NIS2-Compliance durch Client-Härtung: Anforderungen, Umsetzung, Nachweise

1 Warum Client-Härtung im Rahmen von NIS2 so wichtig ist

Die meisten Cyberangriffe beginnen nicht im Rechenzentrum, sondern am Endgerät. Unsichere Konfigurationen, unnötige Dienste oder zu weit gefasste Zugriffsrechte machen Clients zu einem bevorzugten Angriffsziel – und damit zu einem Risiko für die NIS2-Compliance.

‍

Denn jede falsch gesetzte Richtlinie oder ungepatchte Anwendung kann nicht nur Sicherheitslücken öffnen, sondern laut NIS2 auch als organisatorisches Versagen gewertet werden – nicht bloß als technische Nachlässigkeit.

‍

Besonders deutlich wird das im Anhang VI der NIS2-Umsetzungsverordnung: Dort werden Schutzmaßnahmen wie Zugriffskontrolle, sichere Konfiguration, Protokollierung und regelmäßige Überprüfung explizit genannt – alles zentrale Aspekte der Client-Härtung.

‍

Zwar zählt auch Patch-Management zur Härtung von Endgeräten, in diesem Artikel liegt der Fokus jedoch auf Configuration Management nach NIS2, worunter auch Identity und Access Management fällt. Mehr zu NIS2-konformen Patch Management erfahrt ihr hier.

‍

‍

2 Wichtige Dokumente rund um Client Härtung im Kontext von NIS2

Die regulatorische Grundlage zur NIS2-Umsetzung besteht aus mehreren Dokumenten, die auf den ersten Blick nicht leicht zu durchschauen sind. Sie reichen von der EU-Richtlinie über die verbindliche EU-Durchführungsverordnung bis hin zum deutschen Umsetzungsgesetz. Die Dokumente bauen dabei systematisch aufeinander auf: Die EU gibt mit der NIS2-Richtlinie den Rahmen vor, die Durchführungsverordnung konkretisiert technische Maßnahmen – und die deutsche Gesetzgebung übernimmt diesen Rahmen unter Berücksichtigung nationaler Anforderungen.

‍

‍

Besonders wichtig: § 30 Absatz 2 des deutschen Cybersicherheitsgesetzes verlangt, dass die in Absatz 1 genannten Maßnahmen „den Stand der Technik einhalten“ und „einschlägige europäische und internationale Normen“ berücksichtigen. Dazu gehört ausdrücklich auch das, was in der EU-Verordnung unter „Configuration Management“ (Annex 6.3) gefordert wird – also Maßnahmen, die im Kern auf eine systematische Client-Härtung hinauslaufen.

‍

‍

3 Die NIS2-Anforderungen an Client-Härtung, bzw. Configuration Management im Detail

Die ENISA greift diesen Punkt in ihrer Technical Implementation Guidance vom Juni 2025 auf und führt in Kapitel 6.3 aus, was unter Configuration Management zu verstehen ist. Dort wird unter anderem empfohlen, Sicherheitskonfigurationen auf Basis etablierter Härtungsleitfäden umzusetzen und dabei das Prinzip der minimalen Funktionalität und geringstmöglichen Berechtigungen zu berücksichtigen. Der Einsatz von Best Practices für die Systemhärtung wird dabei nicht als Empfehlung, sondern als Standardanforderung betrachtet.

‍

Auch wenn der Begriff „Configuration Management“ in den regulatorischen Texten umfassender zu verstehen ist – also über Clients hinaus auch Server, Netzwerktechnik oder Cloud-Systeme umfasst – konzentrieren wir uns in diesem Artikel auf die Umsetzung im Bereich der Endgeräte. Systemhärtung ist ein wesentlicher Teilbereich des Configuration Managements. Um die Komplexität zu reduzieren, setzen wir im Folgenden beide Begriffe gleich.

