Das deutsche Gesetz zur Umsetzung der EU-Sicherheitsrichtlinie NIS 2 wird voraussichtlich Anfang 2025 in Kraft treten. Die Wahl der Hardware-Plattform kann helfen, die Anforderungen zu erfüllen.
Die Richtlinie EU 2022/2555 vom 14. Dezember 2022 soll ein Mindestniveau an Cybersicherheit in der Europäischen Union gewährleisten. Sie ersetzt die Richtlinie Network and Information Security (NIS) und wird deshalb als „NIS 2“ bezeichnet. Die Richtlinie präzisiert nicht nur die Anforderungen an die Cybersecurity kritischer Infrastrukturen, sie erweitert auch den Kreis der von ihr erfassten Unternehmen erheblich. Waren in Deutschland bislang zirka 5.000 Firmen als KRITIS-Betriebe von verschärften Sicherheitsbestimmungen betroffen, werden es künftig rund 30.000 sein. Die Wirkung der Richtlinie wird zudem weit über diesen Kreis hinausgehen, denn die betroffenen Unternehmen sind verpflichtet, auch in ihrer Lieferkette für ein angemessenes Cybersicherheitsniveau zu sorgen.
Die Umsetzung von NIS 2 in nationales Recht sollte eigentlich bis zum 17. Oktober 2024 erfolgen. In Deutschland ist das Gesetzgebungsverfahren allerdings noch nicht abgeschlossen. Immerhin liegt seit dem 22. Juli 2024 ein Regierungsentwurf für ein „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) vor. Mit einem Inkrafttreten des Gesetzes ist aber nicht vor Anfang 2025 zu rechnen. Dennoch sollten sich Unternehmen schon jetzt mit den neuen Regelungen auseinandersetzen, da es voraussichtlich keine Übergangsfristen geben wird.
Anforderungen an Unternehmen
Laut § 30 NIS2UmsuCG müssen sogenannte besonders wichtige und wichtige Einrichtungen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden und die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Die Maßnahmen sollen dem Stand der Technik entsprechen und europäische sowie internationale Normen berücksichtigen. Sie müssen mindestens folgende Bereiche abdecken:
- Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik,
- Bewältigung von Sicherheitsvorfällen,
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik,
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen,
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Gemäß § 31, Absatz 2 sind Betreiber kritischer Anlagen darüber hinaus verpflichtet, Systeme zur Angriffserkennung (Intrusion Detection) einzusetzen, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.
Die Rolle der Hardware-Plattform für die NIS-2-Konformität
Bei der Auswahl der Hardware sollten Unternehmen darauf achten, dass diese möglichst viele der geforderten Maßnahmen bereits abdeckt und sie bei der Erfüllung der Anforderungen maßgeblich unterstützt.
Das ist zum Beispiel bei der PC-Plattform Intel vPro der Fall. Mit dem Hardware Shield sind Sicherheitsfunktionen integriert, die die Verfügbarkeit, Integrität und Vertraulichkeit der Systeme verbessern. Die Control Enforcement Technologie (CET) erkennt beispielsweise Manipulationen in der Ablaufsteuerung von Anwendungen und verhindert, dass eingeschleuster Schadcode ausgeführt werden kann. Technologien wie Intel BIOS Guard und Boot Guard überwachen das BIOS und verhindern dessen Manipulation. Beim Startvorgang arbeitet die Secure-Boot-Funktion der Hardware eng mit der Trusted-Boot-Funktion von Windows zusammen. Secure Boot überprüft jeden Code, der vor dem Start des Betriebssystems ausgeführt wird, und übergibt dann an den Windows-Bootloader, der die digitale Signatur des Windows Kernel abgleicht, bevor er ihn lädt. Dieser wiederum überprüft sämtliche anderen Windows-Prozesse und -Komponenten, die während des Startvorgangs geladen werden.
