Die DIN EN ISO 27001:2022 definiert zahlreiche Aspekte der Informationssicherheit. Ein wichtiger Aspekt, der in der neuen Version gefordert wird, ist die sichere Systemkonfiguration – auch bekannt als Systemhärtung. Das müssen Sie darüber wissen.
Hinweis: Wir aktualisieren und ergänzen diesen Beitrag fortwährend
Letzter Stand: Juni 2023
Definition: Was ist die DIN 27001?
Die DIN EN ISO 27001 bzw. DIN/IEC 27001 – so der voll ausgeschriebene Name – ist eine Norm, die weltweit anerkannt wird. Sie beschreibt, wie Informationsssicherheitsmanagementsysteme (kurz: ISMS) zu gestalten sind, um Cyber-Attacken besser abzuwehren und die Informationswerte von Unternehmen angemessen zu schützen.
Am 25. Oktober 2022 wurde die endgültige Fassung der ISO 27001:2022 veröffentlicht.
Wie hängen ISO 27001 und ISO 27002 zusammen?
Die ISO 27002 ist ein Leitfaden, der spezifische Kontrollen und Maßnahmen zur Umsetzung des ISMS nach ISO 27001 beschreibt. Die Norm bietet detaillierte Anleitungen für die Auswahl, Implementierung und Verwaltung von Kontrollen der Informationssicherheit in Organisationen.
ISO 27002 basiert auf dem Anhang A der ISO 27001 und verwendet die gleichen Kontrollbezeichnungen (“Controls”). Allerdings bietet ISO 27002 eine detailliertere Erklärung der Steuerelemente und enthält praktische Empfehlungen für ihre Umsetzung.
Was hat ISMS mit Systemhärtung zu tun?
Ein Informationssicherheitsmanagementsystem ist die Aufstellung von Richtinien, Prozessen und Verfahren innerhalb einer Organisation. Diese dienen dazu, die Informationssicherheit in einem Unternehmen dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrecht zu erhalten und fortlaufend zu verbessern.
Systemhärtung (englisch: System Hardening) dient dazu, die Angriffsflächen von IT-Systemen zu reduzieren. Dies geschieht unter anderem durch die Abschaltung nicht benötigter Dienste. Auch die Konfiguration von Log- und Audit-Einstellungen gehört zur Härtung dazu. Denn im Fall der Fälle will und muss man nachvollziehen können, wie ein möglicher Angreifer vorgegangen ist (Stichwort: “IT-Forensik“).
Die sichere Systemkonfiguration sollte auf Basis etablierter und erprobter Standards durchgeführt werden. Derartige Empfehlungen definieren und veröffentlichen Behörden und Organisationen wie BSI, DISA, CIS, ACSC sowie namhafte Unternehmen wie Microsoft.
Das bedeutet: Systemhärtung ist seit der Aktualisierung der “normativen Referenz” elementarer Bestandteil eines ISMS!
Inhalt der ISO 27001: Was genau änderte sich in der neuen Fassung?
Die ISO 27001:2022 bringt einige Anpassungen und Neuerungen mit sich. Hier eine Übersicht über die aus unserer Sicht wichtigsten Veränderungen.
Änderungen an den Controls
Die aktualisierte Norm kennt elf neue Maßnahmen (“Controls”). Das sind sie:
Threat Intelligence
Dieser “Information Security Standard” dient dazu, eine Bedrohung in einen Kontext zu stellen oder dabei zu helfen, Bedrohungen zu ermitteln und zu erkennen.
Information Security for Use of Cloud Services
Wenn Cloud-Services genutzt werden, muss man sich auch um das Thema Informationssicherheit kümmern.
ICT Readiness for Business Continuity
Aus der Perspektive der Business-Prozesse sollten die Anforderungen für die IT-Landschaft abgeleitet werden.