‍

Zu den wesentlichen Anforderungen gehören insbesondere:

‍

• Zugriffskontrolle: Nur autorisierte Nutzer dürfen Systeme bedienen. Auf Endpoint-Ebene bedeutet das unter anderem den Verzicht auf lokale Admin-Rechte, den Einsatz von MFA und ein klares Rollen- und Rechtemodell. Ergänzend sichern Tiering-Modelle und Privileged Access Management (PAM) besonders kritische Zugänge gezielt ab.
  
  

• Sichere Konfigurationen: Systeme müssen so eingerichtet sein, dass unnötige Angriffsflächen ausgeschlossen werden. Dazu gehört das Deaktivieren nicht benötigter Dienste, restriktive Firewall-Einstellungen und das Anwenden von Härtungsrichtlinien nach BSI oder CIS.
  
  

• Protokollierung und Überwachung: Ereignisse auf Endgeräten müssen nachvollziehbar dokumentiert werden – etwa durch zentrale Log-Speicherung oder Endpoint Detection & Response-Lösungen.
  
  

• Verschlüsselung und Integritätsschutz: Ob BitLocker, TPM oder Secure Boot – moderne Clients müssen sensible Daten und Prozesse aktiv vor Manipulation schützen.
  
  

• Kontinuierliche Überprüfung: Die Wirksamkeit der Maßnahmen ist regelmäßig zu testen und nachzuweisen – auch das ist laut NIS2 verpflichtend.
  ‍

Diese Anforderungen gelten nicht nur für Server oder Netzwerke, sondern explizit auch für Clients – also für alle Endgeräte, die auf kritische Informationen oder Dienste zugreifen. Unternehmen müssen daher nachweisen können, dass ihre Endpoints nach aktuellen Sicherheitsstandards gehärtet, dokumentiert und überprüft sind.

‍

‍

4 Häufige Herausforderungen bei NIS2-konformer Client-Härtung

Die Anforderungen der NIS2-Richtlinie sind klar – doch die Umsetzung in der Praxis ist alles andere als trivial. Gerade im Bereich der Client-Härtung stoßen viele Unternehmen auf typische Stolpersteine:

‍

• Zeit- und Ressourcenengpass: Client-Härtung erfordert Planung, regelmäßige Pflege und Kontrolle – doch viele IT-Teams sind im Tagesgeschäft gebunden. Ohne klare Priorisierung bleiben Härtungsmaßnahmen liegen oder werden nur unvollständig umgesetzt – und vor allem nicht regelmäßig überprüft und an neue Herausforderungen angepasst (siehe zusätzlich auch Configuration Drift)
  

• Historisch gewachsene IT-Strukturen: Unterschiedliche Betriebssysteme, Softwarestände und Konfigurationen erschweren eine einheitliche Absicherung.
  

• Unklare Zuständigkeiten: Wer ist verantwortlich? Infrastruktur-Team, Security oder Compliance?
  

• Fehlende Standards: Ohne klar definierte Härtungsvorgaben fehlen Vergleichbarkeit und Kontrolle.
  

• Lokale Adminrechte: In vielen Organisationen haben User nach wie vor zu viele Rechte auf ihren Geräten – ein großes Risiko.
  

• Akzeptanzprobleme: Härtung bedeutet oft Einschränkungen – etwa bei der Softwareinstallation oder beim Zugriff auf Systemfunktionen.
  

• Configuration Drift: Auch sauber ausgerollte Härtungsrichtlinien verlieren mit der Zeit an Wirkung: Neue Geräte, manuelle Änderungen oder Ausnahmen führen dazu, dass Endgeräte von der Soll-Konfiguration abweichen – oft unbemerkt.

‍

Hinzu kommt: Viele Unternehmen setzen auf Tools, die zwar Einzelmaßnahmen abdecken, aber keine ganzheitliche Steuerung ermöglichen. Dadurch entsteht ein Flickenteppich an Sicherheitsmaßnahmen, allerdings keine durchgängige Compliance.

