NIS2 richtig umsetzen: Warum Hardening unverzichtbar ist

Die novellierte Network and Information Security Directive (NIS2) sorgt ständig für Schlagzeilen. Einerseits stockt die Umsetzung in den einzelnen EU-Mitgliedstaaten. Andererseits ist vielen IT-Verantwortlichen immer noch nicht klar, welche konkreten Schritte notwendig sind, um die Anforderungen rechtskonform umzusetzen.

Um hier Orientierung zu bieten, hat die European Union Agency for Cybersecurity (ENISA) kürzlich den Leitfaden NIS2 – Technical Implementation Guidance veröffentlicht. Dieses 170-seitige Dokument deckt 13 zentrale Handlungsfelder ab – vom Risk Management Framework und Incident Handling über Business Continuity & Crisis Management und Supply Chain Security bis hin zu Asset Management sowie Environmental & Physical Security.

Besonders hervorgehoben wird auch das Configuration Management und die damit eng verbundene Systemhärtung (aka System Hardening bzw. Hardening).

Warum Hardening so wichtig ist

Systeme, die nicht ausreichend abgesichert oder korrekt konfiguriert sind, stellen eine erhebliche Angriffsfläche dar. Cyberkriminelle nutzen diese Schwächen konsequent aus. Deshalb verankert die europäische Cybersecurity-Behörde das Thema „Hardening“ als verpflichtenden Bestandteil des Konfigurationsmanagements.

In Kapitel 6.3 heißt es dazu:

“Consider hardening guides/best practices and general cybersecurity principles (e.g. least functionality and least privilege) as a basis for deriving the defined security configurations.”

Darüber hinaus spricht die ENISA an mehreren Stellen von einem „strict configuration hardening“. Diese Vorgabe wird durch die Empfehlung unterstrichen:

“Employ a deny-all, permit-by-exception policy to allow authorised software to run.”

Die Botschaft ist eindeutig: Systemhärtung bzw. Hardening ist keine optionale Maßnahme, sondern ein regulatorisch geforderter Grundsatz!

Was ENISA zur Systemhärtung empfiehlt

In Kapitel 6.3 und den folgenden Abschnitten gibt die ENISA zahlreiche Empfehlungen. Dazu zählen unter anderem:

• Konfigurationsmanagement-Planung
  Es ist ein Plan für das Configuration Management erforderlich, der Rollen, Verantwortlichkeiten, Prozesse und Verfahren klar definiert. Dieses Dokument muss gegen unbefugte Einsicht und Änderungen geschützt werden.
• Zulässige Software und Dienste
  Nicht autorisierte Anwendungen müssen identifiziert werden. Gleichzeitig ist eine deny-all, permit-by-exception-Policy einzurichten, um nur autorisierte Software auszuführen.
• Automatisierung für alle Systeme
  Automatisierte Mechanismen sollen eingesetzt werden, um Konfigurationseinstellungen zentral zu verwalten, anzuwenden und zu prüfen – auch für mobile Geräte und vernetzte Fahrzeuge.
• Standards und Überwachung
  Netzwerk-, Software- und Systemkonfigurationen müssen den etablierten Sicherheits- und Betriebsstandards entsprechen. Abweichungen sind zu erkennen, zu dokumentieren und zu genehmigen.
• Umsetzung von Alternativen bei Legacy-Systemen
  Für ältere Systeme reicht Hardening allein nicht aus. Ergänzende Maßnahmen sind erforderlich – etwa Netzwerksegmentierung oder -isolierung, Intrusion-Detection-Systeme sowie regelmäßige Schwachstellenscans.
• Regelmäßige Überprüfung
  Alle Konfigurationen sind in geplanten Intervallen – mindestens monatlich – zu kontrollieren. Das gilt insbesondere nach Patches, bei Backup-Problemen, größeren Änderungen oder nach Sicherheitsvorfällen. Hierfür eignen sich beispielsweise kostenlose Tools wie das AuditTAP.

Forderungen nach Standards und kontinuierlicher Kontrolle

Wichtig: Automatisierung und Dokumentation sind Pflicht! Wie viele andere Regularien, Gesetze und Normen verlangt auch die NIS2 Technical Implementation Guidance eine Härtung nach etablierten Standards – etwa den CIS Benchmarks oder DISA STIG.

“Employ automated mechanisms to centrally manage, apply and verify configuration settings for software and hardware, including mobile devices and the entity’s connected vehicles.”

Zudem verlangt ENISA regelmäßige Prüfungen:

“Review and, where appropriate update configurations at least monthly to ensure that patches have been applied, that the backup has been executed according to the plan and that monitoring is in place to identify and alert to fatal server/device/disk errors without delay.”

Ist ein System nicht mehr auf dem aktuellen Stand der Technik oder stehen keine Patches zur Verfügung, empfiehlt ENISA kompensierende Maßnahmen:

“If patching is not feasible, consider alternative measures such as strict configuration hardening, intrusion detection systems, regular vulnerability scanning, network segmentation or isolation …”

Darüber hinaus wird eine kontinuierliche und vollständige Dokumentation gefordert. Ziel ist unter anderem:

“Documented secure baseline configuration containing at least (indicative, non-exhaustive list): essential capabilities of operation; restricted use of functions; security by default; ports, protocols and/or services allowed […] Documented and approved exceptions to the configuration baseline containing the alternative measures in place to ensure the confidentiality, availability and integrity of the CI.”

Härtung nach NIS2: Umsetzung in der Praxis

Die zahlreichen NIS2-Anforderungen lassen sich weder mit GPOs noch mit anderen manuellen Maßnahmen realistisch erfüllen – der Aufwand wäre schlicht zu hoch. Immerhin sind pro System regelmäßig hunderte Einstellungen zu überprüfen, anzupassen und zu dokumentieren!

Deshalb betont die ENISA ausdrücklich:

“Employ automated mechanisms to centrally manage, apply and verify configuration settings …”

Die Empfehlung ist eindeutig: Setzen Sie auf eine automatisierte, sichere Konfiguration. Dies lässt sich beispielsweise mit Lösungen wie dem Enforce Administrator umsetzen. Dieses Hardening-Tool ermöglicht die zentrale und vollautomatisierte Härtung komplexer IT-Landschaften nach weltweit etablierten Standards. Zudem erstellt es eine lückenlose Dokumentation der Konfigurationen – ein entscheidender Vorteil bei Audits.

Fazit

Die ENISA liefert mit der kostenlosen Technical Implementation Guidance einen praxisnahen Rahmen für die NIS2-Umsetzung. Systemhärtung bzw. Secure Configuration ist dabei ein zentrales Element. Ohne sie lassen sich die Vorgaben der Richtlinie nicht erfüllen.

Besonders klar wird: Automatisierung ist ein Muss. Nur zentrale, automatisierte Mechanismen ermöglichen eine wirksame Verwaltung, Anwendung und Kontrolle von Konfigurationen. Individuell entwickelte Eigenlösungen gehören damit endgültig der Vergangenheit an.

Hier gibt’s noch mehr dazu

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky