Hardening (Systemhärtung)

Das Härten von Systemen ist das Entfernen oder Deaktivieren aller nicht benötigten Softwarebestandteile und Funktionen eines Systems sowie die Prüfung, ob die bereitgestellten Dienste als sicher konfiguriert einzustufen sind. Dabei werden Dienste entfernt, die für die Funktion des Systems nicht notwendig oder nicht ausreichend sicher sind. Dadurch stehen diese potenziellen Angreifern nicht mehr als Angriffspunkte zur Verfügung. Zudem werden die Rechte für Benutzerkonten und Dateisystemzugriffe auf das Nötigste beschränkt.

Da Angriffe oftmals durch eine Kombination verschiedener Methoden erfolgreich sind, lässt sich die Sicherheit der Systeme durch das Hardening in der Regel deutlich steigern. Als positiver Nebeneffekt wird der Umfang des Patch- und Schwachstellenmanagements verringert.

Eine Systemhärtung setzt eine dokumentierte Vorgabe des Soll-Zustands voraus. Diese Vorgabe beschreibt für jedes Betriebssystem die zu deaktivierenden Komponenten sowie die zu implementierenden Abweichungen vom Standard des Betriebssystems (Configuration Baseline). Der Soll-Zustand muss auf jedem System hergestellt und regelmäßig überprüft werden. Im laufenden Betrieb müssen Abweichungen vom vorgegebenen Zustand erkannt, gemeldet und korrigiert werden. Idealerweise wird das Hardening beim Aufsetzen jedes neuen Systems automatisch durchgeführt. Die Baseline ist also Teil der Standardinstallation für das jeweilige Betriebssystem. Für Systeme mit zusätzlichen Anforderungen müssen Ausnahmen beschrieben werden. Bei der Ausgestaltung und Umsetzung der Hardening-Richtlinie orientieren wir uns an den etablierten Vorgaben des CIS und der ISO7002:2013.

Erstellung der Richtlinie zum Hardening

Die Vorgaben für die Härtung der eingesetzten Betriebssysteme entwickeln wir gemeinsam mit den EDV-Verantwortlichen Ihres Unternehmens. Hierbei gehen wir von den Benchmarks des Center for Internet Security aus und passen die Vorgaben an die Gegebenheiten Ihrer Umgebung an. Die Richtlinien enthalten konkrete und überprüfbare Vorgaben für jede Betriebssystemvariante. Bestenfalls definieren wir gemeinsam die Schnittstellen des Hardening-Prozesses zum Konfigurationsmanagement und zum Changemanagement.

Überprüfung der Systeme

Wir prüfen den aktuellen Stand der Systeme auf Compliance mit der Hardening-Richtlinie und dokumentieren die Abweichungen. Hierzu entwickeln wir für Sie Skripte, die eine automatische Überprüfung der Systeme ermöglichen. Die eigentliche Prüfung kann dann mittels vorhandener System-Management-Tools erfolgen (z.B. BladeLogic).

Sofern bereits ein Risikomanagement eingeführt ist, kann das geprüfte Hardening dort positiv vermerkt werden.

Weiterführende Links:
CIS CSC 3
ISO 27002:2013