Es gibt immer mehr und immer strengere Vorgaben an Unternehmen und Organisationen, die ein System Hardening erfordern. Welche das sind, erfahren Sie hier.
Von NIS2 und IS27001 über DORA und BS3 bis zu TISAX
Die Abkürzungen klingen wie aus dem Song “MfG” der Fantastischen Vier. Doch dahinter verbergen sich viele wichtige weltweit Branchenstandards und EU-Vorgaben.
Diese sollten Unternehmen auf keinen Fall ignorieren oder auf die leichte Schulter nehmen. Denn: Im Netz tobt der so genannte “Cyber War”, in dem kleine wie große Unternehmen von “Script Kiddies” ebenso angegriffen werden wie von professionellen Hackern. Sicherlich stehen auch die Systeme Ihrer Organisation “unter Beschuss”.
Um die IT-Systeme europäischer und deutscher Unternehmen und Betreiber kritischer Infrastrukturen deutlich widerstandsfähiger gegen Cyber-Angriffe zu machen, wurden in den letzten Jahren zahlreiche Vorschriften erlassen – und weitere werden folgen.
In den folgenden Abschnitten beleuchten wir einige Verordnungen, Gesetze, Normen und Richtlinien, die eine Systemhärtung (engl. System Hardening) empfehlen oder sogar direkt fordern.
ISO 27001
Die international etablierte Norm für Informationssicherheit wurde deutlich überarbeitet. Seit Ende Oktober 2022 liegt die endgültige Fassung der ISO 27001 vor.
Die Norm legt fest, wie Unternehmen ein Informationssicherheits-Managementsystem (ISMS) aufbauen sollen. Damit verbunden sind Anforderungen an das “Security Configuration Management”, also die sichere Konfiguration von IT-Systemen (sprich: Systemhärtung).
Im Control “Configuration Management”, welches das “Secure Configuration Management” umfasst, werden Anforderungen an eine sichere Konfiguration (“Härtung”) auf mehreren Dimensionen gestellt. Mehr Infos dazu in unserem Beitrag “Configuration Management gemäß ISO 27001:2022 – So vermeiden Sie eine Abweichung”
Folgend ein vereinfachter Überblick:
-
- “Templates” sind zu verwenden. Damit entfallen selbst entwickelte Härtungskonfigurationen.
- Prozessuale Anforderungen: Es ist ein strukturierter Prozess für die Implementierung und Überwachung anzusetzen.
- Ein “Monitoring” der Konfiguration wird ebenfalls verlangt, Änderungen und Abweichungen (“Anomalien“) sind zu erkennen.
Und ganz wichtig: Die Umsetzung der ISO 27001 ist kein singuläres Ereignis! Sie haben Ihre Maßnahmen und Umsetzungen fortwährend anzupassen und kontinuierlich zu verbessern. Wie der Prozess abläuft, zeigt dieses Schaubild des TÜV Rheinland:
______
Lesetipp: Möchten Sie wissen, wie Sie Abweichungen bei einem ISO 27001 Audit vermeiden können? Dieser Ratgeber hilft Ihnen weiter: Configuration Management gemäß ISO 27001:2022
______
BSI Grundschutz
Der BSI-Grundschutz, auch IT-Grundschutz genannt, ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Konzept zur Gewährleistung der Informationssicherheit in Unternehmen, Behörden und anderen Organisationen. Der BSI- bzw. IT-Grundschutz bietet eine systematische Vorgehensweise zur Umsetzung der notwendigen Sicherheitsmaßnahmen.
Das BSI hat passend dazu eine Zuordnungstabelle veröffentlicht, die Maßnahmen aus der ISO 27001 auf den Grundschutz abbildet. Beim Punkt “A.8.9. / Konfigurationsmanagement” wird ganz klar eine Systemhärtung empfohlen.
NIS2
Nicht zu vergessen ist die europaweite Cybersecurity-Direktive NIS (Network and Information Security). Die neue EU NIS 2 muss jetzt noch in nationales Recht überführt werden. Danach entfaltet sie dann ihre Gültigkeit und gilt dann für Unternehmen ab 50 Mitarbeitern oder mindestens 10 Millionen Euro Umsatz.
