Es gibt immer mehr und immer strengere Vorgaben an Unternehmen und Organisationen, die eine sichere Konfiguration bzw. eine Systemhärtung erfordern. Welche das sind, erfahren Sie hier.
Von NIS 2 und DORA über B3S bis zu TISAX und BSI TR-03184
Die Abkürzungen klingen wie aus dem Song “MfG” der Fantastischen Vier. Doch dahinter verbergen sich viele wichtige weltweit Branchenstandards und EU-Vorgaben. Diese sollten Unternehmen auf keinen Fall ignorieren oder auf die leichte Schulter nehmen!
Denn: Im Netz tobt der so genannte “Cyber War”, in dem kleine wie große Unternehmen von “Script Kiddies” ebenso angegriffen werden wie von professionellen Hackern. Sicherlich stehen auch die Systeme Ihrer Organisation “unter Beschuss”.
Um die IT-Systeme europäischer und deutscher Unternehmen und Betreiber Kritischer Infrastrukturen deutlich widerstandsfähiger gegen Cyber-Angriffe zu machen, wurden in den letzten Jahren zahlreiche Vorschriften erlassen – und weitere werden folgen.
In den folgenden Abschnitten beleuchten wir einige Verordnungen, Gesetze, Normen und Richtlinien, die eine sichere Konfiguration (Fachbegriff: Secure Configuration) bzw. Systemhärtung (engl. System Hardening) empfehlen oder sogar direkt fordern.
ISO 27001
Die international etablierte Norm für Informationssicherheit wurde deutlich überarbeitet. Seit Ende Oktober 2022 liegt die endgültige Fassung der ISO 27001 vor, die sogenannte ISO 27001:2022.
Die Norm legt fest, wie Unternehmen ein Information Security Management System (ISMS) aufbauen sollen. Damit verbunden sind Anforderungen an das “Security Configuration Management”, also die sichere Konfiguration von IT-Systemen (sprich: Systemhärtung). Im Control “Configuration Management” werden Anforderungen an eine sichere Konfiguration in mehreren Dimensionen gestellt.
Folgend ein vereinfachter Überblick:
-
- “Templates” sind zu verwenden. Damit entfallen selbst entwickelte Härtungskonfigurationen.
- Prozessuale Anforderungen: Es ist ein strukturierter Prozess für die Implementierung und Überwachung anzusetzen.
- Ein “Monitoring” der Konfiguration wird ebenfalls verlangt, Änderungen und Abweichungen (“Anomalien“) sind zu erkennen.
Und ganz wichtig: Die Umsetzung der ISO 27001 ist kein singuläres Ereignis! Sie haben Ihre Maßnahmen und Umsetzungen fortwährend anzupassen und kontinuierlich zu verbessern. Wie der Prozess abläuft, zeigt dieses Schaubild des TÜV Rheinland:
➡ Weitere Informationen finden Sie in unserem Beitrag “Configuration Management gemäß ISO 27001:2022 – So vermeiden Sie eine Abweichung”
NIS 2
Ab 2025 ist diese europaweite Cybersecurity-Direktive äußerst wichtig: NIS 2. Die überarbeitete “Network and Information Security”-Richtlinie wird aktuell noch in nationales Recht überführt. Danach entfaltet sie ihre Gültigkeit und gilt dann für Unternehmen ab 50 Mitarbeitern oder mindestens 10 Millionen Euro Umsatz. Alleine rund 30.000 deutsche Unternehmen sind davon betroffen, da sie als “besonders wichtige Einrichtung” (bwE) oder zumindest als “wichtige Einrichtungen” (wE) gelten.
Die wE und bwE haben dann deutlich strengere Anforderungen an die IT-Sicherheit zu erfüllen. Dazu gehören:
-
- regelmäßige Risikoanalysen und ein professionelles Risikomanagement
- das Einhalten von Meldepflichten bei Cyber-Attacken
- eine Gewährleistung der Lieferketten-Sicherheit
- technische Maßnahmen wie ein Configuration Management.
