Was versteht man unter “Secure Configuration”, warum ist sie so wichtig und wie setzt man sie um? Erfahren Sie hier alles Relevante, was Sie über die sichere Konfiguration von Systemen wissen müssen.
Definition: Was ist Secure Configuration?
Secure Configuration ist eine technische Maßnahme, bei der man Anwendungen, Betriebssysteme, Netzwerke und Geräte so konfiguriert, dass sie deutlich besser gegen potenzielle Cyber-Bedrohungen geschützt sind.
Dabei werden beispielsweise unnötige Dienste deaktiviert und sichere Einstellungen implementiert, um die Angriffsfläche eines Systems zu minimieren. Das Ziel ist es auch, Sicherheitslücken zu schließen und den Zugriff auf wichtige Ressourcen zu kontrollieren.
Alternative Bezeichnungen: Wie nennt man Secure Configuration noch?
“Secure Configuration” wird oft als “Security Configuration” oder “Security Settings” bezeichnet. Man kennt den Begriff auch als “Systemhärtung” bzw. “System Hardening”. Oder man spricht im Deutschen ganz einfach von “sicherer Konfiguration”, was die direkte Übersetzung von “Secure Configuration” ist.
Unterschiede: Was unterscheidet Secure Configuration von Systemhärtung?
Im Wesentlichen gibt es keinen Unterschied zwischen Secure Configuration und Systemhärtung – beide Begriffe werden synonym verwendet. Sie beschreiben dasselbe Vorgehen, um gesamte IT-Systeme oder einzelne Applikationen so zu konfigurieren, dass sie sicher(er) sind – und damit “gehärtet”. Oder anders formuliert: besser geschützt gegen Angriffe.
Beispiele: Was wird bei Secure Configuration getan?
Es gibt zahlreiche Maßnahmen, mit denen Sie ein IT-System wie ein Betriebssystem oder eine einzelne Applikation sicher konfigurieren können. Dazu gehören beispielsweise diese:
➡ Die regelmäßige Überprüfung der aktivierten Dienste, um sicherzustellen, dass nur notwendige Funktionen laufen.
➡ Dienste sollten nur mit minimalen Rechten betrieben und, wenn möglich, in isolierten Umgebungen ausgeführt werden.
➡ Für Wartungsschnittstellen und -zugänge gilt ebenfalls das Prinzip der minimalen Rechtevergabe (Principle of least Privilege).
➡ Es ist wichtig, den Zugriff auf Konfigurationsdateien des Betriebssystems zu beschränken.
➡ Zudem zählen zur Secure Configuration die Abschaltung unsicherer und nicht benötigter Schnittstellen …
➡ … sowie die Deaktivierung unnötiger Autostart-Mechanismen und Betriebssystem-Komponenten.
Insgesamt gibt es hunderte Einstellungen, die von Organisationen wie BSI, CIS, DISA und ACSC oder Unternehmen wie Microsoft empfohlen werden.
Ziele: Welche Systeme benötigen Secure Configuration?
Grundsätzlich sollten alle IT-Systeme gehärtet werden. Das heißt:
-
- Betriebssysteme wie Windows und Linux
- Server wie Web-, Datenbank- und E-Mail-Server
- Anwendungen wie Browser und Office-Programme
- Cloud-Dienste wie Microsoft Azure und AWS
- IoT-Geräte wie Smart Home Devices oder smarte Gadgets
- OT-Geräte wie die Steuerungssysteme von Maschinen
Ziel der sicheren Konfiguration ist es unter anderem, die jeweilige IT-Umgebung auf den aktuellen Stand der Technik zu bringen. Dies ist bei älteren Systemen wie Windows XP oder Windows 7 unmöglich, da sie nicht mehr mit Patches und Updates versorgt werden.
Wenn der Einsatz dieser veralteten Betriebssysteme dennoch notwendig ist, müssen sie so weit wie möglich sicher konfiguriert werden. Damit wird das Risiko für erfolgreiche Cyber-Attacken bestmöglich reduziert.
Umsetzung: Wie kann man Windows sicher konfigurieren?
Das lässt sich nicht mit einem Satz beantworten, da beim sogenannten OS Hardening in der Regel mindestens 500 und mehr Einstellungen angepasst werden müssen – pro Betriebssystem und Arbeitsplatz! Mehr Hintergrundinformationen darüber erhalten Sie in diesen Ratgebern von uns:
Härtung: Gibt es Secure Configuration für Linux?
