NIS-2 – Wer ist betroffen?

Das Gesetz unterscheidet zwischen besonders wichtigen Einrichtungen und wichtigen Einrichtungen, die für das Funktionieren von Wirtschaft und Gesellschaft entscheidend sind.

Zu den besonders wichtigen Einrichtungen zählen unter anderem Betreiber kritischer Infrastrukturen (KRITIS). KRITIS sind Organisationen und Einrichtungen mit essenzieller Bedeutung für das staatliche Gemeinwesen. Ihr Ausfall oder ihre Beeinträchtigung würde zu nachhaltigen Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen schwerwiegenden Folgen führen.

Zum Stichtag 30.09.2025 waren beim BSI 1.177 KRITIS-Betreiber registriert – in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung. Für sie galten bislang sektorspezifische Pflichten für den physischen Schutz und Sicherheit ihrer IT-Systeme.

Mit dem NIS-2-Umsetzungsgesetz kommen nun deutlich mehr Unternehmen hinzu, unter anderem aus dem verarbeitenden Gewerbe, dem Bereich digitale Dienste sowie Forschung mit sektorübergreifenden IT-Sicherheitspflichten. Das BSI stellt hierfür eine offizielle Liste der betroffenen Sektoren zur Verfügung.

Betroffenheitsprüfung nach NIS-2

Unternehmen werden mit dem Gesetz verpflichtet, eigenständig zu prüfen, ob sie unter NIS-2 fallen und welcher Kategorie (besonders wichtige bzw. wichtige Einrichtungen) sie zuzuordnen sind. Maßgeblich sind dabei unter anderem Schwellenwerte wie Mitarbeitende und Umsatz. Für wichtige Einrichtungen gelten die Werte: weniger als 50 Mitarbeitende oder ein Umsatz bzw. Bilanzsumme von maximal 10 Millionen Euro.

Zur Unterstützung hat das BSI einen Entscheidungsbaum und ein Online-Tool entwickelt, womit sich die eigene Betroffenheit ermitteln lässt.

Die wichtigsten Pflichten für Unternehmen nach NIS-2

Sowohl für wichtige als auch besonders wichtige Einrichtungen gelten folgende Pflichten:

• Registrierung beim BSI in einem zweistufigen Verfahren. Zuerst beim digitalen Dienst "Mein Unternehmenskonto" (MUK), anschließend folgt die Registrierung im BSI-Portal. Auch dafür gibt es eine umfassende Hilfeseite des BSI.
• Vorfallsmanagement verpflichtet die Einrichtungen erhebliche Sicherheitsvorfälle dem BSI zu melden. Dazu gehören u.a. schwerwiegende Betriebsstörungen. Neben der Meldung sind effektive Prozesse zur Erkennung, Bewertung, Reaktion und Nachverfolgung von Vorfällen zu beschreiben und zu implementieren.
• Risikomanagement  implementieren und dokumentieren. Damit es nicht zu erheblichen Sicherheitsvorfällen kommt, werden die Einrichtungen verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen und zu dokumentieren. Das BSI zählt dazu mindestens diese 10 Maßnahmen:
  • Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik
  • Bewältigung von Sicherheitsvorfällen (Incident Response)
  • Aufrechterhaltung des Betriebs (Business Continuity Management), wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik
  • Grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik
  • Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren
  • Erstellung von Konzepten für die Sicherheit des Personals, die Zugriffskontrolle und für die Verwaltung von IKT-Systemen, -Produkten und -Prozessen (Asset Management)
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung (MFA) oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
• Die Verantwortung für die Umsetzung und Überwachung wird der Geschäftsleitung zugewiesen. Sie wird dafür haftbar gemacht und gesetzlich zu einer Schulung verpflichtet. Das BSI hat eine Handreichung mit Empfehlungen für die Schulung herausgegeben.

 Für besonders wichtige Einrichtungen gelten darüber hinaus:

• proaktive und vertiefte Aufsicht durch das BSI
• verpflichtende Audits
• schneller greifende und intensivere Sanktionen und behördliche Maßnahmen

Risikomanagement unter NIS-2: Wie VPN-Lösungen Unternehmen unterstützen

Zahlreiche der NIS-2-Anforderungen im Bereich Risikomanagement lassen sich mit der professionellen VPN- und Remote-Access-Lösung von NCP abdecken:

• Sichere Remote‑Zugänge. NIS‑2 verlangt den Schutz von Netzen vor unbefugtem Zugriff. NCP bietet granulare Zugriffskontrolle (rollenbasierte Policies, Endpoint‑Policies, zentrale Verwaltung) und Multi‑Faktor‑Authentifizierung (MFA) für den sicheren Zugang zu Netzwerken und Anwendungen. Diese Funktionen tragen direkt zu starker Authentifizierung und Zugriffssteuerung bei.
• Verschlüsselung von Datenübertragungen. NCP verschlüsselt den Datenverkehr Ende‑zu‑Ende per IPsec; dies erfüllt die Anforderung an angemessene Verschlüsselung und schützt die Vertraulichkeit sensibler Daten.
• Zentrale Verwaltung & Dokumentation. Unternehmensbereiche lassen sich mit der NCP VPN-Lösung zentral administrieren und logisch trennen; so wird die Ausbreitung von Angriffen begrenzt. Gleichzeitig werden Policies, Zertifikate und Zugriffe nachweisbar protokolliert.
• Schutz der Lieferkette. Durch MFA und Endpoint‑Policy‑Checks (z. B. Virenschutz, OS‑Version, Domänenzugehörigkeit) wird verhindert, dass unsichere Endgeräte oder externe Zugänge zum Einfallstor werden.
• Business Continuity-Unterstützung. Die VPN‑Failover‑Funktionen und zentrale Verwaltung tragen zur Verfügbarkeit bei und unterstützen die Betriebsaufrechterhaltung im Sinne von NIS‑2 (BCM/Redundanz).

Umsetzung von NIS-2: Fortschritte und verbleibende Herausforderungen

Die Umsetzung von NIS-2 ist bei den Unternehmen auch dank der intensiven Aufklärungsarbeit und Beratung durch das BSI in vollem Gange. Laut einer aktuellen Statista-Umfrage im Auftrag von G DATA haben 63 % der Unternehmen in Deutschland mit der Umsetzung begonnen, jedoch jedes vierte Unternehmen noch nicht.

Mit der Veröffentlichung des Gesetzes im Bundesgesetzblatt gilt NIS-2 nun ohne weitere Übergangsfristen. Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder bis zu zwei Prozent des Jahresumsatzes. Laut Medienberichten müssen Unternehmen aktuell jedoch nur in sehr extremen Fällen mit Bußgeldern rechnen, da das BSI eine wirtschaftsfreundliche Umsetzung anstrebt und Unternehmen nach Kräften bei der Umsetzung berät und unterstützt. NIS-2 soll schließlich Unternehmen helfen, sich vor Cybergefahren zu schützen. BSI-Präsidentin Claudia Plattner rechnet damit, dass sich mit der zunehmenden NIS-2-Umsetzung die IT-Sicherheitslage in Deutschland spürbar verbessern wird. Die nächsten Lageberichte des BSI werden dies zeigen.

