Thought Leadership
Viele Unternehmen in Deutschland arbeiten derzeit daran, ihre Cybersecurity-Strukturen an die Anforderungen von NIS-2 anzupassen.
Besonders relevant war dabei der 6. März 2026: Bis dahin müssen sich betroffene Organisationen beim Bundesamt für Sicherheit in der Informationstechnik registrieren.
Gleichzeitig verschärft NIS-2 die Anforderungen an den Umgang mit Sicherheitsvorfällen. Unternehmen müssen Cyberangriffe innerhalb von 24 Stunden melden, nach 72 Stunden eine erste Lageeinschätzung vorlegen und ihre Reaktionsfähigkeit organisatorisch wie technisch sicherstellen. Mit welchen Strukturen Unternehmen diesen Standards gerecht werden, erläutert Ashkan Vila, SOC Manager bei Eye Security, im Interview.
Drei Monate nach Inkrafttreten der NIS-2-Regularie zeigt sich, dass viele Unternehmen noch nicht vollständig vorbereitet sind. Wie stellt sich die Situation aus Ihrer Sicht dar?
Ashkan Vila: Viele Unternehmen, gerade im Mittelstand, verfügen schlichtweg nicht über die notwendige Security-Infrastruktur und die personellen Ressourcen für einen SOC. NIS-2 fordert im Ernstfall belastbare Informationen und eine fundierte Lageeinschätzung innerhalb kürzester Zeit. Das setzt technisch voraus, dass Angriffe nicht nur frühzeitig über EDR- oder XDR-Systeme erkannt werden, sondern dass Log-Daten und Telemetrie fälschungssicher und forensisch auswertbar vorgehalten werden. Ohne automatisierte Erkennungsprozesse und fundierte Erfahrung in der Log-Auswertung ist dieser Zeitaufwand manuell nicht zu stemmen.
Welche typischen Missverständnisse begegnen Ihnen aktuell in Gesprächen mit IT-Verantwortlichen rund um NIS-2?
Ashkan Vila: Ein häufiges Missverständnis ist die Vermischung von GRC und der operativen IT-Sicherheit. Unternehmen denken oft, dass wir als MSSP den kompletten auditbezogenen Implementierungs- und Zertifizierungsprozess übernehmen. Unsere Managed Detection und Response Services setzen jedoch auf der operativen Ebene an: Wir stellen die technische Resilienz her, die NIS-2 fordert – also das kontinuierliche Monitoring, die Anomalie-Erkennung und die unmittelbare Abwehr (Incident Response). Natürlich beraten wir zu den technischen Regularien, aber unser Kernfokus liegt auf der aktiven Gefahrenabwehr. Richtlinien und Regularien sind wichtig, aber sie wehren leider keine Ransomware oder Datenabfluss ab.
Welche organisatorischen Voraussetzungen müssen vorhanden sein, damit ein Unternehmen diese Meldefristen tatsächlich einhalten kann?
Ashkan Vila: Es benötigt Koordination und eine Rollenverteilung, damit eben Unternehmen nicht nur der 24 Stunden Meldepflicht, sondern auch der Lageeinschätzung gerecht werden. Technisch gesehen reduzieren wir als Dienstleister die Erkennungszeit (MTTD) massiv. In unserem kürzlich veröffentlichten Trend Report gehen wir gesondert darauf ein, wie wir die Zeit von 24 Tagen auf 21 Minuten reduzieren, in der BEC-Angreifer unentdeckt im Unternehmensnetzwerk verbleiben.
Kann ein kontinuerliches Monitoring false positive und false negative Alarme entsprechend einordnen und erkennen, sodass regulatorische Vorgaben wie NIS-2 eingehalten werden?