Ja, denn die verschiedenen Linux-Distributionen haben – wie jedes Betriebssystem – diverse Sicherheitslücken durch im Standard aktivierte Dienste und Funktionen und damit Angriffsflächen, die Hacker ausnutzen können! Allerdings kann die sichere Konfiguration eines Linux-Computers oder -Servers herausfordernd sein. Warum, das erfahren Sie in unserem Ratgeber über die Linux-Systemhärtung.
Vorteile: Warum ist Secure Configuration so wichtig?
Minimierung von Schwachstellen
Viele Systeme sind in ihrer Standardkonfiguration leicht angreifbar. Durch Secure Configuration wird die Angriffsfläche deutlich reduziert. Und man schränkt die “Sammelwut der Datenkraken” ein, zu denen unter anderem die Datenspionage durch Windows gehört.
Mehr Schutz vor Cyber-Angriffen
Eine ordnungsgemäß durchgeführtes Hardening in Kombination mit anderen IT-Security-Maßnahmen erschwert es “Cyber-Kriminellen”, Systeme zu kompromittieren und zu kapern, Daten zu stehlen oder gar Maschinen lahm zu legen.
Vielseitiger Abwehrschirm
Eine professionell durchgeführte Secure Configuration “blockt” typische Malware-Bedrohungen ab. Hier ein Beispiel, wie ein Mimikatz-Angriff dank Systemhärtung seinen Schrecken verliert:
Und: Secure Configuration hilft sogar gegen neuartige “KI-Angriffe” wie polymorphe Malware. Mehr Ergebnisse und Beispiele erhalten Sie in unserem Beitrag “Systemhärtung auf dem Prüfstand: Beispiele, Tests und echte Resultate“.
Geringere Cyber-Schäden
Gelingt es Angreifern, ein IT-System zu infiltrieren, können sie sich wegen der Härtung langsamer ausbreiten. Im besten Fall richten sie dank der sicheren Konfiguration keine signifikanten Schäden an.
Erfüllung von Compliance-Vorgaben
Von NIS2 und ISO 27001 über BAIT/ZAIT/VAIT und DORA bis hin zu TISAX und WLA-SCS: Immer mehr Gesetze, Regularien und Normen verlangen eine Systemhärtung bzw. Secure Configuration. Diese einzuhalten ist für die meisten Unternehmen kein “nice to have”, sondern ein “must have” – ansonsten sind ggfs. Lieferbeziehungen mit Kunden gefährdet oder Strafzahlungen drohen.
Erhalt / Verlängerung einer Cyber-Versichungs-Police
Nicht nur Regularien, sondern auch immer mehr Cyber-Versicherungen verlangen heute Secure Configuration. Können Unternehmen keine auf Standards basierende Härtung nachweisen, erhalten sie einen Vertrag mit schlechten Konditionen (damit teurer) oder gar keine Police.
______
Lesetipp: Möchten Sie wissen, wie Sie Abweichungen bei einem ISO 27001 Audit vermeiden können? Dieser Ratgeber hilft Ihnen weiter: Configuration Management gemäß ISO 27001:2022
______
Zielgruppe: Welche Unternehmen benötigen Secure Configuration?
Alle! Gleichgültig, ob Solo-Unternehmer, Start-up, Mittelständler oder Konzern: Überall sollten IT-Systeme bestmöglich gehärtet bzw. sicher konfiguriert sein.
Denn: Die Frage ist nicht, ob ein Unternehmen von Hackern angegriffen wird, sondern wann. In Zeiten des zunehmenden “Cyber Wars” ist jeder ein Opfer. Dabei suchen die Angreifer oft den Weg des geringsten Widerstandes. Das sind in erster Linie ungeschützte oder schlecht gesicherte Systeme.
Bei jeder Unternehmensgröße haben erfolgreiche Cyber-Attacken unangenehme und teure Folgen. Im schlimmsten Fall führt ein Vorfall zur Insolvenz oder Pleite einer Firma. Derartiges kommt – leider – immer häufiger vor.
Intervalle: Wie oft sollte man eine Security Configuration durchführen?
