Machen Sie 2023 zum Jahr der Cybersecurity und denken Sie dabei an das System Hardening. Denn es gibt immer mehr Bedrohungslagen und auch Vorgaben, welche die Härtung von Systemen erfordern. Hier eine Übersicht.
Haben Sie in Ihrem Unternehmen schon alle Systeme richtig gehärtet?
Sagen wir gleich, wie es ist: Systemhärtung (engl. System Hardening) trägt essentiell zur tatsächlichen Reduzierung der Angriffsfläche bei – und viele IT-Security-Maßnahmen haben alleine ohne Systemhärtung eine abgeschwächte Wirkung. Diese Tatsache hat auch Forbes bereits vor einem Jahr dokumentiert:
“The switch to hybrid work expanded the attack surface of many organizations, leading to more expensive breaches in 2020, according to the Ponemon Institute. Hardening your attack surface is the best line of defense against cyberattacks, but many organizations struggle to keep up.”
Frei übersetzt heißt das:
“Die Umstellung auf hybrides Arbeiten hat die Angriffsfläche vieler Unternehmen vergrößert, was laut dem Ponemon Institute im Jahr 2020 zu teureren Sicherheitsverletzungen geführt hat. Die beste Verteidigungslinie gegen Cyber-Angriffe ist es, die Angriffsfläche zu härten, aber viele Unternehmen haben Mühe, damit Schritt zu halten.”
Während beinahe alle aktuell eingesetzten Maßnahmen die Erkennung und eine hoffentlich adäquate Reaktion unterstützen, um Angriffe und Bedrohungen abzuwehren, schließt eine professionelle Systemhärtung existierende Schwachstellen- und Sicherheitslücken. Diese dann geschlossenen Sicherheitslücken können technisch nicht mehr ausgenutzt werden.
Übersicht: Welche Sicherheitsmaßnahme eignet sich wann?
Warum Systemhärtung früher schützt, macht eine Zuordnung von technischen Maßnahmen in das NIST Cyber Security Framework klar.
| Maßnahme \\ NIST Function | Protect / Schutz | Detect / Detektion | Respond / Reaktion |
| Vulnerability Scanner | X | ||
| Security Information & Event Management (SIEM) | X | X | |
| Anti-Malware Solutions | X | X | |
| Threat Intelligence | X | ||
| Endpoint Detection & Response | X | X | |
| Extended Detection Response | X | X | |
| Managed Detection & Response | X | X | |
| Compromise Assessment | X | ||
| System Hardening | X |
Dementsprechend sollten Sie spätestens jetzt die Härtung Ihrer Systeme in Ihre IT-Security-Strategie aufnehmen und konsequent implementieren.
Auch in der Regulatorik ist viel passiert
Neben dem tatsächlichen, fachlich technischen Schutz der IT-Systeme sind ein weiterer Grund kontinuierlich wachsende Anforderungen an IT-Sicherheit im Unternehmen. Hier spricht vieles dafür, dass Sie sich so schnell wie möglich mit Systemhärtung beschäftigen sollten. In den folgenden Abschnitten beleuchten wir daher ein paar auch kürzlich aktualisierte Normen und weisen auf Anforderungen bezüglich der Systemhärtung hin.
Die Datenschutzgrundverordnung (DS-GVO)
Da gibt es zum Beispiel die bereits seit ein paar Jahren geltende Datenschutz-Grundverordnung (DS-GVO).
In der DS-GVO ist gefordert, dass Unternehmen dazu verpflichtet sind, Kundendaten vor Missbrauch zu schützen sowie, unter anderem durch Absicherung der IT-Systeme “auf dem Stand der Technik“. Systemhärtung respektive eine sichere Systemkonfiguration gehört ganz klar dazu.
Ergänzend ist die in der DS-GVO verbindlich geforderte Provider-Kontrollpflicht zu erwähnen. Das bedeutet: Als verantwortliche Stelle ist jedes Unternehmen verpflichtet, die Arbeit eingesetzter Service-Provider aus Informationssicherheits- und Datenschutz-Sicht nachweisbar zu überprüfen und die Nachweise zu dokumentieren.
Der Schutz der Daten wie auch ein Hardening-Check der Dienstleister lässt sich einfach und automatisiert mit professionellen Hardening-Tools bewerkstelligen.