Die betroffenen Firmen haben dann deutliche strengere Anforderungen an die IT-Security zu erfüllen. Bei Nichteinhaltung drohen hohe Strafen in Millionenhöhe.
BAIT, VAIT, KAIT & ZAIT
Die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) hat in den letzten Jahren mehrere Anforderungen herausgegeben. Dazu zählen:
-
- VAIT (Versicherungsaufsichtliche Anforderungen an die IT)
- BAIT (Bankaufsichtliche Anforderungen an die IT)
- KAIT (Kapitalverwaltungsaufsichtliche Anforderungen an die IT)
- ZAIT (Zahlungsdiensteaufsichtliche Anforderungen an die IT)
Mit den neuen Fassungen von BAIT, VAIT, KAIT und ZAIT müssen Banken, Versicherungen, Investment-Gesellschaften und Kapitalverwaltungsaufsichten mehr Auflagen als je zuvor in Sachen IT-Security erfüllen.
Ganz konkret wird dort das Thema “Systemhärtung” genannt, beispielsweise in der VAIT im Bereich “Operative Informationssicherheit” in Kapitel 5.2. Da steht unter anderem dieser Satz:
“Das Unternehmen hat auf Basis der Informationssicherheitsleitlinie
und Informationssicherheitsrichtlinien angemessene, dem Stand der
Technik entsprechende, operative Informationssicherheitsmaßnah-
men und Prozesse zu implementieren.”
Und weiter heißt es:
“Informationssicherheitsmaßnahmen und -prozesse berücksichtigen u.a.:
-
-
-
- Schwachstellenmanagement (..)
- Segmentierung und Kontroll des Netzwerks (..)
- sichere Konfiguration von IT-System (Härtung)
- Verschlüsselung (..)”
-
-
DORA
Während BAIT, VAIT, ZAIT und KAIT nur für Unternehmen gilt, die unter der Aufsicht der BaFin sind, wurde DORA für alle Finanzunternehmen (beispielsweise Banken, Versicherer und Investmentgesellschaften) im europäischen Raum geschaffen.
Der Digital Operational Resilience Act (kurz: DORA) ist eine Initiative der Europäischen Union, die darauf abzielt, die Resilienz und Sicherheit digitaler Operationen im Finanzsektor zu stärken. Der Fokus liegt dabei auf der Verbesserung der IT-Security-Maßnahmen.
Im Rahmen von DORA sind Finanzinstitutionen dazu angehalten, ihre IT-Infrastrukturen gegen aktuelle und potentielle Cyberbedrohungen und Betriebsausfälle abzusichern. Ein wesentlicher Aspekt ist die Realisierung von Maßnahmen, die darauf abzielen, die Robustheit der IT-Systeme zu verbessern – das Härten der Systemlandschaft ist dafür ein Grundpfeiler.
PCI DSS 4.0
Organisationen und Unternehmen, die nicht in den genannten Sektoren tätig sind, haben den Geldtransfer abzusichern – dafür sorgt PCI DSS 4.0. Der Payment Card Industry Data Security Standard (PCI DSS) wurde im März 2022 veröffentlicht und gilt offiziell ab 31. März 2024.
Spätestens seit dem müssen Händler und Firmen, die mit den Daten von Kreditkarten-Besitzern zu tun haben, strengere Cybersecurity-Maßnahmen umsetzen. Das Thema “Härtung” wird direkt in Kapitel 2 gelistet und betrachtet neben der technischen Absicherung auch das Thema Prozesse.
Im Screenshot werden die konkreteren Anforderungen klar:
B3S
Im branchenspezifischen Sicherheitsstandard (kurz: B3S) für den Bereich Medizinische Versorgung, der im Dezember 2022 veröffentlicht wurde, hat das Thema Systemhärtung als echte präventive Schutzmaßnahme ebenfalls Einzug erhalten. Im Kapitel “Technische Informationssicherheit” ist “Härtung und sichere Basiskonfiguration” priorisiert gelistet.