Betreiber kritischer Infrastrukturen, aber natürlich auch alle anderen Unternehmen, profitieren von der in vPro integrierten Hardwareunterstützung bei der Angriffserkennung. Die Intel Threat Detection Technologie (Intel TDT) ergänzt die softwarebasierte Threat Detection um Informationen aus der CPU-Telemetrie. Sie ist immun gegen typische Malware-Verschleierungstechniken und verbessert so die Erkennung fortgeschrittener Angriffe mit dateilosen Methoden. Eine KI-basierte Anomalieerkennung (Anomalous Behavior Detection, ABD) erhöht die Erkennungsrate nochmals deutlich. Wie eine Studie zeigt, verbessert Intel TDT die Detektion von Ransomware um bis zu 24 Prozent. Die Überwachung des CPU-Verhaltens unterstützt zudem die schnelle Erkennung von Zero-Day-Angriffen und bietet damit eine zusätzliche Sicherheitsebene.
Mit der Active-Management-Technologie (AMT), trägt die Intel vPro Plattform zur Erfüllung von Punkt 3 (Aufrechterhaltung des Betriebs) bei. Sie ermöglicht dem IT-Personal den Zugriff auf Rechner, auch wenn das Betriebssystem nicht mehr startet. In Kombination mit dem Intel Endpoint Management Assistant (EMA) funktioniert dies auch an Heimarbeitsplätzen, da EMA eine sichere Remoteverbindung zu Intel vPro-fähigen Geräten außerhalb des Unternehmensnetzwerks herstellen kann.
Auch die Anforderungen der Punkte 4 (Sicherheit der Lieferkette) und 5 (Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung) werden durch vPro unterstützt. Eine transparente Supply-Chain-Dokumentation ermöglicht es, Manipulationen in der Lieferkette zuverlässig zu erkennen. Für jedes Produkt gibt es ein digital signiertes Zertifikat, das sich über das TPM (Trusted Platform Module) auf Systemebene nachverfolgen lässt. Auch die Komponenten sind direkt rückverfolgbar. Beim ersten Start eines Systems wird der Zustand der Hardware mit einem Snapshot aus der Produktion verglichen, so dass Manipulationen in der Lieferkette erkannt werden können.
Mit der Technologie Total Memory Encryption adressiert der Hersteller Punkt 8 (Konzepte und Verfahren zum Einsatz von Verschlüsselung). Sie verschlüsselt den Arbeitsspeicher und reduziert damit die Gefahr von Cold-Boot-Attacken, bei denen ein Angreifer Daten aus dem Arbeitsspeicher auslesen kann, obwohl das System heruntergefahren wurde. Die Intel Advanced Encryption Standard New Instructions (Intel AES-NI) werden von Festplattenverschlüsselungssoftware wie Microsoft BitLocker dazu verwendet, gespeicherte Daten auf Hard Drives vor fremden Zugriffen zu schützen. Intel Key Locker reduziert die Angriffsfläche auf Sicherheitsschlüssel in ChromeOS- und Linux-Systemen. Der eigentliche Schlüssel wird dazu in einen „Handle“ umgewandelt, der nur auf dem aktuellen System und nur so lange funktioniert, bis er zum Beispiel bei einem Neustart widerrufen wird. Der eigentliche Schlüsselwert kann damit nicht aus dem Arbeitsspeicher ausgelesen werden.
Fazit: NIS-2-Konformität beginnt bei der Hardware
Mit der Umsetzung der NIS-2-Richtlinie kommen umfangreiche Berichts-, Melde- und Risikomanagementpflichten auf die betroffenen Unternehmen zu. Es empfiehlt sich daher, diese Anforderungen schon bei der Auswahl der Hardware zu berücksichtigen. Sie sollte die Umsetzung erleichtern und eine sichere Plattform für die Unternehmens-IT bieten. Wenn sich viele der geforderten Maßnahmen bereits auf Hardwareebene adressieren lassen, kann der Aufwand für die Umsetzung reduziert und ein Nachweis der NIS-2-Konformität leichter geführt werden.