Dennoch bleibt die Umsetzung insbesondere für kleinere Unternehmen mit begrenzten Ressourcen eine große Herausforderung. Gerade hier bieten integrierte Sicherheitslösungen wie die von NCP einen entscheidenden Vorteil: Mehrere NIS-2 Anforderungen lassen sich gleichzeitig und praxisnah erfüllen – ein wichtiger Schritt hin zu nachhaltiger Compliance und höherer IT-Sicherheit.

Die Gründe für diese Entwicklung liegen auf der Hand: Security-Experten decken regelmäßig kritische Sicherheitslücken in populären SSL–Gateways auf. Gleichzeitig stellen dauerhaftes Homeoffice und Zero-Trust-Konzepte höhere Anforderungen an VPN-Infrastrukturen. Mit einfachen Webportalen lassen sich diese komplexen Herausforderungen nicht mehr bewältigen.

IT-Verantwortliche betrachten die VPN-Wahl mittlerweile als strategische Entscheidung. Die Technik hinter den Kulissen beeinflusst schließlich das Sicherheitsniveau und die Produktivität der Mitarbeiter – höchste Zeit für einen ausführlichen Blick auf die Vor- und Nachteile beider Ansätze.

VPN-Technologien: Beide Ansätze schützen unterschiedliche Netzwerkebenen

In der Praxis laufen in vielen Unternehmen zwei VPN-Varianten, die unterschiedliche Ansätze verfolgen und jeweils spezifische Vorteile bieten.

SSL/TLS-basierte VPNs erleichtern den Zugang enorm. Ein Browser reicht aus: Website aufrufen, einloggen, fertig. Da die Technik auf Web-Standardprotokollen basiert, passiert sie problemlos Firewalls und NAT-Systeme. Die IT-Abteilung spart sich die Client-Verteilung, Nutzer müssen nichts installieren. Das ist insbesondere bei spontanen Zugriffen oder in Umgebungen mit Installationsverboten von Vorteil. 

IPsec-VPNs gehen grundlegender vor und setzen direkt auf der Netzwerkebene an. Der komplette Datenverkehr läuft durch einen Tunnel – egal ob Web, Mail oder Spezialanwendungen. IPsec wurde speziell für sichere Netzwerkverbindungen entwickelt und bietet eine entsprechend starke Verschlüsselung. Der Nachteil: Die Nutzung setzt einen installierten Client voraus. Der Vorteil: Die Nutzer arbeiten so, als säßen sie im Firmennetz.

Diese beiden VPN-Ansätze unterscheiden sich grundlegend in ihrer Architektur, wodurch sie sich für unterschiedliche Einsatzszenarien eignen.

Sicherheitstechnik: IPsec und SSL verschlüsseln nach eigenen Regeln

Ein Blick unter die Haube offenbart schnell die fundamentalen Unterschiede zwischen den beiden VPN-Varianten. Die Sicherheitsmerkmale leiten sich unmittelbar aus der Architektur ab, was sich besonders an den implementierten Verschlüsselungsverfahren zeigt.

SSL/TLS-VPNs nutzen die aus dem Web bekannten Protokolle TLS 1.2 und 1.3. Diese stehen permanent im Fokus der Security-Community, was zwar schnelle Patches garantiert, aber Angreifern auch viel Analysematerial liefert. Die Verschlüsselung erfolgt auf Anwendungsebene, was gezielten Zugriff auf einzelne Programme ermöglicht. Funktionen wie Perfect Forward Secrecy stellen sicher, dass selbst bei einem geknackten Schlüssel ältere Daten geschützt bleiben.

IPsec nutzt eine Kombination aus IKE für den Schlüsselaustausch und ESP für die Datenverschlüsselung. Typischerweise kommt AES 256 zum Einsatz – stark genug, dass selbst das BSI es für Verschlusssachen bis VS-NfD zulässt. Die Verschlüsselung greift bereits auf Netzwerkebene, bevor Anwendungsdaten überhaupt verarbeitet werden. Der Client prüft zusätzlich lokale Sicherheitsrichtlinien und kontrolliert beispielsweise den Status von Firewall und Virenscanner.

Bei der Geschwindigkeit zeigen sich Unterschiede: SSL/TLS-VPNs arbeiten effizient bei einzelnen Anwendungen, während IPsec beim allgemeinen Netzwerkzugriff und datenintensiven Programmen punktet. Die schlanke Protokollstruktur minimiert den Overhead – ein spürbarer Vorteil für CAD-Anwender, Videoschnitt oder Software-Entwicklung.

Anwendungsfälle: Diese Szenarien bestimmen die optimale VPN-Wahl

Welche VPN-Lösung am besten passt, entscheidet sich im Praxiseinsatz. SSL-VPNs glänzen bei sporadischen Zugriffen oder in abgeschotteten Umgebungen. Die IPsec-Variante spielt hingegen ihre Trümpfe in vier typischen Unternehmensszenarien aus:

• Standortvernetzung: Zwischen Niederlassungen und Rechenzentren sorgen Site-to-Site-Konfigurationen für durchgehende Tunnelverbindungen. Ein Mitarbeiter in Hamburg greift auf Daten in München zu, als wäre es das Nachbarbüro.
• Legacy-Systeme: Viele Fachanwendungen nutzen proprietäre Protokolle ohne Web-Unterstützung. Denken Sie an die Warenwirtschaft aus den 2000er-Jahren mit ihren dicken Clients. Hier bietet nur IPsec vollen Netzwerkzugriff.
• Remote-Arbeitsplätze: Wer täglich im Homeoffice arbeitet, braucht mehr als nur einen gelegentlichen Web-Zugang. Entwickler nutzen Git-Repositories, Designer greifen auf zentrale Mediendatenbanken zu – IPsec bindet diese Arbeitsplätze nahtlos ins Firmennetz ein.
• Regulierte Branchen: Banken, Versicherungen und das Gesundheitswesen unterliegen strengen Vorschriften. Die nachweisbare Ende-zu-Ende-Verschlüsselung von IPsec mit präziser Zugriffssteuerung erleichtert die Compliance-Einhaltung.

SSL-VPNs behalten ihren Platz bei kurzen Zugriffen und BYOD-Szenarien – wenn zum Beispiel ein Vertriebsprofi auf dem Kunden-iPad schnell eine Präsentation abrufen muss.

