Gesetze, Regularien, Vorschriften und Normen im Bereich IT-Security / Systemhärtung (Bild: Freepik)
Veröffentlicht am von juergen.kroder@fb-pro.com

Gesetze, Regularien & Normen: Deshalb ist Systemhärtung 2024 ein “Must Have” für Unternehmen

Machen Sie 2024 zum Jahr der Cybersecurity und denken Sie dabei an das System Hardening. Denn es gibt immer mehr Bedrohungslagen und auch Vorgaben, welche die Härtung von Systemen erfordern. Hier eine Übersicht.

Inhaltsverzeichnis: Verbergen
1) Haben Sie in Ihrem Unternehmen schon alle Systeme richtig gehärtet?
2) Übersicht: Welche Sicherheitsmaßnahme eignet sich wann?
3) In der Regulatorik ist viel passiert
3.1) DS-GVO
3.2) ISO 27001
3.3) NIS2
3.4) BAIT, VAIT, KAIT & ZAIT
3.5) DORA
3.6) PCI DSS 4.0
3.7) B3S
3.8) VDA TISAX
4) Unternehmen welcher Größe müssen nun handeln?
5) Was passiert, wenn Ihr Unternehmen keine Maßnahmen umsetzt?
6) Bringt Systemhärtung wirklich etwas?
7) Wie lässt sich eine Systemhärtung umsetzen?
8) Welche Rolle spielen Cybersecurity-Versicherungen?
9) Fazit
10) Können wir Ihnen helfen?

Haben Sie in Ihrem Unternehmen schon alle Systeme richtig gehärtet?

Sagen wir gleich, wie es ist: Systemhärtung (engl. System Hardening) trägt essentiell zur tatsächlichen Reduzierung der Angriffsfläche bei. Viele IT-Security-Maßnahmen haben alleine ohne Systemhärtung eine abgeschwächte Wirkung.

Diese Tatsache hat zum Beispiel Forbes in der Corona-Pandemie, als es viel Home Office gab, so festgehalten: 

“The switch to hybrid work expanded the attack surface of many organizations, leading to more expensive breaches in 2020, according to the Ponemon Institute. Hardening your attack surface is the best line of defense against cyberattacks, but many organizations struggle to keep up.”

Frei übersetzt heißt das:

“Die Umstellung auf hybrides Arbeiten hat die Angriffsfläche vieler Unternehmen vergrößert, was laut dem Ponemon Institute im Jahr 2020 zu teureren Sicherheitsverletzungen geführt hat. Die beste Verteidigungslinie gegen Cyber-Angriffe ist es, die Angriffsfläche zu härten, aber viele Unternehmen haben Mühe, damit Schritt zu halten.”

Übersicht: Welche Sicherheitsmaßnahme eignet sich wann?

Warum ist Systemhärtung so eminent wichtig? Während beinahe alle aktuell eingesetzten Maßnahmen die Erkennung (“Detection”) und eine hoffentlich adäquate Reaktion (“Response”) unterstützen, um Angriffe und Bedrohungen abzuwehren, schließt eine professionelle Systemhärtung existierende Schwachstellen- und Sicherheitslücken. Damit ist das System Hardening eine  essentielle Maßnahme im Bereich “Protection”.

Die folgende Abbildung zeigt, wie die Systemhärtung in das NIST Cyber Security Framework eingeordnet werden kann:

NIST Framework & Cybersecurity Maßnahmen (Bild: TWL-KOM / FB Pro)
Klicken Sie auf das Bild für eine größere Ansicht.

Dementsprechend sollten Sie spätestens jetzt die Härtung Ihrer Systeme in Ihre Cybersecurity-Strategie aufnehmen und konsequent implementieren.

In der Regulatorik ist viel passiert

Was spricht noch für die Härtung Ihrer Systeme? Neben dem tatsächlichen, fachlich technischen Schutz der IT-Systeme sind ein weiterer Grund kontinuierlich wachsende Anforderungen an IT-Sicherheit in Unternehmen. Hier spricht vieles dafür, dass Sie sich so schnell wie möglich mit Systemhärtung beschäftigen sollten.

