System Hardening & Security Baselines

Betriebssysteme und Anwendungen werden mit Standardkonfigurationen ausgeliefert, die auf Kompatibilität und Benutzerfreundlichkeit optimiert sind – nicht auf Sicherheit. Windows-Server aktivieren standardmäßig zahlreiche Dienste, die in den meisten Umgebungen nicht benötigt werden. Linux-Systeme kommen mit offenen Ports, unsicheren SSH-Standardkonfigurationen und unnötigen Paketen. Cloud-Ressourcen werden häufig mit öffentlichem Zugang und minimalen Zugriffskontrollen bereitgestellt.

System Hardening bezeichnet die systematische Reduktion der Angriffsfläche: Unnötige Dienste werden deaktiviert, unsichere Protokolle abgeschaltet, restriktive Dateisystemberechtigungen gesetzt, Audit-Logging aktiviert und Sicherheitsfeatures aktiviert, die standardmäßig inaktiv sind. Das Ergebnis ist ein System, das nur die für seine Funktion notwendigen Capabilities hat – und damit eine deutlich kleinere Angriffsfläche.

Anerkannte Referenzrahmen strukturieren diese Arbeit: CIS Benchmarks (Center for Internet Security) liefern plattformspezifische, durch die Community validierte Konfigurationsempfehlungen für Windows Server, Linux, macOS, Container und Cloud-Dienste. DISA STIGs (Defense Information Systems Agency Security Technical Implementation Guides) sind die US-Behördenstandards und besonders in regulierten und hochsicherheitsrelevanten Umgebungen relevant. BSI SiSyP adressiert spezifisch deutsche Behördenanforderungen.

Wir beginnen mit einem Hardening-Assessment: Ihre bestehenden Systeme werden gegen einen relevanten CIS Benchmark geprüft und der Compliance-Score ermittelt. Typischerweise erreichen nicht gehärtete Systeme 20-40 % der CIS-Anforderungen; nach unserem Hardening-Projekt sind 80-95 % Zielwert. Das Assessment zeigt gleichzeitig, welche Abweichungen das größte Risiko darstellen und welche für Ihre spezifische Umgebung angepasst werden müssen.

Nicht jede CIS-Empfehlung ist für jede Umgebung direkt anwendbar. Einige Einstellungen, die in einer dedizierten Server-Rolle sinnvoll sind, können in einer anderen zu Funktionsunterbrechungen führen. Wir prüfen jede Empfehlung auf Anwendbarkeit und dokumentieren begründete Ausnahmen – weil blinde CIS-Compliance ohne Verständnis des Kontexts kontraproduktiv ist. Das Ergebnis ist eine umgebungsspezifische Baseline, keine generische Vorlage.

Die Umsetzung erfolgt mit Infrastructure-as-Code-Ansätzen: Ansible Playbooks, PowerShell DSC oder GPOs, die die Hardening-Konfiguration deklarativ beschreiben und reproduzierbar auf alle Systeme anwenden. Das stellt sicher, dass neue Systeme automatisch die Baseline erhalten und keine manuellen Fehler entstehen. Gleichzeitig ist die Konfiguration versioniert, nachvollziehbar und bei Bedarf rückrollbar.

System Hardening ist kein einmaliges Projekt, sondern ein laufender Prozess. Konfigurationen driften: Administratoren ändern Einstellungen für Debugging, Anwendungen erfordern bestimmte Ports, Updates verändern Konfigurationsdefaults, neue Systeme werden ohne Hardening-Prozess bereitgestellt. Ohne kontinuierliche Überwachung verliert die Baseline schnell ihre Wirkung.

Wir implementieren kontinuierliche Compliance-Prüfungen, die Hardening-Drift erkennen und melden. Tools wie OpenSCAP, CIS-CAT oder Microsoft Defender for Cloud überprüfen regelmäßig den Compliance-Score jedes Systems und generieren Reports, die Abweichungen von der definierten Baseline sichtbar machen. Kritische Abweichungen werden automatisch getickt und zur Behebung eskaliert.

Für Cloud-Umgebungen (Azure, AWS, GCP) bieten Cloud Security Posture Management (CSPM) Tools wie Microsoft Defender for Cloud, AWS Security Hub oder GCP Security Command Center kontinuierliches Hardening-Monitoring mit unmittelbaren Alerts bei unsicheren Konfigurationsänderungen. Diese Integration ist besonders wichtig in dynamischen Cloud-Umgebungen, wo Ressourcen per Skript erstellt und Konfigurationen leicht versehentlich geändert werden.