NIS2-Gesetz verabschiedet – während Angreifer längst zuschlagen
24.11.2025 - 19:50:12
Deutschland steht vor einem Wendepunkt in der Unternehmenssicherheit. Gerade als der Bundesrat am Freitag das strenge NIS2-Umsetzungsgesetz beschloss, erschütterten raffinierte Supply-Chain-Angriffe über Salesforce und NPM die digitale Wirtschaft.
Die Ironie könnte kaum größer sein: Während Politiker strengere Cybersecurity-Regeln verabschieden, demonstrieren Kriminelle bereits, warum diese so dringend nötig sind. Am vergangenen Freitag, dem 21. November, gab der Bundesrat dem NIS2-Umsetzungsgesetz den finalen Segen – ein Meilenstein, der rund 29.000 deutsche Unternehmen in die Pflicht nimmt. Doch das Wochenende lieferte prompt die bittere Bestätigung: Sicherheitsforscher deckten eine massive Malware-Kampagne namens “Shai-Hulud” auf, die Software-Lieferketten infiltriert. Gleichzeitig wurde bekannt, dass Angreifer über die Kundenplattform Gainsight in Salesforce-Systeme eingedrungen sind.
Die Botschaft ist klar: Gesetzgeber schließen Türen, während Angreifer längst durch die Hintertür gekommen sind – über vermeintlich vertrauenswürdige Geschäftspartner.
Passend zum Thema NIS2 und Lieferketten-Angriffe: Viele Unternehmen haben keine Echtzeit-Übersicht über Drittsoftware und sind damit ein leichtes Ziel für SaaS‑zu‑SaaS-Exploits oder vergiftete NPM-Pakete. Unser kostenloser Leitfaden “Cyber Security Awareness Trends” erklärt praxisnahe Schutzmaßnahmen — von automatisierter Drittanbieter-Inventur über Meldeprozesse, die 24‑Stunden-Erkennung ermöglichen, bis zu einfachen technischen Kontrollen, die sofort Wirkung zeigen. Ideal für Geschäftsführer und IT‑Verantwortliche, die Compliance und Sicherheit schnell verbessern wollen. Jetzt kostenlosen Cyber-Security-Report herunterladen
Der 21. November markiert das Ende einer langen Debatte und den Beginn einer neuen Compliance-Ära. Mit der finalen Zustimmung des Bundesrats wird die EU-NIS2-Richtlinie nun nationales Recht. Was bedeutet das konkret?
Rechtsexperten von Dentons und Taylor Wessing sprechen von einer fundamentalen Überarbeitung des BSI-Gesetzes. Der Kreis der betroffenen Unternehmen wächst dramatisch: Neben der klassischen kritischen Infrastruktur fallen nun auch Abfallwirtschaft, Lebensmittelproduktion, verarbeitendes Gewerbe und digitale Dienste unter die Regelungen.
Die härtesten Punkte im Überblick:
-
Persönliche Haftung der Geschäftsführung: Vorstände und Geschäftsführer haften künftig persönlich für Verstöße gegen Cybersecurity-Vorgaben. Diese Verantwortung lässt sich nicht delegieren – kein Verstecken hinter der IT-Abteilung mehr.
-
Millionenstrafen: Bei Nichteinhaltung drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – je nachdem, was höher ausfällt.
-
Lieferketten-Sorgfaltspflicht: Unternehmen müssen explizit die Sicherheitspraktiken ihrer direkten Zulieferer und Dienstleister prüfen. Wer unsichere Partner hat, haftet mit.
Das Gesetz tritt noch vor Jahresende in Kraft. Die Registrierungspflicht für betroffene Unternehmen startet Anfang 2026.
Wochenende des Schreckens: Frische Angriffe auf Lieferketten
Als wollten Cyberkriminelle die Dringlichkeit des neuen Gesetzes unterstreichen, schlugen sie binnen 72 Stunden gleich zweimal zu. Beide Fälle zeigen exakt jene Risiken, die NIS2 eindämmen soll.
Salesforce-Lücke über Gainsight
Ebenfalls am Freitag wurde bekannt: Die Kundenplattform Gainsight, die von zahllosen SaaS-Unternehmen genutzt wird, wurde kompromittiert. Angreifer nutzten die vertrauenswürdigen Verbindungen zwischen Gainsight und Salesforce-Systemen als Eingangstor. Diese “SaaS-zu-SaaS”-Bewegung ist der Albtraum moderner Cloud-Architekturen: Ein gekapperter Drittanbieter wird zur Hintertür ins eigene System.
Für deutsche Firmen, die auf vernetzte Cloud-Dienste setzen, wird hier ein kritisches Problem sichtbar: Wie überwacht man “digitale Zulieferer”, die privilegierte Zugriffsrechte besitzen?
