Zum Inhalt springen
Technologie & IT

BSI-Portal hängt ab sofort am Unternehmenskonto: Neue Zugriffssicherheit für Firmen

Zugriff auf das BSI-Portal läuft künftig granular über das Unternehmenskonto. Was das für Zertifikate, Rollen und Meldepflichten bedeutet.

BSI-Portal, Unternehmenskonto, ELSTER-Zugriffskontrolle – Mitarbeiterin prüft Zugriffsrechte im BSI-Portal über das Unternehmenskonto
Zugriffsrechte für das BSI-Portal werden künftig zentral im Unternehmenskonto verwaltet. (Symbolbild)

Ab dem 15. Juli 2026 hängt das BSI-Portal fest am Berechtigungssystem von „Mein Unternehmenskonto“. Kein Schalter mehr, kein separates Passwort, keine Insel-Lösung. Wer sicherheitsrelevante Funktionen im BSI-Portal nutzen will, muss künftig über die ELSTER-Zugriffskontrolle laufen – und zwar granular, personenbezogen, zertifikatsgebunden. Das klingt nach Bürokratie-Update. Ist aber, das Pikante daran, eine der größeren stillen Verschiebungen der deutschen Cybersicherheits-Infrastruktur in diesem Jahr.

Der Stichtag: 15. Juli 2026 und was er wirklich bedeutet

Seit dem 6. Januar 2026 ist das neu entwickelte BSI-Portal für NIS2-pflichtige Unternehmen produktiv. Bereits damals war klar: Der Zugang läuft zweistufig – erst Registrierung im Unternehmenskonto, dann Anmeldung im Portal selbst. Zum 15. Juli 2026 wird diese Anbindung technisch vertieft. Die Berechtigungssteuerung von „Mein Unternehmenskonto“ übernimmt jetzt vollständig, wer auf welche sicherheitsrelevanten Funktionen und Meldesysteme im BSI-Portal zugreifen darf.

Der Unterschied ist kein Kosmetik-Detail. Bisher war die Frage „Wer darf was?“ eher grob geregelt. Ab dem Stichtag lässt sich das auf Ebene einzelner Mitarbeitender steuern – über das ELSTER-Organisationszertifikat als technischen Anker. Für Compliance-Verantwortliche heißt das: Die Zugriffsverwaltung wandert endgültig aus dem Portal heraus und landet dort, wo sie laut BSI hingehört – im Unternehmenskonto unter meinuk.de.

Wenig überraschend reagieren viele IT-Abteilungen erst jetzt, wenige Wochen vor der Umstellung. Das Muster kennt man aus jeder Regulierungswelle: Frist bekannt, Umsetzung verschoben, am Ende Hektik. Bei einem Thema wie Zugriffssicherheit auf ein Meldesystem für Cybervorfälle ist diese Hektik allerdings besonders unpassend.

Zwei Konten, ein Zugang: Wie MUK und BSI-Portal verzahnt werden

Die Architektur ist inzwischen klar dokumentiert. Unternehmen registrieren sich zunächst bei „Mein Unternehmenskonto“, einem zentralen Authentifizierungsdienst für digitale Verwaltungsleistungen, der auf der ELSTER-Technologie basiert. Erst danach folgt die Registrierung im BSI-Portal, wobei die Anmeldung dort ausschließlich über MUK erfolgt. Auf der Startseite von portal.bsi.bund.de führt der Button „Mit MUK anmelden“ zur ELSTER-Website, wo das Organisationszertifikat hochgeladen und mit Passwort entsperrt wird.

Der Clou dabei: Das BSI-Portal selbst prüft nach dem Login nur noch, ob ein Benutzerkonto überhaupt zugreifen darf. Die eigentliche Entscheidung, wer was darf, fällt woanders. Die Berechtigungssteuerung liegt komplett im Unternehmenskonto. Wer im Portal also nach einer Admin-Oberfläche für Rechtevergabe sucht, wird enttäuscht – die Schaltzentrale ist ausgelagert.