Interessant finden wir hier die Detailtiefe: Es wird nicht nur eine einmalige Systemhärtung verlangt, sondern eine prozessuale Integration mit einer Überwachung. Dies wird beispielsweise in den folgenden Anforderungen deutlich:
-
-
- ANF-0105: “Systeme und Anwendungen müssen Vorgaben zur sicheren Basiskonfiguration […] enthalten”
- ANF-0106: Es muss “eine regelmäßige Analyse und ggfs. Anpassung” durchgeführt werden.
-
Hier wird klar: Präventive Maßnahmen wie System Hardening werden im medizinischen Bereich als eine essentielle Ergänzung zu den nachgelagerten Detektions- und Reaktionsfähigkeiten deklariert.
VDA TISAX
Der VDA (Verband der Automobilindustrie) weist darauf hin, dass der Austausch sensibler Daten nach dem Stand der Technik hinreichend sicher erfolgen muss. Deshalb wurde 2017 der Branchenstandard TISAX (Trusted Information Security Assessment Exchange) für die Automobilindustrie entwickelt, welche auf den VDA Information Security Assessments (ISA) beruht.
Verschiedene Elemente von VDA-ISA bzw. TISAX basieren auf der ISO 27001. Die sichere Konfiguration von IT-Systemen spielt also auch bei Automobilherstellern und ihren Zulieferern eine immer größere Rolle.
Und: Seit seiner Veröffentlichung wird TISAX fortwährend angepasst. So gilt ab dem 1. April 2024 der VDA-ISA Katalog 6.0, in dem -wie schon im VDA-ISA-Katalog 5.1 – die Systemhärtung mehrfach erwähnt wird.
WLA-SCS
Das Security and Risk Management Committee der World Lottery Association hat einen eigenen Sicherheitsstandard entwickelt – den WLA-SCS. Dieser gilt speziell für die Lotterie- und Sportwetten-Branche.
Der Standard enthält eine Reihe von Anforderungen und Best Practices, die darauf abzielen, die Integrität, Vertraulichkeit und Verfügbarkeit von Lotterie- und Sportwetten-Systemen zu gewährleisten.
Da der World Lottery Association Security Control Standard auf den Vorgaben der ISO 27001 basiert, müssen die IT-Security-Verantwortlichen unter anderem eine professionelle Systemhärtung (“Lottery Hardening“) implementieren.
DS-GVO
Die europäische Datenschutz-Grundverordnung (DS-GVO) bzw. General Data Protection Regulation (GDPR) gilt schon seit ein paar Jahren.
In der DS-GVO wird gefordert, dass Unternehmen dazu verpflichtet sind, Kundendaten vor Missbrauch zu schützen, unter anderem durch eine Absicherung der IT-Systeme auf dem Stand der Technik. Systemhärtung respektive eine sichere Systemkonfiguration gehört ganz klar dazu.
Ergänzend ist die in der DS-GVO verbindlich geforderte Provider-Kontrollpflicht zu erwähnen. Das bedeutet: Als verantwortliche Stelle ist jedes Unternehmen in der Pflicht, die Arbeit eingesetzter Service-Provider aus Informationssicherheits- und Datenschutz-Sicht nachweisbar zu überprüfen und die Nachweise zu dokumentieren.
Der Schutz der Daten wie auch ein Hardening-Check der Dienstleister lässt sich einfach und automatisiert mit professionellen Hardening-Tools bewerkstelligen.
___________________
Haben Sie schon alle Systeme richtig gehärtet?
Systemhärtung trägt essentiell zur tatsächlichen Reduzierung der Angriffsfläche bei. Viele IT-Security-Maßnahmen haben alleine ohne Systemhärtung eine abgeschwächte Wirkung.
Diese Tatsache hat zum Beispiel Forbes in der Corona-Pandemie, als es viel Home Office gab, so festgehalten:
“The switch to hybrid work expanded the attack surface of many organizations, leading to more expensive breaches in 2020, according to the Ponemon Institute. Hardening your attack surface is the best line of defense against cyberattacks, but many organizations struggle to keep up.”
