Was ist Systemhärtung? Welche Maßnahmen gibt es?

Der Schutz von Daten und Informationen hat unter anderem aufgrund regulatorischer Vorgaben eine hohe Priorität in Unternehmen. Damit unternehmensrelevante Informationen bestmöglichst geschützt sind, müssen die Verantwortlichen unter anderem auf die Systemhärtung setzen. Was das genau ist, erläutern wir hier.

Was bedeutet Systemhärtung?

Der Begriff “Systemhärtung” ist die Übersetzung des Englischen “System Hardening”. Im IT-Sprachgebrauch wird vereinfacht auch nur von der “Härtung” bzw. dem “Härten” gesprochen.

Da auf IT-Systemen unter anderem auch höchst sensible Informationen eines Unternehmens sowie personenbezogene Daten verarbeitet und gespeichert werden, müssen die verwendeten Systeme besonderen Schutzmaßnahmen unterzogen werden. Eine sehr wirkungsvolle Maßnahme zur Absicherung stellt die Systemhärtung dar. Sie sichert das Betriebssystem ab, unabhängig davon, ob es sich um ein physikalisches, virtuelles oder cloud-basiertes System handelt.

Warum IT-Systeme speziell konfiguriert werden

Gängige IT-Systeme mit Betriebssystemen wie z.B. Microsoft Windows oder Linux werden von ihren Herstellersicht auf die größtmögliche Kompatibilität und den breitesten Feature-Umfang konfiguriert. Die Systeme sind daher mit potentiell angreifbaren, aber oftmals ungenutzten, Komponenten ausgestattet.

Das bedeutet: Standardmäßig werden bei Betriebssystemen keine restriktiven Sicherheitskonfiguration angewendet. Gerade diese oft ungenutzten und nicht konfigurierten Funktionalitäten nutzen Angreifer wie Hacker häufig als Angriffsvektor aus.

Ziel der technischen Maßnahme “Härtung”: Diese Funktionalitäten sowie deren exponierten Schnittstellen werden deaktiviert oder sogar deinstalliert.

Welche Bedrohungen existieren

Die wesentlichen Bedrohungen bei nicht gehärteten IT-Systemen sind unter anderem:

    • Identitätsdiebstahl, z.B. bei Angriffen auf die zentrale Identitäts-Management-Struktur
    • Daten-Manipulation von personenbezogenen Daten und sensiblen Unternehmensdaten
    • Datenabfluss, bspw. Kopieren gesamter Datenbanken
    • Manipulation von Anwendungen oder damit verbundener Systeme
    • Sabotage oder Spionage bei Betriebs- und Produktionsabläufen
    • Einschleusen und Verbreitung von Malware

Wie aktuelle Zahlen zeigen, sind viele deutsche Unternehmen von Hacker-Angriffen, Datendiebstahl und Spionage betroffen. Deswegen ist die Informationssicherheit und die Härtung von Systemen wichtiger denn je!

Systemhärtung: Beispiele für Maßnahmen

Systemhärtung ist ein technischer Baustein, um mögliche Schwachstellen (“Vulnerabilities”) von IT-Systemen und IT-Infrastrukturen zu verringern. Die kostenlose Handreichung zum Stand der Technik von TeleTrust empfiehlt in Kapitel 3.2.21 unter anderem folgende Maßnahmen:

    • Regelmäßige Überprüfung der Notwendigkeit von aktivierten Diensten
    • Laufende Dienste nur mit minimalen Rechten betreiben
    • Wenn möglich: Betrieb der laufenden Dienste in einer isolierten Umgebung
    • Minimale Rechtevergabe für Wartungsschnittstellen und -zugänge
    • Einschränkung des Zugriffs auf die Konfigurationsdateien des Betriebssystems
    • Änderung aller vorhandenen Standard-Kennwörter durch Passwörter entsprechend einer Unternehmens-internen Kennwort-Richtlinie
    • Deaktivierung von
      • Fehler- oder Debug-Meldungen für Endbenutzer
      • unsicheren, veralteten und/oder nicht benötigten Schnittstellen
      • nicht benötigten Autostart-Mechanismen
      • unnötigen Betriebssystem-Komponenten inkl. Hintergrund-Diensten
    • Aktivierung
      • eines Bildschirmschoners mit Kennwort-Schutz
      • starker Benutzerkontensteuerung (User Account Control)
      • des Antiviren-Programms beim Bootvorgang
      • der Protokollierung
      • der CPU-Sicherheitsfunktionen
      • des BIOS-Zugriffspasswortes
      • einer festgelegten Boot-Reihenfolge

TeleTrust meint hierzu ergänzend: “Ein großer Teil der oben aufgeführten Härtungsmaßnahmen ist durch technische Einstellungen machbar. Diese Einstellungen lassen sich über ein Härtungspaket (z.B. mittels Skripten) automatisiert auf alle Server-Systeme des Unternehmens verteilen.”

Zudem gilt: Neue Server-Systeme sollten direkt nach Abschluss der Installation mit der entsprechenden standardisierten Konfiguration versorgt und Ausnahmen von der Härtung zentral verwaltet werden.

Systemhärtung auch im Betrieb standardisieren

ENFORCE ADMINISTRATOR (Bild: FB Pro GmbH)Verantwortliche für die Informationssicherheit müssen diverse Maßnahmen im Blick haben und umsetzen. Damit die Härtung standardisiert und auch bei großen Anzahlen von IT-Systemen noch leistbar ist, stellt die FB Pro GmbH die ENFORCE SUITE zur Verfügung. Diese besteht aus dem ENFORCE TAP und dem ENFORCE ADMINISTRATOR.

Mit der ENFORCE SUITE können Härtungskonfiguration auf dem Stand der Technik erstellt, auf IT-Systemen ausgebracht und auch während des Lebenszyklus eines IT-Systems zentral und transparent verwaltet sowie nachvollziehbar dokumentiert werden. Wir machen aus dem “Verteilen von Scripts” damit ein zentrales sicherheitsorientierts Systems-Management.

Wichtige Informationsquellen

Alle, die mit Systemhärtung zu tun haben, müssen stets up-to-date sein um die aktuellen Härtungsstandards umsetzen zu können. Dazu können sie diese Informationsquellen nutzen:

Benötigen Sie Unterstützung bei der Härtung?

Unsere Experten stehen Ihnen gerne beratend und unterstützend zur Seite, um Ihre IT-Systeme nach den aktuellsten Standards und Vorgaben zu auditieren und zu härten.

Kontakt aufnehmen

Bild: Pixabay, BSI, Statista