In den folgenden Abschnitten beleuchten wir ein paar Verordnungen, Gesetze, Normen und Regularien, die eine Systemhärtung empfehlen oder sogar direkt fordern.

DS-GVO

Die europäische Datenschutz-Grundverordnung (DS-GVO) bzw. General Data Protection Regulation (GDPR) gilt schon seit ein paar Jahren.

In der DS-GVO wird gefordert, dass Unternehmen dazu verpflichtet sind, Kundendaten vor Missbrauch zu schützen, unter anderem durch eine Absicherung der IT-Systeme “auf dem Stand der Technik“. Systemhärtung respektive eine sichere Systemkonfiguration gehört ganz klar dazu.

Ergänzend ist die in der DS-GVO verbindlich geforderte Provider-Kontrollpflicht zu erwähnen. Das bedeutet: Als verantwortliche Stelle ist jedes Unternehmen in der Pflicht, die Arbeit eingesetzter Service-Provider aus Informationssicherheits- und Datenschutz-Sicht nachweisbar zu überprüfen und die Nachweise zu dokumentieren.

Der Schutz der Daten wie auch ein Hardening-Check der Dienstleister lässt sich einfach und automatisiert mit professionellen Hardening-Tools bewerkstelligen.

ISO 27001

Die international etablierte Norm für Informationssicherheit wurde jüngst überarbeitet. Seit Ende Oktober 2022  liegt die endgültige Fassung der ISO 27001 vor.

In der Norm wird definiert, wie Unternehmen ein ISMS (Informationssicherheits-Managementsystem) aufzusetzen haben. Damit einher kommen auch Anforderungen an das “Secure Configuration Management”, also an die sichere Konfiguration von IT-Systemen (sprich die “Systemhärtung”).

Im Control “Configuration Management”, das auch das “Secure Configuration Management” umfasst, werden Anforderungen an eine sichere Konfiguration (“Härtung”) auf mehreren Dimensionen gestellt.

Folgend ein vereinfachter Überblick:

    • “Templates” sind zu verwenden. Damit entfallen selbst entwickelte Härtungskonfigurationen.
    • Prozessuale Anforderungen: Es ist ein strukturierter Prozess für die Implementierung und Überwachung anzusetzen.
    • Ein “Monitoring” der Konfiguration wird ebenfalls verlangt, Änderungen und Abweichungen (“Anomalien“) sind zu erkennen.

Und ganz wichtig: Die Umsetzung de ISO 27001 ist kein singuläres Ereignis! Sie haben Ihre Maßnahmen und Umsetzungen fortwährend anzupassen und kontinuierlich zu verbessern. Wie der Prozess abläuft, zeigt dieses Schaubild des TÜV Rheinland:

ISO 27011 Prozess (Bild: TÜV Rheinland)
Klicken Sie auf das Bild für eine größere Ansicht.

NIS2

Nicht zu vergessen ist die europaweite Cybersecurity-Direktive NIS (Network and Information Security). Die neue EU NIS 2 muss jetzt noch in nationales Recht überführt werden. Danach entfaltet sie dann ihre Gültigkeit und gilt dann für Unternehmen ab 50 Mitarbeitern oder mindestens 10 Millionen Euro Umsatz.

Die betroffenen Firmen haben dann deutliche strengere Anforderungen an die IT-Security zu erfüllen. Bei Nichteinhaltung drohen hohe Strafen in Millionenhöhe.

BAIT, VAIT, KAIT & ZAIT

Die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) hat in den letzten Jahren mehrere Anforderungen herausgegeben. Dazu zählen:

    • BAIT (Bankaufsichtliche Anforderungen an die IT)
    • VAIT (Versicherungsaufsichtliche Anforderungen an die IT)
    • KAIT (Kapitalverwaltungsaufsichtliche Anforderungen an die IT)
    • ZAIT (Zahlungsdiensteaufsichtliche Anforderungen an die IT)

Mit den neuen Fassungen von BAIT, VAIT, KAIT und ZAIT müssen Banken, Versicherungen, Investment-Gesellschaften und Kapitalverwaltungsaufsichten mehr Auflagen als je zuvor in Sachen IT-Security erfüllen.

