Systemhärtung
Systemhärtung bezeichnet die gezielte Reduktion der Angriffsfläche von IT-Systemen durch sichere Konfiguration, etwa das Deaktivieren nicht benötigter Dienste, das Schließen offener Ports und das Entfernen von Standardkonten.
Systemhärtung (engl. system hardening) umfasst alle technischen und organisatorischen Maßnahmen, mit denen die Angriffsfläche eines IT-Systems planmäßig verkleinert wird. Ausgangspunkt ist die Erkenntnis, dass jede installierte Software, jeder offene Netzwerkdienst, jedes Standardkonto und jede unnötige Berechtigung ein potenzielles Einfallstor darstellt. Ziel der Härtung ist es, ein System auf genau die Funktionen zu reduzieren, die es für seinen Einsatzzweck zwingend benötigt, und alle übrigen Komponenten zu deaktivieren oder zu entfernen. Typische Härtungsmaßnahmen betreffen Betriebssysteme, Datenbanken, Webserver, Container-Images, Netzwerkkomponenten und Cloud-Konfigurationen.
Zu den klassischen Maßnahmen zählen das Deaktivieren oder Deinstallieren nicht benötigter Dienste und Protokolle, das Schließen ungenutzter Ports, das Entfernen oder Umbenennen von Standardkonten und das Ersetzen voreingestellter Passwörter, das Prinzip der minimalen Rechtevergabe (Least Privilege), die Aktivierung von Verschlüsselung und Protokollierung sowie ein konsequentes Patch-Management. In der Praxis orientiert sich Härtung an anerkannten Konfigurationsrichtlinien wie den CIS Benchmarks, den Empfehlungen des BSI im IT-Grundschutz oder herstellereigenen Security Configuration Guides. Diese Baselines werden idealerweise automatisiert ausgerollt und kontinuierlich auf Konfigurationsabweichungen geprüft (Configuration Drift).
Im regulatorischen Kontext ist Systemhärtung ein zentraler Baustein eines wirksamen Informationssicherheitsmanagements. ISO/IEC 27001 verlangt mit Annex-A-Maßnahmen wie der sicheren Konfiguration (A.8.9), der Verwaltung technischer Schwachstellen (A.8.8) und dem Schutz vor Schadsoftware angemessene technische Vorkehrungen. Der BSI IT-Grundschutz adressiert Härtung in mehreren Bausteinen, etwa SYS.1.1 (Allgemeiner Server). Im Anwendungsbereich der NIS2-Richtlinie gehört die sichere Konfiguration und Schwachstellenbehandlung zu den geforderten Risikomanagementmaßnahmen nach Art. 21 NIS2. Systemhärtung ist damit kein einmaliges Projekt, sondern ein fortlaufender Prozess, der eng mit Schwachstellen-, Patch- und Change-Management verzahnt sein muss.
Rechtliche Grundlage
ISO/IEC 27001:2022 Annex A 8.8 und A 8.9; BSI IT-Grundschutz (u. a. SYS.1.1); Art. 21 NIS2-Richtlinie (EU) 2022/2555
Praxisbeispiel
Ein mittelständischer Maschinenbauer fällt als wichtige Einrichtung unter die NIS2-Pflichten. Die Informationssicherheitsbeauftragte legt für alle neuen Linux-Server eine Härtungs-Baseline auf Basis der CIS Benchmarks fest: Standardkonten werden deaktiviert, SSH erlaubt nur Schlüsselauthentifizierung, nicht benötigte Dienste werden abgeschaltet und die Konfiguration wird per Ansible automatisiert ausgerollt. Ein wöchentlicher Compliance-Scan meldet jede Abweichung von der Baseline an das Ticketsystem, sodass Konfigurationsdrift erkannt und dokumentiert behoben wird. Bei der nächsten ISO-27001-Überwachung kann das Unternehmen die wirksame Umsetzung der Maßnahme A.8.9 lückenlos nachweisen.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren