Was ist Systemhärtung? Welche Maßnahmen gibt es?

Damit unternehmensrelevante Informationen bestmöglich geschützt sind, müssen die Verantwortlichen unter anderem auf die Systemhärtung setzen. Was das genau ist, erläutern wir hier.

Definition: Was bedeutet Systemhärtung?

Systemhärtung, vereinfacht auch als Härten bezeichnet, ist die sichere Konfiguration von IT-Systemen. Das Ziel ist es, Sicherheitslücken zu schließen und verschiedene Maßnahmen zu ergreifen, um die Angriffsflächen für Cyberattacken zu verkleinern.

Der Begriff “Systemhärtung” ist die Übersetzung des englischen Begriffs “System Hardening”.

Was bringt die Systemhärtung?

Da auf IT-Systemen unter anderem auch höchst sensible Informationen eines Unternehmens sowie personenbezogene Daten verarbeitet und gespeichert werden, müssen die verwendeten Systeme besonderen Schutzmaßnahmen unterzogen werden.

Eine sehr wirkungsvolle Maßnahme zur Absicherung stellt die Systemhärtung dar. Sie sichert das Betriebssystem ab, unabhängig davon, ob es sich um ein physikalisches, virtuelles oder Cloud-basiertes System handelt. Zudem werden Applikationen wie Office-Programme und Browser sicherer gemacht – beispielsweise gegen Datendiebstahl.

Wie gut sind IT-Systeme “ab Werk” gehärtet?

Gängige Betriebssysteme wie Microsoft Windows, Windows Server oder Linux werden von ihren Herstellern auf die größtmögliche Kompatibilität und den breitesten Feature-Umfang konfiguriert. Die Systeme sind daher mit potentiell angreifbaren Komponenten ausgestattet.

Anders ausgedrückt: Standardmäßig werden bei Betriebssystemen keine restriktiven Sicherheitskonfiguration angewendet. Gerade diese oft ungenutzten und nicht konfigurierten Funktionalitäten nutzen Angreifer wie Hacker häufig als Angriffsvektor aus.

Beim Härtungsprozess auf Server- oder Client-Ebene werden derartige, vulnerable Funktionalitäten sowie deren exponierten Schnittstellen deaktiviert oder sogar deinstalliert.

Welche Bedrohungen bestehen ohne Systemhärtung?

Die wesentlichen Bedrohungen bei nicht gehärteten Betriebssystemen und Anwendungen sind unter anderem:

• • Identitätsdiebstahl, beispielsweise bei Angriffen auf die zentrale Identitäts-Management-Struktur
  • Daten-Manipulation von personenbezogenen Daten und sensiblen Unternehmensdaten
  • Datenabfluss, zum Beispiel durch das Kopieren gesamter Datenbanken
  • Manipulation von Anwendungen oder damit verbundener Systeme
  • Sabotage oder Spionage bei Betriebs- und Produktionsabläufen
  • Einschleusen und Verbreitung von Malware
  • “Datenkraken” sammeln detaillierte Nutzerdaten, um genaue Werbeprofile zu erstellen.

Wie aktuelle Zahlen zeigen, sind viele Unternehmen von Hacker-Angriffen, Datendiebstahl und Spionage betroffen. Deswegen sind die Informationssicherheit und die Härtung von Systemen extrem wichtig!

 

Gibt es eine 100%-ige Systemhärtung?

In der Theorie schon, doch in der Praxis macht das keinen Sinn. Wenn Sie Ihre Betriebssysteme und Applikationen derart strikt konfigurieren, dass sie als 100% gehärtet gelten, können Sie sie nur stark eingeschränkt oder gar nicht mehr nutzen.

Deshalb müssen Sie einen Kompromiss aus Sicherheit und Nutzbarkeit finden. Wie gut Ihnen dieser Kompromiss gelungen ist, finden Sie durch einen Check mit dem AuditTAP heraus.

Der Risk Score des AuditTAP-Berichts zeigt Ihnen, wie gut Sie Ihr überprüftes System gehärtet haben. Hier ein Beispiel:

Beispiele: Wie gut wirkt System Hardening wirklich?

Dieser Frage sind wir schon mehrfach nachgegangen. So testeten wir unter anderem – wie es in diesem Beitrag nachzulesen ist – zwei fast identische Windows-10-Computer. Es bestand nur ein Unterschied: ein System war gehärtet, das andere nicht.

