Theorie vs. Praxis: Was bringt Systemhärtung im Einsatz wirklich?

Löst die Härtung von Systemen tatsächlich viele Sicherheitslücken? Und ist eine 100%-ige Systemhärtung möglich? Wir geben in diesem Artikel ein paar Einblicke.

Hinweis: Dieser Beitrag ist Bestandteil einer mehrteiligen Serie, in der wir den Praxiseinsatz von Systemhärtung tiefer beleuchten. Der nächste Teil erscheint bald.

Weshalb Sie die Informationssicherheit ernst nehmen müssen

Man kann es nicht oft genug sagen: Informationssicherheit und Datenschutz sind extrem wichtig – für jedes Unternehmen!

Das Erstellen von Dokumentation (Richtlinien, Protokolle etc.) sowie die regelmäßige Kontrolle der Maßnahmen waren auch schon vor Inkrafttreten der europaweit geltenden Datenschutz-Grundverordnung (DS-GVO) etwas, worauf Unternehmen jeder Größe zu achten hatten.

Die Notwendigkeit nach einer strukturierten Informationssicherheit steigt. Einerseits befeuert durch beinahe täglich in der Presse sichtbare, äußerst erfolgreiche Cyber-Angriffe; andererseits durch die verschärfte Gesetzgebung, deren Sanktionspotential sich zukünftig ausweiten wird.

Nun droht allen Unternehmen, welche die Informationssicherheit und den Datenschutz im Speziellen auf die leichte Schulter nehmen, Strafen. Noch viel gewichtiger sind die direkten Probleme, zum Beispiel die Kosten des Betriebsausfalls oder Image- und Reputationsschäden. Dieser gefährliche Mix aus Folgen hat das Potential, die Zukunft eines Betriebes zu gefährden.

IT-Sicherheit ist Chef-Sache!

Es reicht nicht, sich auf Unwissenheit zu berufen. Es liegt in der Verantwortung der Geschäftsführung bzw. des Vorstandes eines jeden Unternehmens, sich um die objektive Beurteilung von Schwachstellen in der IT-Infrastruktur zu kümmern. Das ermöglicht unter anderem ein unternehmensweites Risikomanagement.

Die Geschäftsführung bzw. der Vorstand muss passende Rahmenbedingungen schaffen, damit die Verantwortlichen für die IT-Sicherheit mögliche Schwachstellen systematisch erfassen und beseitigen können.

Informationssicherheit benötigt Systemhärtung

Informationssicherheit, Datenschutz und IT-Compliance funktionieren nicht ohne eine spezielle Mischung aus technischen und organisatorischen Maßnahmen!

Neben den infrastrukturellen Maßnahmen sind insbesondere das sichere Konfigurieren von IT-Systemen (das “Härten”) als auch das Aktualisieren (das “Patchen“) die effektivsten Möglichkeiten, um Schwachstellen in IT-Systemen zu schließen.

Der Nutzen der Systemhärtung fällt vielseitig aus:

    • leicht angreifbare Ziele werden beseitigt,
    • Haftungsrisiken reduziert,
    • und der Stand der Technik implementiert.

Kommen Tools wie der Enforce Administrator zum Einsatz, können die Aufwände für eine dauerhafte Härtung der Systemen deutlich reduziert werden. Und es gibt rechtskonforme Reports für die Nachweispflichten (Audits).

Wie gut funktioniert Systemhärtung in der Praxis?

Wie gut sind Standard-Systeme gehärtet? Und was bringt eine Systemhärtung am Ende wirklich? Diesen Fragen sind wir mit einem Test nachgegangen, den wir zusammen mit der Firma Trovent Security GmbH durchführten.

Das Ziel von Trovent: Cyber-Sicherheit steigern bevor der Krisenfall eintritt sowie IT-Risiken und Angriffsfläche nachhaltig verringern. Die Trovent-Spezialisten unterstützten uns bei der Konfiguration der Compliance-Scans.