Zero Trust: Moderne Sicherheitskonzepte setzen auf robuste VPN-Lösungen

VPN-Technik entwickelt sich zum Eckpfeiler moderner Sicherheitskonzepte. Besonders im Zero-Trust-Modell spielen VPNs eine zentrale Rolle – allerdings mit einem neuen Ansatz: Statt pauschal Zugang zum gesamten Netzwerk zu gewähren, folgen sie jetzt dem „Vertraue niemandem, prüfe alles“-Prinzip.

• Zero Trust mit IPsec-VPN verbindet klassische Netzwerksicherheit mit ständigen Überprüfungen. Der IPsec-Client kontrolliert nicht nur die Identität beim Verbindungsaufbau, sondern überwacht auch fortlaufend den Gerätezustand und die Zugriffsrechte. Ein Entwickler erhält so präzisen Zugriff auf Git-Repositories, aber nicht auf Finanzdaten – selbst wenn beides im gleichen Netzwerk liegt.
• Mikrosegmentierung wird durch moderne VPN-Technologien erst praktikabel umsetzbar. Statt eines großen Unternehmensnetzwerks entstehen isolierte Sicherheitszonen. IPsec-VPN eignet sich mit seiner tiefen Netzwerkintegration hervorragend, um diese Segmente gezielt zu verbinden, ohne Sicherheitsgrenzen aufzuweichen.

Die Zukunft liegt in der smarten Kombination: Zero-Trust-Architekturen treffen kontextbasierte Entscheidungen und wählen automatisch die passende VPN-Technologie. Faktoren wie Gerätezustand, Standort und Anwendungskritikalität bestimmen den Verbindungstyp. Für den Anwender bleibt dieser Prozess unsichtbar.

Fazit: Unternehmensspezifische Faktoren bestimmen die VPN-Strategie

Die Entscheidung zwischen verschiedenen VPN-Technologien bleibt letztlich eine nüchterne Abwägung technischer Faktoren. IPsec empfiehlt sich für Firmennetzwerke durch starke Verschlüsselung und zuverlässige Performance bei Dauerverbindungen, während SSL/TLS-Varianten bei spontanen Zugriffen überzeugen. Praktische Fragen sollten entscheiden: Welche Anwendungen benötigt die Firma? Wie mobil arbeiten die Mitarbeiter? Welche Endgeräte kommen zum Einsatz?

IT-Teams müssen ihre Sicherheitsstrategie kontinuierlich an hybride Arbeitsmodelle, neue Bedrohungen und Compliance-Vorgaben anpassen. Die Zukunft gehört integrierten Security-Plattformen, die verschiedene Zugangstechnologien zentral steuern und Benutzerfreundlichkeit mit höchsten Schutzstandards verbinden. In diesem komplexen Umfeld hat sich die technische Expertise spezialisierter Anbieter als besonders wertvoll erwiesen.

Die IPsec-Technologie von NCP findet sich in zahlreichen sicherheitskritischen Branchen. Unsere Spezialisten erläutern Ihnen gerne, wie auch Ihre IT-Infrastruktur von diesem Erfahrungsschatz profitieren kann – für eine Netzwerksicherheit, die aktuellen und künftigen Herausforderungen gewachsen ist.

Jetzt mehr erfahren: Leistungsstarke Enterprise-VPN-Lösungen

Ransomware trifft mittlerweile Firmen aller Branchen und Größen. Der Bitkom-Verband berichtete im Herbst 2024, dass etwa 60 Prozent der Unternehmen in Deutschland innerhalb eines Jahres angegriffen wurden. Bei fast jedem dritten der befragten tausend Unternehmen entstanden konkrete Schäden – von Produktionsausfällen über zusätzliche IT-Dienstleisterkosten bis hin zu direkten Lösegeldzahlungen an die Angreifer. Besonders alarmierend: Die durchschnittliche Schadenshöhe steigt kontinuierlich, während die technischen Einstiegshürden für Kriminelle sinken.

Ransomware-Taktiken: Wie Cyberkriminelle ihre Erpressungstaktiken verfeinern

Statt nur Lösegeld für die Entschlüsselung von Unternehmensdaten zu verlangen, setzen Cyberkriminelle inzwischen auf komplexere Ransomware-Strategien: Sie kopieren sensible Informationen zunächst und verschlüsseln diese erst danach. Doch warum nehmen die Angreifer diesen Mehraufwand in Kauf? Das Exfiltrieren großer Datenmengen (oft handelt es sich um TByte) kostet schließlich Zeit und erhöht das Entdeckungsrisiko.

Die Taktik funktioniert aus Sicht der Angreifer allerdings erstaunlich gut: Kein Opfer zahlt freiwillig mehrfach für die bloße Wiederherstellung seiner Daten. Anders verhält es sich, wenn es sich um vertrauliche Kundeninformationen, Finanzdaten oder Geschäftsgeheimnisse handelt, mit deren Veröffentlichung gedroht wird. Die Kriminellen kalkulieren das erhöhte Risiko deshalb bewusst ein und nutzen ausgefeilte Techniken, um unter dem Radar der Sicherheitssysteme zu bleiben.

Mit dieser Doppelstrategie erzielen sie deutlich höhere Lösegeldsummen, und Sicherheitsanalysten registrieren einen stetigen Anstieg solcher Angriffe. Das Problem: Niemand weiß, ob die Erpresser nach der Lösegeldzahlung wirklich alle Kopien löschen. Zudem verkaufen Cyberangreifer die gestohlenen Daten häufig weiter, was zu weiteren Erpressungsversuchen durch andere kriminelle Gruppen führt. Diese Verkettung von Angriffen belastet betroffene Organisationen oft über Monate hinweg.

Double Extortion: Warum traditionelle Back-ups nicht mehr ausreichen

Diese als Double Extortion bekannte doppelte Erpressung erhöht den Zahlungsdruck auf die Opfer erheblich. Der klassische Rat gegen Ransomware – regelmäßige Back-ups – läuft ins Leere. Datensicherungen bleiben zwar wichtig, schützen aber nicht vor der Drohung, gestohlene Informationen zu veröffentlichen. Stattdessen müssen die betroffenen Unternehmen immer mit einer Veröffentlichung der gestohlenen Daten rechnen, wobei die Konsequenzen einer Publikation oft verheerend sind. Häufig leidet darunter der gute Ruf, darüber hinaus kann es zu finanziellen Verlusten und juristischen Schwierigkeiten kommen.

In letzter Zeit kämpften zahlreiche Ransomware-Opfer nicht nur mit verschlüsselten Daten, sondern auch mit deren Diebstahl und anschließenden Erpressungsversuchen. Der deutsche Sportartikelhersteller Adidas bestätigte Ende Mai 2025, dass ein „unbefugter Akteur über einen Dienst eines Drittanbieters Kundendaten abgreifen konnte“. Kurz zuvor traf es die Berliner Verkehrsbetriebe (BVG), wo Angreifer Zugriff auf bis zu 180.000 Kundendaten erlangten, wie das Unternehmen einräumen musste.