Ganz konkret wird dort das Thema “Systemhärtung” genannt, beispielsweise in der VAIT im Bereich “Operative Informationssicherheit” in Kapitel 5.2. Da heißt es:

“Das Unternehmen hat auf Basis der Informationssicherheitsleitlinie
und Informationssicherheitsrichtlinien angemessene, dem Stand der
Technik entsprechende, operative Informationssicherheitsmaßnah-
men und Prozesse zu implementieren.”

Und weiter heißt es:

“Informationssicherheitsmaßnahmen und -prozesse berücksichtigen u.a.:

        • Schwachstellenmanagement (..) 
        • Segmentierung und Kontroll des Netzwerks (..) 
        • sichere Konfiguration von IT-System (Härtung) 
        • Verschlüsselung (..)”

DORA

Während BAIT, VAIT, ZAIT und KAIT nur für Unternehmen gilt, die unter der Aufsicht der BaFin sind, wurde DORA  für alle Finanzunternehmen (beispielsweise Banken, Versicherer und Investmentgesellschaften) im europäischen Raum geschaffen.

Der Digital Operational Resilience Act (kurz: DORA) ist eine Initiative der Europäischen Union, die darauf abzielt, die Widerstandsfähigkeit und Sicherheit digitaler Operationen im Finanzsektor zu stärken. Der Fokus liegt dabei auf der Verbesserung der IT-Security-Maßnahmen.

Im Rahmen von DORA sind Finanzinstitutionen dazu angehalten, ihre IT-Infrastrukturen gegen aktuelle und potentielle Cyberbedrohungen und Betriebsausfälle abzusichern. Ein wesentlicher Aspekt ist die Realisierung von Maßnahmen, die darauf abzielen, die Robustheit der IT-Systeme zu verbessern – das Härten der Systemlandschaft ist dafür ein Grundpfeiler.

PCI DSS 4.0

Auch Organisationen und Unternehmen, die nicht in den genannten Sektoren tätig sind, haben den Geldtransfer abzusichern – dafür sorgt PCI DSS 4.0. Der recht neue Payment Card Industry Data Security Standard (PCI DSS) wurde im März 2022 veröffentlicht und gilt offiziell ab 31. März 2024.

Spätestens ab dann müssen Händler und Firmen, die mit den Daten von Kreditkarten-Besitzern zu tun haben, strengere Cybersecurity-Maßnahmen umsetzen. Das Thema “Härtung” wird direkt in Kapitel 2 gelistet und betrachtet neben der technischen Absicherung auch das Thema Prozesse.

Im Screenshot werden die konkreteren Anforderungen klar:

Klicken Sie auf das Bild für eine größere Ansicht.

B3S

Im branchenspezifischen Sicherheitsstandard (kurz: B3S) für den Bereich Medizinische Versorgung, der im Dezember 2022 veröffentlicht wurde, hat das Thema Systemhärtung als echte präventive Schutzmaßnahme ebenfalls Einzug erhalten. Im Kapitel “Technische Informationssicherheit” ist “Härtung und sichere Basiskonfiguration” priorisiert gelistet.

Interessant finden wir hier die Detailtiefe: Es wird nicht nur eine einmalige Systemhärtung verlangt, sondern eine prozessuale Integration mit einer Überwachung. Dies wird beispielsweise in den folgenden Anforderungen deutlich:

      • ANF-0105: “Systeme und Anwendungen müssen Vorgaben zur sicheren Basiskonfiguration […] enthalten”
      • ANF-0106: Es muss “eine regelmäßige Analyse und ggfs. Anpassung” durchgeführt werden.