Interessant: Das “NIS Fact Sheet” des österreichischen Bundeskanzleramtes listet zahlreiche Maßnahmen auf. Dabei fällt auf, dass mehrfach eine Secure Configuration empfohlen wird:
“Kapitel 3.1. Systemkonfiguration
Netz- und Informationssysteme sind sicher zu konfigurieren. Diese Konfiguration ist strukturiert zu dokumentieren. Die Dokumentation ist aktuell zu halten.”
Und im Kapitel 4.2, “Systeme und Anwendungen zur Systemadministration”, steht:
“Hard- und Software, die für administrative Tätigkeiten verwendet werden, werden vom Betreiber oder gegebenenfalls vom Dienstleister, den der Betreiber zur Durchführung von administrativen Tätigkeiten autorisiert hat, verwaltet und sicher konfiguriert.”
Bei Nichteinhaltung der NIS-2-Vorgaben drohen hohe Strafen, unter Umständen in Millionenhöhe. Somit ist fachgerechtes Handeln gut für Ihren Firmengeldbeutel und für die Verbesserung Ihrer Informationssicherheit.
BSI-Grundschutz
Der BSI-Grundschutz, auch IT-Grundschutz genannt, ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Konzept zur Gewährleistung der Informationssicherheit in Unternehmen, Behörden und anderen Organisationen.
Der IT-Grundschutz bietet eine systematische Vorgehensweise zur Umsetzung der notwendigen Sicherheitsmaßnahmen. Das BSI hat hierzu eine Zuordnungstabelle veröffentlicht, die die Maßnahmen der ISO 27001 auf den Grundschutz abbildet. Unter dem Punkt “A.8.9. / Konfigurationsmanagement” wird eindeutig eine Systemhärtung empfohlen.
BSI-Mindeststandard
Das IT-Grundschutz-Kompendium ist die zentrale Publikation des IT-Grundschutzes. Gemeinsam mit den BSI-Standards bildet es die Grundlage für alle, die sich intensiv mit dem Thema Informationssicherheit und Datenschutz auseinandersetzen möchten oder müssen. Im Mittelpunkt des Kompendiums stehen die sogenannten IT-Grundschutz-Bausteine.
Zu den Bausteinen gehören OPS.1.1.5 (Protokollierung) und DER.1 (Detektion von sicherheitsrelevanten Ereignissen). Sie sind die Basis für den “Mindeststandard zur Protokollierung und Detektion von Cyberangriffen” des BSI, welcher im November 2024 aktualisiert wurde.
Die Vorgaben richten sich vorrangig an Bundesbehörden und Organisationen, die IT-Dienstleistungen für den Bund bereitstellen. Jedoch sind sie auch für Unternehmen äußerst hilfreich, da sie die Mechanismen zur Anomalie-Erkennung verbessern.
In dem BSI-Mindeststandard steht unter anderem unter PD.2.2.03 (“Umsetzungphase der Protokollierung”):
“Der Zugriff auf die Protokollierungsinfrastruktur sowie auf die Protokoll- und Protokollierungsdaten MUSS restriktiv konfiguriert und überwacht werden.”
BAIT, VAIT, KAIT & ZAIT
Die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) hat in den letzten Jahren mehrere Anforderungen herausgegeben. Dazu zählen:
-
- VAIT (Versicherungsaufsichtliche Anforderungen an die IT)
- BAIT (Bankaufsichtliche Anforderungen an die IT)
- KAIT (Kapitalverwaltungsaufsichtliche Anforderungen an die IT)
- ZAIT (Zahlungsdiensteaufsichtliche Anforderungen an die IT)
Mit den neuen Fassungen von BAIT, VAIT, KAIT und ZAIT müssen Banken, Versicherungen, Investmentgesellschaften und Kapitalverwaltungsaufsichten mehr Auflagen als je zuvor in Sachen IT-Security erfüllen. Ganz konkret wird das Thema “Systemhärtung” genannt, beispielsweise im Bereich “Operative Informationssicherheit” (VAIT, Kapitel 5.2).