Die ISO 27001 als international anerkannte und zertifizierbare Norm
Ende 2022 ist die international etablierte Norm für Informationssicherheit überarbeitet worden. Seit Ende Oktober 2022 liegt die endgültige Fassung der ISO 27001 vor.
In der Norm wird definiert, wie Unternehmen ein ISMS (Informationssicherheits-Managementsystem) aufzusetzen haben. Damit einher kommen auch Anforderungen an das “Secure Configuration Management”, also an die sichere Konfiguration von IT-Systemen (sprich die “Systemhärtung”). Im Control “Configuration Management”, das auch das “Secure Configuration Management” umfasst, werden Anforderungen an eine sichere Konfiguration (“Härtung”) auf mehreren Dimensionen gestellt. Folgend ein vereinfachter Überblick:
-
- “Templates” sind zu verwenden. Damit entfallen selbst entwickelte Härtungskonfigurationen
- Prozessuale Anforderungen: Es ist ein strukturierter Prozess für die Implementierung und Überwachung anzusetzen
- Ein “Monitoring” der Konfiguration wird ebenfalls verlangt, Änderungen und Abweichungen (“Anomalien“) sind zu erkennen
Und ganz wichtig: Die Umsetzung de ISO 27001 ist kein singuläres Ereignis! Sie haben Ihre Maßnahmen und Umsetzungen fortwährend anzupassen und kontinuierlich zu verbessern. Wie der Prozess abläuft, zeigt dieses Schaubild des TÜV Rheinland:
Richtlinie zur Netz- und Informationssicherheit (NIS2)
Nicht zu vergessen ist die europaweite Cybersecurity-Direktive NIS (Network and Information Security). Die neue EU NIS 2 muss jetzt noch in nationales Recht überführt werden. Danach entfaltet sie dann ihre Gültigkeit und gilt dann für Unternehmen ab 50 Mitarbeitern oder mindestens 10 Millionen Euro Umsatz.
Die betroffenen Firmen müssen dann deutliche strengere Anforderungen an die IT-Security erfüllen. Bei Nichteinhaltung drohen hohe Strafen in Millionenhöhe. Eine gute Zusammenfassung findet sich beim Heise-Verlag.
Branchenspezifische Regularien
Von KAIT und BAIT über TISAX bis zur PCI DSS 4.0: Es gibt mittlerweile zahlreiche Vorgaben aus verschiedenen Branchen und Bereichen, die ebenfalls die Systemhärtung im Blick haben. Wir stellen Ihnen die Wichtigsten vor.
BAIT, VAIT, KAIT
Die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) hat in den letzten Jahren mehrere Anforderungen herausgegeben. Dazu zählen BAIT (Bankaufsichtliche Anforderungen an die IT), VAIT (Versicherungsaufsichtliche Anforderungen an die IT) und KAIT (Kapitalverwaltungsaufsichtliche Anforderungen an die IT).
Mit den neuen Fassungen von BAIT, VAIT und KAIT müssen Banken, Versicherungen, Investment-Gesellschaften und Kapitalverwaltungsaufsichten mehr Auflagen als je zuvor in Sachen IT-Security erfüllen.
Ganz konkret wird dort das Thema “Systemhärtung” genannt, beispielsweise in der VAIT im Bereich “Operative Informationssicherheit” in Kapitel 5.2. Da heißt es:
“Das Unternehmen hat auf Basis der Informationssicherheitsleitlinie
und Informationssicherheitsrichtlinien angemessene, dem Stand der
Technik entsprechende, operative Informationssicherheitsmaßnah-
men und Prozesse zu implementieren.”
Und weiter heißt es:
“Informationssicherheitsmaßnahmen und -prozesse berücksichtigen u.a.:
-
-
- Schwachstellenmanagement (..),
- Segmentierung und Kontroll des Netzwerks (..),
- sichere Konfiguration von IT-System (Härtung),
- Verschlüsselung (..),
- (..)”
-
PCI DSS 4.0
Auch Organisationen und Unternehmen, die nicht in den genannten Sektoren tätig sind, haben den Geldtransfer abzusichern – dafür sorgt PCI DSS 4.0. Der neue Payment Card Industry Data Security Standard (PCI DSS) wurde im März 2022 veröffentlicht und gilt offiziell ab 31. März 2024.
Spätestens ab dann müssen Händler und Firmen, die mit den Daten von Kreditkarten-Besitzern zu tun haben, strengere Cybersecurity-Maßnahmen umsetzen. Das Thema “Härtung” wird direkt in Kapitel 2 gelistet und betrachtet neben der technischen Absicherung auch das Thema Prozesse.