Hier wird klar: Präventive Maßnahmen wie System Hardening werden im medizinischen Bereich als eine essentielle Ergänzung zu den nachgelagerten Detektions- und Reaktionsfähigkeiten deklariert.

VDA TISAX

Auch der VDA (Verband der Automobilindustrie) weist darauf hin, dass der Austausch sensibler Daten nach dem Stand der Technik hinreichend sicher erfolgen muss. Deshalb wurde 2017 die Branchen-Norm TISAX (Trusted Information Security Assessment Exchange) für die Automobilbranche entwickelt, welche auf den VDA  Information Security Assessments (ISA) beruht.

Diverse Elemente von VDA-ISA bzw. TISAX basieren auf der ISO 27001. Somit nimmt auch hier die sichere Konfiguration von IT-Systemen bei Automobilherstellern und deren Zulieferern eine immer wichtigere Rolle ein.

Und: Seit seiner Veröffentlichung wird TISAX fortwährend angepasst. So gilt ab dem 1. April 2024 der VDA-ISA Katalog 6.0, in dem – wie schon beim VDA-ISA Katalog 5.1 – die Systemhärtung mehrfach genannt wird.

Unternehmen welcher Größe müssen nun handeln?

Die einfache Antwort: Alle! Denn Konzerne wie auch Start-ups stehen im Kreuzfeuer der “Cyber-Gangster”.

Deshalb haben alle gleichermaßen Maßnahmen für bessere Informationssicherheit und Datenschutz umzusetzen. Die Systemhärtung stellt dabei aus unserer Sicht eine elementare Komponente dar.

Wie selbst kleine Unternehmen Schritt für Schritt eine Hardening-Strategie realisieren können, erfahren Sie in dieser Podcast-Folge:

Was passiert, wenn Ihr Unternehmen keine Maßnahmen umsetzt?

In Zeiten des “Cyberwar”, der derzeit im Internet tobt, stellt sich nicht mehr die Frage, ob ein Unternehmen von Cyberkriminellen angegriffen wird, sondern wann.

Ohne Systemhärtung und andere IT-Security-Maßnahmen ist Ihr Unternehmen ein leichtes Opfer.  Deshalb sollten Sie dafür sorgen, dass es Hacker und andere “Cyber-Gangster” möglichst schwer haben, Ihre IT-Systeme zu kompromittieren!

Schaubild: Welche Industrien und Branchen weltweit von Ransomware-Attacken betroffen sind (Bild: Microsoft)
Schaubild: Welche Industrien und Branchen weltweit von Ransomware-Attacken betroffen sind (Bild: Microsoft)

Machen Sie es den Angreifern zu leicht, indem Sie nur weniger oder unpassende Sicherheitsmaßnahmen ergreifen, werden diese gnadenlos zuschlagen. Die Folge: Die “Cyber-Kriminellen” stehlen heikle (Kunden-)Daten, sperren Systeme oder schalten sie ganz ab.

Auf den finanziellen Schaden folgt in der Regel ein Image-Schaden – oder im schlimmsten Fall die Insolvenz.

Bringt Systemhärtung wirklich etwas?

Oh ja! Das haben wir schon mehrfach bewiesen – und das auf verschiedenen Ebenen. Zum Beispiel unterbindet eine Windows-Härtung das Ausspionieren von Telemetrie-Daten, ebenso unterbindet ein System Hardening das missbräuchliche Ausnutzen der “SeDebugPrivileges” mit Hacking-Tools wie DefenderSwitch bzw. DefenderStop sowie den Einsatz von Mimikatz.

Hier ein Videobeweis unserer Kollegen von TEAL Technology:

Wie lässt sich eine Systemhärtung umsetzen?

Dafür empfiehlt sich ein mehrstufiges Vorgehen. Zu Beginn sollten Sie eine Ist-Aufnahme durchführen. Sprich: Wie sicher sind Ihre IT-Systeme aktuell konfiguriert?

