Auswirkungen von NIS2 auf TYPO3-Anwender
Letzte Änderung:
Was ist NIS2?
NIS2 (Network and Information Security) eine EU-Richtlinie zur Verbesserung der Cybersicherheit. Sie verpflichtet viele Unternehmen und öffentliche Einrichtungen aus wichtigen und kritischen Bereichen zu stärkeren Sicherheitsmaßnahmen, klaren Verantwortlichkeiten und schnellen Meldungen bei erheblichen Sicherheitsvorfällen.
Wer ist von NIS2 betroffen?
Betroffen sind vor allem mittlere und große Organisationen aus kritischen Branchen – zum Beispiel Energie, Verkehr, Gesundheit, Banken, Wasser, digitale Infrastruktur, öffentliche Verwaltung, Forschung, Chemie, Lebensmittel, Abfallwirtschaft und bestimmte Industrieunternehmen.
Als grobe Schwellen gelten:
- ab 50 Beschäftigten oder mehr als 10 Mio. Euro Umsatz und Bilanzsumme: häufig „wichtige Einrichtung“
- ab 250 Beschäftigten oder mehr als 50 Mio. Euro Umsatz und 43 Mio. Euro Bilanzsumme: häufig „besonders wichtige Einrichtung“
Einige Anbieter wie DNS-Dienste, Rechenzentren, Cloud- oder Managed-Service-Provider können unabhängig von diesen Schwellen betroffen sein.
Welche Auswirkungen hat NIS2 auf eine TYPO3-Website?
TYPO3 wird Teil des unternehmensweiten Risikomanagements. Es genügt nicht mehr, lediglich gelegentlich Updates einzuspielen. Betroffene Organisationen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen umsetzen und deren Umsetzung nachvollziehbar dokumentieren.
Für eine TYPO3-Installation bedeutet das insbesondere:
1. Sicherheitsupdates und Versionsmanagement
TYPO3-Core, Extensions, PHP, Webserver, Betriebssystem und weitere Komponenten müssen systematisch überwacht und zeitnah aktualisiert werden.
Dazu gehören:
- definierte Reaktionszeiten für kritische TYPO3-Sicherheitsmeldungen,
- keine dauerhaft veralteten TYPO3-Versionen ohne ELTS oder vergleichbare Absicherung,
- Prüfung von Drittanbieter-Extensions,
- dokumentierte Update- und Freigabeprozesse,
- Inventar aller eingesetzten Komponenten und Versionen.
2. Benutzer- und Rechteverwaltung
Das Prinzip der geringsten Rechte wird wichtiger:
- Redakteure erhalten nur die tatsächlich benötigten Berechtigungen,
- administrative Konten werden auf wenige Personen beschränkt,
- ausgeschiedene Mitarbeiter werden unverzüglich deaktiviert,
- Zugänge werden regelmäßig überprüft,
- gemeinsame Benutzerkonten sollten vermieden werden,
- Mehrfaktor-Authentifizierung sollte insbesondere für Administratoren eingesetzt werden.
TYPO3 unterstützt ein sehr differenziertes Rollen- und Rechtesystem. Dieses muss jedoch korrekt eingerichtet und regelmäßig kontrolliert werden.
3. Absicherung des TYPO3-Backends
Das Backend sollte nicht nur durch ein Passwort geschützt werden. Sinnvoll sind beispielsweise:
- Mehrfaktor-Authentifizierung,
- starke Passwortrichtlinien,
- Schutz vor Brute-Force-Angriffen,
- Einschränkung des Backendzugangs nach IP oder über VPN, soweit praktikabel,
- automatische Sperrung beziehungsweise Begrenzung fehlgeschlagener Anmeldungen,
- Protokollierung administrativer Aktivitäten.
4. Backup und Wiederherstellung
Backups allein reichen nicht. Die Wiederherstellung muss funktionieren und sollte getestet werden.