Im Screenshot werden die konkreteren Anforderungen klar:
B3S
Im branchenspezifischen Sicherheitsstandard (kurz: B3S) für den Bereich Medizinische Versorgung, der im Dezember 2022 veröffentlicht wurde, hat das Thema Systemhärtung als echte präventive Schutzmaßnahme ebenfalls Einzug erhalten. Im Kapitel “Technische Informationssicherheit” ist “Härtung und sichere Basiskonfiguration” priorisiert gelistet.
Interessant finden wir hier die Detailtiefe: Es wird nicht nur eine einmalige Systemhärtung verlangt, sondern eine prozessuale Integration mit einer Überwachung. Dies wird beispielsweise in den folgenden Anforderungen deutlich:
-
-
- ANF-0105: “Systeme und Anwendungen müssen Vorgaben zur sicheren Basiskonfiguration […] enthalten”
- ANF-0106: Es muss “eine regelmäßige Analyse und ggfs. Anpassung” durchgeführt werden.
-
Auch hier wird klar: Präventive Maßnahmen wie System Hardening werden auch im medizinischen Bereich als eine essentielle Ergänzung zu den nachgelagerten Detektions- und Reaktionsfähigkeiten deklariert.
VDA TISAX
Auch der VDA (Verband der Automobilindustrie) hat verinnertlicht, dass der Austausch sensibler Daten hinreichend sicher auf dem Stand der Technik erfolgen muss. Deshalb wurde 2017 die Branchen-Norm TISAX (Trusted Information Security Assessment Exchange) für die Automobil-Branche entwickelt und seitdem ständig verbessert bzw. verschärft.
Diverse Elemente von TISAX basieren auf der ISO 27001. Somit wird auch hier die sichere Konfiguration von IT-Systemen bei Automobilherstellern und deren Zulieferern eine immer wichtigere Rolle einnehmen.
Risiken transferieren: Cybersecurity-Versicherungen als Lösung?
Um sich gegen die entstehenden Schäden von Hacker- und Malware-Angriffen abzusichern, gibt es für Unternehmen sogenannte Cybersecurity-Versicherungen. Doch die Versicherungsgesellschaften setzen immer strengere Kriterien an. Und das sowohl bei der Aufnahme als auch bei der Abwicklung der Schadensleistungen.
Verständlich: Die Cyber-Attacken nehmen massiv zu und lassen die Kosten explodieren. Und bei vielen Unternehmen ist aufgrund fehlender Basis-Maßnahmen in der Informationssicherheit eine belastbare Risikokalkulation gar nicht möglich.
Damit Ihr Unternehmen eine Cybersecurity-Versicherungen abschließen oder im Schadensfall tatsächlich mit Auszahlungen rechnen kann, muss es mittlerweile hohe Anforderungen erfüllen. So fragen die Versicherungsgesellschaften beispielsweise ab, wie Sie Ihre Systeme absichern, um die Angriffsflächen deutlich zu reduzieren. Können Sie hier keine Maßnahmen wie eine Systemhärtung vorweisen, wird die Prämienkalkulation für die Versicherung ggfs. nicht möglich oder für Unternehmen ggfs. sehr teuer.
Unternehmen welcher Größe müssen nun handeln?
Die einfache Antwort: Alle! Denn Konzerne wie auch Start-ups stehen im Kreuzfeuer der “Cyber-Gangster”. Deshalb haben alle gleichermaßen Maßnahmen für bessere Informationssicherheit und Datenschutz umzusetzen. Die Systemhärtung stellt dabei aus unserer Sicht die wichtigste Basiskomponente dar. Denn nur hier werden technische Angriffsvektoren tatsächlich geschlossen!
Wie selbst kleine Unternehmen Schritt für Schritt eine Hardening-Strategie realisieren können, erfahren Sie in dieser Podcast-Folge:
Was passiert, wenn Ihr Unternehmen keine Maßnahmen umsetzt?
Ohne Systemhärtung und andere IT-Security-Maßnahmen ist Ihr Unternehmen ein leichtes Opfer. Dabei stellt sich nicht Frage, ob Ihr Unternehmen von Cyber-Kriminellen attackiert wird, sondern wann. Und anschließend gilt es zu klären, wie schwerwiegend die Angriffe und ihre Folgen sind.
