Security Configuration Management: Deshalb ist es so wichtig für die IT-Sicherheit

Effektives Monitoring, Systemhärtung und mehr: Das Security Configuration Management ermöglicht es, “sichere Umgebungen” zu erschaffen. Diese Punkte sollte man beachten und umsetzen.

Was bedeutet Security Configuration Management?

Security Configuration Management (kurz: SCM) ist ein integrierter Ansatz, um das Konfigurations-Management aus dem Blickwinkel der Informationssicherheit zu betrachten. Frei übersetzt auf Basis der “Special Publication 800-128” des NIST (National Institute of Standards and Technology) hat SCM den folgenden Zweck:

“Eine IT-Infrastruktur besteht aus vielen Komponenten, die in einer Vielzahl von Anordnungen miteinander verbunden werden können, um eine Vielzahl von Anforderungen an die Geschäfts- und Informationssicherheit zu erfüllen. Die Art und Weise, wie diese Systemkomponenten vernetzt, konfiguriert und verwaltet werden, ist entscheidend für die Gewährleistung einer angemessenen IT-Security und die Unterstützung des Risikomanagement-Prozesses einer Organisation.”

Warum treten Abweichungen in der IT-Konfiguration überhaupt auf?

Ob gewollt oder ungewollt: Änderungen sind in IT-Infrastrukturen an der Tagesordnung. Die Verantwortlichen stellen Software-Updates bereit und installieren sie, Endbenutzer oder Administratoren ändern gewollt oder ungewollt die Konfigurationseinstellungen, Manager führen mit Nachdruck neue Applikationen und Systeme ein … und so weiter.

Wenn derartige Entscheidungen in Eile getroffen werden, sind Sicherheitsüberlegungen oft “außen vor”. Die Folge: Die Umsetzungen erfolgen schnell und ohne Beachtung der Change-/Release-Prozesse, um Deadlines und Termine einzuhalten.

Selbst wenn IT-Systeme bei der initialen Installation definierte Einstellungen haben, entstehen mit der Zeit Abweichungen. Die große Frage lautet bald: Wo tauchen die Konfigurationsabweichungen genau auf?

Wie können Abweichungen verhindert werden?

Es ist in der Regel über Standard-Maßnahmen wie den weit verbreiteten Gruppenrichtlinien nur schwer möglich, den Überblick über die Änderungen zu behalten, die zu einer Konfigurationsabweichung führen.

Die Folge: Ein Management-Tool, das einen umfassenden und transparenten Überblick bietet, wird notwendig. Damit kann eine IT-Abteilung die Situation effektiv überwachen und gegebenenfalls auch entsprechende Maßnahmen ergreifen.

Der beste Weg, um mit Abweichungen in der Konfiguration umzugehen, besteht darin, das Konfigurations-Management strikt zu organisieren. Neben dieser organisatorischen Maßnahme ist es zudem zwingend notwendig, technisch die tatsächliche, implementierte Konfiguration zu überwachen. Es gilt, ein professionelles Security Configuration Management einzuführen.

Die Kombination aus regelmäßiger und effektiver Kontrolle auf technischer und prozessualer Ebene trägt dazu bei, dass man über ein SCM ein umfassendes Sicherheitsbewusstsein schafft und die IT-Infrastruktur unter Kontrolle bleibt. Ein weiterer Pluspunkt: Quasi nebenbei werden auch Nachweise für interne und externe Audits erzeugt.

Dieses Schaubild der Technischen Universität München (TUM) zeigt vereinfacht, wie ein SCM-Management aussehen kann.
Dieses Schaubild der Technischen Universität München (TUM) zeigt vereinfacht, wie ein SCM-Management aussehen kann.

Wie läuft ein SCM-Prozess ab?

Der beste Weg, um Konfigurationsabweichungen von IT-Systemen zu erkennen und im besten Fall zu verhindern, besteht aus einem mehrstufigen Prozess. Der sieht zum Beispiel so aus:

Identifizieren

Die anfängliche Konfiguration muss klar sein. Oft kennen Compliance-Abteilungen und/oder Beauftragte für Informationssicherheit existierende interne und externe Sicherheitsanforderungen. Bei der Evaluierung helfen auch vorhandene Industriestandards und Herstellerempfehlungen.

Bewerten, entwickeln und anpassen

Sind die vorhandenen IT-Systeme konfiguriert, dass sie den Vorgaben interner und externer Empfehlungen und Vorgaben entsprechen? Welche Unterschiede gibt es? Welche Systeme weichen – gegebenenfalls regelmäßig – von den Vorgaben ab?

Auf Basis eines stringenten Berichtswesens kann man die Entwicklung einer standardisierten, eigenen (Härtungs-)Konfiguration durchführen und auch implementieren.

Kontrollieren

Während der Laufzeit von IT-Systemen, die ja durchaus mehrere Jahre betragen kann, ist eine fortlaufende – idealerweise automatisierte – Kontrolle notwendig. Damit lassen sich Abweichungen in der Konfiguration erkennen.

Fragen, die hierbei zu stellen sind, könnten Folgende sein:

    • Findet eine Überwachung aller IT-Systeme nach der Implementierung statt?
    • Sind Konfigurationsabweichungen transparent visualisiert, damit eine schnelle Reaktion möglich ist?
    • Findet unter Umständen eine “automatisierte Selbstheilung” statt?

Prozesse etablieren

Wenn Abweichungen erkannt werden, sind entsprechende Maßnahmen schnellstmöglich zu ergreifen. Funktioniert das in kleinen Unternehmen meist auf Zuruf, braucht es in größeren Unternehmen mit starker Trennung der Verantwortlichkeiten etablierte und getestete Abläufe!

Es gilt, zum Beispiel diese Dinge zu klären:

    • Wie lässt sich eine Abweichung der Konfiguration erkennen?
    • Wie schnell wird die Konfigurationsabweichung behoben?
    • Welcher Person bzw. welchen Personen berichtet man über die Abweichungen?
    • Wie sehen die regelmäßigen Berichte aus?

Vom Security Configuration Management zur Systemhärtung

Das SCM ist kein Selbstzweck, sondern eine wichtige IT-Maßnahme. Eine, die dafür sorgt, eine stringente und standardisierte Härtung – sprich: eine Secure Configuration – von IT-Systemen durchzuführen und zu kontrollierne.

Bei der Systemhärtung werden bekanntermaßen Betriebssysteme, Anwendungen, Cloud-Lösungen und mehr so konfiguriert, dass sie besser geschützt sind. Daten-Spionage, Ransomware-Versuche und andere Cyber-Attacken können derart abgewehrt werden bzw. verlaufen im Optimalfall im Sand, weil die typischen Angriffsflächen verkleinert wurden.

Um eine Systemhärtung effizient durchzuführen, bedarf es zuerst eines Checks. Der stellt den Status Quo des System Hardenings fest. Hierfür bietet sich das kostenlose AuditTAP an. Das überprüft unter anderem viele verschiedene Browser, Office-Anwendungen, Windows- und neuerdings auch Linux-Systeme.

Wenn Sie Fragen zur Anwendung des AuditTAP oder zur Umsetzung einer System-Hardening-Strategie haben, können Sie sich gerne an uns wenden. Unsere Experten stehen Ihnen gerne zur Seite.

Kontaktieren Sie uns!

Bilder:  Freepik, TUM

Schreibe einen Kommentar