Mehrere Überprüfungen, unter anderem mit dem HOLM Security Scanner, zeigten ein deutliches Bild. Das gehärtete Windows 10 hatte deutlich weniger Schwachstellen als ein “normales” System.

Doch bei der Systemhärtung geht es nicht nur um die sichere Konfiguration eines kompletten Betriebssystems. Auch die Einschränkung einzelner Dienste kann schon zu mehr Datenschutz und Privatsphäre beitragen.

So fanden wir in einem Test heraus, dass ein gewöhnliches Windows 10 zahlreiche Telemetrie-Daten an Microsoft überträgt.

Mit einem gehärteten System wird dieser “Funkverkehr” eingestellt. Es landen keine Telemetrie-Daten bei Microsoft.

Auch die Gefahr, die von Programmen wie Mimikatz oder DefenderSwitch bzw. DefenderStop ausgeht, lässt sich mit dem Härten deutlich verringern. Mehr dazu erfahren Sie in diesen Beiträgen:

• • “Systeme richtig absichern: Was hilft gegen Mimikatz?”
  • “Wie riskant ist DefenderSwitch bzw. DefenderStop?“

Welche Unternehmen müssen sich mit Systemhärtung beschäftigen?

Alle! Gleichgültig, ob Solo-Unternehmer, Startup, mittelständisches Unternehmen oder Konzern: Überall sollten die IT-Systeme bestmöglich gehärtet sein. Denn bei jeder Unternehmensgröße haben Schwachstellen unter Umständen schwerwiegende Folgen.

Wie besonders Einzelunternehmer und Startups eine Härtung ihrer Betriebssysteme und Anwendungen schrittweise angehen können, erfahren Sie in dieser Folge des StartUpWissen Podcast:

Wie gut sind Ihre Systeme gehärtet?

Finden Sie es heraus – mit dem AuditTAP! Das kostenlose Tool dokumentiert automatisch die Konfiguration Ihrer Systeme und gleicht sie mit den aktuellen Empfehlungen von Microsoft, dem BSI, den CIS Benchmarks und weiteren erprobten Standards ab.

Wie man einen Report mit dem AuditTAP erstellt, sehen Sie in diesem Video:

System Hardening: Beispiele für Maßnahmen

Systemhärtung ist ein technischer Baustein, um mögliche Schwachstellen (“Vulnerabilities”) von IT-Systemen und IT-Infrastrukturen zu verringern. Die kostenlose Handreichung zum Stand der Technik von TeleTrust empfiehlt in Kapitel 3.2.21 unter anderem folgende Maßnahmen:

• • Regelmäßige Überprüfung der Notwendigkeit von aktivierten Diensten
  • Laufende Dienste nur mit minimalen Rechten betreiben
  • Wenn möglich: Betrieb der laufenden Dienste in einer isolierten Umgebung
  • Minimale Rechtevergabe für Wartungsschnittstellen und -zugänge
  • Eingeschränkter Zugriff auf die Konfigurationsdateien des Betriebssystems
  • Änderung aller vorhandenen Standard-Kennwörter durch Passwörter entsprechend einer unternehmensinternen Kennwort-Richtlinie
  • Deaktivierung von
    • Fehler- oder Debug-Meldungen für Endbenutzer
    • unsicheren, veralteten und/oder nicht benötigten Schnittstellen
    • nicht benötigten Autostart-Mechanismen
    • unnötigen Betriebssystem-Komponenten inkl. Hintergrund-Diensten

• • Aktivierung
    • eines Bildschirmschoners mit Kennwort-Schutz
    • starker Benutzerkontensteuerung (User Account Control)
    • des Antiviren-Programms beim Bootvorgang
    • der Protokollierung
    • der CPU-Sicherheitsfunktionen
    • des BIOS-Zugriffspasswortes
    • einer festgelegten Boot-Reihenfolge

Leseempfehlung: Weitere Ratschläge erhalten Sie in diesen Beiträgen:

• • “Windows 10 härten: Maßnahmen und Tipps”
  • “Windows 11: Tipps für die Systemhärtung“
  • “Windows XP, Vista und Windows 7 härten“

• Server härten: Was ist da zu beachten?

TeleTrust meint hierzu: “Ein großer Teil der oben aufgeführten Härtungsmaßnahmen ist durch technische Einstellungen machbar. Diese Einstellungen lassen sich über ein Härtungspaket (zum Beispiel mittels Skripten) automatisiert auf alle Server-Systeme des Unternehmens verteilen.”