Für die Erzeugung der Nachweise setzen wir auf folgende Testumgebung:

    • Ein “handelsübliches” ActiveDirectory ist installiert und konfiguriert
    • Es werden zwei Windows-10-Systeme in die AD-Domain aufgenommen. Die Konfiguration bei Zielsystem 1 sah so aus:
      • Betriebssystem: Windows 10 21H1
      • Patch-Level: aktualisiert inkl. September-Update
      • Hardening: Nein, Standard-Konfiguration von Microsoft
    • Zielsystem 2 hatte diese Ausgangssituation:
      • Betriebssystem: Windows 10 21H1
      • Patch-Level: aktualisiert inkl. September-Update
      • Hardening: Ja. Die Hardening-Konfiguration basierte auf diversen Hardening-Empfehlungen inkl. bewusst konfigurierter Abweichungen.

Hinweis: Das Security Configuration Management haben wir mit dem Enforce Administrator umgesetzt. Der Enforce Administrator bietet die Möglichkeit, mehrere Hardening-Empfehlungen miteinander zu “verschmelzen” und die Konflikte (teil-) automatisch zu lösen. Unsere Hardening-Konfiguration für diesen Test nutzt die Vorgaben von CIS, BSI und Microsoft (bspw. für die Browser-Härtung).

Enforce Administrator - Benchmark Select (Bild: FB Pro GmbH)

Wie wird die Konfiguration verteilt?

Die Verteilung  – das eigentliche “Configuration Management” – erfolgt normalerweise im Nachgang rollenbasiert auf hunderte oder gar tausende Zielsysteme. In unserem Test-Szenario waren es nur die zwei genannten Zielsysteme.

Wie wurden die Nachweise erzeugt?

Die rechtlich vorgeschriebenen Nachweise können auf vielfältige Art und Weise erstellt werden. Zum Beispiel durch den Einsatz von Schwachstellen-Scannern oder mit speziellen Tools wie dem Audit TAP für die Auditierung von Hardening-Standards.

Für unseren Test nutzen wir den Schwachstellen-Scanner von HOLM Security. Dieser prüft die Hardening-Konformität basierend auf den Vorgaben des Center for Internet Security (CIS).

System Hardening Test mit HOLM Tool

Nach Auswahl der Scan-Ziele konnte die Überprüfung beginnen. Nach rund 30 Minuten waren die Reports erstellt.

Achtung: Die Scan-Dauer kann je nach Anzahl der Ziele, der Netzwerkinfrastruktur etc. sehr stark variieren!

Das Ergebnis fiel eindeutig aus, was diese beiden Screenshots zeigen.

Auszug – Report Zielsystem 1 (Standard-Konfiguration):

Auszug – Report Zielsystem 2 (gehärtet):

Theorie vs. Praxis: Die Bewertung der Reports

Die Unterschiede in den beiden Berichten sind eindeutig. Trotzdem bleiben ein paar Fragen offen. Die wichtigsten Punkte beleuchten wir hier:

“Das sind so viele Einstellungen!”

… lautet eine der ersten Reaktionen, die uns oft begegnet. Sie ist nachvollziehbar und korrekt.

Eine auf Standards basierende Systemhärtung umfasst weit (!) mehr Einstellungen als das Konfigurieren der Microsoft-Updates und das Einschalten der Firewall.  Sie geht deutlich tiefer und deckt viele integrierte Microsoft-Komponenten ab.

Von daher: Ja, es sind tatsächlich rund 400 bis 500 dedizierte Einstellungen für ein System notwendig, das nach industrie-erprobten Empfehlungen sicher konfiguriert werden soll.

“Trotz Härtung noch so viele ‘Fehler'”?

Warum sind bei dem gehärteten System derart viele Einstellungen nicht konform mit dem, was der Scanner prüft? Das hat unter anderem die folgenden beiden Gründe:

Grund 1: 100% Compliance ist unrealistisch

Die Erwartungshaltung, dass ein Server-oder Workstation-Betriebssystem und / oder die dazugehörige Middleware-Ebene vollständig konform zu einem der Hardening-Standards konfiguriert werden kann, gehört aus unserer Sicht ins Reich der Security-Mythen.

