NIS2-Leitfaden

NIS2-Leitfaden · 7 Min.

Lieferanten-Identitätsbetrug und CEO-Fraud (BEC): E-Mail-Spoofing, DMARC und NIS2

Einer der häufigsten Lieferkettenangriffe braucht gar keinen Einbruch: ein Angreifer sendet E-Mails, die scheinbar von einem Lieferanten (oder von Ihnen) stammen, und lenkt eine Zahlung um oder stiehlt Daten. Das ist Business E-Mail Compromise (BEC) und Lieferanten-Identitätsbetrug, ermöglicht durch schwache E-Mail-Authentifizierung, die jeder von außen prüfen kann. Unter NIS2 sind Sie für die Sicherheit Ihrer Lieferantenbeziehungen verantwortlich (Artikel 21(2)(d)), und die Fälschbarkeit von E-Mails ist eines der klarsten, günstigsten zu behebenden Signale. Dieser Leitfaden erklärt, wie der Angriff funktioniert, welche SPF-, DKIM- und DMARC-Einstellungen ihn stoppen und wie er zu NIS2 passt.

Kernpunkte

  • BEC und Lieferanten-Identitätsbetrug nutzen schwache E-Mail-Authentifizierung aus, keinen technischen Einbruch.
  • SPF, DKIM und eine durchgesetzte DMARC-Richtlinie blockieren gefälschte Mail und sind öffentlich prüfbar.
  • Unter NIS2 ist dies Teil der Lieferantenbeziehungssicherheit und schützt Sie und Ihre Lieferanten.

Wie Lieferanten-Identitätsbetrug und BEC funktionieren

Der Angreifer muss niemanden hacken. Setzt eine Domain keine E-Mail-Authentifizierung durch, kann er Mail senden, die scheinbar von ihr stammt: eine gefälschte Rechnung mit neuen Bankdaten 'von Ihrem Lieferanten' oder eine dringende Bitte 'von Ihrem Geschäftsführer'. Der Empfänger vertraut dem bekannten Absender und handelt. Da Lieferanten und Kunden ständig mailen, wird eine schwache Domain in der Kette zum Problem aller. NIS2 Artikel 21(2)(d) macht die Steuerung dieses Beziehungsrisikos zu Ihrer Verantwortung.

Offizielle Quelle: NIS2-Richtlinie auf EUR-Lex — Artikel 21(2) (Sicherheitsmaßnahmen, inkl. sichere Kommunikation) und 21(2)(d) (Lieferkettensicherheit).

Die Kontrollen, die Spoofing stoppen

Diese sind Standard, kostenlos im DNS einzurichten und öffentlich überprüfbar. Sie entsprechen der Basis für sichere Kommunikation nach Artikel 21(2) und der Funktionsweise des Angriffs.

1

SPF (Sender Policy Framework)

Veröffentlicht, welche Server Mail für Ihre Domain senden dürfen. Ohne SPF oder mit einem zu freizügigen Eintrag passieren gefälschte Absender ungeprüft. Veröffentlichen Sie SPF und halten Sie es aktuell, wenn Sie Maildienste hinzufügen.

2

DKIM (DomainKeys Identified Mail)

Signiert Ihre ausgehende Mail kryptografisch, damit Empfänger prüfen können, dass sie nicht verändert wurde und wirklich von Ihrer Domain kam. Aktivieren Sie DKIM auf jedem Dienst, der in Ihrem Namen sendet.

3

DMARC mit durchgesetzter Richtlinie

Verbindet SPF und DKIM mit Ihrer sichtbaren Absenderadresse und sagt Empfängern, was mit fehlschlagender Mail zu tun ist. Eine Richtlinie p=none überwacht nur; wechseln Sie zu p=quarantine oder p=reject, um Spoofing wirklich zu blockieren.

4

DMARC-Berichte (rua) und Monitoring

Aggregatberichte zeigen, wer in Ihrem Namen sendet, sodass Sie legitime Absender vor der Durchsetzung finden und Missbrauch danach erkennen. Leiten Sie die Berichte dorthin, wo sie gelesen werden.

5

MTA-STS und TLS-Reporting (zusätzliche Härtung)

Erzwingen Sie verschlüsselte Zustellung an Ihre Domain und lassen Sie sich bei Fehlern benachrichtigen; das schließt einen Downgrade-Pfad, den ein Angreifer sonst zum Abfangen nutzen kann.

Sehen Sie, wie Ihre Lieferanten tatsächlich abschneiden

7 Tage kostenlos · keine Kreditkarte · jederzeit kündbar

Warum das unter NIS2 zählt, für Sie und Ihre Lieferanten

Durchgesetzte E-Mail-Authentifizierung schützt Ihre Kunden und Partner davor, in Ihrem Namen betrogen zu werden, und schützt Sie vor der gefälschten Rechnung eines Lieferanten. Da sie extern sichtbar ist, ist sie genau das Signal, das ein Kunde bei der Bewertung als Lieferant unter NIS2 prüft und das ein Angreifer zuerst sondiert. Kontinuierliche Überwachung Ihrer eigenen Domain und Ihrer Lieferanten deckt eine schwache oder abdriftende DMARC-Richtlinie auf (etwa noch p=none) und ordnet sie der Lieferkettenpflicht nach Artikel 21(2)(d) zu, damit sie behoben wird, bevor sie ausgenutzt wird.