Hier steht unter anderem dieser Satz:
“Das Unternehmen hat auf Basis der Informationssicherheitsleitlinie und Informationssicherheitsrichtlinien angemessene, dem Stand der
Technik entsprechende, operative Informationssicherheitsmaßnahmen und Prozesse zu implementieren.”
Und weiter heißt es:
“Informationssicherheitsmaßnahmen und -prozesse berücksichtigen u.a.:
- Schwachstellenmanagement (..)
- Segmentierung und Kontroll des Netzwerks (..)
- sichere Konfiguration von IT-System (Härtung)
-
-
-
Verschlüsselung (..)”
-
-
DORA
Während BAIT, VAIT, ZAIT und KAIT nur für Unternehmen gelten, die unter der Aufsicht der BaFin sind, wurde DORA für alle Finanzunternehmen wie Banken, Versicherer und Investmentgesellschaften im europäischen Raum geschaffen.
Der Digital Operational Resilience Act (kurz: DORA) ist eine Initiative der Europäischen Union, die darauf abzielt, die Resilienz und Sicherheit digitaler Operationen im Finanzsektor zu stärken. Der Fokus liegt dabei auf der Verbesserung der IT-Security-Maßnahmen.
Im Rahmen von DORA sind Finanzinstitutionen dazu angehalten, ihre IT-Infrastrukturen gegen potentielle Cyberbedrohungen und Betriebsausfälle abzusichern. Ein wesentlicher Aspekt ist die Realisierung von Maßnahmen, die darauf abzielen, die Robustheit der IT-Systeme zu verbessern – das Härten der Systemlandschaft ist dafür ein Grundpfeiler.
Finanzunternehmen sollten DORA nicht auf die leichte Schulter nehmen! Die BaFin schreibt dazu:
“(..) für den Bereich der operativen Informationssicherheit in DORA ist insgesamt festzustellen, dass der Detaillierungsgrad der Anforderungen deutlich höher ausfällt als bisher in Kapitel 5 BAIT/VAIT beschrieben. Der Grad der Detaillierung entspricht eher den Erläuterungen der BAIT/VAIT als Mindestanforderungen (..)”
Für Systemhärtung wird ganz klar festgelegt, dass “(..) Härtungsmaßnahmen ergriffen und diese regelmäßig kontrolliert werden (..)”
PCI DSS 4.0
Organisationen und Unternehmen, die nicht in den gerade genannten Sektoren (zum Beispiel Banken und Finanzdienstleister) tätig sind, haben trotzdem ihren Geldtransfer abzusichern – dafür sorgt PCI DSS 4.0.
Die vierte Fassung des Payment Card Industry Data Security Standards wurde im März 2022 veröffentlicht und gilt offiziell ab dem 31. März 2024. Spätestens seitdem müssen alle Unternehmen, die Zahlungskarten-Daten verarbeiten, speichern oder übertragen (beispielsweise Payment Service Provider), strengere Cybersecurity-Maßnahmen umsetzen.
Das Thema “Härtung” wird direkt in Kapitel 2 genannt und betrachtet neben der technischen Absicherung auch die Prozesse.
Die Einhaltung von PCI DSS 4.0 ist zwar gesetzlich nicht verpflichtend, jedoch vertraglich von den Kreditkartenanbietern wie Visa, Mastercard und American Express vorgeschrieben. Bei Verstößen drohen Konsequenzen wie hohe Vertragsstrafen, die Kündigung von Geschäftsvereinbarungen oder die Sperrung der Zahlungsabwicklung durch die Kreditkartenanbieter.
B3S
Im Branchenspezifischen Sicherheitsstandard (kurz: B3S) für den Bereich “Medizinische Versorgung” hat das Thema Systemhärtung als echte präventive Schutzmaßnahme ebenfalls Einzug gehalten.