Weitere Angriffe trafen den Autovermieter Hertz und 59 nicht näher genannte Firmen, deren Erpresser Anfang des Jahres mit der Veröffentlichung sensibler Daten drohten. Diese Fälle zeigen jedoch nur die Spitze des Eisbergs. Zahlreiche Unternehmen zahlen vermutlich still und heimlich Lösegeld, um größere Schäden abzuwenden.

Sicherheitskonzepte: Wie Unternehmen Double Extortion effektiv abwehren

Ein gut funktionierendes und ausgiebig getestetes Back-up-System zählt zu den wichtigsten Verteidigungsmaßnahmen gegen Ransomware-Attacken. Insbesondere unternehmenskritische Daten sollten regelmäßig gesichert und am besten per Air Gap geschützt aufbewahrt werden. Darüber hinaus muss die Wiederherstellbarkeit der Back-ups gesichert sein – im Angriffsfall muss es gelingen, die Daten schnell und vollständig wiederherzustellen.

Auch die Schulung und Sensibilisierung der Mitarbeiter spielt eine zentrale Rolle. Nur wer die aktuellen Gefahren kennt, fällt nicht auf die nächstbeste Phishing-Mail herein, über die dann Schadcode ins Unternehmen gelangt.

Ebenfalls unverzichtbar sind Firewalls an den Übergängen in öffentliche Netze sowie IDS-/IPS-Systeme (Intrusion Detection, Intrusion Prevention). Mit ihnen lassen sich eingedrungene Angreifer ertappen und unschädlich machen. Da viele Mitarbeiter aber mittlerweile von außen auf die Unternehmensressourcen zugreifen, benötigen Firmen auch eine VPN-Lösung mit Enterprise-Funktionalität. Damit lassen sich die Verbindungen absichern.

MFA-Systeme und strenge Zugriffsrechte halten Erpresser auf Distanz. Statt Angestellten und externen Partnern pauschal Berechtigungen zu erteilen, sollte das Least-Privilege-Prinzip konsequent zum Einsatz kommen. Wer nur die minimal notwendigen Zugriffsrechte besitzt, kann auch bei kompromittierten Accounts weniger Schaden anrichten. Ergänzend dazu verhindert eine durchdachte Netzwerksegmentierung, dass sich Angreifer nach einem erfolgreichen Einbruch ungehindert lateral durch die IT-Infrastruktur bewegen. Bei diesem Konzept werden kritische Systeme voneinander isoliert, um Attacken frühzeitig einzudämmen.

Die Einführung einer Zero-Trust-Architektur erfordert deutlich mehr Aufwand. Bei diesem Modell vertraut das System grundsätzlich weder Nutzern noch Geräten. Es prüft jeden Zugriff einzeln und gewährt diesen – selbst nach erfolgreicher Autorisierung – nur für einen streng begrenzten Zeitraum. Moderne Endpoint-Security-Lösungen ergänzen dieses Konzept ideal. Aktuelle Updates und eine zentrale Steuerung garantieren eine wirksame Malware-Abwehr.

Zu guter Letzt erfordert effektive IT-Sicherheit eine durchdachte Notfallplanung. Ein rechtzeitig aufgestellter Incident-Response-Plan definiert klare Maßnahmen und Schritte für den Fall eines Cyberangriffs. Außerdem legt er eindeutige Verantwortlichkeiten fest – ein Aspekt, den viele Unternehmen in ihrer Notfallplanung übersehen.

Fazit: Die wirksamste Verteidigung gegen Double Extortion kombiniert klassische Schutzmaßnahmen mit einem modernen Zero-Trust-Ansatz. Die eingesetzten Komponenten müssen sich in bestehende IT-Landschaften integrieren, ohne den Betrieb zu stören. Interoperabilität und offene Standards vermeiden dabei Lock-in-Effekte und gewährleisten eine langfristige Flexibilität.

Grundlagen moderner Zero-Trust-Konzepte

Gravierende Auswirkungen für Unternehmen

Unternehmen dürfen dann nicht mehr ohne Weiteres personenbezogene Daten in die USA übertragen. Denn das Data Privacy Framework ist aktuell die Rechtsgrundlage gemäß Art. 45 DSGVO, die den Transfer in die USA erlaubt. Es stellt sicher, dass Daten von EU-Bürgern in den USA genauso geschützt sind wie in der EU, insbesondere im Hinblick auf: Betroffenenrechte, Transparenz und Rechtsschutz gegen Überwachung durch US-Behörden. Nur US-Unternehmen, die sich dem Data Privacy Framework freiwillig anschließen und zertifizieren lassen, dürfen Daten aus der EU empfangen. Die Zertifizierung erfolgt beim U.S. Department of Commerce.

Dieser für europäische Unternehmen vergleichsweise einfache Weg würde nun wegfallen. Unternehmen müssten jeden Transfer individuell prüfen und mittels Standardvertragsklauseln (SCCs) oder Binding Corporate Rules (BCRs) regeln, was mit einem erheblichen Aufwand und Kosten verbunden ist. Denn die rechtlichen Anforderungen an SCCs wurden durch das Schrems II-Urteil deutlich verschärft. Manche Transfers könnten rechtlich nicht mehr zulässig sein, vor allem wenn zusätzliche Garantien auf amerikanischer Seite nicht möglich sind. 

Welchen Plan-B haben die Bundesregierung und die EU-Kommission

Der Ball liegt in diesem Fall eindeutig im Feld der EU-Kommission, diese muss ein neues Abkommen mit den USA schließen, das den Anforderungen der EuGH-Urteile (Schrems I & II) genügt. Dazu gehören: Rechtlich belastbare Zusicherungen der US-Regierung zum Schutz personenbezogener Daten, unabhängige Rechtsbehelfe für EU-Bürger in den USA sowie Verhältnismäßigkeit und Transparenz bei Datenzugriffen durch US-Behörden. Die Bundesregierung würde sich auf EU-Ebene und in Gesprächen mit der US-Regierung dafür einsetzen, dass ein solches Abkommen schnell geschlossen wird.

Für die Zwischenzeit bzw. als Notlösung könnte die EU-Kommission auch einen beschränkten Angemessenheitsbeschluss erlassen, der den Transfer für bestimmte Branchen erlaubt, wie z.B. Finanzdienstleistungen. 

