Verschlüsselung ist ein kryptographisches Verfahren, das Daten mit einem Schlüssel so umwandelt, dass sie nur von berechtigten Stellen wieder lesbar gemacht werden können. Für NIS2-betroffene Unternehmen bedeutet Verschlüsselung, dass sensible Informationen in Systemen, Backups, Übertragungen und Kommunikationskanälen nach dem Stand der Technik geschützt werden müssen.
Was ist Verschlüsselung?
Verschlüsselung schützt Daten vor unbefugtem Zugriff, indem aus Klartext ein für Dritte unlesbarer Chiffretext wird. Erst der passende Schlüssel macht die Information wieder nutzbar, weshalb Verschlüsselung in der Praxis ein Kernbaustein moderner Cybersicherheit ist.
Technisch beruht Verschlüsselung auf Kryptografie. Unternehmen nutzen sie, um Geschäftsgeheimnisse, personenbezogene Daten, Zugänge, E-Mails, Dateispeicher, Datenbanken und Verbindungen zwischen Systemen abzusichern. Der Zweck ist nicht nur Geheimhaltung. Gute Verschlüsselung stützt auch Integrität, Authentizität und Nachweisbarkeit, wenn sie sauber mit Schlüsselmanagement, Zugriffskontrollen und Protokollierung kombiniert wird.
Welche Arten von Verschlüsselung gibt es?
Verschlüsselung wird in der Praxis vor allem in symmetrische und asymmetrische Verfahren unterteilt. Symmetrische Verfahren nutzen denselben Schlüssel zum Ver- und Entschlüsseln, während asymmetrische Verfahren ein Schlüsselpaar aus öffentlichem und privatem Schlüssel verwenden.
| Verfahren | Funktionsweise | Typische Beispiele | Typischer Einsatz |
|---|---|---|---|
| Symmetrische Verschlüsselung | Ein gemeinsamer Schlüssel für beide Richtungen | AES | Festplatten, Datenbanken, Backups, große Datenmengen |
| Asymmetrische Verschlüsselung | Öffentliches und privates Schlüsselpaar | RSA, ECC | Schlüsselaustausch, digitale Zertifikate, Signaturen, TLS |
Für Unternehmen ist diese Unterscheidung operativ relevant. Symmetrische Verfahren wie AES sind schnell und effizient, deshalb eignen sie sich für große Datenmengen und Speicherprozesse. Asymmetrische Verfahren wie RSA oder ECC sind langsamer, dafür ideal für Schlüsselaustausch, Identitätsprüfung und abgesicherte Verbindungen. In der Praxis werden beide oft kombiniert, etwa bei TLS-Verbindungen im Browser oder im VPN-Tunnel.
Wo Unternehmen Verschlüsselung einsetzen sollten
Verschlüsselung sollte an drei Stellen mitgedacht werden: at rest, in transit und end-to-end. Genau diese Perspektive hilft, Schutzlücken nicht nur auf Dateiebene, sondern entlang kompletter Prozesse zu erkennen.
At rest bedeutet Schutz gespeicherter Daten. Dazu zählen Notebook-Festplatten, Server, Cloud-Speicher, Backups, Datenbanken und mobile Datenträger. Wenn ein Gerät verloren geht oder ein Backup entwendet wird, kann Verschlüsselung verhindern, dass der Inhalt unmittelbar offenliegt.
In transit bedeutet Schutz während der Übertragung. Dazu gehören TLS für Webanwendungen, verschlüsselte E-Mail-Übertragung, abgesicherte APIs und ein VPN für den Zugriff aus dem Homeoffice oder von Außenstandorten. Gerade bei verteilten Teams ist das kein Zusatz, sondern Basisabsicherung.
Ende-zu-Ende-Verschlüsselung bedeutet, dass nur Sender und Empfänger den Inhalt lesen können. Weder Transportdienste noch Zwischenstationen sollen den Klartext kennen. Das ist besonders relevant für sensible Kommunikation, etwa bei Verhandlungen, internen Untersuchungen oder personenbezogenen Gesundheitsdaten.
Warum ist Verschlüsselung für NIS2 relevant?
Verschlüsselung ist für NIS2 relevant, weil sie ausdrücklich als mögliche Risikomanagementmaßnahme genannt wird. Art. 21 Abs. 2 Buchst. h der Richtlinie (EU) 2022/2555 nennt „Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung“ als Bestandteil technischer, operativer und organisatorischer Sicherheitsmaßnahmen.
Für deutsche Unternehmen ist diese Linie auch in der nationalen Umsetzung erkennbar. Der Referentenentwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz nennt in § 30 Abs. 2 Nr. 8 BSIG-E ebenfalls Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung. Die Aussage ist klar: Verschlüsselung ist kein isoliertes IT-Feature, sondern Teil dokumentierter Governance und eines wirksamen Sicherheitskonzepts.
Für betroffene Einrichtungen heißt das praktisch: Nicht jede Information muss identisch verschlüsselt werden, aber Schutzbedarf, Bedrohungslage und Einsatzkontext müssen nachvollziehbar bewertet werden. Wer besonders wichtige oder wichtige Dienste erbringt, sollte Verschlüsselung deshalb in das Programm zur NIS2-Richtlinie in Deutschland, in den Glossarbegriff NIS2-Richtlinie sowie in technische Standards und regelmäßige Prüfungen integrieren.
