ISO 27001 und Systemhärtung: Erfüllen Sie schon die neuen, regulatorischen Anforderungen?

Die DIN EN ISO 27001:2022 definiert zahlreiche Aspekte der Informationssicherheit. Ein wichtiger Aspekt, der in der neuen Version gefordert wird, ist sichere Systemkonfiguration – auch bekannt als Systemhärtung. Das müssen Sie darüber wissen.

Hinweis: Wir aktualisieren und ergänzen diesen Beitrag fortwährend
Letzter Stand: Ende Oktober 2022

Was ist die DIN/IEC 27001?

Die DIN EN ISO 27001 bzw. DIN/IEC 27001 – so der voll ausgeschriebene Name – ist eine Norm, die weltweit anerkannt wird. Sie beschreibt, wie Informationsssicherheitsmanagementsysteme (kurz: ISMS) zu gestalten sind, um Cyber-Attacken besser abzuwehren und die Informationswerte von Unternehmen angemessen zu schützen.

Am 25.10.2022 wurde die endgültige Fassung der ISO 27001:2022 veröffentlicht.

Wie gehören ISMS und Systemhärtung zusammen?

Ein Informationssicherheitsmanagementsystem ist die Aufstellung von Richtinien, Prozessen und Verfahren innerhalb einer Organisation. Diese dienen dazu, die Informationssicherheit in einem Unternehmen dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrecht zu erhalten und fortlaufend zu verbessern.

Systemhärtung (englisch: System Hardening) dient dazu, die Angriffsflächen von IT-Systemen zu reduzieren. Dies geschieht unter anderem durch die Abschaltung nicht benötigter Dienste. Auch die Konfiguration von Log- und Audit-Einstellungen gehört zur Härtung dazu. Denn im Fall der Fälle will und muss man nachvollziehen können, wie ein möglicher Angreifer vorgegangen ist (Stichwort: “IT-Forensik”).

Die sichere Systemkonfiguration sollte auf Basis etablierter und erprobter Standards durchgeführt werden. Derartige Empfehlungen definieren und veröffentlichen Behörden und Organisationen wie BSI, DISA, CIS, ACSC sowie namhafte Unternehmen wie Microsoft.

Das bedeutet: Systemhärtung ist seit der Aktualisierung der “normativen Referenz” elementarer Bestandteil eines ISMS!

Was genau ändert sich in der neuen Version der ISO 27001? 

Die ISO 27001:2022 bringt einige Anpassungen und Neuerungen mit sich. Hier eine Übersicht über die aus unserer Sicht wichtigsten Veränderungen.

Änderungen an den Controls

Die aktualisierte Norm kennt elf neue Maßnahmen (“Controls”). Das sind sie:

Threat Intelligence
Dieser “Information Security Standard” dient dazu, eine Bedrohung in einen Kontext zu stellen oder dabei zu helfen, Bedrohungen zu ermitteln und zu erkennen.

Information Security for Use of Cloud Services
Wenn Cloud-Services genutzt werden, muss man sich auch um das Thema Informationssicherheit kümmern.

ICT Readiness for Business Continuity
Aus der Perspektive der Business-Prozesse sollten die Anforderungen für die IT-Landschaft abgeleitet werden.

Physical Security Monitoring
Auch zur Vermeidung nicht autorisierter Zugriffe und physischer Zutritte (Gebäude, Hardware etc.) sind entspreche Maßnahmen zu definieren und zu kontrollieren.

Configuration Management
Die sichere Konfiguration (“Systemhärtung”) nimmt in der neuen Norm einen wichtigen Platz ein.

Information Deletion
Löschkonzepte sorgen für eine datenschutzkonforme Löschung von Daten.

Data Masking
Anhand verschiedener Maskierungstechniken wie Anonymisierung und Pseudonymisierung erhöht sich der Schutz von Daten.

Data Leakage Prevention
Maßnahmen in diesem Feld vermeiden ungewollten Datenabfluss.

Monitoring Activities
Netzwerk- und Anwendungsverhalten werden mit dem Ziel überwacht, Anomalien zu detektieren und entsprechende Maßnahmen einleiten zu können.

Web Filtering
Der Zugriff auf externe (unsichere) Websites ist einzuschränken. Denn nicht jede Website muss aus einem Unternehmensnetzwerk erreichbar sein.

Secure Coding
Bei der Software-Erstellung helfen spezielle Maßnahmen, um nachvollziehbar sicheren Code zu entwickeln.

Änderungen an der Struktur

Alle Controls werden vier Kategorien neu zugeordnet:

    • Organisatorische Maßnahmen (37 Controls)
    • Personelle Maßnahmen (8 Controls)
    • Physische Maßnahmen (14 Controls)
    • Technologische Maßnahmen (34 Controls)

Änderungen an den Attributen

Attribute sind ein Mittel zur Kategorisierung von Maßnahmen. Sie ermöglichen es, Controls schnell mit branchenüblichen Standards vergleichen zu können. Daraus folgt:

Control Type
Wirkungsweise des Controls bzw der Maßnahme

Information Security Property
Welches der klassischen Ziele der Informationssicherheit wird unterstützt (Vertraulichkeit, Integrität und Verfügbarkeit)?

Cybersecurity Concepts
Ein- und Zuordnung in Security Frameworks

Operational Capabilities
Operative Fähigkeiten der Organisation

Security Domains
NIS Sicherheitsdomänen der ENISA

Jede Maßnahme verfügt nun über eine Tabelle mit einer Reihe von vorgeschlagenen Attributen. Der Anhang A der ISO 27002:2022 enthält eine Reihe von empfohlenen Verknüpfungen.