Warum Datenschutz für Unternehmen ein Standortvorteil ist

Die Datenskandale bei großen US-Anbietern sind nicht ohne Folgen geblieben. Die öffentliche Reaktion in den Medien und letztlich auch an den Börsen haben dafür gesorgt, dass sich die US-Techgiganten seitdem verstärkt um Datenschutz bemühen und vor allem IT-Lösungen aus Deutschland, die höchste Datenschutzanforderungen erfüllen, sehr gefragt sind. Es hat sich gezeigt, dass den Verbrauchern der Schutz ihrer Daten wichtig ist. Das heißt, Unternehmen, die ihren Kunden ein hohes Datenschutzniveau bieten können, sind klar im Vorteil. Insbesondere Deutschland, wo die DSGVO-Umsetzung sehr ernstgenommen und auch kontrolliert wird, ist so zum Aushängeschild geworden.

Wie kann eine professionelle VPN-Lösung beim Datenschutz helfen?

Eine bewährte Methode zur Geheimhaltung vertraulicher Unternehmensdaten und für den Datenschutz ist der Einsatz einer zentral gemanagten Virtual Private Networking (VPN)-Software. Sie garantiert, dass die Kommunikation und der Datenaustausch zwischen allen Endgeräten Ende-zu-Ende verschlüsselt und damit sicher ist. Wenn das Data Privacy Framework mit den USA nicht mehr gilt, können sich Unternehmen mit einer solchen VPN-Lösung dahingehend behelfen, dass die Daten in der EU gespeichert sind und US-Mitarbeiter oder Mitarbeiter des Kunden- oder Partnerunternehmens via VPN Zugriff auf Systeme in der EU haben. In solchen Fällen findet rechtlich gesehen, kein tatsächlicher Datentransfer in die USA statt, lediglich ein gesicherter Zugriff aus den USA auf europäische Daten. Dies dürfte vielen Unternehmen helfen, Zeit und Kosten zu sparen und auch weiterhin rechtssicher zu agieren

Mit den Lösungen von NCP sind Ihre Daten auch dann umfassend geschützt, wenn das EU-US Data Privacy Framework wegfallen sollte, da sie ausschließlich europäischen Datenschutzstandards unterliegen und keinerlei Zugriff durch ausländische Behörden ermöglichen. So bleiben Ihre Daten unabhängig von internationalen Abkommen jederzeit DSGVO-konform und rechtssicher verarbeitet.

Hier erfahren Sie mehr über VPN Lösungen.

Die IT-Abteilung wiegt sich in Sicherheit: Eine Firewall schirmt das Netzwerk gegen Angriffe ab, Deep-Packet-Inspection filtert verdächtigen Traffic, Applikationskontrolle und Geo-IP-Blocking halten unerwünschte Hacker fern. Niemand dringt hier unbemerkt ein – so die Theorie. Doch plötzlich registriert das Monitoring verdächtige Zugriffe auf kaum genutzte Systeme. Gleichzeitig lädt jemand massenhaft Daten herunter und verschickt sie über nicht freigegebene Cloud-Dienste wie Dropbox. Moment mal, das Netzwerk war doch eigentlich bombensicher?! Eigentlich.

Sicherheitslage: Perimeterschutz reicht nicht mehr aus

Wer heute noch glaubt, der Perimeter allein schütze vor Attacken, könnte bald sein blaues Wunder erleben. Moderne IT-Umgebungen sind längst nicht mehr so gleichmäßig und zentralisiert aufgebaut wie früher. In der „guten alten Zeit“ gab es noch ein klar definiertes Rechenzentrum, das die Mitarbeiter mit allem versorgte. Das Netzwerk war zudem klar getrennt in Außenwelt („böse“) und Innenleben („gut“). Am Übergang sorgten Firewalls dafür, dass keine Angreifer eindringen konnten. 

Heute erfolgen Zugriffe auf die IT-Infrastruktur von nahezu überall aus. Die Angreifer befinden sich nicht mehr nur außerhalb der eigenen Umgebung, sondern immer öfter mittendrin. Es sind aber keine klassischen Hacker, sondern die sogenannten Insider – also eigene Mitarbeiter, die mehr oder weniger absichtlich Schaden verursachen. 

Mehr als vier von fünf Unternehmen waren in den vergangenen zwölf Monaten mindestens einmal das Opfer eines durch einen Insider verursachten Cybersecurity-Vorfalls, berichten das Online-Magazin Cybersecurity Insiders und Securonix in ihrem „2024 Insider Threat Report“. Nur 17 Prozent der Befragten mussten sich 2024 nicht mit mindestens einem Insider auseinandersetzen. Im Jahr davor waren es noch 40 Prozent, die keine internen Attacken erlebten. Ein Drittel der Befragten gab zudem an, dass die Zahl der Insider-Angriffe gleich geblieben war. Fast jeder zweite Befragte berichtete über eine Zunahme.

Ähnliche Zahlen liefert der Schulungsanbieter StationX. Demnach verzeichneten 76 Prozent der Firmen in den vergangenen fünf Jahren einen Anstieg von Insider-Bedrohungen. Allein zwischen 2023 und 2024 stieg die Zahl der durch Insider verursachten Datenleaks um 28 Prozent. 

Mitarbeiterfehler: Unachtsamkeit verursacht die meisten Vorfälle

Hinter IT-Security-Vorfällen steckt nicht immer böse Absicht. Fehler von Angestellten lösen rund 88 Prozent aller Sicherheitsprobleme aus oder verschärfen sie zumindest erheblich. Mehr als jeder zweite Vorfall geht schlicht auf das Konto unachtsamer oder nachlässiger Mitarbeiter.

In den StationX-Umfragen gibt etwa jeder zweite Beschäftigte freimütig zu, „ziemlich sicher“ oder „sehr sicher“ schon einmal einen Fehler begangen zu haben, der die IT-Sicherheit gefährdet hat. Auffällig dabei: Mit zunehmendem Alter sinkt die Bereitschaft zum Eingeständnis solcher Patzer drastisch. Während die Hälfte der 18- bis 30-Jährigen sicherheitsrelevante Fehler zugibt, räumen bei den über 51-Jährigen nur noch zehn Prozent solche Fehltritte ein.

Folgende Zahl verdeutlicht, wie leicht man selbst Teil eines Insider-Vorfalls werden kann: Fast die Hälfte der Datenschutzvorfälle (45 Prozent) treten auf, weil jemand unabsichtlich vertrauliche Daten an die falsche E-Mail-Adresse geschickt hat. Jeder vierte Insider-Vorfall wird durch einen böswilligen Akteur ausgelöst. Als Beispiele nennt der Schulungsanbieter hier Angestellte oder andere „autorisierte Personen“, die ihre Zugriffsrechte für „schädliche, unethische oder illegale Aktivitäten“ missbrauchen. Genau diese Attacken sind es auch, die zahlreichen Sicherheitsexperten (74 Prozent) die größten Sorgen bereiten, so StationX. Im Vergleich zu externen Bedrohungen glaubt zudem fast jeder Zweite (48 Prozent), dass Insider-Angriffe schwerer zu erkennen und zu verhindern sind als Attacken von außen.