Das mag ungewohnt wirken, folgt aber einer nachvollziehbaren Logik: Ein zentraler Berechtigungsdienst kann künftig nicht nur das BSI-Portal, sondern weitere Verwaltungsleistungen absichern. Wer heute in MUK Rechte pflegt, tut das potenziell für mehr als ein Portal. Für Unternehmen mit mehreren Meldepflichten – NIS2 ist da bei Weitem nicht die einzige Baustelle – kann das langfristig Verwaltungsaufwand sparen. Kurzfristig bedeutet es erstmal: Einarbeitung in eine neue Oberfläche, neue Prozesse, neue Verantwortlichkeiten. Wer sich einen kompakten Überblick über die gesamten regulatorischen Anforderungen verschaffen will, findet in der NIS2-Richtlinie und ihren Umsetzungspflichten den notwendigen Kontext für die Einordnung dieser Portal-Anbindung.

ELSTER-Zugriffskontrolle statt Passwort-Wildwuchs

Wer bislang dachte, das BSI-Portal funktioniere wie ein klassisches Login mit Benutzername und Passwort, irrt inzwischen gründlich. Es gibt keine lokalen Portal-Accounts mehr im klassischen Sinn. Jede Anmeldung läuft über das ELSTER-Organisationszertifikat, jedes Mal neu entsperrt mit Passwort. Diese ELSTER-Zugriffskontrolle ersetzt damit faktisch das, was früher ein simples Nutzerkonto war – und macht Phishing-Angriffe auf einzelne Zugangsdaten spürbar unattraktiver, weil ein gestohlenes Passwort ohne die passende Zertifikatsdatei wertlos ist.

Das Sicherheitsargument ist stichhaltig. Zertifikatsbasierte Authentifizierung mit zusätzlichem Passwortschutz ist robuster als reine Zugangsdaten, die in jedem zweiten Credential-Stuffing-Datensatz landen können. Wer sich fragt, wie systematisch solche gestohlenen Zugangsdaten im Umlauf sind, findet in der Auseinandersetzung mit Botnetzen und automatisiertem Credential-Testing genug Anschauungsmaterial dafür, warum Passwörter allein als Schutzmechanismus ausgedient haben.

Der Haken: Jede Person, die Zugriff auf das BSI-Portal benötigt, braucht ein eigenes ELSTER-Organisationszertifikat. Kein Sammelaccount, kein geteiltes Passwort für die IT-Abteilung, keine Notlösung „nimm einfach meinen Zugang“. Das ist aus Sicherheitssicht konsequent, aus Verwaltungssicht aber ein Aufwand, den viele mittelständische Unternehmen bisher unterschätzt haben dürften.

Wer ist betroffen? NIS2 und die Zahl 29.500

Das NIS2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten. Seither gelten für rund 29.500 Unternehmen und Institutionen der Bundesverwaltung in Deutschland neue gesetzliche Pflichten in der IT-Sicherheit. Betroffen sind unter anderem als „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ eingestufte Betriebe sowie weitere regulierte Unternehmen nach BSIG.

Für diese Gruppe ist das BSI-Portal keine Kür, sondern die zentrale Meldestelle für erhebliche Sicherheitsvorfälle. Der gestufte Meldeprozess ist bekannt: eine Frühwarnung binnen 24 Stunden nach Kenntniserlangung, eine Incident-Meldung mit erster Einordnung binnen 72 Stunden, ein Abschluss- oder Fortschrittsbericht binnen eines Monats. Wer über diese Fristen noch nicht im Detail Bescheid weiß, sollte die verbleibende Zeit bis zum Stichtag nutzen, um die internen Abläufe entsprechend zu justieren.

Wichtig für die Praxis: Die Zugriffssicherheit über MUK betrifft nicht nur die Meldung selbst, sondern auch alle vorbereitenden Schritte – Registrierung, Stammdatenpflege, Kommunikation mit dem BSI. Wer hier keine geregelte Rechteverwaltung hat, riskiert im Ernstfall genau die Verzögerung, die eine 24-Stunden-Frist nicht verzeiht.

