage ist das wenig \u00fcberraschend. Laut dem <a href=\"https:\/\/www.verizon.com\/business\/resources\/reports\/dbir\/\" target=\"_blank\" rel=\"noopener\">Verizon Data Breach Investigations Report 2026<\/a> waren kompromittierte Zugangsdaten an 80 % aller Sicherheitsverletzungen beteiligt.<\/p>\n<p>Wenn Angreifer mit gestohlenen Passw\u00f6rtern problemlos durch die \"Vordert\u00fcr\" gelangen k\u00f6nnen, verlieren viele andere Sicherheitsma\u00dfnahmen erheblich an Wirksamkeit.<\/p>\n<h3>Die richtige Passwortstrategie<\/h3>\n<p>Eine starke Passwortrichtlinie bildet die erste Verteidigungslinie. Doch was bedeutet \"stark\" im Jahr 2026 tats\u00e4chlich?<\/p>\n<h3>Komplexit\u00e4t versus L\u00e4nge<\/h3>\n<p>Das klassische Modell, Benutzer zu Passw\u00f6rtern wie <em>P@ssw0rd123!<\/em> zu zwingen, gilt inzwischen als \u00fcberholt. Die aktuellen <a href=\"https:\/\/specopssoft.com\/de\/blog\/nist-passwortrichtlinien-vollstaendiger-leitfaden-zur-nist-passwortkonformitaet\/\" target=\"_blank\" rel=\"noopener sponsored\">Empfehlungen des NIST<\/a> legen den Schwerpunkt auf Passwortl\u00e4nge statt auf komplexe Sonderzeichenregeln. Eine 15 Zeichen lange Passphrase wie: \"coffee-mountain-bicycle-sky \" ist deutlich sicherer und zugleich leichter zu merken als \"Tr0ub4dor&amp;3\".<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-327151\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/07\/SpecOps-PW-Policy.jpg\" alt=\"SpecOps PW Policy\" width=\"640\" height=\"434\" srcset=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/07\/SpecOps-PW-Policy.jpg 640w, https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/07\/SpecOps-PW-Policy-300x203.jpg 300w\" sizes=\"auto, (max-width: 640px) 100vw, 640px\" \/><\/p>\n<p>F\u00fcr die NIS2-Compliance sollten mindestens folgende Anforderungen umgesetzt werden:<\/p>\n<ul>\n<li>Mindestl\u00e4nge von 15 Zeichen<\/li>\n<li>Abgleich neuer Passw\u00f6rter mit bekannten Datenlecks und Passwortdatenbanken<\/li>\n<li>Blockierung g\u00e4ngiger Muster und W\u00f6rterbuchbegriffe<\/li>\n<li>Verhinderung der Wiederverwendung von Passw\u00f6rtern in kritischen Systemen<\/li>\n<\/ul>\n<h3>Die Frage der Passwortrotation<\/h3>\n<p>Fr\u00fcher galt die verpflichtende Passwort\u00e4nderung alle 60 bis 90 Tage als Best Practice. Heute nicht mehr. Erzwungene Passwortwechsel f\u00fchren h\u00e4ufig dazu, dass Anwender lediglich vorhersehbare \u00c4nderungen vornehmen (z. B. wird aus \"Password1\" \"Password2\") oder ihre Zugangsdaten notieren.<\/p>\n<p>Die aktuelle Empfehlung lautet daher: Verzichten Sie auf verpflichtende Passwortrotationen, sofern keine Hinweise auf eine Kompromittierung vorliegen. Investieren Sie stattdessen in die \u00dcberwachung kompromittierter Zugangsdaten und fordern Sie Benutzer gezielt zur \u00c4nderung ihres Passworts auf, wenn dieses in bekannten Datenlecks auftaucht.<\/p>\n<h3>Der menschliche Faktor<\/h3>\n<p>Technische Sicherheitsma\u00dfnahmen funktionieren nur, wenn sie von den Anwendern auch praktikabel umgesetzt werden k\u00f6nnen. Wenn eine Passwortrichtlinie so restriktiv ist, dass Benutzer Varianten von \"password123\" verwenden, wurde die Sicherheit nicht erh\u00f6ht \u2013 es wurde lediglich eine Compliance-Anforderung formal erf\u00fcllt.