Wer in der IT arbeitet, weiß: Jeder Status Quo ist eine Momentaufnahme mit extrem kurzer Halbwertszeit. Besonders in großen Systemlandschaften ändert sich ständig etwas, weil neue Devices hinzugenommen und alte außer Dienst gestellt werden. Dazu kommen neue Betriebssysteme, Anwendungen, Cloud-Lösungen, Updates und dergleichen.
Das bedeutet: Die sichere Konfiguration der Systeme ist eine “Dauerbaustelle”! Eine Überprüfung sollte regelmäßig – am besten alle paar Wochen – stattfinden, mindestens einmal pro Quartal. Dafür benötigt es klar definierte Prozesse: ein Security Configuration Management.
Da die sichere Konfiguration und Überprüfung der Einstellungen eine komplexe “Mammutaufgabe” ist, empfiehlt es sich, die Systemhärtung zu automatisieren. Hilfreich sind dabei Hardening-Tools wie der Enforce Administrator. Mehr dazu in einem späteren Absatz.
Verantwortung: Wer betreut die sichere Konfiguration der Systeme?
Die sichere Konfiguration von Systemen obliegt den IT-Sicherheitsexperten und Systemadministratoren eines Unternehmens. Da das Hardening sehr zeitaufwändig sein kann und viel Fachwissen erfordert, wird die sichere Konfiguration häufig an externe Dienstleister ausgelagert.
Dabei ist es eminent wichtig, dass diese nicht nur einmalig für die grundlegende Systemhärtung hinzugezogen werden, sondern regelmäßig. Denn wie im letzten Punkt erwähnt, ist ein permanentes Security Configuration Management erforderlich.
Neben den Ausführenden ist auch das Management in der Pflicht. Dies sind zum einen die IT-Verantwortlichen, also der IT-Leiter, der CISO und/oder der CTO. Auch die (in vielen Fällen fachfremde) Geschäftsleitung muss sich mit dem Thema “Systemhärtung” bzw. “Sichere Konfiguration” auseinandersetzen.
Warum? Geschäftsführer sind dafür verantwortlich, Schaden von ihrem Unternehmen abzuwenden – dazu gehören auch Cyber-Angriffe. Wird IT-Sicherheit nicht zur “Chefsache” gemacht, kann dies für die Unternehmensleitung schwerwiegende Folgen haben, bis hin zu hohen Bußgeldern.
Audit: Wie überprüft man, ob Systeme wirklich sicher konfiguriert sind?
Um herauszufinden, ob die Secure Configuration bei Anwendungen oder Betriebssystemen wirklich gut umgesetzt wurde, benötigt man spezielle Tests. Eine Möglichkeit sind Pentests oder MDR-Systeme, welche Schwachstellen und Anomalien in IT-Landschaften aufdecken.
Genauer ist ein Check mit dem AuditTAP. Dieses kostenfreie Tool wurde speziell dafür entwickelt, die Härtung von Applikationen und Betriebssystem gemäß verschiedenen Standards zu überprüfen. Der sog. AuditTAP Risk Score zeigt Ihnen auf einen Blick, wie (un)sicher das jeweils getestete System konfiguriert ist.
Optimierung: Lässt sich Secure Configuration automatisieren?
Ja! Mit einem Tool wie dem Enforce Administrator führen Sie automatisierte Systemhärtungen auf Basis weltweit anerkannter Standards durch. Dazu gehören die aktuellsten Secure-Configuration-Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnik), der DISA (Defense Information Systems Agency), dem CIS (Center for Internet Security) und dem ACSC (Australian Cyber Security Center) sowie die Hardening Benchmarks von Microsoft.
Mit dem Enforce Administrator härten Sie unter anderem Windows 10/11- und Windows-Server-Systeme wie auch Office-Anwendungen und Browser – und das auch bei komplexen und sehr großen IT-Systemlandschaften. Ganz zentral, automatisiert und dauerhaft.
Haben Sie noch Fragen?
Möchten Sie mehr über das Themengebiet “Secure Configuration / System Hardening” wissen? Oder benötigen Sie tatkräftige Unterstützung bei der sicheren Konfiguration Ihrer Systeme? Wenden Sie sich gerne an uns! Die Hardening-Experten der FB Pro stehen Ihnen gerne mit Rat und Tat zur Seite.
Bild: Freepik