Im Kapitel “Technische Informationssicherheit” der letzten Version (Stand: Dezember 2022) ist “Härtung und sichere Basiskonfiguration” als prioritäre Maßnahme aufgeführt. Kein Wunder: B3S basiert auf den Vorgaben des BSI-Grundschutzes und den Anforderungen der ISO 27001.
Interessant finden wir die Detailtiefe: Der Branchenspezifische Sicherheitsstandard verlangt nicht nur eine einmalige Systemhärtung, sondern eine prozessuale Integration mit einer Überwachung. Dies wird in den folgenden Anforderungen deutlich:
-
- ANF-0105: “Systeme und Anwendungen müssen Vorgaben zur sicheren Basiskonfiguration […] enthalten”
- ANF-0106: Es muss “eine regelmäßige Analyse und ggfs. Anpassung” durchgeführt werden.
Damit zeigt sich: Präventive Maßnahmen wie eine sichere Konfiguration werden im medizinischen Bereich als eine essentielle Ergänzung zu den nachgelagerten Detektions- und Reaktionsfähigkeiten deklariert. Die Umsetzungen werden regelmäßig überprüft. Die Deutsche Krankenhaus-Gesellschaft dazu:
“Diese Prüfungen müssen von Krankenhäusern, welche den Schwellenwert der BSI-KritisVO zur Definition kritischer Infrastrukturen erreichen oder überschreiten, spätestens alle zwei Jahre durchgeführt werden“
VDA TISAX
Der Verband der Automobilindustrie (VDA) weist darauf hin, dass der Austausch sensibler Daten nach dem Stand der Technik hinreichend sicher erfolgen muss. Deshalb wurde 2017 der Branchenstandard TISAX (Trusted Information Security Assessment Exchange) für die Automobilindustrie entwickelt, welcher auf den VDA Information Security Assessments (ISA) beruht.
Verschiedene Elemente von VDA-ISA bzw. TISAX basieren auf der ISO 27001. Die sichere Konfiguration von IT-Systemen spielt also auch bei Automobilherstellern und ihren Zulieferern eine immer größere Rolle.
Seit seiner Veröffentlichung wird TISAX fortwährend angepasst. So gilt ab April 2024 der VDA-ISA Katalog 6.0, in dem – wie schon im VDA-ISA-Katalog 5.1 – die Systemhärtung mehrfach erwähnt wird. Der Automobilverband unterstreicht auf seiner Website, warum es für Unternehmen, die an der Wertschöpfungskette der Automobilindustrie beteiligt sind, so wichtig ist, VDA ISA und TISAX zu erfüllen:
“Die beiden Standards bilden in der Branche auch eine wesentliche Grundlage zur Erfüllung von gesetzlichen Regulierungen nach NIS 2-Regulierung der Europäischen Union sowie weiterer EU-Richtlinien und deren nationalen Umsetzungen in den EU-Mitgliedsstaaten.
WLA-SCS
Das Security and Risk Management Committee der World Lottery Association hat einen eigenen Sicherheitsstandard entwickelt: den WLA-SCS (World Lottery Association Security Control Standard). Dieser gilt speziell für die Lotterie- und Sportwetten-Branche.
Der Standard enthält eine Reihe von Anforderungen und Best Practices, die darauf abzielen, die Integrität, Vertraulichkeit und Verfügbarkeit von Lotterie- und Sportwetten-Systemen zu gewährleisten. Da der WLA-SCS:2024 auf den Vorgaben der ISO 27001:2022 basiert, müssen die IT-Security-Verantwortlichen unter anderem eine professionelle Systemhärtung (“Lottery Hardening“) implementieren.
WLA-Mitglieder, die den Branchenstandard für IT-Sicherheit umsetzen, sollten sich jährlich zertifizieren lassen. Viele staatliche Lotteriegesellschaften und Partner verlangen einen Nachweis, dass der WLA-SCS eingehalten wird. Eine fehlende Zertifizierung kann zu einem Ausschluss von wichtigen Ausschreibungen und Kooperationen führen.