<\/p>\n<h3>MFA: Vom optionalen Extra zur unverzichtbaren Sicherheitsma\u00dfnahme<\/h3>\n<p>Die NIS2-Richtlinie schreibt die Multi-Faktor-Authentifizierung (MFA) im Gesetzestext ausdr\u00fccklich vor. In Artikel 21, Absatz 2, Punkt (j), wird die \u201eVerwendung von L\u00f6sungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung\" aufgef\u00fchrt.<br \/>\nDie Logik dahinter ist einfach: Selbst wenn Zugangsdaten kompromittiert werden, stellt MFA eine zus\u00e4tzliche Sicherheitsbarriere dar. Laut Microsoft <a href=\"https:\/\/specopssoft.com\/de\/blog\/mfa-alleine-reicht-nicht-aus-schuetzen-sie-passwoerter-und-ameldedaten\/?utm_source=borncity&amp;utm_medium=referral&amp;utm_campaign=borncity_referral_dach&amp;utm_term=nis2&amp;utm_content=article\" target=\"_blank\" rel=\"noopener sponsored\">verhindert MFA 99,9 % aller automatisierten Angriffe<\/a> auf Benutzerkonten.<\/p>\n<p>Es ist jedoch wichtig zu beachten, dass nicht alle MFA-Verfahren denselben Schutz bieten. Unternehmen sollten deshalb Authentifizierungsfaktoren bevorzugen, die gegen Phishing-Angriffe und das sogenannte \u201eMFA Prompt Bombing\" resistent sind.<\/p>\n<h2>NIS2-Compliance-Roadmap<\/h2>\n<p>Die folgende Checkliste unterst\u00fctzt Sie dabei, Ihre Authentifizierungs- und Zugriffskontrollen mit den NIS2-Anforderungen in Einklang zu bringen.<\/p>\n<p><strong>Solide Grundlagen schaffen<\/strong><\/p>\n<ul>\n<li>\u00dcberpr\u00fcfen Sie Ihre bestehenden Passwortrichtlinien und passen Sie diese an aktuelle Sicherheitsstandards an. Nutzen Sie hierf\u00fcr beispielsweise unser kostenloses Read-Only-Tool <a href=\"https:\/\/specopssoft.com\/de\/produkte\/specops-password-auditor\/?utm_source=borncity&amp;utm_medium=referral&amp;utm_campaign=borncity_referral_dach&amp;utm_term=nis2&amp;utm_content=article\" target=\"_blank\" rel=\"noopener sponsored\">Specops Password Auditor<\/a><\/li>\n<li>Implementieren Sie eine L\u00f6sung f\u00fcr das Passwortmanagement, die Passwortl\u00e4nge, Komplexit\u00e4tsanforderungen und weitere Sicherheitsrichtlinien zuverl\u00e4ssig durchsetzt<\/li>\n<li>F\u00fchren Sie regelm\u00e4\u00dfige \u00dcberpr\u00fcfungen privilegierter Konten und Zugriffsrechte durch Schutz vor identit\u00e4tsbasierten Angriffen<\/li>\n<li>Nutzen Sie L\u00f6sungen wie <a href=\"https:\/\/specopssoft.com\/de\/produkte\/specops-password-policy\/?utm_source=borncity&amp;utm_medium=referral&amp;utm_campaign=borncity_referral_dach&amp;utm_term=nis2&amp;utm_content=article\" target=\"_blank\" rel=\"noopener sponsored\">Specops Password Policy<\/a>, um Ihr Active Directory kontinuierlich mit Milliarden kompromittierter Passw\u00f6rter abzugleichen und gef\u00e4hrdete Kennw\u00f6rter automatisch zu erkennen<\/li>\n<li>F\u00fchren Sie zun\u00e4chst f\u00fcr privilegierte Benutzerkonten und anschlie\u00dfend schrittweise f\u00fcr weitere Anwendergruppen eine <a href=\"https:\/\/specopssoft.com\/de\/produkte\/specops-secure-access\/?utm_source=borncity&amp;utm_medium=referral&amp;utm_campaign=borncity_referral_dach&amp;utm_term=nis2&amp;utm_content=article\" target=\"_blank\" rel=\"noopener sponsored\">phishing-resistente MFA<\/a> ein<\/li>\n<li>Aktivieren Sie Conditional-Access-Richtlinien, die Authentifizierungsanforderungen dynamisch an das jeweilige Risikoniveau anpassen<\/li>\n<\/ul>\n<p><strong>Anwender bef\u00e4higen statt \u00fcberfordern<\/strong><\/p>\n<ul>\n<li>\u00a0Befolgen Sie bei der <a