Dieser Check lässt sich einfach mit dem AuditTAP bewerkstelligen. Als Ergebnis erhalten Sie einen ausführlichen Report, der auch einen Risk Score beinhaltet.

Der Risk Scores zeigt, wie gut oder auch nicht Ihre Systeme gehärtet sind. Doch blicken Sie nicht nur auf das Schaubild, sondern ziehen Sie die richtigen Schlussfolgerungen aus dem Compliance-Bericht!

Im nächsten Schritt sollten Sie festlegen, wie und in welchem Umfang Sie Ihre Systeme härten möchten. Ein 100%-ige Absicherung gibt es nicht und macht auch keinen Sinn – ansonsten werden eventuell wichtige Anwendungen unbenutzbar.

Danach gilt es, eine individuelle Konfiguration zusammenzustellen oder eine Hardening-Vorlage zu nutzen. Orientieren Sie sich dabei an den Empfehlungen von Cybersecurity-Behörden, beispielsweise an den BSI-Tipps zur Windows-10-Härtung. Rollen Sie die Hardening-Konfiguration auf alle Ihre Systeme aus – am besten automatisiert über ein Tool wie den Enforce Administrator.

Damit ist es aber nicht getan! Überwachen Sie permanent Ihre Systeme, ob es zufällig oder ggfs. ungewollt durch Dritte oder Angreifer zu Fehlkonfigurationen kommt. Und passen Sie Ihre Härtungseinstellungen den wechselnden internen und externen Anforderungen wie auch der aktuellen Bedrohungslage an.

Welche Rolle spielen Cybersecurity-Versicherungen?

Um sich gegen die entstehenden Schäden von Hacker- und Malware-Angriffen abzusichern, gibt es für Unternehmen sogenannte Cybersecurity-Versicherungen. Doch die Versicherungsgesellschaften setzen immer strengere Kriterien an. Und das sowohl bei der Aufnahme als auch bei der Abwicklung der Schadensleistungen.

Verständlich: Die Cyber-Attacken nehmen massiv zu und lassen die Kosten explodieren. Und bei vielen Unternehmen ist aufgrund fehlender Basis-Maßnahmen in der Informationssicherheit eine belastbare Risikokalkulation  gar nicht möglich.

Damit Ihr Unternehmen eine Cybersecurity-Versicherungen abschließen oder im Schadensfall tatsächlich mit Auszahlungen rechnen kann, muss es mittlerweile hohe Anforderungen erfüllen. So fragen die Versicherungsgesellschaften beispielsweise ab, wie Sie Ihre Systeme absichern, um die Angriffsflächen deutlich zu reduzieren.

Können Sie hier keine Maßnahmen wie eine Systemhärtung vorweisen, wird die Prämienkalkulation für die Versicherung gegebenenfalls nicht möglich oder für Unternehmen unter Umständen sehr teuer.

Fazit

Investieren Sie Ihr IT-Budget nicht nur in die Symptom-Erkennung und in die Reaktion, sondern ebenso in die grundlegende Absicherung Ihrer IT-Systeme! Denn Systemhärtung ist kein “Nice to Have”, sondern ein “Must Have”!

Je weniger Lücken und Angriffsflächen die durch Sie betriebenen IT-Systeme bieten, desto geringer die Chance, dass Angreifer in Ihre Systeme eindringen und Schäden anrichten können.

Machen Sie – falls Sie es nicht eh schon vorhatten – 2024 zu dem Jahr, in dem Sie Ihre Cybersicherheit auf ein neues, wichtiges Level heben!

Können wir Ihnen helfen?

Möchten Sie wissen, wie Sie eine (automatisierte) Systemhärtung professionell realisieren und in Ihrem Unternehmen implementieren können? Sprechen Sie uns an – unsere Experten für Systemhärtung sind gerne für Sie da!

Kontaktieren Sie uns!

 

Bilder: Freepik, TWL-KOM, TÜV,
IT Support Guys, FB Pro

Schreibe einen Kommentar