Viele glauben zu wissen, was genau Systemhärtung bedeutet und was hier (nicht) zu tun sei. Oft beruhen diese Vorstellungen jedoch auf Halbwahrheiten oder Missverständnissen. Dieser Beitrag räumt mit den größten Mythen rund um das Thema auf und zeigt, warum System Hardening mehr ist, als man manchmal glaubt.
1. Mythos: “Microsoft hat mein Windows sicher ausgeliefert”
Nein! Die Microsoft-Betriebssysteme sind “ab Werk” so konfiguriert, dass sie von möglichst vielen Usern problemlos genutzt werden können. Deshalb gibt es zahlreiche Komfortfunktionen und im Hintergrund laufen allerlei Dienste, die eigentlich überflüssig sind.
Jede Funktion, jede Anwendung und jeder Dienst stellt eine potentielle Angriffsfläche für Hacker dar. Deshalb sollten sie über eine sichere Konfiguration bzw. Systemhärtung reduziert werden.
2. Mythos: “Linux-Systeme sind absolut sicher, da braucht’s keine Härtung”
Linux mag sicherer konzipiert sein als viele andere Betriebssysteme. Aber auch hier gibt es Schwachstellen durch Fehlkonfigurationen oder veraltete und unsichere Applikationen. Somit muss besonders im Geschäftsumfeld ein sogenanntes Linux Hardening durchgeführt werden, welches die jeweilige Distribution und ihre Anpassungen individuell härtet.
3. Mythos: “Unsere Mitarbeiter sind vorsichtig und geschult”
Menschliches Verhalten ist unberechenbar. Und im stressigen Arbeitsalltag schleichen sich schnell Flüchtigkeitsfehler ein. Da wird dann doch einfach auf einen E-Mail-Anhang geklickt oder ein fremder USB geöffnet. Eine Systemhärtung sorgt dafür, dass viele Angriffe ins Leere laufen. So kann der Faktor Mensch bestens ausgeglichen werden.
Zudem denken wir: Ein Buchhalter sollte sich zum Beispiel keine Gedanken über Informationssicherheit machen – das ist nicht sein Job. Er muss darauf vertrauen können, dass sein System von Profis richtig abgesichert wurde.
4. Mythos: “Wir brauchen keine Härtung – wir arbeiten in der Cloud”
Diese Denkweise ist leider falsch. Zum einen arbeitet keiner zu 100 Prozent in der Cloud! Es gibt in jedem Unternehmen zahlreiche Applikationen, die auf einem Rechner oder Server laufen. Zum anderen sorgen Cloud-Anbieter zwar für den sicheren Betrieb, aber sie sind nicht für die sichere Konfiguration der “Inhalte” zuständig. Diese Verantwortung liegt beim jeweiligen Kunden.
Das bedeutet: Wenn Sie eine externe Cloud-Lösung nutzen (IaaS, PaaS etc.), müssen Sie diese selbst härten! Denn nur, wenn Sie sinnbildlich Ihr Haus abschließen, können keine Einbrecher eindringen!
5. Mythos: “Systemhärtung ist doch einfach nur ein Firewall-Setup”
Eine Firewall ist ein wichtiger Teil der Sicherheitsarchitektur. Sie blockiert unnötige Ports und filtert schädliche Netzwerkpakete heraus. Trotzdem schützt eine Firewall nicht vor Schwachstellen im Betriebssystem oder in “löchrigen” Anwendungen.
Dennoch ist eine Firewall ein sinnvoller Baustein im Cybersecurity-Gesamtkonzept. Denn sie verkleinert die durch die Systemhärtung reduzierten Angriffsflächen noch etwas.
6. Mythos: “Antivirenprogramme übernehmen die Systemhärtung”
Während Systemhärtung beim NIST Cyber Security Framwork als präventive Schutzmaßnahme gilt (“Protection”), ist ein Antivirenprogramm “nur” eine Lösung zur Erkennung von Angriffen (Detektion).
Und: Ein Antivirenprogramm erkennt nur bekannte Malware-Muster und bietet somit keinen Schutz vor Zero-Day-Exploits. Auch gegen polymorphe Malware sind viele Suiten machtlos.
7. Mythos: “Wir haben doch ein XDR-System im Einsatz”
MDR- und XDR-Systeme erkennen zwar sehr gut verschiedenartige Bedrohungen, sie können aber keine grundlegenden Schwachstellen beheben. Denn MDR und Co. sind lediglich Systeme zur Angriffserkennung und Abwehr – nicht mehr. Für den präventiven Schutz, sodass möglichst wenige (erfolgreiche) Cyber-Attacken detektiert werden müssen, sorgt unter anderem die Systemhärtung.
Somit meldet ein gehärtetes System deutlich weniger “Red Alerts” beim SOC, da die Angreifer bereits am “Eingangstor” gestoppt werden. Das entlastet die Security Operations Teams und sorgt dafür, dass es wirklich relevante Anomalien erkennen kann.