href=\"https:\/\/specopssoft.com\/de\/blog\/kommunikation-kennwortrichtlinie\/?utm_source=borncity&amp;utm_medium=referral&amp;utm_campaign=borncity_referral_dach&amp;utm_term=nis2&amp;utm_content=article\" target=\"_blank\" rel=\"noopener sponsored\">Einf\u00fchrung neuer Passwortrichtlinien<\/a> bew\u00e4hrte Vorgehensweisen<\/li>\n<li>\u00a0Schulen Sie Benutzer regelm\u00e4\u00dfig zu den Themen Passwortsicherheit, Passphrasen und dem Einsatz von Passwortmanager<\/li>\n<li>Kommunizieren Sie transparent, warum neue Sicherheitsma\u00dfnahmen erforderlich sind. Compliance funktioniert deutlich besser, wenn Anwender die zugrunde liegenden Risiken verstehen.<\/li>\n<\/ul>\n<p><strong>Laufender Betrieb und kontinuierliche Verbesserung<\/strong><\/p>\n<ul>\n<li>\u00dcberwachen Sie die Authentifizierungsprotokolle auf verd\u00e4chtige Aktivit\u00e4ten<\/li>\n<li>\u00dcberpr\u00fcfen und aktualisieren Sie Richtlinien viertelj\u00e4hrlich<\/li>\n<li>Testen Sie Ihre Incident-Response-Verfahren j\u00e4hrlich<\/li>\n<li>Dokumentieren Sie alle Vorg\u00e4nge f\u00fcr Compliance-Audits<\/li>\n<\/ul>\n<h2>Die richtigen L\u00f6sungen zur erfolgreichen NIS2-Compliance<\/h2>\n<p>Bei der NIS2-Compliance geht es nicht darum, jedes verf\u00fcgbare Sicherheitsprodukt einzukaufen. Vielmehr ist es entscheidend, die richtigen Ma\u00dfnahmen auszuw\u00e4hlen, um die Sicherheit nachhaltig zu verbessern, ohne die IT-Teams unn\u00f6tig zu belasten. Die NIS2-Richtlinie bietet einen klaren Rahmen f\u00fcr den Aufbau wirksamer Authentifizierungs- und Zugriffskontrollen, die Ihre Organisation tats\u00e4chlich sch\u00fctzen. Beginnen Sie mit modernen Passwortrichtlinien, erg\u00e4nzen Sie diese durch phishingresistente MFA und etablieren Sie skalierbare Prozesse, die langfristig funktionieren.<\/p>\n<p>Ben\u00f6tigen Sie Unterst\u00fctzung bei der Erf\u00fcllung der NIS2-Anforderungen? <a href=\"https:\/\/specopssoft.com\/de\/kontakt\/?utm_source=borncity&amp;utm_medium=referral&amp;utm_campaign=borncity_referral_dach&amp;utm_term=nis2&amp;utm_content=article\" target=\"_blank\" rel=\"noopener sponsored\">Sprechen Sie mit einem Specops-Experten dar\u00fcber<\/a>, wie Sie Ihre individuellen Herausforderungen meistern k\u00f6nnen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Werbung \u2013 Die NIS2-Richtlinie der EU verpflichtet \u00fcber 29.000 Unternehmen dazu, Cybersicherheit ernst zu nehmen. Das bedeutet auch, die Verwaltung von Zugriffsrechten und Identit\u00e4ten kritisch zu \u00fcberpr\u00fcfen. Wenn Sie f\u00fcr die IT-Sicherheit eines betroffenen Unternehmens verantwortlich sind, stellen Sie sich &hellip; <a href=\"https:\/\/borncity.com\/blog\/2026\/07\/06\/nis2-compliance-so-setzen-sie-passwoerter-und-mfa-richtig-um\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[4293],"class_list":["post-327144","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-allgemein"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/327144","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=327144"}],"version-history":[{"count":7,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/327144\/revisions"}],"predecessor-version":[{"id":327152,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/327144\/revisions\/327152"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=327144"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=327144"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=327144"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}