YubiKey für den öffentlichen Sektor: Sicherheitsvorschriften in Europa
Hier ist die vollständige HTML-Version, übersetzt ins Deutsche, unter Beibehaltung der ursprünglichen Struktur, des CSS-Designs und der technischen Genauigkeit.
Im Jahr 2026 reicht eine einfache Passwortrichtlinie nicht mehr aus. Die europäischen Cybersicherheitsvorschriften fordern nun zwingend eine Multi-Faktor-Authentifizierung (MFA) für den Zugriff auf kritische Systeme – und in mehreren Ländern ist der physische FIDO2-Sicherheitsschlüssel die Option, die technisch am besten zu den Anforderungen der regulatorischen Rahmenwerke passt. Dieser Leitfaden richtet sich an IT-Verantwortliche öffentlicher Stellen und IT-Dienstleister, die verstehen müssen, was die einzelnen Vorschriften verlangen und wie sie umzusetzen sind.
Der gemeinsame Rahmen: NIS2 und die MFA-Pflicht
Die NIS2-Richtlinie ist der Ausgangspunkt für alle EU-Länder. Sie trat auf europäischer Ebene im Januar 2023 in Kraft und legt die Multi-Faktor-Authentifizierung als verbindliche technische Anforderung für alle Zugriffe auf kritische Systeme fest – dazu gehören geschäftliche E-Mails, VPNs, Administrations-Panels und alle Systeme mit sensiblen Daten.
Während einige Länder Verzögerungen bei der Umsetzung meldeten, erreicht der legislative Zeitplan im Jahr 2026 seinen Höhepunkt. Unabhängig vom lokalen Fortschritt bedeutet die Aufsicht der Europäischen Kommission, dass Inspektionen bereits im Gange sind. Für viele Organisationen ist die Nichteinhaltung keine Option mehr.
Wenn Ihr Unternehmen Teil der Lieferkette einer wesentlichen Einrichtung ist – Energie, Gesundheit, Verkehr, Bankwesen – verlangt NIS2, dass diese Einrichtung ihre Zulieferer auditiert. Die Einhaltung ist nicht optional, auch wenn Sie ein KMU sind.
Vorschriften nach Ländern
Das ENS ist das Referenzrahmenwerk für alle spanischen öffentlichen Verwaltungen und deren Dienstleister. Es definiert drei Sicherheitskategorien – Basis, Mittel und Hoch – mit steigenden Anforderungen je nach Kritikalität des Systems.
Im Februar 2026 wurde der YubiKey 5 CCN als erster Hardware-Sicherheitsschlüssel in die Kategorie ENS Hoch im CPSTIC-Katalog des Nationalen Kryptologischen Zentrums (CCN) aufgenommen. Dies hat eine direkte praktische Folge: Spanische Organisationen können YubiKeys erwerben, ohne dass die aufwendigen Folge-Audits erforderlich sind, die für Produkte außerhalb des Katalogs anfallen.
Kategorien Mittel und Hoch: obligatorische Zwei-Faktor-Authentifizierung für privilegierten Zugriff. FIDO2 erfüllt die technischen Anforderungen des ENS, und der YubiKey 5 CCN ist speziell für Umgebungen der Kategorie "Hoch" zertifiziert.
Darüber hinaus hat das CCN öffentlich erklärt, dass die Einhaltung des ENS in der Kategorie "Hoch" weitgehend die strukturellen Anforderungen von NIS2 abdeckt – was die ENS-Zertifizierung zu einem direkten Weg zur doppelten Compliance macht.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) ist die zentrale Zertifizierungsstelle für IT-Sicherheit in Deutschland. Das IT-Grundschutz-Kompendium definiert die technischen Mindestmaßnahmen für Behörden und Betreiber kritischer Infrastrukturen (KRITIS).
Das BSI klassifiziert FIDO2-Hardware-Token als die Methode für den zweiten Faktor mit der höchsten Resistenz gegen Remote-Angriffe – einschließlich Echtzeit-Phishing und Man-in-the-Middle-Angriffen. Der private Schlüssel wird lokal auf dem Chip verifiziert, was einen Remote-Angriff auf den zweiten Faktor unmöglich macht.
Für Hochsicherheitsumgebungen empfiehlt das BSI Schlüssel mit Common-Criteria-Zertifizierung. Die YubiKey 5-Serie umfasst Modelle mit FIDO Level 2-Zertifizierung und positioniert sich damit als valide Option für die anspruchsvollsten Schutzstufen des IT-Grundschutzes.
Das RGS ist das Sicherheitsrahmenwerk für Informationssysteme des französischen Staates, verwaltet von der ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Es definiert Sicherheitsstufen für Online-Dienste der öffentlichen Verwaltung.
Die ANSSI hat FIDO2 als empfohlenen Authentifizierungsstandard positioniert, um OTP- und passwortbasierte Systeme in Regierungsumgebungen zu ersetzen. Für Dienste der Stufe RGS** ist die Hardware-Authentifizierung mit einem physischen Schlüssel die technisch am besten geeignete Option.
Frankreich ist zudem führend bei der NIS2-Umsetzung in der EU – die französische Umsetzung (Militärprogrammgesetz) ist bereits in Kraft, und die ANSSI fungiert als zuständige Behörde für die Überwachung wesentlicher Einrichtungen.
Cyber Essentials ist das vom NCSC (National Cyber Security Centre) der britischen Regierung unterstützte Zertifizierungsschema. Die Version 3.3, die seit dem 27. April 2026 in Kraft ist, führt die bedeutendste Änderung seit Jahren ein: MFA ist nicht mehr nur eine Empfehlung, sondern verpflichtend.
Die konkreten Auswirkungen für Organisationen, die eine Zertifizierung anstreben:
- MFA-Pflicht für alle Administrationskonten — ohne Ausnahmen seit dem 27. April 2026
- MFA-Pflicht für alle Cloud-Dienste, die dies unterstützen — wenn ein Dienst MFA anbietet und diese nicht aktiviert ist, schlägt die Zertifizierung automatisch fehl
- Akzeptierte Methoden: FIDO2-Hardware-Keys, Authentifizierungs-Apps, Push-Benachrichtigungen — SMS wird akzeptiert, gilt aber als die schwächste Methode
- Verträge im öffentlichen Sektor (UK): Seit Februar 2025 müssen Anbieter für Hochrisiko-Regierungsaufträge fortschrittliche Authentifizierungskontrollen nachweisen
Für Administrationskonten und privilegierten Zugriff empfiehlt das NCSC ausdrücklich Hardware-Schlüssel gegenüber allen anderen Methoden. Der YubiKey mit FIDO2 ist die Option, die die Abhängigkeit von geteilten Geheimnissen eliminiert und 100% der automatisierten Phishing-Angriffe blockiert.
Vergleich der regulatorischen Rahmenbedingungen
| Rahmenwerk | Land | MFA-Pflicht | FIDO2 empfohlen | Status 2026 |
|---|---|---|---|---|
| ENS Hoch | 🇪🇸 Spanien | ✅ Kategorien Mittel & Hoch | ✅ YubiKey 5 CCN zertifiziert | Aktiv — NIS2-Umsetzung ausstehend |
| BSI IT-Grundschutz | 🇩🇪 Deutschland | ✅ Kritische Infrastrukturen | ✅ Höchster Schutz gegen Remote-Angriffe | Aktiv — NIS2 umgesetzt |
| RGS / ANSSI | 🇫🇷 Frankreich | ✅ Stufe RGS** | ✅ Von ANSSI empfohlener Standard | Aktiv — NIS2 umgesetzt |
| Cyber Essentials v3.3 | 🇬🇧 Großbritannien | ✅ Verpflichtend ab 27.04.2026 | ✅ NCSC-Empfehlung für Admins | Aktiv — Frist abgelaufen |
Warum Hardware-FIDO2 und keine Authentifizierungs-App?
Authentifizierungs-Apps generieren Einmal-Codes basierend auf einem geteilten Geheimnis zwischen Server und Gerät. Dieses geteilte Geheimnis ist das Problem: Es kann abgefangen, gestohlen oder in Echtzeit durch Phishing entwendet werden. Dies ist das Schema, von dem sich alle regulatorischen Rahmenwerke zunehmend distanzieren.
Ein FIDO2-Schlüssel funktioniert grundlegend anders. Er nutzt Public-Key-Kryptografie: Der private Schlüssel verlässt niemals den Chip. Es gibt keinen Code, der abgefangen werden kann, und kein geteiltes Geheimnis, das gestohlen werden könnte. Zudem verifiziert der Schlüssel die Domain des Dienstes – ist die Website gefälscht, erfolgt keine Authentifizierung. Das macht FIDO2 "phishing-resistent durch Design", nicht nur durch Konfiguration.
