Thought Leadership
Die NIS2-Richtlinie fordert lückenlose Zugriffskontrollen. Unregulierte Konten in der Schatten-IT führen zu rechtlichen Konsequenzen für die Chefetage.
Die Durchsetzung der europäischen NIS2-Richtlinie und deren Überführung in nationales Recht hat die Anforderungen an die Cybersicherheit von Unternehmen grundlegend verändert. Während IT-Sicherheit in der Vergangenheit oft als rein operatives Thema der Systemadministration behandelt wurde, stellt sie im aktuellen regulatorischen Umfeld eine unübertragbare Pflicht der Geschäftsführung dar. Ein zentraler Schwerpunkt der gesetzlichen Vorgaben liegt auf der Absicherung von digitalen Identitäten und der Kontrolle von Zugriffsrechten.
In vielen Unternehmensinfrastrukturen existiert jedoch ein unkontrolliertes Wachstum dezentraler Cloud-Dienste, das als Schatten-IT bezeichnet wird. Fachabteilungen abonnieren eigenständig Software-as-a-Service-Plattformen, um Projekte flexibel umzusetzen. Die dabei entstehenden Benutzerkonten und Zugangsdaten verbleiben außerhalb des zentralen Identitätsmanagements. Für Geschäftsführer und Vorstände erwächst hieraus ein erhebliches Haftungsrisiko, da verwaiste und unüberwachte Konten in inoffiziellen Systemen direkt gegen die gesetzlich geforderten Risikomanagement-Maßnahmen verstoßen.
Die rechtliche Verschärfung durch Artikel 20 der NIS2-Richtlinie
Der europäische Gesetzgeber hat mit der NIS2-Richtlinie bewusst die Verantwortlichkeit für Cybersicherheitsrisiken auf die oberste Leitungsebene verlagert. Artikel 20 der Richtlinie legt fest, dass die Leitungsorgane von wesentlichen und wichtigen Einrichtungen die von der Organisation ergriffenen Risikomanagement-Maßnahmen im Bereich der Cybersicherheit billigen und deren Umsetzung überwachen müssen. Diese Pflicht kann nicht an den Chief Information Officer oder externe Dienstleister delegiert werden.
Die Konsequenzen bei Pflichtverletzungen sind weitreichend. Bei schwerwiegenden Verstößen gegen die Sicherheitsauflagen sieht die Richtlinie erhebliche finanzielle Sanktionen vor. Für wesentliche Einrichtungen betragen die Bußgelder bis zu 10 Millionen Euro oder zwei Prozent des gesamten weltweiten Umsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.
Darüber hinaus verankert das Gesetz eine persönliche Haftung der Geschäftsführung. Wenn nachgewiesen wird, dass die Chefetage es versäumt hat, angemessene Sicherheitsstrukturen wie eine lückenlose Zugriffskontrolle zu etablieren, können Aufsichtsbehörden zeitweise Berufsverbote für die Geschäftsführung verhängen. Die betroffenen Manager haften in bestimmten Konstellationen mit ihrem Privatvermögen gegenüber dem eigenen Unternehmen für entstandene Schäden, die durch mangelhafte Governance verursacht wurden.
Risiko verwaister Konten in dezentralen Cloud-Diensten
Die Schatten-IT erzeugt kontinuierlich digitale Identitäten, die für die zentrale IT-Abteilung unsichtbar sind. Ein typisches Szenario in der Unternehmenspraxis ist die Nutzung von kollaborativen Plattformen, Projektmanagement-Tools oder spezialisierten KI-Diensten durch einzelne Teams. Registrieren sich Mitarbeitende bei diesen externen Anbietern mit geschäftlichen E-Mail-Adressen und selbst gewählten Passwörtern, entstehen isolierte Kontenstrukturen.
Das regulatorische Risiko manifestiert sich vor allem dann, wenn Angestellte das Unternehmen verlassen. Im Rahmen eines ordnungsgemäßen Offboarding-Prozesses sperrt die IT-Abteilung das Hauptkonto im zentralen Verzeichnisdienst. Da die dezentralen SaaS-Anwendungen jedoch nicht an dieses System angebunden sind, bleiben die dort hinterlegten Konten aktiv. Diese verwaisten Konten (Orphaned Accounts) existieren oft über Jahre hinweg unbemerkt weiter.
Ehemalige Mitarbeitende, aber auch unbefugte Dritte, behalten dadurch theoretisch Zugriff auf interne Datenbestände, Projektpläne oder Kundenlisten, die auf diesen Plattformen gespeichert wurden. Aus Sicht von Compliance-Auditoren stellt das Weiterbestehen solcher unüberwachten Zugänge einen direkten Verstoß gegen den Grundsatz dar, dass Zugriffsrechte restriktiv und an den aktuellen Beschäftigungsstatus gebunden sein müssen.