Frei übersetzt heißt das:
“Die Umstellung auf hybrides Arbeiten hat die Angriffsfläche vieler Unternehmen vergrößert, was laut dem Ponemon Institute im Jahr 2020 zu teureren Sicherheitsverletzungen geführt hat. Die beste Verteidigungslinie gegen Cyber-Angriffe ist es, die Angriffsfläche zu härten, aber viele Unternehmen haben Mühe, damit Schritt zu halten.”
Übersicht: Welche Sicherheitsmaßnahme eignet sich wann?
Warum ist Systemhärtung so eminent wichtig? Während beinahe alle aktuell eingesetzten Maßnahmen die Erkennung (“Detection”) und eine hoffentlich adäquate Reaktion (“Response”) unterstützen, um Angriffe und Bedrohungen abzuwehren, schließt eine professionelle Systemhärtung existierende Schwachstellen- und Sicherheitslücken. Damit ist das System Hardening eine essentielle Maßnahme im Bereich “Protection”.
Die folgende Abbildung zeigt, wie die Systemhärtung in das NIST Cyber Security Framework eingeordnet werden kann:
Dementsprechend sollten Sie spätestens jetzt die Härtung Ihrer Systeme in Ihre Cybersecurity-Strategie aufnehmen und konsequent implementieren.
Unternehmen welcher Größe müssen nun handeln?
Die einfache Antwort: Alle! Denn Konzerne wie auch Start-ups stehen im Kreuzfeuer der “Cyber-Gangster”.
Deshalb haben alle gleichermaßen Maßnahmen für bessere Informationssicherheit und Datenschutz umzusetzen. Die Systemhärtung stellt dabei aus unserer Sicht eine elementare Komponente dar.
Was passiert, wenn Ihr Unternehmen keine Maßnahmen umsetzt?
Heutzutage stellt sich nicht mehr die Frage, ob ein Unternehmen von Cyber-Kriminellen angegriffen wird, sondern wann. Ohne Systemhärtung und andere IT-Security-Maßnahmen ist Ihr Unternehmen ein leichtes Opfer.
Deshalb sollten Sie es Hackern und anderen “Cyber-Gangstern” so schwer wie möglich machen, in Ihre IT-Systeme einzudringen und Schaden anzurichten. Und: Wenn die Hürde für Angreifer, Ihre Systeme zu kompromittieren, hoch ist, werden sie möglicherweise aufgeben – denn das Verhältnis von Aufwand und Ertrag fällt ungünstig aus.
Machen Sie es dagegen den Angreifern zu leicht, indem Sie nur weniger oder unpassende Sicherheitsmaßnahmen ergreifen, werden diese gnadenlos zuschlagen. Die Folge: Die Hacker stehlen heikle (Kunden-)Daten, sperren Systeme oder schalten sie ganz ab.
Auf den finanziellen Schaden folgt in der Regel ein Image-Schaden – oder im schlimmsten Fall die Insolvenz.
Bringt Systemhärtung wirklich etwas?
Oh ja! Das haben wir schon mehrfach bewiesen – und das auf verschiedenen Ebenen. Zum Beispiel verhindert eine Windows-Härtung das Ausspionieren von Telemetrie-Daten, ebenso unterbindet ein System Hardening das missbräuchliche Ausnutzen der “SeDebugPrivileges” mit Hacking-Tools wie DefenderSwitch bzw. DefenderStop sowie den Einsatz von Mimikatz.
Hier ein Videobeweis unserer Kollegen von TEAL Technology:
Wie lässt sich eine Systemhärtung umsetzen?
Dafür empfiehlt sich ein mehrstufiges Vorgehen. Das kann zum Beispiel so aussehen:
Schritt 1: Analyse
Zu Beginn sollten Sie eine Ist-Aufnahme durchführen. Sprich: Wie sicher sind Ihre IT-Systeme aktuell konfiguriert? Dieser Check lässt sich einfach mit dem AuditTAP bewerkstelligen. Als Ergebnis erhalten Sie einen ausführlichen Report, der auch einen Risk Score beinhaltet.
