Kürzlich erschien der “HV-Benchmark 5.0 kompakt” des BSI in der Version 2.0. Wir haben ihn uns angeschaut und möchten eine Maßnahme besonders hervorheben.
Inhaltsverzeichnis
Was ist eigentlich der “HV-Benchmark”?
Der “HV-Benchmark” (“Hochverfügbarkeits-Benchmark”) des BSI (Bundesamt für Sicherheit in der Informationstechnik) ist ein Instrument, um die hohe Verfügbarkeit von IT-Dienstleistungen und Rechenzentren, insbesondere in der deutschen Bundesverwaltung, zu bewerten.
Der “HV-Benchmark”, kurz “HVB”, soll sicherstellen, dass kritische IT-Infrastrukturen jederzeit verfügbar sind, um die Kontinuität von Regierungssystemen und -diensten sicherzustellen. Das BSI aktualisiert den “HV-Benchmark” regelmäßig, um den sich ändernden Anforderungen und Anforderungen und Bedrohungen gerecht zu werden.
Was ist der “HV-Benchmark kompakt”?
Neben dem “HV-Benchmark” gibt es auch noch den “HV-Benchmark kompakt”. Der “HV-Benchmark” betrachtet die umfassende Zuverlässigkeit von Rechenzentren und IT-Leistungen, der “HVB kompakt” legt dagegen seinen Schwerpunkt auf die Informationssicherheit.
Der “HV-Benchmark kompakt” ist somit eine komprimierte Version des vollständigen “HV-Benchmark”. Er verwendet zudem eine leicht modifizierte Methodik. Er dient als Mindeststandard für die Bewertung der Hochverfügbarkeit von IT-Systemen der deutschen Bundesverwaltung.
Was wir am “HVB kompakt 5.0” Version 2.0 sehr spannend finden
Am 29. November 2023 erschien der “HV-Benchmark 5.0” in der Version 2.0, den man hier kostenlos als PDF herunterladen kann. Dieser Major Release hebt die Mindestwerte auf das Niveau der Standard-Absicherung nach dem IT-Grundschutz (§ 8 Abs. 1 Satz 1 BSIG).
Bei Punkt I20 (“Sicherheit der aktiven Netzwerkkomponenten”) findet sich eine Frage, die uns sofort ins Auge stach: “Ist ein Härtungskonzept für Netzwerkkomponenten vorhanden und umgesetzt?”
I23 ist unser Lieblingskapitel, denn es geht auf eine grundlegende IT-Security-Maßnahme ein, die leider häufig vergessen wird: die Systemhärtung bzw. die Server-Härtung.
Warum das Härten so essentiell ist, beschreibt das BSI im “HV-Benchmark kompakt” mit diesen Worten:
“Zum sicheren Betrieb eines Servers tragen Sicherheitsmaßnahmen, insbesondere die Systemhärtung, bei. Die Härtung eines Servers erschwert einem Angreifer den Zugriff und sorgt für einen störungsfreieren Betrieb, indem z. B. überflüssige Dienste/Services deaktiviert werden.”
Dabei verweist das Dokument auf den IT-Grundschutz, in dem ja auch die Systemhärtung dringend empfohlen wird.
Um zu überprüfen, ob eine professionelle Server-Härtung durchgeführt wurde, gibt der “HVB kompakt” den Nutzern noch ein paar wichtige Fragen an die Hand. Diese lauten unter anderem:
-
- Werden aktuelle Sicherheitsupdates zeitnah installiert und ist ein stets aktueller Schutz gegen Schadprogramme aktiv?
- Ist die Härtung der Systeme vollständig dokumentiert und gibt es Prozesse, die einen aktuellen Stand der Härtung sicherstellen?
- Werden die Härtungskonzepte regelmäßig überprüft? Fließen auch die Ergebnisse der Reviews und Pentests in den weiteren Härtungsprozess mit ein, so dass die Härtungsverfahren und -konzepte systematisch verbessert werden?
Systemhärtung gehört zum Basisschutz dazu – sagt das BSI!
Wer nun denkt, die Server-Härtung im Speziellen oder die Härtung von IT-Systemen im Allgemeinen sei etwas Besonderes, der irrt sich. Das wird im Kapitel A.3 (“Potentialstufen”) klargestellt. Die Härtung von Komponenten sieht das BSI auf Stufe 1 (“Normale Potentialstufe”) und nicht auf Stufe 3 (“Sehr hohe Anforderungen”) oder Stufe 5 (“Desaster-tolerant”).
Anders ausgedrückt: Die Systemhärtung ist nach dem deutschen Cybersecurity-Bundesamt und dem “HV-Benchmark” eine _grundlegende Maßnahme_ zur Verbesserung der Informationssicherheit! Das Härten von Servern und anderen IT-Systemen gilt somit nicht als “nice to have”, sondern als “must have”.
Diese “Message” halten wir für äußerst wichtig. Denn leider erleben wir tagtäglich, dass Unternehmen jeder Größe die Härtung ihrer IT-Landschaft auf die leichte Schulter nehmen und vernachlässigen. Anstatt in die proaktive Schutzmaßnahme “Systemhärtung” zu investieren, stecken sie ihre Ressourcen nur in Detektions- und Reaktionsmaßnahmen, zum Beispiel in Anti-Malware- und MDR-Systeme.
Das ist zu kurz gedacht! Denn zuerst müssen die Systeme richtig abgesichert werden, damit erst gar keine erfolgreichen Angriffe und Kompromittierungen erfolgen können.
Sie möchten Ihre Systeme richtig härten?
Dann lassen Sie sich von uns helfen! Die Hardening-Experten der FB Pro beraten Sie zu den wichtigsten Maßnahmen und implementieren bei Bedarf eine automatisierte Härtung Ihrer Systeme. Gleichgültig, ob Dutzende oder Tausende Systeme oder Insellösungen im KRITIS-Umfeld sicher konfiguriert werden müssen – wir stehen Ihnen gerne mit Rat und Tat zur Seite.
Bilder: BSI, Mockdrop