8. Mythos: “Wir haben 30 Einstellungen angepasst – das reicht”
Nein, mit ein paar Dutzend Einstellungen ist es definitiv nicht getan! Wenn Sie den Empfehlungen von Microsoft, BSI, CIS, DISA und ACSC folgen, müssen Sie hunderte von Sicherheitseinstellungen vornehmen – pro Gerät!
In unserer täglichen Hardening-Praxis kommt es immer wieder vor, dass wir über 1.000 Einstellungen an einem Einzelplatzrechner anpassen. Ja, alleine die Windows 10 Härtung ist eine große Herausforderung!
9. Mythos: “Alle Einstellungen sind leicht per Hand zu machen”
Auch hier sagen wir ganz klar: Nein! Wie im letzten Punkt erwähnt, müssen Sie – wenn Sie Ihre gesamte IT-Systemlandschaft betrachten – zigtausende Konfigurationsänderungen vornehmen. Und das ständig, da sich Ihre Systemlandschaft fortlaufend verändert und entsprechend Anpassungen zu machen sind. So etwas lässt sich nicht manuell erledigen!
Was ist die Lösung? Setzen Sie auf eine automatisierte Systemhärtung mit dem Enforce Administrator! Mit dem Hardening-Tool können Sie kleine wie auch komplexe IT-Systemlandschaften zentral und voll automatisiert härten – immer auf Basis weltweit anerkannter Standards.
10. Mythos: “Wir machen Härtung über Gruppenrichtlinien”
Gruppenrichtlinien sind eine tolle Sache, doch sie eignen sich nur bedingt für eine effektive Systemhärtung. Denn bei den GPOs fehlen wichtige Funktionalitäten und der Fokus auf relevante Dinge. Dazu gehören eine sinnvolle Gruppenrichtlinienverwaltung, Monitoring und Auditing von Einstellungen, übergreifende bzw. rollenorientierte Konfigurationen sowie ein einheitliches und infrastrukturweites Reporting.
Weitere Gründe, warum Group Policy Objects für ein professionelles Hardening ungeeignet sind, erfahren Sie in unserem Beitrag “Gruppenrichtlinien vs. Systemhärtung: Warum GPOs keine nachhaltige Sicherheit liefern”.
11. Mythos: “Ein gehärtetes System ist unangreifbar”
Systemhärtung wirkt – das haben wir schon in zahlreichen Tests und Beispielen bewiesen. Angriffsflächen lassen sich deutlich verringern, sodass viele Cyberattacken ins Leere laufen. Aber: Kein System ist absolut sicher! Es gibt immer Schlupflöcher, die ausgenutzt werden können.
Zudem macht es auch keinen Sinn, Computer und Server derart “hart” zu konfigurieren, dass dadurch viele Business-Anwendungen unbenutzbar werden. Immerhin benötigen Sie diese für Ihren Geschäftsbetrieb.
12. Mythos: “Keiner kann mich dazu zwingen, meine Systeme zu härten”
Doch! Von NIS 2 und ISO 27001 über DORA und VAIT bis hin zu TISAX und PCI DSS 4.0: Immer mehr Gesetze, Regularien und Normen fordern eine sichere Konfiguration – sprich: eine Härtung. Damit werden Mindeststandards gesetzt, um den Stand der Technik zu gewährleisten. Zudem wird die Resilienz Ihrer IT-Systeme erhöht, was im derzeit tobenden “Cyber War” eminent wichtig ist.
Halten Sie sich nicht an die Vorgaben oder setzen die Vorgaben ungenügend um, drohen Ihnen teilweise saftige Strafzahlungen. Zudem riskieren Sie, dass Ihre Systeme gekapert und beschädigt werden. Teure Ausfälle, Imageverlust und sogar eine Insolvenz können die Folgen sein.
13. Mythos: “Wir haben unsere Systeme gehärtet – nun sind wir fertig”
Falsch gedacht! Die Härtung Ihrer Systeme muss ein fortlaufendes Projekt ohne Ende sein. Einerseits gibt es ständig neue Bedrohungen und regulatorische Anforderungen, auf die Sie reagieren müssen. Andererseits unterliegt Ihre Systemlandschaft einer fortlaufenden Veränderung.
Aufgrund dieser Tatsachen sollten Sie Ihre Härtungsprozesse professionell und nachhaltig aufsetzen – unter anderem über ein Lifecycle Hardening. Dazu gehören beispielsweise eine lückenlose Dokumentation und Monitoring-Tools. Auch hier kann Sie der Enforce Administrator bestens unterstützen.
Fazit
Systemhärtung ist kein lapidares, kurzes IT-Projekt, sondern ein essenzieller Bestandteil jeder Sicherheitsstrategie. Die hier vorgestellten Mythen zeigen, wie leichtfertig das Thema oft behandelt wird. Doch nur durch einen umfassenden und kontinuierlichen Ansatz lassen sich Ihre Infrastrukturen wirksam schützen.
Sie benötigen mehr Informationen? Wichtige praktische Tipps erhalten Sie in unseren Webinaren und Workshops. Zudem unterstützen unsere Hardening-Experten Sie gerne bei der Konzeption und Implementierung einer effektiven Systemhärtung.
Bilder: Adobe Firefly, FB Pro