‍

‍

5 So gelingt die praktische Umsetzung – NIS2 konforme Client-Härtung

Eine NIS2-konforme Client-Härtung erfordert mehr als einzelne Sicherheitseinstellungen – es braucht einen klaren, reproduzierbaren Prozess. Dabei gilt: Was nicht dokumentiert und nachvollziehbar ist, gilt im Zweifel als nicht umgesetzt.

‍

So setzen Unternehmen die Anforderungen erfolgreich um:

• Zentrale Verwaltung: Tools wie Microsoft Intune, MECM, baramundi oder Gruppenrichtlinien (GPOs) ermöglichen eine einheitliche, skalierbare Steuerung von Sicherheitsrichtlinien – auch über hybride oder dezentrale Umgebungen hinweg.
  

• Härtungsstandards definieren: Orientierung an bewährten Benchmarks wie CIS, BSI-Richtlinien oder den Microsoft Security Baselines. Diese bieten konkrete Empfehlungen für sicheres Client-Setup.
  

• Härtungsstandards regelmäßig überprüfen und aktualisieren: Härtungsrichtlinien sind kein statisches Regelwerk. Benchmarks  werden regelmäßig weiterentwickelt, um auf neue Bedrohungen zu reagieren. Unternehmen müssen daher bestehende Konfigurationen regelmäßig mit aktuellen Standards abgleichen, Anpassungen bewerten und Änderungen kontrolliert ausrollen, um dauerhaft konform und wirksam zu bleiben.
  

• Configuration Drift erkennen und korrigieren: Tools wie Eido oder der Tenant Manager unterstützen dabei, Soll- und Ist-Zustand regelmäßig abzugleichen. Sie erkennen Abweichungen von Härtungsrichtlinien, beispielsweise auf Basis der CIS Benchmarks, und helfen dabei, fehlkonfigurierte oder entglittene Clients automatisiert wieder auf den gewünschten Stand zu bringen.
  

• Dokumentation & Nachweisführung: Jede Maßnahme muss prüfbar sein: Rollouts, Ausnahmen, Testprotokolle und Abweichungen sollten zentral dokumentiert und regelmäßig überprüft werden.
  

• Integration in ISMS & Risikomanagement: Die Härtung sollte Bestandteil eines umfassenden Informationssicherheits-Managementsystems (ISMS) sein – nur so entsteht eine konsistente Sicherheitsarchitektur.
  

• Kontinuität: Systemhärtung ist keine einmalige Maßnahme. Standards entwickeln sich weiter, Systeme verändern sich, neue Anforderungen kommen hinzu. Damit Clients dauerhaft abgesichert bleiben, braucht es klare Prozesse für Pflege, Anpassung und Kontrolle – technisch, organisatorisch und kontinuierlich.

‍

‍

6 Fazit – Client-Härtung als Schlüssel zur NIS2-Compliance

Die NIS2-Richtlinie stellt hohe Anforderungen an die technische Sicherheit von IT-Systemen – und die Härtung von Clients ist dabei ein zentrales Element. Endgeräte wie Laptops, Desktops oder mobile Devices müssen so konfiguriert sein, dass sie Angriffen standhalten, Zugriffskontrollen durchsetzen und regelmäßig überprüft werden können. Unternehmen, die ihre Client-Härtung ernst nehmen, erfüllen damit nicht nur gesetzliche Vorgaben, sondern steigern auch aktiv ihre Cyber-Resilienz.  

‍

Der Schlüssel liegt in klaren Prozessen, technischer Automatisierung und einer lückenlosen Dokumentation. Wer diesen Dreiklang meistert, kann NIS2-Anforderungen effizient umsetzen – und ist auch für kommende Audits gut gerüstet. In komplexen Umgebungen kann dabei die Unterstützung spezialisierter Dienstleister wie SOFTTAILOR sinnvoll sein: Sie bringen nicht nur das technische Know-how, sondern auch die nötige Erfahrung in der Audit-sicheren Umsetzung mit. So wird Client-Härtung nicht zur Belastung, sondern zur strategischen Sicherheitsmaßnahme.