Detailaufnahme der ELSTER-Zugriffskontrolle mit Zertifikat und Rechtematrix
Jede Person braucht ein eigenes Zertifikat – die Rechtevergabe läuft granular pro Rolle. (Symbolbild)

Berechtigungssteuerung in der Praxis: Was Unternehmen jetzt einrichten müssen

Die operative Umsetzung läuft über den Reiter „Berechtigungen“ im Unternehmenskonto. Dort sieht jede Person, für welche Verwaltungsleistungen ihr Konto freigeschaltet wurde. Administrierende Stellen im Unternehmen können hier festlegen, wer Meldungen einreichen, wer Stammdaten pflegen und wer lediglich lesend zugreifen darf. Diese Feingranularität ist neu – und sie verlangt eine bewusste Entscheidung, statt der bisher oft gelebten Praxis „wer Zugang hat, hat auch alle Rechte“.

Praktisch bedeutet das für Unternehmen: Eine Liste erstellen, wer aus Sicherheitsteam, Rechtsabteilung und Geschäftsführung tatsächlich Zugriff auf das BSI-Portal braucht. Für jede dieser Personen ein ELSTER-Organisationszertifikat beantragen. Rollen definieren – wer meldet, wer prüft, wer freigibt. Und einen Prozess für den Ernstfall festlegen: Was passiert, wenn die zuständige Person im Urlaub ist, wenn ein Zertifikat abläuft, wenn jemand das Unternehmen verlässt?

Genau der letzte Punkt wird in der Praxis gerne unterschätzt. Ein Mitarbeitender mit BSI-Portal-Zugriff, der das Unternehmen verlässt, ohne dass sein Zertifikat widerrufen und seine Berechtigung im Unternehmenskonto entzogen wird, ist kein theoretisches Risiko. Es ist der Klassiker jeder Zugriffsverwaltung, nur diesmal mit direkter Anbindung an ein Meldesystem für Cybervorfälle. Wer schon einmal erlebt hat, wie lange verwaiste Zugänge in Unternehmen unbemerkt weiterleben, weiß, wie brisant das werden kann.

Szenario: Der Ernstfall testet die Zugriffskette

Man stelle sich folgendes Szenario vor: Freitagabend, 21 Uhr, das SOC meldet einen verdächtigen Datentransfer aus dem Produktionsnetzwerk. Der Security-Analyst stuft den Vorfall nach erster Prüfung als erheblich ein – meldepflichtig nach NIS2. Jetzt beginnt die 24-Stunden-Uhr für die Frühwarnung an das BSI. Der Analyst öffnet das BSI-Portal – und stellt fest, dass sein MUK-Zertifikat vor zwei Wochen abgelaufen ist, weil niemand im Team die turnusmäßige Erneuerung auf dem Schirm hatte.

Alternative: Der Analyst hat kein Zertifikat, weil die Berechtigungssteuerung im Unternehmenskonto nur zwei Kollegen aus der Tagschicht berücksichtigt hat. Der Vertretungsplan existiert nur informell, niemand hat ihn in die MUK-Rechtestruktur übertragen. Die Compliance-Verantwortliche, deren Zertifikat noch gültig wäre, ist nicht erreichbar – Wochenende, kein Diensthandy griffbereit.

Beide Situationen sind keine konstruierten Horror-Szenarien, sondern exakt die Art von Reibungsverlust, die bei regulatorischen Umstellungen typischerweise erst unter Stress sichtbar wird. Die Fristen des NIS2-Meldeprozesses verzeihen keine Zugriffsprobleme. Wer am Stichtag technisch nicht startklar ist, riskiert nicht nur formale Verstöße, sondern verliert im schlimmsten Fall genau dann den Meldekanal, wenn er am dringendsten gebraucht wird.