“Shai-Hulud” flutet NPM-Registry
Heute Morgen, am 24. November, veröffentlichte die Sicherheitsfirma Aikido Security Details zu einer “zweiten Welle” des Angriffs auf das NPM-Register (Node Package Manager). Der Codename “Shai-Hulud” – benannt nach dem Sandwurm aus “Dune” – beschreibt treffend das selbstreplizierende Verhalten der Malware.
Die Schadsoftware verbreitet sich autonom über Entwickler-Infrastrukturen und stiehlt dabei Zugangsdaten und Geheimnisse. Anders als klassische Angriffe auf einzelne populäre Bibliotheken flutet diese Kampagne das Ökosystem mit Hunderten infizierten Paketen, die legitime Tools imitieren.
Für deutsche Unternehmen mit eigener Software-Entwicklung bedeutet das: Vergifteter Code könnte unbemerkt in interne Netzwerke gelangen – genau das Szenario, das die neuen BSI-Regelungen verhindern sollen.
Haftungswandel: Vorstände im Fadenkreuz
Der meistdiskutierte Aspekt des Gesetzes in dieser Woche ist die veränderte Verantwortlichkeit. In einem Webinar kurz vor der Abstimmung machte das Bundesamt für Sicherheit in der Informationstechnik (BSI) unmissverständlich klar: Cybersecurity ist keine IT-Angelegenheit mehr – sie gehört in den Vorstandssaal.
Nach dem neuen BSI-Gesetz muss die Geschäftsführung Sicherheitsmaßnahmen absegnen und überwachen. Kommt es zu einem Datendiebstahl durch einen Supply-Chain-Angriff – wie im Gainsight-Fall – weil das Unternehmen die Sicherheitslage seines Dienstleisters nicht geprüft hat, haften die Direktoren persönlich.
“Die Lieferkette wird zur eigenen Verantwortung”, formulierten es Rechtsanalysten von Taylor Wessing nach der Abstimmung. Konkret heißt das: Sich hinter den AGB eines Anbieters zu verstecken, funktioniert nicht mehr. Unternehmen müssen aktiv prüfen und vertraglich Sicherheitsstandards bei ihren Partnern durchsetzen.
Was jetzt zu tun ist: Drei dringliche Schritte
Mit verabschiedetem Gesetz und eskalierenden Bedrohungen müssen Unternehmen vom Beobachter zum Handelnden werden. Das BSI und Branchenexperten empfehlen drei sofortige Maßnahmen:
1. Betroffenheit klären: Unternehmen müssen umgehend prüfen, ob sie unter die Kategorien “wesentlich” oder “wichtig” fallen. Grundschwelle sind in der Regel 50 Mitarbeiter oder 10 Millionen Euro Jahresumsatz in den erfassten Sektoren.
2. Lieferanten-Inventur: Angesichts der Salesforce- und NPM-Angriffe braucht jede Organisation eine Echtzeit-Übersicht aller Drittsoftware und SaaS-Integrationen. “Einmal einrichten und vergessen”-API-Verbindungen sind künftig ein Compliance-Risiko.
3. Meldeprotokolle testen: Das neue Gesetz führt eine dreistufige Meldepflicht ein. Bei erheblichen Vorfällen muss innerhalb von 24 Stunden eine Frühwarnung ans BSI erfolgen. Können Unternehmen in diesem Tempo erkennen und melden?
Perfekter Sturm für 2026
Die zeitliche Überschneidung zwischen NIS2-Verabschiedung und Supply-Chain-Angriffen schafft einen “perfekten Sturm” für das kommende Jahr. Während das BSI seine Registrierungsplattform für April 2026 vorbereitet, dürfte eine Welle von Aktivität folgen: 29.000 deutsche Unternehmen müssen ihre Zulieferer durchleuchten.
Gleichzeitig legt die “Shai-Hulud”-Attacke nahe, dass Cyberkriminelle ihr Tempo verschärfen. Sie versuchen offenbar, Schadsoftware in die Grundbausteine moderner Software einzubetten, bevor strengere Kontrollen greifen.
Für deutsche Unternehmen senden sowohl Bundesrat als auch Bedrohungslage dieselbe Botschaft: Sie sind nur so sicher wie Ihr schwächster Lieferant. Die Frage lautet nicht mehr, ob man handeln muss – sondern wie schnell.
Hinweis: Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Unternehmen sollten bezüglich ihrer spezifischen Verpflichtungen unter dem NIS2-Umsetzungsgesetz rechtlichen Rat einholen.
PS: Sie möchten vermeiden, dass Schadcode unbemerkt in Ihre Software-Entwicklung gelangt? Der Gratis-Guide “Cyber Security Awareness Trends” liefert konkrete Checklisten zur Lieferanten-Inventur, Praxis-Tipps gegen NPM‑Infektionen und Maßnahmen, mit denen Sie NIS2‑Pflichten effizient erfüllen. Er zeigt, wie Sie Meldeprotokolle und Priorisierung ohne großes Budget umsetzen und Ihre IT‑Teams schnell handlungsfähig machen. Jetzt kostenlosen Cyber-Guide herunterladen