Einfallstore für Cyberkriminelle durch mangelnde Multi-Faktor-Authentifizierung
Neben den rechtlichen Konsequenzen bei einem Audit bildet die Schatten-IT das primäre Einfallstor für professionelle Ransomware-Gruppen und staatliche Akteure. Da die unmanaged Konten nicht den zentralen Sicherheitsrichtlinien des Unternehmens unterliegen, erzwingen sie in der Regel keine starken Passwortarchitekturen und keine Multi-Faktor-Authentifizierung (MFA).
Sicherheitsanalysen von Institutionen wie dem Ponemon Institute und dem Bundesamt für Sicherheit in der Informationstechnik belegen, dass der Missbrauch von gültigen, aber schwach geschützten Zugangsdaten die häufigste Ursache für erfolgreiche Netzwerkeinbrüche ist. Angreifer nutzen automatisierte Verfahren wie Credential Stuffing, bei denen im Darknet geleakte Passwortlisten systematisch an verschiedenen Cloud-Diensten getestet werden.
Gelingt der Zugriff auf ein Schatten-IT-Konto, nutzen die Täter diese Plattform als Ausgangspunkt für weitere Angriffe. Häufig enthalten diese dezentralen Tools Schnittstellen oder synchronisierte Datenordner, die mit dem primären Unternehmensnetzwerk verbunden sind. Der Angreifer bewegt sich somit lateral von der ungesicherten Cloud-Anwendung in die kritische Kerninfrastruktur des Unternehmens. Im Schadensfall greift die NIS2-Haftung, da die Geschäftsführung nachweisen müsste, dass sie alle zumutbaren Anstrengungen unternommen hat, um solche blinden Flecken in der Infrastruktur zu verhindern.
Ablauf eines Compliance-Audits und die Beweislast
Bei einer Überprüfung durch die zuständigen Aufsichtsbehörden oder im Rahmen von regelmäßigen Compliance-Audits reicht es nicht mehr aus, eine Liste der managed Accounts vorzulegen. Die Auditoren prüfen die Effektivität der Kontrollmechanismen. Ein zentraler Bestandteil dieser Prüfung ist der Abgleich zwischen den Personalstammdaten und den tatsächlichen Zugriffspfaden im Unternehmen.
Die Prüfer setzen zunehmend automatisierte Werkzeuge ein, um unregulierte Datenflüsse und Registrierungen aufzudecken. Werden bei einer solchen Stichprobe Konten identifiziert, die ausgeschiedenen Mitarbeitern gehören oder bei denen sensible Unternehmensdaten ohne Verschlüsselung auf Servern von Drittanbietern liegen, gilt der Nachweis der NIS2-Konformität als gescheitert.
Die Beweislast liegt laut der Richtlinie beim Unternehmen und dessen Führungsebene. Die Geschäftsführung muss dokumentieren können, dass ein kontinuierlicher Prozess zur Identifikation und Eliminierung von Schatten-Identitäten existiert. Ein rein reaktives Verhalten nach dem Motto, man habe von der Existenz des spezifischen Cloud-Dienstes nichts gewusst, wird von den Behörden als Organisationsverschulden gewertet und schützt nicht vor Sanktionen.
Technische Wege zur Haftungsminimierung für die Führungsebene
Um das Haftungsrisiko effektiv zu minimieren, müssen Geschäftsführer die Implementierung technischer Kontrollinstanzen anordnen, die eine kontinuierliche Identitäts-Governance ermöglichen. Das klassische Identity and Access Management muss durch Systeme zur automatisierten Erkennung von Schatten-IT ergänzt werden.
Sicherheitsverantwortliche setzen hierfür auf den Einsatz von Cloud Access Security Brokers (CASB). Diese Systeme analysieren den gesamten ausgehenden Netzwerkverkehr der Unternehmensstandorte und der geschäftlichen Endgeräte. Sie erkennen sofort, wenn Daten an nicht autorisierte Cloud-Domains übertragen werden oder wenn OAuth-Berechtigungen für externe Applikationen erteilt werden.
Sobald eine unregulierte Anwendung identifiziert wird, ermöglicht es die Technologie, den Zugriff entweder vollständig zu blockieren oder das Konto kontrolliert in das zentrale Single-Sign-On-System (SSO) des Unternehmens zu migrieren. Durch diese Verknüpfung wird sichergestellt, dass auch für diese spezifische Anwendung die unternehmensweiten Sicherheitsvorgaben wie MFA und das automatisierte Benutzer-Lifecycle-Management greifen. Für die Chefetage ist dieser lückenlose Nachweis der Überwachung der einzige rechtssichere Schutz vor den persönlichen Haftungsfolgen der NIS2-Richtlinie.