Welche Rolle spielt das BSI?
Das BSI konkretisiert den Stand der Technik für kryptographische Verfahren über die Technische Richtlinie BSI TR-02102. Für Unternehmen ist das wichtig, weil die Richtlinie Empfehlungen zu geeigneten Algorithmen, Schlüssellängen und Übergangsfristen liefert und damit hilft, unsichere Altverfahren zu erkennen.
Praktisch bedeutet das: AES ist für viele symmetrische Anwendungsfälle der etablierte Standard, während RSA und elliptische Kurvenverfahren wie ECC je nach Einsatz für Schlüsselaustausch, Zertifikate und Signaturen relevant bleiben. Entscheidend ist nicht nur der Algorithmusname, sondern ob Parameter, Implementierung, Zertifikate, Laufzeiten und Lebenszyklus zum aktuellen Sicherheitsniveau passen.
Wer NIS2 ernsthaft umsetzt, sollte deshalb nicht nur „Verschlüsselung vorhanden“ dokumentieren, sondern auch festhalten, wo sie eingesetzt wird, wie Schlüssel verwaltet werden, wann Verfahren ersetzt werden und welche Systeme ausgenommen sind. Ebenso wichtig ist die Verzahnung mit Multi-Faktor-Authentifizierung, weil starke Verschlüsselung schwach wirkt, wenn Identitäten und Zugriffe unsauber gesteuert werden.
Praxisbeispiel für ein deutsches Unternehmen
Ein deutsches Medizintechnikunternehmen mit 280 Mitarbeitenden betreibt Entwicklung, Serviceportal und Außendienst digital. Kundendaten, Wartungsprotokolle und technische Dokumentationen liegen in einer Cloud-Umgebung, während der Vertrieb von unterwegs zugreift und Servicepartner Dateien austauschen.
Nach einer NIS2-Betroffenheitsprüfung führt das Unternehmen drei Maßnahmen verbindlich ein. Erstens werden alle Endgeräte und Backups mit starker Verschlüsselung at rest geschützt. Zweitens laufen Webportal, API-Zugriffe und Fernzugriffe nur noch über TLS und abgesicherte Tunnel in transit. Drittens werden besonders sensible Projekt- und Supportdaten in ausgewählten Kommunikationsprozessen Ende-zu-Ende verschlüsselt. Ergänzend dokumentiert das Unternehmen die eingesetzten Verfahren anhand der BSI TR-02102, ersetzt veraltete Zertifikate und verbindet den Zugriff auf Administrationsoberflächen mit Multi-Faktor-Authentifizierung.
Der Nutzen ist unmittelbar sichtbar. Selbst wenn ein Laptop verloren geht, ein Backup abhandenkommt oder Datenverkehr abgefangen wird, sinkt das Schadenspotenzial erheblich. Für die Geschäftsleitung ist das wichtig, weil NIS2 nicht nur Technik fordert, sondern nachweisbare und angemessene Sicherheitsmaßnahmen entlang realer Risiken.
Warum Unternehmen heute schon Post-Quantum-Kryptografie vorbereiten sollten
Post-Quantum-Kryptografie sollte bereits heute in der Planung auftauchen, auch wenn klassische Verfahren noch breit eingesetzt werden. Der Grund ist nicht, sofort alles umzubauen, sondern kryptographische Abhängigkeiten, lange Datenlebenszyklen und Migrationspfade früh zu kennen.
Besonders sensible Informationen können nach dem Muster „harvest now, decrypt later“ betroffen sein. Wenn Daten heute abgegriffen und erst in einigen Jahren mit leistungsfähigerer Rechenkapazität entschlüsselt werden könnten, entsteht schon jetzt Handlungsbedarf. Unternehmen sollten deshalb Inventare für kryptographische Verfahren pflegen, Austauschfristen planen und neue Systeme möglichst krypto-agil auswählen.
Häufig gestellte Fragen (FAQ)
Was ist Verschlüsselung?
Verschlüsselung ist die Umwandlung lesbarer Daten in eine chiffrierte Form, damit nur berechtigte Personen oder Systeme mit dem passenden Schlüssel darauf zugreifen können. Sie schützt Daten in Speichern, Übertragungen und Kommunikationsprozessen vor unbefugter Einsicht.
Warum ist Verschlüsselung für NIS2 wichtig?
Verschlüsselung ist für NIS2 wichtig, weil Art. 21 Abs. 2 Buchst. h NIS2 Kryptografie und gegebenenfalls Verschlüsselung ausdrücklich als Sicherheitsmaßnahme nennt. Für Unternehmen ist sie deshalb Teil eines angemessenen Risikomanagements, nicht nur eine optionale Technikentscheidung.
Wenn Sie NIS2-Pflichten, Sicherheitsmaßnahmen und dokumentierte Verantwortlichkeiten strukturiert in Ihr Unternehmen übersetzen wollen, ist unsere NIS2-Schulung der passende nächste Schritt.