Der Risk Scores zeigt, wie gut oder auch nicht Ihre Systeme gehärtet sind. Doch blicken Sie nicht nur auf das Schaubild, sondern ziehen Sie die richtigen Schlussfolgerungen aus dem Compliance-Bericht!
Schritt 2: Konzeption
Im nächsten Schritt sollten Sie festlegen, wie und in welchem Umfang Sie Ihre Systeme härten möchten. So können Sie zwischen diesen gängigen Vorgehensweisen wählen:
-
- Layered Hardening
- Rapid Hardening
- Lifecycle Hardening
Mehr darüber erfahren Sie in unserem Beitrag “Layered Hardening, Rapid Hardening & Lifecycle Hardening: Welche Methode ist am besten”
Schritt 3: Umsetzung
Danach gilt es, eine individuelle Konfiguration zusammenzustellen oder eine Hardening-Vorlage zu nutzen. Orientieren Sie sich dabei an den Empfehlungen von Cybersecurity-Behörden, beispielsweise an den BSI-Tipps zur Windows-10-Härtung.
Rollen Sie die Hardening-Konfiguration auf alle Ihre Systeme aus – am besten automatisiert über ein Tool wie den Enforce Administrator.
Schritt 4: Optimierung
Mit dem Ausrollen der Härtung ist Ihre Arbeit noch nicht getan! Überwachen Sie von nun an permanent Ihre Systeme auf versehentliche oder unbeabsichtigte Fehlkonfigurationen durch Dritte oder Angreifer.
Und passen Sie Ihre Härtungseinstellungen den sich ändernden internen und externen Anforderungen sowie der aktuellen Bedrohungslage an.
Welche Rolle spielen Cybersecurity-Versicherungen?
Um sich gegen die entstehenden Schäden von Hacker- und (polymorphen) Malware-Angriffen abzusichern, gibt es für Unternehmen sogenannte Cybersecurity-Versicherungen. Doch die Versicherungsgesellschaften setzen immer strengere Kriterien an. Und das sowohl bei der Aufnahme als auch bei der Abwicklung der Schadensleistungen.
Verständlich: Die Cyber-Attacken nehmen massiv zu und lassen die Kosten explodieren. Und bei vielen Unternehmen ist aufgrund fehlender Basis-Maßnahmen in der Informationssicherheit eine belastbare Risikokalkulation gar nicht möglich.
Damit Ihr Unternehmen eine Cybersecurity-Versicherungen abschließen oder im Schadensfall tatsächlich mit Auszahlungen rechnen kann, muss es mittlerweile hohe Anforderungen erfüllen. So fragen die Versicherungsgesellschaften beispielsweise ab, wie Sie Ihre Systeme absichern, um die Angriffsflächen deutlich zu reduzieren.
Können Sie hier keine Maßnahmen wie eine Systemhärtung vorweisen, wird die Prämienkalkulation für die Versicherung gegebenenfalls nicht möglich oder für Unternehmen unter Umständen sehr teuer.
Fazit
Investieren Sie Ihr IT-Budget nicht nur in die Symptom-Erkennung und in die Reaktion, sondern ebenso in die grundlegende Absicherung Ihrer IT-Systeme! Denn Systemhärtung ist kein “Nice to Have”, sondern ein “Must Have”!
Diese Tatsache unterstreichen zahlreiche Gesetze, Regularien und Normen. Unternehmen und Organisationen fast jeder Größe müssen sich mittlerweile mit den Vorgaben und Empfehlungen auseinandersetzen – und meist auch umsetzen.
Das bedeutet: Machen Sie 2024 und 2025 zu den Jahren, in denen Sie Ihre Cybersicherheit auf ein neues, entscheidendes Niveau heben!
Können wir Ihnen helfen?
Möchten Sie wissen, wie Sie eine (automatisierte) Systemhärtung professionell realisieren und in Ihrem Unternehmen implementieren können? Sprechen Sie uns an – unsere Experten für Systemhärtung sind gerne für Sie da!
Bilder: Freepik, TWL-KOM, TÜV,
IT Support Guys, FB Pro