Wo spielt Systemhärtung eine Rolle in der neuen Norm?

Systemhärtung bzw. die sichere Konfiguration von IT-Systemen spielt in der überarbeiteten DIN EN ISO 27001 (Version 2022) durchweg eine tragende Rolle.

Im Control “Configuration Management”, das auch das “Secure Configuration Management” umfasst, werden an eine sichere Konfiguration (“Härtung”) auf mehreren Dimensionen Anforderungen gestellt.

Hier eine vereinfachte Übersicht:

“Templates” sind zu verwenden. Damit entfallen selbst entwickelte Härtungskonfigurationen.

Prozessuale Anforderungen: Es ist ein strukturierter Prozess für die Implementierung anzusetzen.

Ein “Monitoring” der Konfiguration wird ebenfalls verlangt, Änderungen und Abweichungen sind zu erkennen

Was sich im ersten Schritt nicht so umfassend anhört, führt aus unserer Sicht dazu, dass bekannte Methoden wie beispielsweise Gruppenrichtlinien nicht mehr genutzt werden sollten. Warum? Gegenfrage: Wie genau wird ein “Monitoring” verschiedener Hardening-Konfigurationen auf Hunderten oder Tausenden IT-Systemen umgesetzt?

Protect – Detect – Respond: Warum müssen Sie an alles denken?

Was besonders wichtig ist: Mit der angepassten Norm wird klar aufgegriffen, dass es zwischen impliziten und expliziten Schutzmaßnahmen (“Protection”) sowie der Erkennung und Reaktion (“Detection and Response”) Unterschiede gibt. Unterschiede, die oft nicht so klar sind und Unternehmen deshalb manche Maßnahmen sehr häufig im “Detect & Response”-Sektor umsetzen. Aus unserer Sicht fängt der Schutz aber viel früher an – warum nicht einfach Schwachstellen “wegkonfigurieren”?

Auch etablierte Standards sehen das ähnlich – das NIST Cyber Security Framework definiert fünf kritischen Funktionen, folgend als Schaubild dargestellt:

Ordnet man die Maßnahmen “Identify”, “Protect”, “Detect”, “Respond” und “Recover” der Prioritäten von IT-Security-Verantwortlichen und/oder Entscheidern zu, wird schnell klar: Oft wird sich ausschließlich auf die Detektion von Malware und Cyber-Angriffen verlassen. Die dazu gehörige Reaktion (“Respond”) wird oft schon weniger gut definiert – das Feld Prävention wird in der Realität oft stiefmütterlich behandelt.

Das heißt: Die Verantwortlichen beschäftigen sich sehr viel mit der Erkennung und Beseitigung von Schad-Software und Eindringlingen. Doch für das tatsächliche Schützen der Systeme durch eine sinnvolle, standardisierte und umfassende Sicherheitskonfiguration von IT-Systeme wird kaum Zeit aufgewendet.

Die Folge: Sicherheitslücken der Betriebssysteme und Applikationen bleiben bestehen, man installiert nur einen “Türsteher”.

Aus zahlreichen Gesprächen mit Informationssicherheits- und IT-Verantwortlichen wissen wir, dass in der überwältigenden Mehrzahl der deutschen Unternehmen aktuell trotzdem das Feld “Detection and Response” ganz vorne auf Strategiepapieren und Investitionsplänen steht.

Vulnerability-Scanner, SIEM- und MDR-Lösungen, Anti-Malware-Suiten und Dergleichen sind sinnvoll – definitiv! Doch aus IT-Security-Sicht ist der Fokus zu sehr auf “Detection & Response” gelegt. Damit kann man die gestiegenen Anforderungen der ISO 27001:2022 nicht erfüllen!

Maßnahmen im Bereich “Protection”, also dem Schutz von Endpunkten, IT-Systemen, Notebooks und Servern, sind notwendig und werden jetzt nachweisbar als Teil des jährliches Audits geliefert werden müssen.

Schaubild: Protect-Detect-Respond-Lösungen im Vergleich (Bild: FB Pro)

Was ist jetzt zu tun?

Jedes Unternehmen, das die Re-Zertifizierung der neuen DIN EN ISO 27001:2022 im jährlichen Rhythmus vor sich hat, muss jetzt beginnen, das Thema “Systemhärtung” auf Entscheider-Ebene zu heben. Denn der Auditor wird im nächsten Gespräch nach entsprechenden Prozessen, Maßnahmen und Nachweisen fragen – und selbst, wenn man sich anfangs noch auf die Übergangsfristen beruft. Wegdiskutiert kann das Thema nicht mehr werden!

Um das umfassende Schutzkonzept aufzusetzen und umzusetzen, benötigen Sie eine sichere und dauerhafte Konfiguration Ihrer IT-Systeme. Dies realisieren Sie mit speziellen Hardening-Tools. Dazu gehören Programme wie das AudiTAP (für den Check der Systeme) und der Enforce Administrator (für die Realisierung einer nachhaltigen, automatisierten Härtung).

Benötigen Sie Hilfe bei der sicheren Konfiguration von Systemen?

Haben Sie Fragen zum Themenfeld “Automatisierte Systemhärtung”? Sie wollen Systemhärtung direkt in Ihre Deployment- bzw. Installationsprozesse integrieren? Unsere Experten sind gerne für Sie da! Kontaktieren Sie uns ganz unverbindlich, wir melden uns umgehend bei Ihnen.

Melden Sie sich bei uns!

Bilder: Freepik, NIST, FB Pro

Schreibe einen Kommentar