Wir werden immer wieder gefragt: “Was genau macht euer AuditTAP eigentlich?” Deswegen starten wir die Reihe “einfach erklärt”. Im ersten Schritt schauen wir uns unser AuditTAP an, das kostenfrei genutzt werden kann.
Was ist das AuditTAP?
Eine Sammlung an technischen Scripten, die für verschiedene Produkte einen übersichtlichen Bericht erzeugt.
Was zeigt mir der Bericht?
Der Bericht listet übersichtlich auf, an welchen Stellen die Konfiguration des jeweiligen Produkts dem “Stand der Technik” entspricht und eben auch, an welchen Stellen man optimieren kann.
Was mache ich mit dem Bericht?
Aus unserer Sicht nutzt man den Bericht, um den IST-Status zu ermitteln und dann auf dieser Basis entsprechende Maßnahmen abzuleiten, konkret Produkte zu härten und sicher zu konfigurieren. Wenn man das dann noch regelmäßig macht, sind wir glücklich 😉
Warum ist sichere Konfiguration überhaupt notwendig?
Standardprodukte werden heute in einer Konfiguration ausgeliefert, die größtmögliche Kompatibilität im Unternehmensnetzwerk sicherstellt. Das führt dazu, dass unsichere Konfiguration aktiviert sind – bspw. veraltete Algorithmen wie RC4, veraltete Protokolle wie SMB 1.0 oder ähnliches. Diese “veralteten” Protokolle machen Angreifern das Leben einfach. Aus dem Grund finden wir, ist eine sichere Konfiguration notwendig.
Schön, dass ihr das wollt – muss ich das tun?
Die kurze Antwort: Ja.
Die pragmatische Antwort: Ja, es ist heutzutage nicht mehr “state of the art”, Software einfach nur zu installieren. Das kriegt auch der Neffe hin, der die IT macht.
Die fachliche Antwort: Verschiedenste Regularien sprechen vom und fordern Informationstechnik auf Basis “Stand der Technik”. Es war lange nicht greifbar, was genau der “Stand der Technik” ist. Mit dem von TeleTrust veröffentlichten Dokument wird klar, was das bedeutet. Härtung von Systemen ist damit zwingend notwendig.
Außerdem wächst von Jahr zu Jahr das Risiko, dass Unternehmen von sog. “Cyber-Kriminellen” attackiert werden. Schon heute verursachen Lücken in der Informationssicherheit gigantische Schäden!
Was kann ich tun?
Die kritischsten Systeme ermitteln, dort mit einer Härtung auf Basis von anerkannten Standards beginnen. In großen IT-Projekten nicht mehr nur Budget und Meilensteine, sondern auch Qualität und insbesondere durch Qualität verminderte Risiken betrachten. Dann verliert die reine Kosten-Nutzen-Analyse schnell an Argumentationsgewicht. Grundsätzlich risikoorientiert vorgehen, die kritischsten Systeme / die größten Risiken zuerst betrachten.
Kann ich Unterstützung bekommen?
Wir unterstützen bei der Anwendung der AuditTAPS, der Einführung von gehärteten Systemen mittels unserer ENFORCE SUITE oder auch bei ganz allgemeinen Fragen zur Informationssicherheit. Wir freuen uns!