Zudem gilt: Neue Server-Systeme sollten direkt nach Abschluss der Installation mit der entsprechenden standardisierten Konfiguration versorgt und Ausnahmen von der Härtung zentral verwaltet werden.

Leseempfehlung:  Unser Ratgeber”Windows Server härten: Hintergründe, Maßnahmen und Tipps” liefert Ihnen weitere Informationen.

Was ist beim Härten von Linux zu bedenken?

Linux bzw. die zahlreichen Derivate unterscheiden sich teilweise eklatant von einem Windows-System. Deshalb sind viele der hier genannten Tipps zur Systemhärtung nur bedingt anwendbar.

Trotzdem ist auch bei einem Linux-System die Härtung extrem wichtig, besonders im Business-Umfeld!

Leseempfehlung: Nützliche Ratschläge gibt es in unserem Ratgeber “Linux härten: Systemhärtung für Ubuntu, Debian, Fedora & Co.“

#NoCodeHardening: Die Lösung für automatisierte Systemhärtung

Das Härten von IT-Systemen ist sehr kompliziert und bei großen Unternehmen auch sehr komplex. Im Normalfall müssen die Verantwortlichen manuell Tausende Einstellungen vornehmen – das frisst Zeit. Und die Maßnahmen binden viele Ressourcen, die an anderer Stelle benötigt werden.

Trotzdem darf die Härtung von IT-Systemen auf keinen Fall vernachlässigt werden! Ansonsten steigt die Wahrscheinlichkeit, dass “Cyber-Gangster” mit ihren “Cyber-Attacken” Erfolg haben.

Wie kann eine IT-Abteilung ihren Zeitaufwand fürs System Hardening reduzieren? Über Automatisierung! Selbst programmierte Skripte sorgen dafür, dass viele Abläufe der Systemhärtung eigenständig ablaufen. Doch das Entwickeln und Anpassen des Codes erfordert ebenfalls Zeit.

Um auch diesen Aufwand zu reduzieren, entstand die #NoCodeHardening-Initiative. Der Zusammenschluss von mehreren IT-Unternehmen, zu der auch die FB Pro GmbH gehört, bringt die Automatisierung von Systemhärtungen durch leistungsstarke Hardening-Tools für Unternehmen voran.

Enforce Suite: Die etablierte Hardening Software für die Härtung von IT-Systemen

Verantwortliche für die Informationssicherheit müssen diverse Maßnahmen im Blick haben und umsetzen. Damit die Serverhärtung und die Härtung einzelner Applikationen standardisiert auch bei großen Systemlandschaften noch leistbar sind, stellt die FB Pro GmbH die Enforce Suite zur Verfügung. Diese besteht aus dem ENFORCE TAP und dem Enforce Administrator.

Mit der Enforce Suite können Härtungskonfiguration auf dem Stand der Technik erstellt, auf IT-Systemen ausgebracht und auch während des Lebenszyklus eines IT-Systems zentral und transparent verwaltet sowie nachvollziehbar dokumentiert werden.

Was der Enforce Adminstrator im Praxis-Einsatz bring, erfahren Sie unter anderem in dieser Webinar-Aufzeichung:

Wichtige Informationsquellen für die System- und Serverhärtung

Alle, die mit System Hardening zu tun haben, müssen stets up-to-date sein, um die aktuellen Härtungsstandards umsetzen zu können. Dazu können sie diese Informationsquellen nutzen:

• • Die bereits erwähnte Handreichungen und Informationen von TeleTrust
  • Die Publikationen des Center for Internet Security (CIS), wozu die CIS Benchmarks gehören
  • Die Industriestandards zur Systemhärtung der DISA STIGS
  • Das IT-Grundschutz-Kompendium inkl. Empfehlungen zur Systemhärtung des BSI (Bundesamt für Sicherheit in der Informationssicherheit)
  • Dedizierte Publikationen, zum Beispiel die Härtungsempfehlungen für Windows 10 und Windows Server von Microsoft
  •  Die Guidelines der Deutschen Telekom im Rahmen des sog. “Privacy and Security Assessment Verfahren“
  • Die aktuellen Security-News, welche wir gebündelt anbieten

Benötigen Sie Unterstützung beim Hardening?

Unsere Experten stehen Ihnen gerne beratend und unterstützend zur Seite, um Ihre IT-Systeme nach den aktuellsten Standards und Vorgaben zu auditieren und zu härten.

Kontakt aufnehmen

Bild: Pixabay, BSI, Statista