- Identifizieren Sie Systeme, die gemäß ENS/BSI/RGS/Cyber Essentials MFA erfordern
- Prüfen Sie, ob aktuelle Systeme FIDO2 / WebAuthn unterstützen (Google Workspace, Microsoft 365, Okta und Azure AD unterstützen dies nativ)
- Registrieren Sie immer zwei Schlüssel pro Benutzer – einen Haupt- und einen Ersatzschlüssel
- Dokumentieren Sie den Rollout für Audits: Anzahl der Schlüssel, zugewiesene Benutzer, geschützte Systeme
- Für Spanien: Nutzen Sie den YubiKey 5 CCN, falls das System eine ENS-Hoch-Zertifizierung erfordert
Empfohlene Produkte für regulierte Umgebungen
⭐ Am vielseitigsten
YubiKey 5 NFC
FIDO2, OTP, PIV, OpenPGP. Kompatibel mit Google Workspace, Microsoft 365 und den meisten Enterprise-IAMs. USB-A + NFC.
USB-C + NFC
YubiKey 5C NFC
Gleiche Protokolle wie das USB-A-Modell, aber mit USB-C-Anschluss. Für moderne Laptops und Mobilgeräte.
Häufig gestellte Fragen (FAQ)
Erfüllt der Standard-YubiKey das ENS oder ist die CCN-Version erforderlich?
Für die meisten geschäftlichen Anwendungsfälle erfüllt der Standard-YubiKey 5 NFC die technischen Anforderungen für starke Authentifizierung unter dem ENS. Die CCN-Version ist spezifisch für Organisationen gedacht, die Produkte aus dem CPSTIC-Katalog des CCN benötigen – primär Behörden und Anbieter von Systemen der Stufe ENS Hoch.
Schreibt NIS2 einen physischen Schlüssel vor oder reicht eine App?
NIS2 verlangt Multi-Faktor-Authentifizierung für den Zugriff auf kritische Systeme, schreibt aber keine spezifische Methode vor. Die technischen Referenzrahmen – ENS, BSI, ANSSI – weisen jedoch auf Hardware-FIDO2 als die Methode mit der höchsten Phishing-Resistenz hin. Für privilegierte Zugriffe ist der physische Schlüssel die Standardempfehlung europäischer Cybersicherheitsbehörden.
Wie viele YubiKeys benötigt eine Behörde?
Die allgemeine Regel lautet: zwei Schlüssel pro Benutzer mit privilegiertem Zugriff – ein Hauptschlüssel und ein Ersatzschlüssel (Backup), der in allen Systemen registriert ist. Ohne den zweiten Schlüssel kann sich ein Benutzer bei Verlust nicht selbst helfen, was eine Intervention des Administrators erfordert. Für große Rollouts bietet Yubico "YubiKey as a Service" mit zentraler Verwaltung an.
Gilt Cyber Essentials v3.3 für alle Mitarbeiter oder nur für Admins?
Version 3.3 macht MFA explizit für alle Administrationskonten sowie für den Zugriff auf Cloud-Dienste, die MFA unterstützen, zur Pflicht. Für Standardbenutzer ist MFA nicht zwingend erforderlich, um die Zertifizierung zu erhalten, wird jedoch vom NCSC für alle empfohlen.
Muss ein privater IT-Dienstleister diese Vorschriften einhalten?
Das hängt von der Lieferkette ab. Wenn Sie Dienstleistungen für eine Behörde oder ein NIS2-wesentliches Unternehmen (Energie, Gesundheit usw.) erbringen, ist Ihr Kunde verpflichtet, die Sicherheit seiner Zulieferer zu prüfen. In der Praxis enthalten immer mehr Ausschreibungen Anforderungen an starke Authentifizierung als Eignungskriterium.
Die Vorschriften konvergieren: Hardware-FIDO2 ist der Standard.
ENS, BSI, RGS und Cyber Essentials basieren auf unterschiedlichen Rahmenwerken, kommen aber zum selben Ergebnis: Starke, phishing-resistente Authentifizierung für privilegierte Zugriffe ist unverzichtbar. Der YubiKey erfüllt diese Anforderungen technisch vollumfänglich und bietet zudem spezifische Zertifizierungen wie ENS Hoch, was den Beschaffungsprozess im öffentlichen Sektor vereinfacht.
Wenn Sie die Sicherheit einer Behörde verwalten oder IT-Dienstleister für regulierte Sektoren sind, ist 2026 nicht das Jahr, um über die Einführung von MFA nachzudenken. Es ist das Jahr, um zu dokumentieren, dass Sie sie bereits umgesetzt haben.