Erforderlich sind typischerweise:
- regelmäßige Datenbank- und Dateisicherungen,
- getrennte beziehungsweise unveränderbare Sicherungskopien,
- definierte Aufbewahrungsfristen,
- dokumentierte Wiederherstellungsprozesse,
- regelmäßige Restore-Tests,
- festgelegte Wiederanlaufzeiten.
5. Überwachung und Angriffserkennung
Sicherheitsrelevante Ereignisse sollten erkannt und ausgewertet werden:
- ungewöhnliche Backend-Anmeldungen,
- Veränderungen an Systemdateien,
- fehlgeschlagene Login-Versuche,
- Manipulationen oder Schadcode,
- auffälliger Datenverkehr,
- Ausfälle und ungewöhnlich hohe Serverlast.
Je nach Risikoprofil können zentralisierte Logs, Monitoring, Web Application Firewalls und automatisierte Schwachstellenscans erforderlich sein.
6. Notfall- und Meldeprozesse
Ein betroffenes Unternehmen muss vor einem Vorfall festlegen:
- Wer entscheidet, ob ein Vorfall erheblich ist?
- Wer informiert Geschäftsführung, IT-Dienstleister, Datenschutzbeauftragte und BSI?
- Welche Protokolle und Beweise werden gesichert?
- Wie wird die Website isoliert oder auf ein Notfallsystem umgestellt?
- Wie werden Kunden und Nutzer informiert?
Für erhebliche Sicherheitsvorfälle sieht NIS2 grundsätzlich eine frühe Meldung innerhalb von 24 Stunden und eine weitere Meldung innerhalb von 72 Stunden nach Kenntniserlangung vor.
Ein Einbruch in eine TYPO3-Website ist jedoch nicht automatisch ein meldepflichtiger NIS2-Vorfall. Entscheidend sind unter anderem Auswirkungen auf Verfügbarkeit, Integrität, Vertraulichkeit und die angebotenen Dienste.
7. Sicherheit der Lieferkette
Betroffene Unternehmen müssen auch ihre Dienstleister berücksichtigen. Für TYPO3-Agenturen und Hostinganbieter bedeutet das häufig zusätzliche Anforderungen wie:
- vertraglich festgelegte Reaktionszeiten,
- Nachweise über Update- und Sicherheitsprozesse,
- geregelte Meldung von Schwachstellen und Vorfällen,
- Dokumentation eingesetzter Unterauftragnehmer,
- Notfallkontakte,
- sichere Entwicklungs- und Deployment-Prozesse,
- gegebenenfalls Audit- oder Kontrollrechte des Kunden.
Auch eine kleine Agentur, die selbst nicht unmittelbar unter NIS2 fällt, kann dadurch praktisch mit NIS2-Anforderungen konfrontiert werden.
Praktische Bedeutung für TYPO3-Anwender
Für einen NIS2-pflichtigen TYPO3-Betreiber sollte mindestens Folgendes vorhanden sein:
- dokumentierte TYPO3-System- und Extension-Liste,
- geregelter Sicherheitsupdate-Service mit verbindlichen Reaktionszeiten,
- Rollen- und Berechtigungskonzept,
- Mehrfaktor-Authentifizierung für privilegierte Zugänge,
- regelmäßige Backups einschließlich Restore-Tests,
- Monitoring und Protokollauswertung,
- Notfall- und Wiederanlaufplan,
- Verfahren für Sicherheitsvorfälle und BSI-Meldungen,
- regelmäßige Schwachstellen- beziehungsweise Sicherheitsaudits,
- dokumentierte Vereinbarungen mit Hosting- und TYPO3-Dienstleistern.
TYPO3 kann grundsätzlich NIS2-konform betrieben werden. Die Konformität entsteht aber nicht allein durch das CMS, sondern durch das Zusammenspiel aus sicherer Konfiguration, Hosting, Updates, Benutzerverwaltung, organisatorischen Prozessen und belastbarer Dokumentation.
Sie möchten mehr zum Thema sichere TYPO3-Websites erfahren. Gerne beraten wir Sie kostenlos. Nehmen Sie einfach Kontakt zu uns auf.