Mythen vs. Praxis: Die größten Irrtümer über Systemhärtung

Zum Thema “Systemhärtung” bzw. “System Hardening” gibt es einige weit verbreitete Missverständnisse und sogar Falschaussagen. Diese werden hier “entmystifiziert” und korrigiert.

Microsoft Windows ist recht sicher

Diese Annahme stimmt nicht! Microsoft liefert seine Windows-Fassungen seit jeher mit Standard-Konfigurationen aus. Diese werden vor allem auf Benutzerfreundlichkeit und eine möglichst breite Kompatibilität ausgelegt. Die vielen vorinstallierten Anwendungen und Dienste mit ihren teils immensen Komfortfunktionen sind zwar angenehm für die Endkunden, doch sie erhöhen erheblich die potenzielle Angriffsfläche. Eine professionelle Systemhärtung muss daher unnötige Funktionen deaktivieren und Dienste einschränken.

Linux ist immer bestens geschützt

Obwohl die meisten Linux-Distributionen im Vergleich zu anderen Betriebssystemen sicherer konzipiert sind, können Fehlkonfigurationen und veraltete Anwendungen zahlreiche Schwachstellen enthalten. Im Unternehmensumfeld ist daher ein Hardening nötig, das die Besonderheiten jeder Distribution bedenkt. Da einheitliche Standards häufig fehlen und Benchmarks teilweise gegensätzliche Aussagen machen, ist die Linux-Härtung eine große Herausforderung.

In der Cloud braucht es keine Systemhärtung

Diese Denkweise ist leider nicht korrekt. Denn: Cloud-Anbieter sichern ihre Infrastruktur ab, nicht aber die kundenseitigen “Inhalte”! Ob IaaS, PaaS oder SaaS – jede Instanz, jeder Container und jede Plattform-Komponente muss vom Kunden selbst sicher konfiguriert werden – bestenfalls gemäß bekannter und vorliegender Compliance- und Security-Standards. Andernfalls entstehen Sicherheitslücken, die schnell ausgenutzt werden können.

Antiviren- und MDR-Systeme machen Härtung überflüssig

Antimalware-Suiten und Managed Detection & Response Lösungen sind wichtig, um Angriffe und Kompromittierungen zu erkennen. Doch die reaktive Erkennung ist nur ein Puzzle-Stein – präventive Maßnahmen schützen vorher. Mit einer guten Systemhärtung werden Angriffsversuche bereits im Vorfeld bestenfalls abgewehrt oder verlangsamt. In Folge ist der Schutz deutlich erhöht und es kann zu deutlich weniger Alarmmeldungen oder False-Positives beim SOC-Team führen (sogenannte „noise reduction“). Das kann sich dank einer guten Härtung auf die wirklich relevanten Anomalien konzentrieren.

Hardening lässt sich schnell manuell durchführen

Oft ist zu hören, man müsse bei einer Systemhärtung lediglich 20, 30 oder 50 Einstellungen vornehmen. Das stimmt nicht! Hardening-Benchmarks, zum Beispiel von Microsoft, BSI, CIS und DISA, listen mehrere hundert sicherheitsrelevante Maßnahmen auf. In der Praxis können pro Einzelrechner sogar über 1.000 Konfigurationsänderungen erforderlich sein. Eine derart intensive Systemhärtung lässt sich nicht “nebenher” bewerkstelligen – und auch selten manuell. Sinnvoller ist es, ein Hardening-Tool für eine automatisierte Systemhärtung einzusetzen.

Alle Mitarbeiter sind immer vorsichtig

“IT-Sicherheit ist so gut, wie der Mensch der die Systeme bedient”, sagt das BSI. Vom Öffnen von Phishing-Mails bis zur Benutzung von fremden, verseuchten USB-Geräten: Menschliches Fehlverhalten bleibt eine der häufigsten Ursachen für Sicherheitsvorfälle. Schulungen reduzieren zwar das Risiko, aber sie sind kein Allheilmittel. Ein Marketingexperte zum Beispiel sollte sich mit Marketing und nicht mit Cybersicherheit beschäftigen! Eine grundlegende Härtung der Systeme sorgt dafür, dass viele Angriffe, die trotz Sicherheitsmaßnahmen durchgehen, extrem ausgebremst werden oder gar ganz ihre Wirkung verlieren.

Gehärtete Systeme sind unverwundbar

Ja, eine tiefgreifende Systemhärtung verringert drastisch die Angriffsflächen. Aber sie eliminiert nie vollständig alle Risiken! Zero-Day-Lücken, physische Angriffe oder Insider-Bedrohungen können weiterhin dazu führen, dass einzelne Computer oder ganze Netzwerke kompromittiert werden. Dazu kommt, dass eine 100%ige Systemhärtung wenig Sinn macht. Es gibt immer Komponenten, die aktiv und nutzbar sein müssen.

Es gibt keine Pflicht zur Systemhärtung

Ein weiterer Irrglaube! Unternehmen, die Richtlinien wie NIS 2, Branchenstandards wie DORA oder Normen wie die ISO 27001 erfüllen müssen, müssen auch ihre Systeme härten. Die sichere Konfiguration von IT-Landschaften sowie einzelner Komponenten ist zu einem festen Bestandteil geworden. Dazu kommt, dass immer mehr Cyber-Versicherungen von Unternehmen einen Hardening-Nachweis einfordern, ansonsten gibt es keine oder nur unattraktive bzw. teure Policen.

Fazit

Systemhärtung ist kein “nice to have” und auch nichts, was ein IT-Administrator mal schnell nebenher implementieren kann. Firmen jeder Größe müssen sich intensiv mit der präventiven Cyber-Sicherheitsmaßnahme auseinandersetzen und diese in ihre Prozesse integrieren. Und das nachhaltig, denn IT-Landschaften, Techniktrends, Regularien und Angriffsvektoren verändern sich ständig!