Wissen Sie, wie groß Ihre Angriffsflächen sind? Ein professionelles Hardening Audit zeigt es Ihnen – und wie Sie die Schwachstellen reduzieren und Resilienz dadurch steigern. So dokumentieren Sie alles lückenlos, schnell und einfach.
Systemhärtung: Halten Sie unbedingt alle Maßnahmen fest
Ohne Systemhärtung aka System Hardening geht es nicht mehr! Zahlreiche aktuelle Gesetze, Regularien und Normen schreiben vor, dass Sie bei Ihrer IT-Landschaft die Angriffsfläche deutlich reduzieren müssen. Unter anderem über eine “sichere Konfiguration” (Fachterminus: Secure Configuration).
Dazu kommt, dass Sie alle Maßnahmen genau dokumentieren sollten. Regelmäßig! Ausführlich! Ein schneller Report via GPResult genügt nicht aus, da dieser nur Momentaufnahmen liefert und keine ganzheitliche Sicht auf Ihre gesamte Infrastruktur bietet. Der Abgleich einer GPResult-HTML-Datei (mit Hunderten von Einstellungen pro System) mit einem SOLL-Zustand ist zudem zeitaufwändig und fehleranfällig.
Ein Hardening Audit wird somit zur herausfordernden Mammutaufgabe. Besonders, wenn Sie es “von Hand” realisieren wollen. Denn dann gilt es, insgesamt zigtausende Konfigurationen zu prüfen und zu dokumentieren – am besten mehrfach pro Tag. Sie wissen ja: Im Ernstfall zählt jede Sekunde. Hier entscheidet Schnelligkeit über den Schutz Ihrer Infrastruktur.
Wie kann man ein Hardening Audit richtig vorbereiten?
Hier gibt es allerlei Dinge zu beachten. Welche das sind, erfahren Sie in dieser “Hardening Insights”-Aufzeichnung:
Das Wichtigste ist die Kommunikation. Oft erleben wir nämlich einen Konflikt zwischen dem “Anforderer”“, also der für Informationssicherheit verantwortlichen Abteilung (ISO, CISO etc.), und den “Umsetzern”, also den IT-Administratoren und -Dienstleistern. Es muss nämlich ganz klar sein, was, wie und in welchem Umfang in Sachen Systemhärtung umgesetzt werden soll.
Ein Beispiel: Es macht wenig Sinn, ohne Anpassungen die CIS Benchmarks umzusetzen. Weshalb? In den CIS-Vorgaben wird unter anderem empfohlen, alle Bluetooth-Geräte und die Kamera abzuschalten. Das macht im Geschäftsbetrieb, wo zahlreiche Bluetooth-Geräte zum Einsatz kommen, keinen Sinn.
Somit müssen Sie Ausnahmen definieren oder verschiedene Hardening-Standards kombinieren. Dabei ist jede Absprache und Festlegung mit Begründung in der Hardening-Dokumentation festzuhalten.
Wie lassen sich die Hardening-Nachweise erzeugen?
Die Härtung Ihrer Systeme sowie die Erstellung der Dokumentation erfordern ein paar durchdachte Hardening-Planungen und -Prozesse. Dazu gehört unter anderem die Wahl des richtigen Tools. Denn nur damit gelingt es Ihnen, die zahlreichen manuellen Aufgaben durch technische Automatismen zu ersetzen.
Ein solches Tool kann ein Schwachstellen-Scanner wie beispielsweise Greenbone oder eine spezielle Hardening-Lösung wie das AuditTAP oder der Enforce Administrator sein. Achten Sie darauf, dass das Werkzeug Ihrer Wahl die vorgenommene Härtung nach einem etablierten Standard wie den CIS Benchmarks, den DISA STIG und/oder den BSI SiSyPHuS-Vorgaben überprüft.
Wie Sie ein Windows Hardening Audit mit dem AuditTAP vornehmen können, erfahren Sie in diesem Tutorial-Video:
Was Sie aus dem Hardening Report lernen können und sollten
Betrachten Sie das Hardening Audit und die Erstellung der Hardening-Dokumentation nicht als lästige Pflicht! Dass sie von immer mehr Regularien gefordert werden, macht Sinn: Sie zeigen, wie groß die Angriffsflächen Ihrer IT-Systeme sind.
Jede Schwachstelle – insbesondere alte wie RC4 oder SMBv1 – wird früher oder später von Angreifern ausgenutzt. Und in Zeiten des “Cyber Wars” und neuer Technologien wirkt KI wie ein Brandbeschleuniger. Daher sollten Sie das Ergebnis des Hardening Audits unbedingt ernst nehmen.
Schauen Sie sich jeden Report genau an und fragen Sie sich: “Wo muss heute, morgen und übermorgen unbedingt etwas verbessert werden?” Arbeiten Sie dann schrittweise daran, die Härtung Ihrer Systeme zu optimieren. Wenn Sie zum Beispiel unter hohem Zeitdruck stehen, starten Sie mit einem Rapid Hardening und schließen später ein umfassendes Lifecycle Hardening an.
In diesem Schaubild (das aus unserem heise conferences Workshop entnommen ist) wird Ihnen grob zusammengefasst gezeigt, wie Sie die Ergebnisse interpretieren können und was zu tun ist:
Haben Sie noch Fragen?
Wollen Sie mehr über Systemhärtung wissen? Oder möchten Sie erfahren, wie Sie mit Tools wie dem AuditTAP und dem Enforce Administrator eine Systemhärtung professionell realisieren und in Ihrem Unternehmen implementieren können? Sprechen Sie uns an – unsere Experten sind gerne für Sie da!
📅 AuditTAP & Enforce Administrator: Live-Demo buchen
Bilder: Freepik/Magnific, TEAL