Physical Security Monitoring
Auch zur Vermeidung nicht autorisierter Zugriffe und physischer Zutritte (Gebäude, Hardware etc.) sind entspreche Maßnahmen zu definieren und zu kontrollieren.
Information Deletion
Löschkonzepte sorgen für eine datenschutzkonforme Löschung von Daten.
Data Masking
Anhand verschiedener Maskierungstechniken wie Anonymisierung und Pseudonymisierung erhöht sich der Schutz von Daten.
Data Leakage Prevention
Maßnahmen in diesem Feld vermeiden ungewollten Datenabfluss.
Monitoring Activities
Netzwerk- und Anwendungsverhalten werden mit dem Ziel überwacht, Anomalien zu detektieren und entsprechende Maßnahmen einleiten zu können.
Web Filtering
Der Zugriff auf externe (unsichere) Websites ist einzuschränken. Denn nicht jede Website muss aus einem Unternehmensnetzwerk erreichbar sein.
Secure Coding
Bei der Software-Erstellung helfen spezielle Maßnahmen, um nachvollziehbar sicheren Code zu entwickeln.
Configuration Management
Die sichere Konfiguration (“Systemhärtung”) nimmt in der aktualisierten Norm einen wichtigen Platz ein. Das ist beispielsweise in dieser Übersicht dargestellt:
Hinweis: Eine Übersicht über die Gemeinsamkeiten und Unterschiede zwischen der “alten” ISO 27002:2017 und der “neuen” ISO 27002:2022 gibt es in diesem PDF von NQA.
Änderungen an der Struktur
Alle Controls werden vier Kategorien neu zugeordnet:
-
- Organisatorische Maßnahmen (37 Controls)
- Personelle Maßnahmen (8 Controls)
- Physische Maßnahmen (14 Controls)
- Technologische Maßnahmen (34 Controls)
Änderungen an den Attributen
Attribute sind ein Mittel zur Kategorisierung von Maßnahmen. Sie ermöglichen es, Controls schnell mit branchenüblichen Standards vergleichen zu können. Daraus folgt:
Control Type
Wirkungsweise des Controls bzw der Maßnahme
Information Security Property
Welches der klassischen Ziele der Informationssicherheit wird unterstützt (Vertraulichkeit, Integrität und Verfügbarkeit)?
Cybersecurity Concepts
Ein- und Zuordnung in Security Frameworks
Operational Capabilities
Operative Fähigkeiten der Organisation
Security Domains
NIS Sicherheitsdomänen der ENISA
Jede Maßnahme verfügt nun über eine Tabelle mit einer Reihe von vorgeschlagenen Attributen. Der Anhang A der ISO 27002:2022 enthält eine Reihe von empfohlenen Verknüpfungen.
Wo spielt Systemhärtung eine Rolle in der neuen Norm?
Systemhärtung bzw. die sichere Konfiguration von IT-Systemen spielt in der überarbeiteten DIN EN ISO 27001 (Version 2022) durchweg eine tragende Rolle.
Im Control “Configuration Management”, das auch das “Secure Configuration Management” umfasst, werden an eine sichere Konfiguration (“Härtung”) auf mehreren Dimensionen Anforderungen gestellt.
Hier eine vereinfachte Übersicht:
“Templates” sind zu verwenden. Damit entfallen selbst entwickelte Härtungskonfigurationen.
Prozessuale Anforderungen: Es ist ein strukturierter Prozess für die Implementierung anzusetzen.
Ein “Monitoring” der Konfiguration wird ebenfalls verlangt, Änderungen und Abweichungen sind zu erkennen
Was sich im ersten Schritt nicht so umfassend anhört, führt aus unserer Sicht dazu, dass bekannte Methoden wie beispielsweise Gruppenrichtlinien nicht mehr genutzt werden sollten. Warum? Gegenfrage: Wie genau wird ein “Monitoring” verschiedener Hardening-Konfigurationen auf Hunderten oder Tausenden IT-Systemen umgesetzt?