Systemhärtung als Maßnahme muss immer angemessen sein und die drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit beachten. Es kann dementsprechend weder sinnvoll noch notwendig sein, ein System so zu konfigurieren, dass danach der Zugriff auf wichtige Unternehmensdaten unmöglich wird!

Was damit gemeint ist, verdeutlicht das folgende Praxisbeispiel: Aktuelle Hardening-Empfehlungen erwarten unter anderem das Abschalten von Bluetooth sowie die Deaktivierung des Mikrophon- und Kamera-Zugriffs. Doch in Zeiten von New Work, Remote Work, Home Office und Dergleichen müssen genau diese Technologien funktionieren, unter anderem für Web-basierte Video-Calls und Bluetooth-Headsets.

Grund 2: Tiefere Analyse notwendig bzw. “Man lernt nie aus…”

Wir sind der festen Überzeugung, dass einige der vermeintlichen Fehler in die Kategorie “False Positives” fallen. Das bedeutet: Die Konfiguration ist auf dem Testsystem exakt so wie erwartet, trotzdem meldet der Bericht eine “Non Compliance”.

Hier zwei Beispiele dazu (Bilder zum Vergrößern anklicken):

Beispiel 1: Eigentlich ist LAPS auf dem Testsystem installiert, wie unschwer auf der rechten Seite zu erkennen ist.

Beispiel 2: Auf unserer Workstation mit Windows 10 wurde definitiv kein Web-Server installiert.

Desweiteren hat Microsoft als Hersteller von Betriebssystemen und Software teilweise die Angewohnheit, eine Einstellung an zwei (teils auch mehreren Stellen) konfigurierbar zu machen. Es kommt deshalb vor, dass an Stelle 1 geprüft wird, aber das System an Stelle 2 konfiguriert wurde. Hier sind weitere Analysen notwendig, die wir mit Trovent und idealerweise auch gemeinsam mit dem Hersteller Holm durchführen werden.

Fazit

Systemhärtung wirkt, definitiv! Denn die meisten Systeme sind “ab Werk” so konfiguriert, dass Anwender sie bestmöglich nutzen können – doch darunter leidet der Sicherheitsaspekt.

Eine weiterer wichtiger Punkt: Es gibt nicht das absolut perfekt gehärtete System! Prüfungen bzw. Audits gegen einen Härtungs-Standard führen in der Regel zu einem roten Audit-Bericht. Oft fällt er sogar tiefrot aus.

Warum? Die individuellen Einstellungen für das jeweilige Unternehmen werden nicht nicht erfasst und Rollen-/Applikations-spezifische Einstellungen nicht berücksichtigt.

Einfacher wird es mit einer Lösung für das Security Configuration Management wie dem Enforce Administrator. Der bietet neben der einfachen Konfiguration, Verteilung und regelmäßigen Kontrolle auch Audit-Berichte, die genau die individuellen Konfigurationen berücksichtigen.

Enforce Administrator - Report (Bild: FB Pro GmbH)

Wo konkret würde Systemhärtung helfen?

Im nächsten Blog-Beitrag beleuchten wir, an welchen Stellen eine Systemhärtung helfen würde. Stay tuned!

Möchten Sie mehr über den Enforce Administrator erfahren?

… oder einen Show-Case via Video-Konferenz erleben? Dann kontaktieren Sie uns ganz unverbindlich per Mail!

Kontakt aufnehmen

PS: Den Enforce Administrator gibt es auch als Managed Service. Das bedeutet, die Spezialisten der FB Pro GmbH betreuen die Systemhärtung Ihrer kompletten IT-Systemarchitektur und stehen Ihnen fortwährend als Berater zur Seite.

Ähnliche Beiträge:

Schreibe einen Kommentar