Deshalb sollten Sie dafür sorgen, dass es Hacker und andere “Cyber-Gangster” möglichst schwer haben, Ihre IT-Systeme zu kompromittieren!
Machen Sie es den Angreifern leicht, indem Sie nur weniger oder unpassende Sicherheitsmaßnahmen ergreifen, wird Ihr Unternehmen ein Opfer von vielen. Die Folge: Die “Cyber-Kriminellen” stehlen heikle (Kunden-) Daten, sperren Systeme oder schalten sie ganz ab. Auf den finanziellen Schaden folgt in der Regel ein Image-Schaden.
Beides darf kein Entscheidungsgremium – sei es Geschäftsführung oder Vorstand – hinnehmen. Ansonsten werden schlimmstenfalls das Überleben des Unternehmens riskiert und persönliche Haftungsrisiken in Kauf genommen.
Bringt Systemhärtung wirklich etwas?
Oh ja! Das haben wir schon mehrfach bewiesen – und das auf verschiedenen Ebenen. Zum Beispiel unterbindet eine Windows-Härtung das Ausspionieren von Telemetrie-Daten, auch Schwachstellen-Scans mit Vulnerability-Scannern bestehen gehärtete Systemen mit Bravour.
Ebenso unterbindet die Systemenhärtung das missbräuchliche Ausnutzen der “SeDebugPrivileges” mit Hacking-Tools wie DefenderSwitch bzw. DefenderStop sowie den Einsatz von Mimikatz.
Hier ein Videobeweis unserer Kollegen von TEAL Technology:
Wie lässt sich eine Systemhärtung umsetzen?
Dafür empfiehlt sich ein mehrstufiges Vorgehen. Zu Beginn sollten Sie eine IST-Aufnahme durchführen. Sprich: Wie sicher sind Ihre IT-Systeme aktuell konfiguriert?
Dieser Check lässt sich einfach mit dem AuditTAP bewerkstelligen. Als Ergebnis erhalten Sie einen ausführlichen Report, der auch einen Risk Score beinhalten kann.
Der Risk Scores zeigt, wie gut oder auch nicht Ihre Systeme gehärtet sind. Doch blicken Sie nicht nur auf das Schaubild, sondern ziehen Sie die richtigen Schlussfolgerungen aus dem Compliance-Bericht!
Im nächsten Schritt sollten Sie festlegen, wie und in welchem Umfang Sie Ihre Systeme härten möchten. Ein 100%-ige Absicherung gibt es nicht und macht auch keinen Sinn – ansonsten werden eventuell wichtige Anwendungen unbenutzbar.
Danach gilt es, eine individuelle Konfiguration zusammenzustellen oder eine Hardening-Vorlage zu nutzen. Orientieren Sie sich dabei an den Empfehlungen von Cybersecurity-Behörden, beispielsweise an den BSI-Tipps zur Windows-10-Härtung. Rollen Sie die Hardening-Konfiguration auf alle Ihre Systeme aus – am besten automatisiert über ein Tool wie den Enforce Administrator.
Damit ist es nicht getan: Überwachen Sie permanent Ihre Systeme, ob es zufällig oder ggfs. ungewollt durch Dritte / Angreifer zu Fehlkonfigurationen kommt. Und passen Sie Ihre Härtungseinstellungen den wechselnden internen und externen Anforderungen wie auch der aktuellen Bedrohungslage an.
Fazit
Investieren Sie Ihr IT-Budget nicht nur in die Symptom-Erkennung und in die Reaktion, sondern ebenso in die grundlegende Absicherung Ihrer IT-Systeme. Denn Systemhärtung ist kein “Nice to Have”, sondern ein “Must Have”! Je weniger Lücken und Angriffsflächen die durch Sie betriebenen IT-Systeme bieten, desto geringer die Chance, dass Angreifer in Ihre Systeme eindringen und Schäden anrichten können.
Machen Sie – falls Sie es nicht eh schon vorhatten – 2023 zu dem Jahr, in dem Sie Ihre IT-Sicherheit auf ein neues, wichtiges Level heben!
Können wir Ihnen helfen?
Möchten Sie wissen, wie Sie eine (automatisierte) Systemhärtung professionell realisieren und in Ihrem Unternehmen implementieren können? Sprechen Sie uns an – unsere Experten für Systemhärtung sind gerne für Sie da!
Bilder: Freepik, TÜV Rheinland, IT Support Guys, FB Pro