Häufige Fehler

  • DMARC auf p=none zu veröffentlichen und nie zur Durchsetzung zu wechseln, sodass nichts wirklich blockiert wird.
  • SPF oder DKIM auf der Hauptdomain, aber nicht auf Subdomains oder Drittanbieter-Versanddiensten.
  • Anzunehmen, die Rechnungsmail eines Lieferanten sei echt, weil der Absendername stimmt.
  • Kein Prozess, um eine Zahlung oder eine Änderung der Bankdaten über einen zweiten Kanal zu verifizieren.

Sie müssen die Berichte nicht selbst lesen

Aggregierte DMARC-Berichte sind tägliche XML-Dateien, und niemand möchte sie von Hand lesen. norppa.io empfängt sie für Sie an einer eindeutigen Berichtsadresse, macht daraus Erfolgsquoten-Analysen und ein Absender-Inventar und meldet aktive Spoofing-Quellen als priorisierte Befunde. TLS-RPT-Berichte werden genauso behandelt. In der EU gehostet, nur aggregierte Daten, in jedem Plan enthalten.

So funktioniert die E-Mail-Sicherheitsüberwachung →

Sehen Sie, wie Ihre E-Mail-Lage NIS2 zugeordnet wird

Ein Beispiel-Lieferantenbericht (Befunde, NIS2-Zuordnung und Nachweise) in zwei Minuten.

7 Tage kostenlos · keine Kreditkarte · jederzeit kündbar

Verwandte Leitfäden

Wie Sie NIS2 erfüllen: ein Schritt-für-Schritt-Fahrplan

Die Schritte zur NIS2-Konformität in der richtigen Reihenfolge: Anwendungsbereich bestätigen, registrieren, Verantwortung der Leitung (Art. 20), die Maßnahmen nach Art. 21 Abs. 2, Lieferkettensicherheit, Vorfallmeldung (Art. 23) und fortlaufende, nachgewiesene Absicherung.

Wer fällt unter NIS2? Wesentliche und wichtige Einrichtungen, Sektoren und Größenschwellen

Stellen Sie fest, ob NIS2 für Sie gilt: die zwei Kategorien, die Sektoren aus Anhang I/II, die Größenschwellen, größenunabhängige Ausnahmen und wie die Lieferkette Sie auch ohne Benennung erfasst.

NIS2 für Lieferanten: Sie sind nicht eingestuft, aber Ihre Kunden

Die meisten Unternehmen werden nie unter NIS2 eingestuft, müssen aber dennoch konform sein. Wie die Lieferkettenpflicht eines erfassten Kunden nach Artikel 21 Absatz 2 Buchstabe d auf Sie übergeht, was er verlangt und wie Sie glaubwürdig reagieren.

NIS2 und die Lieferkettenpflicht: was das in der Praxis bedeutet

NIS2 verpflichtet wesentliche und wichtige Einrichtungen zur Bewertung ihrer Lieferkettenrisiken. Lieferanten-Tiering, 4th-Party-Risiken, Art. 23-Meldepflicht und worauf Prüfer achten.

Lieferanten-Cyberrisikobeurteilung: was das automatisierte NIS2-Monitoring prüft

Alle Prüfkategorien erklärt: Ransomware, Dark-Web-Lecks, TLS/DNSSEC, Cookie-Sicherheit, CVE/EPSS, Sanktionen, MX-Blacklists und SAQ. Befundslebenszyklus und NIS2-Artikelzuordnung.

NIS2 Art. 21(2): Sicherheits-Checkliste für Lieferanten

Checkliste für Beschaffungs- und Sicherheitsteams: Was zu fragen ist, welche Nachweise zu sammeln sind und wie zu reagieren ist, wenn ein Lieferant Anforderungen nicht erfüllt. Mit empfohlenen Nachweisdokumenten.

NIS2-Lieferantenfragebogen (SAQ): was fragen, wie bewerten, plus Vorlage

Was Lieferanten nach Art. 21(2)(d) zu fragen ist, wie man Antworten bewertet und auf Lücken reagiert, warum Selbstauskunft Überprüfung braucht, plus eine kostenlose Vorlage.

NIS2-Vorfallmeldung: die 24- und 72-Stunden-Fristen erklärt

Was ein erheblicher Vorfall ist, der Zeitplan nach Artikel 23 (24-Stunden-Frühwarnung, 72-Stunden-Meldung, Abschlussbericht nach einem Monat) und wann der Vorfall eines Lieferanten zu Ihrer Pflicht wird.