Risikominimierung: Zero-Trust-Modell schützt sensible Daten

Angesichts der massiven Bedrohung drängt sich die Frage auf: Wie kann man sich gegen Insider-Attacken schützen? Die Lösung ist nicht einfach, aber machbar. Da die meisten internen Angreifer vor allem Daten abgreifen, auf die sie gar keinen Zugriff haben sollten, müssen Firmen genau hier den Hebel ansetzen.

Das Zero-Trust-Modell eignet sich perfekt dazu, Zugriffe zu begrenzen, da es Schluss macht mit dem Vertrauen im internen Netz. Egal, von wo und von wem eine Anfrage kommt: Nach dem Zero-Trust-Prinzip muss sie erst genau geprüft und dann autorisiert werden. Ohne explizite Freigabe ist kein Zugriff mehr möglich – nicht einmal mehr für die früher allmächtigen Administratoren. Auch sie erhalten für eine bestimmte Aufgabe nur eng begrenzte Zugriffsrechte, die zudem nach kurzer Zeit wieder ablaufen.

Zusätzlichen Schutz bietet die Segmentierung des Netzwerks in kleine, strikt voneinander getrennte Einheiten. So kann ein Insider zum Beispiel nicht einfach im Netzwerk nach freigegebenen Laufwerken suchen und von dort Daten entwenden. Jeder Zugriff muss zudem überwacht und protokolliert werden, um verdächtigen Aktivitäten jederzeit nachgehen zu können. 

Falls es noch keine Security-Awareness-Trainings im Unternehmen gibt, dann sollten diese möglichst bald stattfinden und auch das Insider-Thema beinhalten. Auch für den Fall, dass jemand das Unternehmen verlässt, muss es genau definierte und überwachte Offboarding-Prozesse geben. Das verhindert, dass nach dem Ausscheiden eines Beschäftigten seine Zugänge und Passwörter weiter aktiv bleiben. Mit den genannten Maßnahmen lassen sich die Risiken durch Insider deutlich reduzieren.

Jetzt mehr erfahren: NCP und das Zero-Trust-Konzept

Die Kennzeichnung VS-NfD ist mehr als nur ein Stempel auf Dokumenten. Für Behörden und deren Dienstleister markiert sie den Mindeststandard im Umgang mit schutzbedürftigen Informationen. Die Klassifizierung regelt präzise, welche Daten unter welchen Bedingungen weitergegeben werden dürfen – und welche nicht.

Vertraulichkeitsgrade: Unternehmen schützen Daten nach gesetzlichen Vorgaben

Vertrauliche Informationen benötigen unterschiedliche Schutzlevel. Landen sensible Daten bei Unbefugten, entstehen schnell politische, wirtschaftliche oder sicherheitstechnische Schäden. Das Sicherheitsüberprüfungsgesetz (SÜG) etabliert deshalb ein vierstufiges Klassifizierungssystem, wobei VS-NfD die erste Stufe darstellt.

Paragraph 4 des SÜG regelt, was Verschlusssachen sind. Darunter fallen „geheimhaltungsbedürftige Tatsachen, Gegenstände oder Erkenntnisse“ sowie „Produkte und die dazugehörenden Dokumente sowie zugehörige Schlüsselmittel zur Entschlüsselung, Verschlüsselung und Übertragung von Informationen (Kryptomittel)“.

Der Gesetzgeber zielt auf den „Schutz des Wohles des Bundes oder eines Landes“ ab. Die VS-NfD-Einstufung gilt, wenn unbefugte Kenntnisnahme „für die Interessen der Bundesrepublik Deutschland nachteilig sein kann“. Darüber liegen drei weitere Stufen mit höheren Anforderungen:

• VS-Vertraulich: Wenn unbefugte Kenntnisnahme deutschen Interessen erheblich schadet
• Geheim: Wenn unbefugte Kenntnisnahme die Sicherheit Deutschlands gefährdet
• Streng geheim: Wenn unbefugte Kenntnisnahme eine existenzielle Bedrohung darstellt

Die VS-NfD-Markierung fungiert als Warnsignal: Achtung, hier liegt schutzbedürftiges Material vor! Angestellte entwickeln dadurch mehr Aufmerksamkeit beim Mailversand, in Besprechungen und bei der Dokumentenverwaltung.

VS-NfD steht nicht für absolute Geheimhaltung, verlangt jedoch angemessene Sorgfalt. Gelangen solche Informationen an Unbefugte, könnten Angreifer Systemschwächen erkennen oder Sicherheitslücken aufspüren. Genau diese Bedrohungen soll die Einstufung verhindern.

Zugriffskontrolle: Need-to-know-Prinzip minimiert Datenleck-Risiken

VS-NfD macht Datenflüsse transparent und nachvollziehbar. Den Kern des Sicherheitskonzepts bildet das Need-to-know-Prinzip: Zugriff erhält nur, wer die Daten für seine Arbeit unbedingt benötigt. Jede Zugriffsanfrage durchläuft eine strenge Prüfung, zum Beispiel: „Wäre die Arbeit auch ohne diese Information möglich?“

Ist der Zugriff nicht zwingend erforderlich, bleibt die Freigabe verwehrt. Dieses Prinzip minimiert die Verbreitung sensibler Daten bei maximaler Kontrolle. Mit jedem gesperrten Zugang sinkt das Risiko für Datenlecks – ob durch Mitarbeiterfehler, Systemschwächen oder Hackerangriffe.

Diese Zugangsbeschränkungen erschweren auch Cyberangriffe. Angreifer sehen stets nur einen kleinen Ausschnitt der gesamten Informationen, was ihre Aktivitäten verlangsamt und die Wahrscheinlichkeit für eine frühzeitige Entdeckung erhöht.

Behörden und ihre Partner brauchen dafür ein rollenbasiertes Berechtigungskonzept jenseits klassischer Hierarchien. Ein Entwickler benötigt normalerweise keinen Zugriff auf Personaldaten, ein Vertriebsmitarbeiter keinen Zugang zum Quellcode. Zugriffsrechte erfordern regelmäßige Überprüfungen und erlöschen automatisch nach Wegfall der Notwendigkeit.

Die VS-NfD-gerechte Zugriffssteuerung erfolgt mithilfe mehrerer Technologien:

• Zugriffskontrolllisten filtern Datenverkehr nach vordefinierten Regeln
• Netzwerksegmentierung isoliert sensible Bereiche
• Professionelle VPN-Lösungen schaffen abhörsichere Verbindungen
• Zero-Trust-Architekturen verifizieren jeden Zugriffsversuch kontinuierlich
• Echtzeit-Monitoring erkennt verdächtige Aktivitätsmuster

Die genannten Technologien decken die grundlegenden Anforderungen der VS-NfD-Klassifizierung ab. In der Praxis bleibt jedoch die Balance zwischen Sicherheitsprotokollen und Arbeitseffizienz eine kontinuierliche Herausforderung für IT-Abteilungen.