DS-GVO
Die europäische Datenschutz-Grundverordnung (DS-GVO) bzw. General Data Protection Regulation (GDPR) wurde 2016 verabschiedet und gilt seit Mai 2018 verbindlich in allen Mitgliedsstaaten der Europäischen Union.
In der DS-GVO wird gefordert, dass Unternehmen dazu verpflichtet sind, Kundendaten vor Missbrauch zu schützen, zum Beispiel durch eine Absicherung der IT-Systeme. Um dieses Ziel zu erreichen, gehört bei den IT-Sicherheitsmaßnahmen eine Systemhärtung respektive eine sichere Systemkonfiguration ganz klar dazu.
Ergänzend ist die in der DS-GVO verbindlich geforderte Provider-Kontrollpflicht zu erwähnen. Das bedeutet: Als verantwortliche Stelle ist jedes Unternehmen in der Pflicht, die Arbeit eingesetzter Service-Provider aus Informationssicherheits- und Datenschutz-Sicht nachweisbar zu überprüfen und die Nachweise zu dokumentieren.
Gut zu wissen: Der Schutz der Daten wie auch ein Hardening-Check der Dienstleister lässt sich einfach und automatisiert mit professionellen Hardening-Tools bewerkstelligen.
Weitere Regularien
In Deutschland wie auch im Rest der Welt gibt es noch zahlreiche weitere Richtlinien, Standards und Gesetze, in denen eine sichere Konfiguration bzw. Systemhärtung empfohlen oder sogar vorgeschrieben werden. Dazu zählen:
BSI TR-03184
Das Bundesamt für Sicherheit in der Informationstechnik arbeitet seit einiger Zeit an speziellen Sicherheitsrichtlinien für die Raumfahrt, denn der Spacetech-Markt wächst. So erschien im Mai 2023 die Technische Richtlinie BSI TR-03184 Informationssicherheit für Weltraumsysteme.
In dieser “Weltraum-Richtlinie” werden unterschiedliche Anforderungen definiert – dabei spielt die Secure Configuration eine wichtige Rolle.
SOC 2
SOC 2 (System and Organization Controls 2) ist ein Compliance-Standard zur Bewertung der Sicherheits-, Verfügbarkeits-, Integritäts-, Vertraulichkeits- und Datenschutzpraktiken von Unternehmen.
Die sogenannten “Trust Service Criteria” wurden vom American Institute of Certified Public Accountants (AICPA) entwickelt und sind besonders wichtig für Unternehmen, die Daten von Kunden speichern, verarbeiten oder verwalten.
➡ Wie man eine SOC 2 Zertifizierung mit einem Hardening-Tool erreichen kann, erfahren Sie in unserer ESRB Success Story.
SEWD-Richtlinie IT SKIIII
In Deutschland gehört die Stromerzeugung aus Kernenergie der Vergangenheit an. Dennoch gibt es zahlreiche Einrichtungen, die mit radioaktiven Stoffen und Endprodukten umgehen. Diese gelten als Kritische Infrastrukturen (KRITIS) und müssen daher besonders geschützt werden.
Wie, das erklärt unter anderem die “Richtlinie für den Schutz von IT-Systemen in kerntechnischen Anlagen und bei Tätigkeiten der Sicherheitskategorie III sowie der umsichtigen Betriebsführung gegen Störmaßnahmen oder sonstige Einwirkungen Dritter“, auch bekannt als SEWD-Richtlinie IT SKIII. Darin wird die Härtung von IT-Systemen explizit erwähnt.
___________________
Weshalb ist die Systemhärtung so wichtig?