Protect – Detect – Respond: Warum müssen Sie an alles denken?
Was besonders wichtig ist: Mit der angepassten Norm wird klar aufgegriffen, dass es zwischen impliziten und expliziten Schutzmaßnahmen (“Protection”) sowie der Erkennung und Reaktion (“Detection and Response”) Unterschiede gibt. Unterschiede, die oft nicht so klar sind und Unternehmen deshalb manche Maßnahmen sehr häufig im “Detect & Response”-Sektor umsetzen. Aus unserer Sicht fängt der Schutz aber viel früher an – warum nicht einfach Schwachstellen “wegkonfigurieren”?
Auch etablierte Standards sehen das ähnlich: Das NIST Cyber Security Framework definiert beispielsweise fünf kritischen Funktionen, folgend als Schaubild dargestellt:
Ordnet man die Maßnahmen “Identify”, “Protect”, “Detect”, “Respond” und “Recover” der Prioritäten von IT-Security-Verantwortlichen und/oder Entscheidern zu, ist schnell klar: Oft verlassen sich diese ausschließlich auf die Detektion von Malware und Cyber-Angriffen. Die dazu gehörige Reaktion (“Respond”) wird oft schon weniger gut definiert, das Feld Prävention kommt in der Realität nur selten zum Einsatz.
Das heißt: Die Verantwortlichen beschäftigen sich sehr viel mit der Erkennung und Beseitigung von Schad-Software und Eindringlingen. Doch für das tatsächliche Schützen der Systeme durch eine sinnvolle, standardisierte und umfassende Sicherheitskonfiguration wenden IT-Experten nur wenig Zeit auf.
Die Folge: Sicherheitslücken der Betriebssysteme und Applikationen bleiben bestehen, man installiert nur einen “Türsteher”.
Lassen sich so die Anforderungen der ISO 27001 erfüllen?
Aus zahlreichen Gesprächen mit Informationssicherheits- und IT-Verantwortlichen wissen wir, dass in der überwältigenden Mehrzahl der deutschen Unternehmen aktuell nur das Feld “Detection & Response” ganz vorne auf Strategiepapieren und Investitionsplänen steht.
Vulnerability-Scanner, SIEM- und MDR-Lösungen, Anti-Malware-Suiten und dergleichen sind sinnvoll – definitiv! Aber damit kann man die gestiegenen Anforderungen der ISO 27001:2022 nicht erfüllen!
Maßnahmen im Bereich “Protection”, also dem Schutz von Endpunkten, IT-Systemen, Notebooks und Servern, sind notwendig und müssen jetzt nachweisbar als Teil des jährliches Audits geliefert werden.
Was ist jetzt zu tun?
Jedes Unternehmen, das die Re-Zertifizierung der neuen DIN EN ISO 27001:2022 im jährlichen Rhythmus vor sich hat, muss jetzt beginnen, das Thema “Systemhärtung” auf Entscheider-Ebene zu heben. Denn der Auditor wird im nächsten Gespräch nach entsprechenden Prozessen, Maßnahmen und Nachweisen fragen.
Um das umfassende Schutzkonzept aufzusetzen und umzusetzen, benötigen Sie eine sichere und dauerhafte Konfiguration Ihrer IT-Systeme. Dies realisieren Sie mit speziellen Hardening-Tools. Dazu gehören Programme wie das AudiTAP (für den Check der Systeme) und der Enforce Administrator (für die Realisierung einer nachhaltigen, automatisierten Härtung).
Benötigen Sie Hilfe bei der sicheren Konfiguration von Systemen?
Haben Sie Fragen zum Themenfeld “Automatisierte Systemhärtung”? Sie wollen Systemhärtung direkt in Ihre Deployment- bzw. Installationsprozesse integrieren? Unsere Experten sind gerne für Sie da! Kontaktieren Sie uns ganz unverbindlich, wir melden uns umgehend bei Ihnen.
Bilder: Freepik, NIST, FB Pro