Folgen für Dienstleister und Managed Security Services

Die Umstellung hat eine Dimension, die in der bisherigen Diskussion oft zu kurz kommt: Was passiert mit externen Dienstleistern, die bislang im Auftrag von Unternehmen Meldungen an das BSI abgegeben haben? Managed Security Service Provider, externe CISO-Dienstleister oder spezialisierte Incident-Response-Teams konnten bisher vergleichsweise unkompliziert auf das Portal zugreifen. Mit der zertifikatsbasierten, personenbezogenen Anbindung über MUK wird das deutlich komplizierter.

Ein externer Dienstleister kann nicht einfach das Unternehmenszertifikat des Kunden nutzen – die Granularität der ELSTER-Zugriffskontrolle verlangt nach individuellen Berechtigungen. Das bedeutet in der Praxis: Entweder der Dienstleister erhält eigene Zertifikate, die im Unternehmenskonto des Kunden hinterlegt und berechtigt werden, oder der Kunde muss intern Personal vorhalten, das die eigentliche Meldung auslöst. Beides hat Konsequenzen für Service-Level-Agreements und Haftungsfragen.

Für kleinere Unternehmen, die ihre IT-Sicherheit vollständig oder teilweise ausgelagert haben, entsteht hier eine neue Abhängigkeit: Die Meldepflicht bleibt beim Unternehmen, aber der operative Zugriff hängt davon ab, ob die Berechtigungskette zwischen MUK, Dienstleister und BSI-Portal sauber eingerichtet ist. Wer hier als Verantwortlicher erst nach dem 15. Juli 2026 prüft, ob der eigene Managed-Service-Provider überhaupt noch meldfähig ist, handelt fahrlässig.

Risiken und Reibungspunkte: Zertifikatsverwaltung als neue Angriffsfläche

Jede Zentralisierung von Zugriffsrechten hat zwei Seiten. Die eine: bessere Kontrolle, klarere Nachvollziehbarkeit, weniger Wildwuchs. Die andere: Ein zentraler Berechtigungsdienst wird selbst zum attraktiven Ziel. Wer die Zugriffsverwaltung für das BSI-Portal kompromittiert, kompromittiert im schlimmsten Fall den Meldekanal für genau jene Vorfälle, die er selbst verursacht hat. Ein Angreifer, der Organisationszertifikate abgreift, hat theoretisch Zugriff auf mehr als nur Steuerdaten – er hat potenziell Zugriff auf die Kommunikationsschnittstelle zur nationalen Cybersicherheitsbehörde.

Das ist kein Grund zur Panik, aber ein Grund zur sorgfältigen Schlüsselverwaltung. ELSTER-Organisationszertifikate gehören in die gleiche Kategorie wie andere geschäftskritische Geheimnisse: sicher gespeichert, zugriffsbeschränkt, regelmäßig überprüft. Unternehmen, die sich bereits mit professionellem Secrets-Management auseinandersetzen, tun gut daran, die Zertifikatsverwaltung für MUK und BSI-Portal in diese Prozesse einzubinden, statt sie als Sonderfall nebenher zu pflegen.

Ein weiterer Reibungspunkt: Die technische Umstellung selbst. Migrationen dieser Art laufen selten ohne Übergangsprobleme. Wer am 15. Juli 2026 feststellt, dass die eigene Berechtigungsstruktur nicht rechtzeitig gepflegt wurde, steht möglicherweise ohne funktionierenden Zugriff auf das Meldesystem da – zu einem Zeitpunkt, an dem genau dieser Zugriff im Ernstfall zählt. Das Pikante daran: Ausgerechnet ein Sicherheitsupdate könnte kurzfristig für Sicherheitslücken in der eigenen Meldefähigkeit sorgen, wenn die Vorbereitung fehlt. Dass staatliche Akteure gezielt Kommunikationsinfrastrukturen ins Visier nehmen, zeigt das Cyber-Wettrüsten zwischen Berlin und Peking auf besonders deutliche Weise – ein Grund mehr, die eigene Meldefähigkeit nicht durch hausgemachte Zugriffsprobleme zu gefährden.