Rechtliche Vorgaben: VS-NfD-Einhaltung bestimmt Ausschreibungserfolge

Seit März 2023 gilt die überarbeitete Verschlusssachenanweisung (VSA) als zentrales Regelwerk neben dem SÜG. Die Neufassung verschärft die Anforderungen an digitale Kommunikationswege. Weil zahlreiche Anwender mit der praktischen Umsetzung kämpften, legte das Bundesinnenministerium nach: Eine umfangreiche FAQ-Sammlung liefert Antworten auf Detailfragen zur Dokumentenhandhabung und zu technischen Mindeststandards.

Wer Aufträge mit vertraulichen Informationen anstrebt, muss den korrekten Umgang mit diesen Daten nachweisen. Fehlt die VS-Kennzeichnung, scheitern Unternehmen bereits an der Zulassung bei öffentlichen Aufträgen oder sicherheitskritischen Projekten.

Bei mangelhafter VS-NfD-Umsetzung drohen rechtliche Konsequenzen und der Ausschluss von künftigen Ausschreibungen. Besonders bei Rüstungsprojekten müssen die beteiligten Firmen alle relevanten Unterlagen korrekt als VS-NfD klassifizieren. Versäumnisse verletzen Auftraggebervorgaben und gefährden im schlimmsten Fall die nationale Sicherheit.

Technische Umsetzung: VS-NfD-Schutz erfordert zertifizierte Lösungen

Das BSI unterzieht VS-NfD-Systeme einer rigorosen Prüfung. Unternehmen, die Behördenaufträge anstreben, benötigen zwingend diese Zertifizierung für ihre IT-Infrastruktur. Die Prüfverfahren konzentrieren sich auf drei technische Schlüsselbereiche:

1. Fortschrittliche Kryptografie
2. Multi-Faktor-Authentifizierung
3. Behördenkonforme VPN-Infrastrukturen

Die Elliptische-Kurven-Kryptografie bietet Unternehmen entscheidende Vorteile im Behördengeschäft. ECC-Verschlüsselung mit 256 Bit arbeitet ressourcenschonender als vergleichbare RSA-Verfahren, die mehrere tausend Bit benötigen. Server laufen dadurch stabiler, während Mitarbeiter schneller sichere Verbindungen aufbauen.

BSI-geprüfte Zufallsgeneratoren erzeugen kryptografische Schlüssel nach strengen Kriterien. Diese komplexen Schlüssel erschweren Hackern das Eindringen und bilden die Grundlage der VS-NfD-konformen Sicherheitsarchitektur. Das Prinzip der getrennten Berechtigungen funktioniert dabei wie Schotten in einem Schiff – wird ein Bereich kompromittiert, bleibt das Gesamtsystem intakt.

Besondere Herausforderungen wie öffentliche Hotspots oder restriktive Firewalls meistern moderne VS-NfD-Lösungen mit speziellen Funktionen: Gesicherte Hotspot-Anmeldeverfahren und VPN Path Finder Technology etablieren selbst in problematischen Netzwerkumgebungen sichere Verbindungen zu Behördenservern.

Fazit

Behörden und Unternehmen stehen in der Pflicht: Wer sensible Daten verarbeitet, muss angesichts wachsender Cyberbedrohungen robuste Schutzmaßnahmen nachweisen. Die SÜG-Schutzklassen bilden das Fundament der Sicherheitsarchitektur. Wer gegen VS-NfD-Regelungen verstößt, dem drohen Ausschlüsse, Bußgelder oder langfristige Reputationsschäden.

Um diese Risiken zu vermeiden, zeichnet das BSI nur solche Unternehmen als „qualifizierte Hersteller“ aus, die höchste Sicherheitsstandards in ihrer gesamten Entwicklungskultur nachweisen. Diese kontinuierlich überprüften Anbieter garantieren langfristige Sicherheit für VS-NfD-Umgebungen – etwa bei Herausforderungen wie der sicheren Nutzung öffentlicher Hotspots oder Remote-Zugriffen, die Firewalls überwinden müssen.

Sichern Sie jetzt Ihre VS-NfD-konforme Datenkommunikation

Unternehmen expandieren zunehmend über Landesgrenzen hinweg. Ob durch Neugründungen, Übernahmen oder Fusionen – mit jedem neuen Standort steigt der Bedarf an sicheren und stabilen Datenverbindungen. Plötzlich müssen sensible Unternehmensdaten über Kontinente hinweg fließen.

Die bewährte Lösung dafür: Virtual Private Networks (VPNs). Sie packen Datenpakete in verschlüsselte Tunnel und schirmen sensible Firmeninformationen vor neugierigen Blicken ab. Gleichzeitig ermöglichen sie Mitarbeitern in Tokio oder São Paulo den Zugriff auf zentrale ERP-Systeme oder Entwicklungsserver – als säßen sie direkt neben dem Rechenzentrum.

Doch der weltweite VPN-Roll-out birgt Tücken. Wer in Shanghai sitzt und eine VPN-Verbindung zum Hauptquartier nach Deutschland aufbaut, erlebt oft böse Überraschungen: Chinas „Great Firewall“ schlägt zu – Verbindungen brechen ab, manche Protokolle funktionieren gar nicht.

Compliance: Länderspezifische Regulierungen blockieren VPN-Projekte

Europa mit der DSGVO, Kalifornien mit dem CCPA und Brasilien mit dem LGPD – überall gelten andere Spielregeln für die Speicherung, die Verarbeitung und den Transfer personenbezogener Daten. Ein rechtlicher Flickenteppich, der IT-Verantwortliche verzweifeln lässt. Wer speichert welche Verbindungsdaten wo und wie lange? Dürfen Log-Files mit Nutzerdaten überhaupt zwischen Kontinenten transferiert werden? Diese konkreten Compliance-Fragen stoppen so manchen VPN-Roll-out noch vor dem Start.

Noch härter trifft es Unternehmen mit Niederlassungen in China. Die dortige Firewall erkennt und blockt VPN-Verbindungen mittlerweile zuverlässig durch Deep Packet Inspection. Die Türkei betreibt ebenfalls strenge Netzfilter. Manche Staaten regulieren auch den Einsatz bestimmter Verschlüsselungsstandards oder Hardware-Komponenten. Frankreich beschränkt die maximale Schlüssellänge, während Indien für bestimmte Verschlüsselungsverfahren eine Hinterlegung der Schlüssel verlangt. Dies führt zu Lieferverzögerungen, Strafzahlungen oder kompletten Roll-out-Stopps.

Mittlerweile gibt es aber bereits Lösungen am Markt, die VPN-Verbindungen auch in IPsec-feindlichen Umgebungen – in denen der IPsec-Verkehr beispielsweise durch Firewalls blockiert wird – sicher aufbauen können. Eine davon ist die NCP VPN Path Finder Technologie.