Ashkan Vila: Ein professionelles Monitoring ist hier der Dreh- und Angelpunkt. Unsere Analysten bei Eye Security filtern bei der initialen Triage kontinuierlich Rauschen aus, um Fehlalarme schnell von echten Bedrohungen zu trennen. Im Hinblick auf NIS-2 ist das essenziell, denn die 24-Stunden-Frist verlangt vom Unternehmen eine reine Frühwarnung (Early Warning). Das Monitoring gibt uns die Gewissheit, zeitnah und fundiert sagen zu können: Ja, hier liegt ein kritischer Vorfall vor.
Es ist ein gefährlicher Trugschluss zu glauben, man müsse in den ersten 24 Stunden bereits den kompletten Scope eines Angriffs oder den genauen Datenabfluss kennen. Wer bei einem komplexen Ransomware-Vorfall wartet, bis alle Details geklärt sind, reißt unweigerlich die gesetzliche Erstmeldepflicht. Unser 24/7-Monitoring liefert den Unternehmen genau diese schnelle, verlässliche Faktenbasis für die Frühwarnung beim BSI. Die tiefergehende forensische Untersuchung und die genaue Lageeinschätzung für die umfassendere 72-Stunden-Meldung erarbeiten wir dann im direkten Anschluss.
Sie sprechen häufig vom „Assume-Breach“-Prinzip. Was bedeutet dieser Ansatz konkret für die Sicherheitsstrategie eines Unternehmens?
Ashkan Vila: „Assume-Breach“ sagt ganz einfach erstmal folgendes: Wir gehen davon aus, dass präventive Schutzmaßnahmen (wie Firewalls oder Antivirenprogramme) früher oder später umgangen werden und ein Angreifer bereits im Netzwerk ist. Die Sicherheitsstrategie verlagert sich daher auf das Prinzip “Defense-in-Depth” und unter anderem proaktives Threat Hunting. Wir suchen aktiv nach lateralen Bewegungen im Netzwerk, verdächtigen Identitätsnutzungen oder Command-and-Control-Verbindungen. Das Ziel ist es, die Verweildauer (Dwell Time) des Angreifers im Netzwerk so gering wie möglich zu halten, den Vorfall früh zu bewerten und sofort einzudämmen.
Wie wichtig ist eine strukturierte Dokumentation nicht nur für Regulierung und Compliance, sondern auch für das SOC?
Ashkan Vila: Sie ist für uns essenziell. Eine strukturierte forensische Dokumentation erfüllt nicht nur die Compliance-Anforderungen der NIS-2, sondern ist unser wichtigstes Werkzeug für die operative Verbesserung. Wir werten diese Daten aus und mappen die Vorgehensweisen der Angreifer beispielsweise auf das MITRE ATT&CK Framework. Indem wir die TTPs (Tactics, Techniques, and Procedures) der Hacker analysieren, können wir unsere Detection-Rules anpassen, Muster ableiten und unsere Systeme so konfigurieren, dass sie künftige Attacken dieser Art proaktiv blockieren.
Was ist aus Ihrer Sicht der wichtigste erste Schritt für Unternehmen, die ihre Cyber-Resilienz nachhaltig stärken wollen?
Ashkan Vila: Der allererste Schritt ist das Schaffen von Visibilität. Unternehmen müssen ihre kritischen Assets kennen und die Endpunkte sowie Identity sowohl Cloud als auch On-Prem lückenlos überwachen. Darauf aufbauend braucht es eine 24/7-Überwachung. Da die wenigsten Unternehmen ein eigenes, rund um die Uhr besetztes SOC betreiben können, ist die Einbindung eines spezialisierten MDR-Dienstleisters wie Eye Security der effektivste Hebel. Unternehmen könnten das als eine Verlängerung der eigenen IT-Werkbank verstehen. So lagern sie die Komplexität der Erkennung und Abwehr aus, erfüllen die technischen Anforderungen der NIS-2 und schützen ihre geschäftskritischen Prozesse vom ersten Tag an.
Vielen Dank für das Gespräch, Ashkan Vila!
Autor: Ashkan Vila, SOC Manager bei Eye Security