Handlungsschritte für IT- und Compliance-Teams

Wer jetzt noch nichts vorbereitet hat, sollte mit einer schlichten Bestandsaufnahme starten: Wer im Unternehmen hat aktuell Zugriff auf das BSI-Portal, und ist dieser Zugriff nach der Umstellung noch gerechtfertigt? Danach folgt die Beantragung fehlender ELSTER-Organisationszertifikate – ein Prozess, der laut den offiziellen Angaben zum Unternehmenskonto nicht in Minuten erledigt ist und deshalb nicht erst in der letzten Woche vor dem Stichtag angestoßen werden sollte.

Parallel lohnt sich ein Blick auf die interne Rollenverteilung: Wer meldet Vorfälle, wer verantwortet die fachliche Bewertung, wer trägt die rechtliche Letztverantwortung? Diese Rollen sollten in der Berechtigungssteuerung des Unternehmenskontos abgebildet werden, nicht nur informell im Organigramm existieren. Ein dokumentierter Vertretungsplan für den Fall von Ausfall oder Abwesenheit gehört ebenfalls dazu – gerade angesichts der engen 24-Stunden-Frist für Frühwarnungen.

Sinnvoll ist außerdem ein regelmäßiger Re-Zertifizierungsprozess: Wer hat noch Zugriff, wer braucht ihn nicht mehr, welche Zertifikate sind veraltet oder sollten widerrufen werden? Genau hier bietet die IHK-Beratung für Unternehmen in vielen Regionen mittlerweile konkrete Orientierungshilfe zur praktischen Umsetzung der neuen Registrierungs- und Zugriffslogik. Ergänzend lohnt der direkte Blick in die offiziellen Angaben des BSI zur Anbindung von MUK an das BSI-Portal, ebenso wie in die dortigen häufig gestellten Fragen zum Registrierungsprozess.

Was das für die Sicherheitskultur in Unternehmen bedeutet

Meine persönliche Einschätzung: Diese Umstellung ist überfällig, aber sie kommt mit einer typisch deutschen Verwaltungsverzögerung – erst das Portal, dann Monate später die eigentliche Feinsteuerung der Zugriffsrechte. Dass Zugriffssicherheit auf ein Meldesystem für Cybervorfälle bislang nicht schon von Anfang an granular geregelt war, wirkt aus heutiger Sicht fast fahrlässig. Andererseits: Lieber spät granular als nie.

Bemerkenswert ist auch, wie sehr sich der Staat hier auf eine bereits etablierte Infrastruktur verlässt. ELSTER ist seit Jahren im Steuerkontext im Einsatz, das Unternehmenskonto baut technisch darauf auf. Statt eine komplett neue Identitätsinfrastruktur aufzusetzen, wird eine vorhandene wiederverwendet – pragmatisch, aber nicht ohne Risiko, weil damit auch die Angriffsfläche eines einzelnen zentralen Systems für mehrere Verwaltungsleistungen gleichzeitig relevant wird.

Für Unternehmen, die NIS2-pflichtig sind, führt an einer sauberen Berechtigungsverwaltung ab dem 15. Juli 2026 kein Weg mehr vorbei. Wer die Zugriffsrechte im Unternehmenskonto jetzt ordentlich aufsetzt, spart sich im Ernstfall wertvolle Stunden – und genau die zählen, wenn die 24-Stunden-Uhr für die Frühwarnung zu laufen beginnt.

Was bleibt?

Die technische Anbindung ist beschlossen, der Stichtag steht. Offen bleibt, wie viele der 29.500 betroffenen Unternehmen bis dahin ihre Zertifikate, Rollen und Vertretungsregelungen tatsächlich sauber aufgesetzt haben – oder ob erst ein verpatzter Login mitten in einem echten Sicherheitsvorfall zeigt, wo die Lücken liegen. Wer hat in Ihrem Unternehmen aktuell Zugriff auf das BSI-Portal, und würden Sie das auch noch in drei Monaten unterschreiben?

Was halten Sie von dem Thema? Hier können Sie mit anderen Leserinnen und Lesern ins Gespräch gehen.