NIS2 und die Verantwortung der Leitung: Was Vorstand und Geschäftsführung wissen müssen

Was NIS2 vom Leitungsorgan erwartet: Genehmigungs- und Aufsichtspflichten, persönliche Haftung (Art. 20), Schulung, Vorstands-KPIs und die Sanktionen nach Art. 34.

ISO 27001 und NIS2: Was Ihr ISMS bereits abdeckt, und die Lücken, die bleiben

Wenn Sie ISO 27001 halten: was auf NIS2 übertragbar ist und was nicht (gesetzliche Vorfallmeldung, Haftung der Leitung, Registrierung und kontinuierliche Lieferkettensicherung) und wie Sie die Lücke schließen.

NIS2-Bußgelder und Sanktionen: wie hoch, wer haftet und wie man sie vermeidet

Was NIS2-Sanktionen sind: die Obergrenzen nach Artikel 34 (10 Mio. € / 2 % für wesentliche, 7 Mio. € / 1,4 % für wichtige Einrichtungen), die persönliche Haftung der Leitung (Art. 20, Art. 32), nicht-monetäre Durchsetzung und wie man sie vermeidet.

NIS2 vs. DORA: Unterschiede, Überschneidungen und was für Sie gilt

Wie sich die zwei EU-Regime unterscheiden und überschneiden, warum DORA Lex specialis für Finanzunternehmen ist, was für Sie gilt und was beide für Drittparteienrisiko bedeuten.

DSGVO vs. NIS2: Überschneidungen, Unterschiede und wann ein Vorfall beide auslöst

Wie sich DSGVO und NIS2 unterscheiden und überschneiden, wann ein Vorfall beide auslöst (DSGVO Art. 33 72 h an die Datenschutzbehörde vs. NIS2 Art. 23 24 h/72 h/ein Monat an das CSIRT), die Art.-35-Kooperation und das Verbot des doppelten Bußgelds, und was beide für die Lieferanten-Sorgfaltsprüfung bedeuten.

Der EU Cyber Resilience Act (CRA): Anwendungsbereich, Zeitplan und was er für Ihre Lieferkette bedeutet

Was der CRA verlangt, seine gestaffelten Termine (in Kraft 2024, Meldung Sep. 2026, volle Konformität Dez. 2027), wer in den Anwendungsbereich fällt und warum reine SaaS oft nicht, wie er NIS2 ergänzt und was er für Beschaffung und Lieferanten-Sorgfaltsprüfung bedeutet.

Die EU-KI-Verordnung: Risikostufen, Zeitplan und die Pflichten der Betreiber (Artikel 26)

Was die EU-KI-Verordnung verlangt: die Risikostufen, die gestaffelten Termine (in Kraft 2024, verboten Feb. 2025, GPAI Aug. 2025, Hochrisiko Aug. 2026), die Betreiberpflichten nach Art. 26, wie sie sich mit NIS2 und der DSGVO stapelt und was sie für die KI-Beschaffung bedeutet.

NIS2-Umsetzungsstand: in welchen EU-Ländern es in Kraft ist

Welche der 27 EU-Mitgliedstaaten NIS2 in nationales Recht überführt haben und welche noch daran arbeiten, und warum die Lücken Ihre Lieferkette ohnehin betreffen.

NIS2-Lieferantenvertragsklauseln: was Sie von Ihren Lieferanten verlangen sollten

Die Vertragsklauseln, die die Lieferkettenpflicht von NIS2 durchsetzbar machen: Sicherheitsbasis, Meldefenster, Nachweis- und Auditrechte, Weitergabe an Subunternehmer und laufende Überprüfung.

Ihre externe Sicherheitslage unter NIS2: was Lieferanten und Kunden sehen

Die öffentlich sichtbaren Signale, die Kunden nach NIS2 Art. 21(2)(d) bewerten: E-Mail-Fälschbarkeit (SPF/DMARC), Zertifikatshygiene, aus dem Internet erreichbare Systeme und geleakte Zugangsdaten, warum jedes zählt und wie man sie prüft und behebt.

Nutzen Ihre Lieferanten KI? NIS2-Lieferantenrisiko trifft den EU AI Act

Lieferanten betten zunehmend KI in Dienste ein, von denen Sie abhängen, und deren Lieferanten ebenso. Wo KI von Lieferanten und in der n-ten Ebene Risiken nach NIS2 Art. 21(2)(d) und dem EU AI Act schafft, was zu bewerten ist und wie Sie den Überblick behalten.

Zuletzt geprüft: 19. Juni 2026

Dieser Leitfaden bietet allgemeine Informationen zum EU-Recht, keine Rechtsberatung. NIS2 wird durch das nationale Umsetzungsgesetz jedes EU-Mitgliedstaats wirksam, das im Detail abweichen kann. Prüfen Sie die für Sie geltenden Pflichten mit Ihrer zuständigen Behörde oder Ihrem Rechtsbeistand.