Risikobewertung, neue Hardening-Konfigurationen und mehr: Das AuditTAP 5.2 ist da!

Was ist das AuditTAP?

Das Audit Test Automation Package (kurz: AuditTAP) überprüft die Konfiguration Ihrer Systeme (zum Beispiel von Windows 10, Windows 11, Microsoft-Server-Betriebssysteme oder Linux) und viel genutzten Programmen wie Microsoft Office, Google Chrome und Mozilla Firefox.

Auf Basis eines transparenten Berichts erfahren Sie, ob die eingesetzten Betriebssysteme und Anwendungen die Härtungsempfehlungen von BSI, DISA, CIS, ACSC und Microsoft erfüllen.

Auch die neueste Fassung des  AuditTAP dürfen Sie kostenlos herunterladen und vollumfänglich gemäß BSD3-Lizenz einsetzen. Hier geht’s zum Download bei Github:

AuditTap 5.2: Was ist die größte Neuerung?

Nachdem mit dem AuditTAP 5.1 nur ein paar kleine Aktualisierungen eingeführt wurden, beinhaltet das neue Update ein paar größere und vor allem auch wichtige Veränderungen. So führt die Version 5.2 ein Business-orientiertes Risiko-Modell ein, Risk Score genannt.

Dieser Risk Score bewertet den Stand eines Systems nach quantitativen Gesichtspunkten und berücksichtigt jetzt auch die Kritikalität von Einstellungen. Es wird also neben der Menge an konformen oder eben auch nicht konformen Einstellungen eine Gewichtung vorgenommen. Denn manche Einstellungen sind aus Sicht der Informationssicherheit kritischer als andere.

Beide Bewertungsdimensionen zusammengenommen ergeben dann den Risk Score des Systems.

Aufgrund dessen ist der AuditTAP-Report neu strukturiert. Und kleinere Design-Änderungen führen zu einer noch besseren und einfacheren Lesbarkeit. Schlussendlich wurden noch einige Benchmark-Updates implementiert.

Warum ist die neue Risikobewertung so wichtig?

Das AuditTAP bietet die Möglichkeit, einfach und transparent ein Audit von IT-Systemen durchzuführen. In wenigen Sekunden sieht man, in wieweit die eigenen Konfigurationen den System-Hardening-Empfehlungen von BSI & Co. entsprechen.

Geht das noch besser? Wir finden: Ja! Denn bislang gab es keine Hilfestellung, wenn folgende Fragen gestellt worden sind:

• • Ist ein System sicher, wenn 90% Compliance erreicht wurde, aber SMBv1 angeschaltet ist?
  • Gilt ein System als unsicher, wenn nur 70% Compliance erreicht sind, aber bspw. das veraltete Protokoll SMBv1 oder die Nutzung des Algorithmus RC4 verhindert wurden?
  • Oder gilt ein System als sicher, wenn die Windows Firewall ausgeschaltet wurde?

Um eine bessere Bewertung des Risikos zu ermöglichen, haben wir den neuen Risk Score implementiert. Damit sehen und verstehen auch Nicht-Techniker, wie risikoreich das unzureichend oder nur partiell gehärtete System ausfällt. Das hilft ungemein, die oben gestellten Fragen zu beantworten.

So sieht der AuditTAP-Bericht im Einsatz aus

Wird ein Report auf Betriebssystem-Ebene (aktuell sind Microsoft-Betriebssysteme unterstützt) mittels AuditTAP erstellt, findet man alle wichtigen Punkte – zusammengefasst und konsolidiert – im neuen Menü-Punkt “Summary”.

Dort ist auch der neue, risikobasierte Ansatz verortet. Über eine im Risiko-Management bekannte Risikomatrix wird die Anzahl der zu einer Härtungsempfehlung konformen Einstellung, aber auch die Kritikalität der Einstellungen bewertet. Diese Kombination führt zu einer direkten, auf das Risiko zielende Interpretation der Konfiguration. In Folge können mögliche Maßnahmen  jetzt einfacher priorisiert werden.

Die Berechnung des Risiko-Scores fällt ganz einfach aus. Sie wird im Bericht selbst unter dem Reiter “Risk Score” transparent erläutert, als auch nachfolgend erklärt.

Quantitativ wird eine gewisse Konformität vorausgesetzt, um den Risiko-Level von “Critical” auf “Low” zu senken. Diese Tabelle verdeutlicht das:

Ein System mit einer Konformität von weniger als 50% Konformität mit aktuellen Hardening-Empfehlungen gilt damit per se als “kritisch”.

Qualitativ prüft das AuditTAP, ob als kritisch (“severity”) hinterlegte Einstellungen nicht konform der Hardening-Empfehlungen ausfallen. Ist eine der als kritisch hinterlegten Einstellungen nicht konform der Empfehlung, gilt das als kritisch und entspricht damit der höchsten Risiko-Stufe.

Als kritisch sind zum Beispiel folgenden Einstellungen gekennzeichnet:

• • Passwörter dürfen nicht mit wieder umkehrbarer Verschlüsselung gespeichert werden
  • Audit-Logs dürfen nur von Administratoren verwaltet werden
  • RC4 muss abgeschaltet sein
  • SMBv1 muss abgeschaltet sein
  • Die Windows Firewall muss angeschaltet sein
  • Verschiedene “Attack Surface Reduction”-Konfigurationen (ASR) müssen konfiguriert sein

Möchten Sie mehr über den neuen Risk Score des AuditTAP erfahren? Und wollen Sie wissen, welche Dinge Sie aus den Ergebnissen ableiten können oder sollten? Dann lesen Sie dazu diesen Beitrag:

AuditTAP Risk Score: Welche wichtigen Schlussfolgerungen Sie aus den neuen Compliance-Berichten ziehen können

Was ist noch neu im AuditTap 5.2?

Mit weiteren Änderungen und Optimierungen haben wir das fortwährend wachsende AuditTAP auf ein neues Level gehoben. Diese Dinge sind neben dem Risk Score hinzugekommen:

• • Um den mittlerweile recht langen Bericht besser zu strukturieren, gibt es nun eine Navigationsleiste.
  • Die Top-Header-Leiste erfuhr eine Verschlankung. Die Inhalte aus der Top-Header-Leiste sind nun nach unten in den Inhaltsbereich des Berichts gewandert.
  • Einzelne Hardening-Empfehlungen werden nun nach der aktuell verfügbaren Version geprüft.
  • Einige Issues aus der Community wurden behoben. Eine detaillierte Übersicht aller Änderungen zeigt diese Changelog-Seite.