Die Wahl der richtigen VPN-Architektur hängt entscheidend von Unternehmensgröße, bestehender Infrastruktur und lokalen Gegebenheiten ab. Site-to-Site-VPNs dominieren nach wie vor den Markt. Sie verbinden feste Standorte direkt miteinander – ideal für den Transfer großer Datenmengen.

On-Premise-VPN-Lösungen punkten mit voller Kontrolle über die eigene Sicherheitsinfrastruktur und maßgeschneiderten Compliance-Lösungen. Besonders Banken, Kliniken und Behörden setzen daher nach wie vor auf lokale VPN-Infrastrukturen.

Doch selbst die sicherste Verbindung bringt wenig, wenn Teams in Videokonferenzen nur verpixelte Standbilder sehen oder Dateitransfers stundenlang dauern. Besonders bei interkontinentalen Verbindungen wirken sich Latenzzeiten massiv aus. Abhilfe schaffen strategisch platzierte VPN-Gateways in verschiedenen Regionen, lokales Caching und intelligente Traffic-Priorisierung. Die Gateways sollten schnell und einfach flächendeckend ausrollbar sein. Geschäftskritische Anwendungen benötigen zudem redundante Leitungen mit automatischen Failover-Mechanismen.

Technologiemix: Moderne Ansätze ergänzen das On-Premise-VPN

Klassische Sicherheitskonzepte mit VPN und Firewalls stoßen im Zeitalter hybrider Arbeitsmodelle und globaler Cloud-Anwendungen an Grenzen. SASE mischt die Karten neu und kann in Kombination mit hochsicheren VPN eine echte Alternative darstellen.

Bewährte VPN-Lösungen punkten heute besonders durch die Integration von Zero-Trust-Prinzipien. Anders als beim traditionellen Netzwerkzugang gilt hier: „Niemals vertrauen, immer verifizieren“. Diese Kombination aus On-Premise-VPN und Zero Trust vereint Kontrolle mit granularer Sicherheit – ein entscheidender Vorteil in sensiblen Umgebungen.

Bei internationalen Verbindungen in stark regulierte Märkte bieten beide Ansätze unterschiedliche Vorteile. Während klassische VPNs oft an der chinesischen Great Firewall scheitern (sofern sie keine Path Finder Technologie besitzen), betreiben einige SASE-Anbieter eigene Points of Presence (PoPs) in China. Angebunden über Hongkong und mit lokalen Partnern entstehen so stabile Verbindungen zwischen chinesischen Standorten und der globalen IT-Landschaft.

On-Premise-VPN behält seinen festen Platz, wo absolute Datenkontrolle oder strenge Compliance-Vorgaben gelten. Ob klassisches VPN oder SASE – entscheidend sind letztlich die konkreten Anforderungen und die vorhandene IT-Landschaft. Oft bietet sich auch eine Integration beider Lösungen an.

Kostenplanung: Versteckte Ausgaben sprengen oft das VPN-Budget

Während viele IT-Leiter primär auf die Anschaffungskosten achten, verschlingen Betrieb, Wartung und Support oft das Dreifache des ursprünglichen Budgets. Die Kalkulation muss deshalb beide Seiten einbeziehen. Neben Hardware oder Lizenzen fallen Kosten für Bandbreite, Personal sowie externe Dienstleister an.

Die Wahl der Architektur schlägt dabei massiv zu Buche. Eine gründliche Bedarfsanalyse vor dem Roll-out verhindert teure Fehlkalkulationen. Das Budget sollte zudem großzügige Reserven für Wachstum und technologische Anpassungen enthalten. Sonst drohen später schmerzhafte Nachrüstungen oder improvisierte Notlösungen, die die Sicherheit des gesamten Netzwerks gefährden.

Fazit: Eine durchdachte IT-Security-Strategie verhindert kostspielige Fehlschläge

Wer ein globales VPN-Netzwerk aufbaut, durchläuft einen Hindernisparcours aus rechtlichen Fallstricken, technischen Herausforderungen und Risiken. Sicherheits- und Compliance-Vorgaben müssen weltweit einheitlich durchgesetzt werden – trotz unterschiedlicher lokaler Gegebenheiten.

On-Premise-VPN-Lösungen bieten dabei wichtige Vorteile für Unternehmen, die maximale Kontrolle über ihre Daten benötigen. Für viele Unternehmen liegt die optimale Lösung in einer Kombination aus On Prem VPN und cloudbasierten Ansätzen – je nach konkretem Anwendungsfall und Sicherheitsanforderung.

Der Aufwand für eine durchdachte IT-Security-Strategie zahlt sich aus: Sie schafft die technische Grundlage für eine nahtlose internationale Zusammenarbeit und effiziente Geschäftsprozesse. Unternehmen, die vor dieser komplexen Aufgabe stehen, finden in NCP einen Partner mit langjähriger Erfahrung in internationalen VPN-Projekten – von der Planung bis zum dauerhaften Betrieb.

Jetzt globale VPN-Lösung planen und sicher vernetzen

Für den Ausbau des Wachstums bei NCP strebt Marcus Wailersbacher den Gewinn weiterer namhafter Großunternehmen, Behörden und Ministerien an, aber auch von Kunden aus dem in Deutschland so starken Mittelstand. Eine wesentliche Rolle nehmen hierbei die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zugelassenen Produkte für hochsichere Unternehmenskommunikation ein. „Auf Grund der aktuellen Bedrohungslagen ist es für Unternehmen wichtiger denn je, den Schutz und die Sicherheit ihrer Daten und IT-Infrastrukturen voranzutreiben. Dabei profitieren alle NCP-Kunden von unseren Entwicklungen als einer der führenden Anbieter in den Bereichen Defense und Geheimschutz“, so Wailersbacher.

Der neue Chief Sales & Marketing Officer Marcus Wailersbacher kann auf langjährige Erfahrung im Management und in den Bereichen Sales & Marketing, Consulting, sowie IT- und Managed-Services zurückblicken. So war er ab 2010 als Geschäftsführer bei der DEFACTO-Gruppe mit Hauptsitz in Erlangen tätig, einem der Marktführer für Kundenmanagement. Ab 2019 leitete er die Geschicke der Gruppe als deren CEO.

„Mit der Ernennung von Marcus Wailersbacher zum Chief Sales & Marketing Officer gewinnen wir eine erfahrene Führungskraft, die unsere Geschäftsleitung optimal ergänzt. Er bringt genau die strategische Vision mit, die wir benötigen, um unsere ambitionierten Wachstumsziele zu erreichen und unsere Marktposition weiter auszubauen“, so

CEO Patrick Oliver Graf.

Weitere Informationen

Wenn Sie mehr über NCP engineering erfahren möchten, dann besuchen Sie www.ncp-e.com.