Das BSI veröffentlichte Ende 2014 die aktuelle Fassung seines jährlichen Berichts “Die Lage der IT-Sicherheit in Deutschland”. In der Zusammenfassung heißt es:
“Die Angriffsflächen vergrößerten sich mit der weiter fortschreitenden Digitalisierung: Komplexe und verwundbare Systeme werden mehr. Erneut wuchs auch die Anzahl täglich bekannt gewordener Schwachstellen im Vergleich zum Vorjahr.”
Das oberste Ziel einer Systemhärtung ist es, zur tatsächlichen Reduzierung der Angriffsfläche beizutragen. Sinnbildlich werden alle Türen und Fenster eines Hauses geschlossen, um Einbrechern das Eindringen zu erschweren.
Noch einmal zur Verdeutlichung: Während nahezu alle derzeit angesagten Cybersecurity-Maßnahmen die Erkennung (“Detection”) und und/oder adäquate Reaktion (“Response”) unterstützen, schließt eine professionelles Härtung vorhandene Schwachstellen und Sicherheitslücken. System Hardening ist damit eine wesentliche Maßnahme im Bereich “Protection”.
Die folgende Abbildung zeigt, wie die gängigsten IT-Sicherheitsmaßnahmen in das NIST Cyber Security Framework eingeordnet werden können:
👉 Dementsprechend sollten Sie spätestens jetzt die Härtung Ihrer Systeme in Ihre Cybersecurity-Strategie aufnehmen und konsequent implementieren.
Unternehmen welcher Größe müssen nun handeln?
Die einfache Antwort: Alle! Denn Großkonzerne wie auch kleine Start-ups stehen im Kreuzfeuer der Angreifer. Diese arbeiten zunehmend professioneller. Hierzu das BSI in seinem Lagebericht:
“Bahnbrechende technische Entwicklungen spielen bösartigen Akteuren im digitalen Raum in die Karten. Cyberkriminelle professionalisieren ihre Arbeitsweise. Sie sind technisch auf dem neusten Stand und agieren aggressiv. “
Heutzutage stellt sich somit nicht mehr die Frage, ob ein Unternehmen von Cyber-Kriminellen angegriffen wird, sondern wann! Ohne Systemhärtung und andere IT-Security-Maßnahmen ist Ihr Unternehmen ein leichtes Opfer.
Deshalb sollten Sie es Hackern und anderen “Cyber-Gangstern” so schwer wie möglich machen, in Ihre IT-Systeme einzudringen und Schaden anzurichten. Ist die Hürde für einen Angreifer, Ihr System zu kompromittieren, hoch, wird er möglicherweise aufgeben, da das Verhältnis zwischen Aufwand und Ertrag ungünstig ausfällt.
Machen Sie es dagegen den Hackern zu leicht, schlagen diese gnadenlos zu: Bei Ihnen werden (Kunden-)Daten und Geschäftsgeheimnisse gestohlen, wichtige Systeme blockiert, außer Betrieb gesetzt oder schwer beschädigt. Dem finanziellen Schaden folgt meist ein Imageschaden – oder im schlimmsten Fall die Insolvenz.
Wie lässt sich eine Systemhärtung umsetzen?
Dafür empfiehlt sich ein mehrstufiges Vorgehen. Das kann so aussehen:
Schritt 1: Analyse
Zu Beginn sollten Sie eine Ist-Aufnahme durchführen. Sprich: Wie sicher sind Ihre IT-Systeme aktuell konfiguriert? Dieser Check lässt sich einfach mit dem AuditTAP bewerkstelligen. Als Ergebnis erhalten Sie einen ausführlichen Report, der auch einen Risk Score beinhaltet.
Der Risk Scores zeigt, wie gut oder auch nicht Ihre Systeme gehärtet sind. Doch blicken Sie nicht nur auf das Schaubild, sondern ziehen Sie die richtigen Schlussfolgerungen aus dem Compliance-Bericht!
