Wie gut erfüllen deine IT-Systeme die Härtungsempfehlungen von BSI, Microsoft oder CIS? Wenn du diese Frage nicht sofort beantworten kannst, ist ein umfassender Test der Systemhärtung dringend erforderlich.

Ein Gastbeitrag von unserem Partner: FB Pro GmbH

Warum man dem Stand der Systemhärtung testen muss

Standardmäßig liefern Hersteller Betriebssysteme und Anwendungen mit maximaler Kompatibilität und einem breiten Funktionsumfang aus. Das Problem dabei: Viele unnötige und potenziell angreifbare Komponenten sind aktiviert. Ein frisch installiertes Windows 10 oder Windows 11 erfüllt beispielsweise nur selten die Anforderungen etablierter Systemhärtungsstandards wie den CIS Benchmarks oder den SiSyPHuS-Empfehlungen des BSI.

Daher ist es eminent wichtig, deine Systeme durch gezielte Maßnahmen abzusichern. Immer mehr Regularien (beispielsweise NIS2) und Normen (zum Beispiel ISO 27001) fordern eine sichere Konfiguration der Systeme – auch bekannt als Systemhärtung oder System Hardening.

Wie ist der Stand deiner Systemhärtung?

Wie überprüfst du, ob deine Maßnahmen wirken und die Compliance-Anforderungen erfüllt werden? Durch regelmäßige Tests der Systemhärtung, also Hardening Audits. Diese sollten fest in deinen IT-Sicherheitsaudits integriert sein, um Schwachstellen frühzeitig zu erkennen und zu beheben.

Doch sagen wir, wie es ist: Ein manuelles Hardening Audit kann extrem aufwändig ausfallen. IT-Sicherheitsexperten müssen unter Umständen tausende Einstellungen prüfen, besonders in komplexen IT-Umgebungen. Hinzu kommt, dass sich Systemlanschaften in der Regel ständig verändern, sodass Härtungstests schnell zur Sisyphusarbeit werden können.

Die Lösung: Prüfe den aktuellen Stand der Systemhärtung mit professionellen Tools! Ein Beispiel dafür ist AuditTAP, das du kostenlos nutzen kannst. Damit lassen sich Windows 10, Windows 11, verschiedene Windows-Server-Versionen, gängige Linux-Distributionen sowie einzelne Anwendungen wie Browser oder Office-Programme auf ihren Hardening-Status auditieren. Das geht innerhalb weniger Minuten.

Wie du das AuditTAP auf einem Windows-System installierst und startest, erfährst du hier:

Und dieses Video erklärt dir, wie du das AuditTAP auf einem Linux-System ausführst:

Was nach dem Härtungstest zu tun ist

Das AuditTAP erstellt einen umfassenden Hardening Audit Report. Wie sehen deine Ergebnisse aus? Wie gut hast du die Vorgaben erfüllt? Wo gibt es noch Verbesserungspotentiale in Sachen “Systemhärtung”?

Dieses Schaubild (das aus unserem heise Academy Hardening Workshop entnommen ist) fasst grob zusammen, wie du die Ergebnisse interpretieren kannst und was folglich zu tun ist:

Im Detail bedeutet das:

➡ Setze bei der Systemhärtung immer auf etablierte, umfassende Vorgaben statt auf selbst entwickelte Hardening-Setups. Denn diese Standards enthalten zahlreiche erprobte Einstellungen!

➡ Da bei der Kombination mehrerer Benchmarks schnell über tausend Konfigurationsänderungen pro System entstehen können, ist eine manuelle Umsetzung weder effizient noch realistisch – besonders in komplexen, dynamischen IT-Landschaften.

➡ Statt starrer Gruppenrichtlinien (GPOs) empfiehlt sich daher eine Automatisierung über PowerShell-Skripte oder PowerShell Desired State Configuration (DSC). Noch schneller und flexibler lässt sich die Härtung mit dem Enforce Administrator realisieren.

➡ Wichtig ist außerdem, die Härtung der Systeme als festen Bestandteil deiner IT-Prozesse zu etablieren, etwa durch Methoden wie Rapid Hardening, Layered Hardening oder Lifecycle Hardening.

➡ Da sich sowohl Systeme als auch Bedrohungslagen kontinuierlich verändern, muss deine Systemhärtung fortlaufend überprüft, angepasst und verbessert werden.

Fazit

Die Härtung deiner IT-Systeme ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Einer, bei dem deine Hardening-Maßnahmen sukzessive besser werden müssen. Ein Test deiner Härtung verschafft dir den nötigen Überblick über den aktuellen Status deiner Systeme und zeigt konkrete Handlungsfelder auf. Tools wie das AuditTAP unterstützen dich dabei, den Abgleich mit etablierten Standards effizient und nachvollziehbar durchzuführen.

____

Über die FB Pro GmbH:

Die FB Pro konzentriert sich auf die Härtung von IT-Systemen und -Infrastrukturen. Dazu hat das rheinland-pfälzische Team eigene standardisierte Lösungen und Produkte entwickelt. Diese helfen Unternehmen, ihre Systemlandschaften schneller und effizienter präventiv zu schützen – gemäß DORA und vielen weiteren Regularien, Gesetzen und Normen.