Im Jahr 2024 wurden weltweit über 3.205 bestätigte Cyberangriffe und Datenschutzverletzungen registriert. Beim größten Angriff wurden über 3 Milliarden Benutzerkonten kompromittiert. Angesichts dieser Bedrohung nimmt auch die Zahl regulatorischer Maßnahmen zu.
Ein Beispiel: Die neue NIS2-Richtlinie der EU stellt hohe Anforderungen an Unternehmen – nicht nur in Bezug auf IT-Sicherheitsmaßnahmen, sondern auch auf sichere interne Krisenkommunikation und revisionssichere Dokumentation. In diesem Artikel zeigen wir, wie die neuen Vorschriften die Zusammenarbeit im Notfall verändern und was Unternehmen jetzt tun müssen.
Krisenkommunikation unter NIS2 und GDPR: Ein neuer Standard
Die Datenschutz-Grundverordnung (GDPR) und die NIS2-Richtlinie sind die Eckpfeiler der europäischen Datenschutz- und Cyberresilienzstrategie. Während die GDPR generell die Verarbeitung personenbezogener Daten regelt, definiert NIS2 neue Mindeststandards für Cybersicherheit und Vorfallmanagement – einschließlich Krisenkommunikation.
Cyber-Risiken entwickeln sich in Echtzeit. Umso wichtiger ist schnelle, gesicherte Kommunikation unternehmensintern und mit Behörden. NIS2 nimmt hier Führungskräfte und Vorstände in die Pflicht, für lückenlose, nachvollziehbare Prozesse zu sorgen. Dabei ist nicht nur der Inhalt entscheidend – sondern auch, über welche Plattform und wie sicher kommuniziert wird.
Was verlangt NIS2 konkret von Unternehmen?
Drei aufeinander folgende Berichtspflichten:
- 1. Frühwarnung (innerhalb von 24 Stunden): Erste Mitteilung an CSIRT oder zuständige Behörde mit Verdachtsmomenten auf illegale Aktionen oder grenzüberschreitende Gefahren.
- 2. Vorfallmeldung (innerhalb von 72 Stunden): Mit Schweregrad, Auswirkungen und erkennbaren Indikatoren. Auch ggf. Meldung an Strafverfolgungsbehörden.
- 3. Abschlussbericht (innerhalb von 1 Monat): Detailliert und vollständig: Ursache, Verlauf, getroffene Maßnahmen und internationale Konsequenzen.
Dokumentationspflicht der Krisenkommunikation:
- Revisionssichere Kommunikationsprotokolle müssen während und nach einem Vorfall vorliegen.
- Die Dokumentation muss prüfbar, sicher gespeichert und auditierbar sein – insbesondere für Aufsichtsbehörden und interne Sicherheitsprüfungen.
Sichere & technische Kommunikationsinfrastruktur:
- Pflicht zur Ende-zu-Ende-Verschlüsselung und Multi-Faktor-Authentifizierung
- Rollenbasierter Zugang zu sensiblen Informationen ist vorzusehen
- Einsetzbar für Text, Sprache, Video & Datendokumente
Unverschlüsselte Plattformen: Eine große Gefahr im Ernstfall
Der „Salt Typhoon“-Cyberangriff auf US-Telekomanbieter wie AT&T und weitere kritische Infrastrukturen hat gezeigt: Backdoors, unverschlüsselte Übertragungen und Cloud-Abhängigkeiten sind ein massives Risiko – besonders dann, wenn staatliche oder wirtschaftspolitische Interessen im Spiel sind.
Sogenannte „Enterprise-Plattformen“ wie Slack, Zoom oder MS Teams erfüllen oft nicht die Anforderungen an echte Ende-zu-Ende-Verschlüsselung. Das bedeutet: Selbst wenn Ihre Kommunikation "verschlüsselt" erscheint, bleiben Metadaten oder Inhalte zugänglich – vor allem im Ruhezustand oder bei Transport über unsichere Server.
Ende-zu-Ende-Verschlüsselung (E2EE) richtig gedacht
Eine gesetzeskonforme Plattform wie Wire erfüllt die technischen und organisatorischen Anforderungen der NIS2-Richtlinie:
Robuste Verschlüsselungstechnologie
- Proteus-Protokoll: Jede Kommunikation wird mit einem einzigartigen Schlüssel verschlüsselt
- Messaging Layer Security (MLS): Gruppenkommunikation auf höchstem Security-Niveau
- Geräteübergreifender Zugriff ohne Sicherheitslücken
Zero-Trust-Prinzip + rollenbasierte Zugriffskontrolle
- Zugriffsrechte werden granular gesteuert
- Kein Nutzer oder System wird automatisch als „vertrauenswürdig“ eingestuft
- Auch bei erfolgreichem Eindringen verhindert das System unautorisierten Datenzugriff
Benutzerorientiertes Sicherheitsdesign
- Einfaches Handling für alle – kein Grund, auf unsichere Consumer-Apps auszuweichen
- Kein Kompromiss zwischen Sicherheit und Usability
Out-of-Band-Fallback-Kommunikation
- Auch bei Ausfall des Unternehmensnetzwerks oder Providernutzung einsatzbereit
- Asynchrone Kommunikation möglich – ideal für Krisenteams in Remote-Szenarien
Nachvollziehbare, audit-fähige Kommunikationsprotokolle
- DSGVO-konforme Speicherung aller Vorfall-bezogenen Daten
- Verschlüsselte Dokumentation von Gesprächsverläufen, Anhängen und Entscheidungswegen
Fazit: Sicherheitsstrategien, die regulatorisch & praktisch funktionieren
Die neue Aufsichtspflicht durch NIS2 verändert grundlegend, wie Krisenkommunikation verstanden und umgesetzt wird. Unternehmen müssen proaktive Maßnahmen setzen: Nicht nur für technologische Sicherheit, sondern auch für organisatorische Kontrolle.
Wer jetzt nicht auf sichere, verschlüsselte Kommunikationsplattformen umstellt, riskiert:
- Verstöße gegen europäisches Recht (NIS2, DSGVO)
- Reputationsschäden bei Sicherheitsvorfällen
- Behördliche Untersuchungen & Bußgelder
Mit Wire entscheiden sich Unternehmen für zukunftsfähige Krisenkommunikation – sicher, compliant, auditierbar.