Schritt 2: Konzeption
Im nächsten Schritt sollten Sie festlegen, wie und in welchem Umfang Sie Ihre Systeme härten möchten. So können Sie zwischen diesen gängigen Vorgehensweisen wählen:
-
- Layered Hardening
- Rapid Hardening
- Lifecycle Hardening
➡ Mehr darüber erfahren Sie in unserem Beitrag “Layered Hardening, Rapid Hardening & Lifecycle Hardening: Welche Methode ist am besten?”
Schritt 3: Umsetzung
Danach gilt es, eine individuelle Konfiguration zusammenzustellen oder eine Hardening-Vorlage zu nutzen. Orientieren Sie sich dabei an den Empfehlungen von Cybersecurity-Behörden, beispielsweise an den BSI-Tipps zur Windows-10-Härtung.
Rollen Sie die Hardening-Konfiguration auf alle Ihre Systeme aus – am besten automatisiert über ein Tool wie den Enforce Administrator. Damit können Sie zentral und ohne den Einsatz von selbst entwickelten Gruppenrichtlinien eine nachhaltige Härtung gemäß den höchsten Standards erreichen.
Schritt 4: Optimierung
Mit dem Ausrollen der Härtung ist Ihre Arbeit noch nicht getan! Überwachen Sie Ihre Systeme von nun an permanent auf versehentliche oder unbeabsichtigte Fehlkonfigurationen durch Dritte oder Angreifer. Ganz automatisiert gelingt Ihnen das mit dem Enforce Administrator.
In diesem kurzen Video erfahren Sie, wie man ein Hardening-Projekt umsetzen kann und welche Erfolge damit erzielt werden:
Warum ist der Enforce Administrator eine sehr gute Lösung?
Warum schlägt das in Europa einzigartige Hardening-Tool die Härtung über GPOs bzw. Gruppenrichtlinien? Die Antworten erhalten Sie in dieser Gegenüberstellung:
Funktionen / Features | Group Policy Objects | Enforce Administrator |
Möglichkeit zum Setzen eines innovativen, firmenweiten Standards | Ja | Ja |
Einfache, rollenbasierte Verwaltung diverser Hardening-Konfigurationen | Nein | Ja |
Automatische Korrektur non-konformer Einstellungen | Ja | Ja |
Detektion non-konformer Einstellungen | Nein | Ja |
Automation über REST-API und Integration in Drittsysteme | Nein | Ja |
Einfaches Web-Interface zur Konfiguration | Nein | Ja |
Verschmelzung mehrerer Hardening-Empfehlungen zu einer Konfiguration | Nein | Ja |
Risiko-Minimierung durch Vermeidung permanenter (lokaler) Admin-Rechte | Nein | Ja |
Dauerhaftes Monitoring und Alarmierungsfunktion | Nein | Ja |
Einfache Erstellung von Reports, bspw. für Compliance- und DSGVO-Audits | Nein | Ja |
Einstieg und Time to Result | Hoch | Gering |
Restore alter Konfigurationen | Hoher Aufwand | Geringer Aufwand |
Fazit
Investieren Sie Ihr IT-Budget nicht nur in die Symptom-Erkennung und in die Reaktion, sondern ebenso in die grundlegende Absicherung Ihrer IT-Systeme. Systemhärtung ist kein “Nice to Have”, sondern ein “Must Have”!
Diese Tatsache unterstreichen zahlreiche Gesetze, Regularien und Normen. Unternehmen und Organisationen fast jeder Größe müssen sich mittlerweile mit den Vorgaben und Empfehlungen auseinandersetzen – und meist auch zeitnah umsetzen.
👉 Machen Sie also 2025 zu dem Jahr, in dem Sie Ihre Cybersicherheit auf ein neues, entscheidendes Niveau heben! Wichtige praktische Tipps dazu erhalten Sie zum Beispiel in unseren Webinaren und Workshops. Zudem unterstützen unsere Hardening-Experten Sie gerne bei der Konzeption und Implementierung einer effektiven Systemhärtung.
Bilder: Freepik, TÜV, BSI,
IT Support Guys, FB Pro