Kon­fi­gu­ra­ti­ons­ma­nage­ment in der In­for­ma­ti­ons­si­cher­heit

Komplexität und Bedrohungslage nehmen zu

Fehlerhafte Einstellungen und Sicherheitskonfigurationen bergen nicht abschätzbare Risiken für die Informationssicherheit. Angesichts der steigenden Komplexität moderner IT-Umgebungen wird das Konfigurationsmanagement – also die fortlaufende und systematische Festlegung, Dokumentation, Umsetzung, Überwachung und Überprüfung von Sicherheitskonfigurationen – zu einer anspruchsvollen Aufgabe, die bis in das Compliance Management einer Organisation hineinreicht.

Die IT-Infrastruktur ist für einen Außenstehenden ein unübersichtliches Geflecht aus Applikationen, Geräten, Netzwerkkomponenten und Diensten, ob On-Prem oder in einer Cloud gehostet. Gerade letztere haben im Zuge der Corona-Pandemie sprunghaft zugenommen. Für die IT-Teams bedeuten die Konfiguration der steigenden Anzahl von Systemkomponenten sowie die fortlaufende Überwachung und Anpassung der Konfigurationen der Systeme jedoch einen erheblichen Aufwand, der die Mitarbeitenden oft überfordert. Ohne ein systematisches Konfigurationsmanagement kann dies zu einem erheblichen Sicherheitsrisiko und dem Verlust oder Missbrauch von (auch personenbezogenen) Daten führen.

Konfigurationsmanagement im Kontext von  ISO 27001:2022

Der neu strukturierte Anhang A von ISO 27001 aus dem Jahr 2022 enthält 93 Informationssicherheitsmaßnahmen (Controls), darunter 11 neue. Mit der Aktualisierung sind die Controls in vier Abschnitten thematisch neu geordnet:

• organisatorische Maßnahmen
• personenbezogene Maßnahmen
• physische Maßnahmen
• technologische Maßnahmen

Das sichere Konfigurationsmanagement in der Informationstechnologie fällt in den Themenbereich technologische beziehungsweise technische Maßnahmen und wird im Anhang A unter 8.9 aufgeführt. Es zählt zu den präventiven Werkzeugen, mit dem alle drei Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) unterstützt werden.

Standardvorlagen

Die Festlegung von Standardvorlagen unterstützt Organisationen dabei, ihr Konfigurationsmanagement zu systematisieren. Bei dieser Entwicklung sollten folgende Grundaspekte berücksichtigt werden:

• Öffentlich zugängliche Leitfäden, zum Beispiel von Anbietern oder unabhängigen Sicherheitsorganen
• Erforderliche Schutzstufen, um eine ausreichende Sicherheit zu gewährleisten
• Unterstützung der internen Informationssicherheitspolitik, themenspezifischer Richtlinien, Normen und anderen Sicherheitsanforderungen
• Durchführbarkeit und Anwendbarkeit von Konfigurationen im Kontext der Organisation

Die ausgearbeiteten Standardvorlagen sollten regelmäßig überprüft und aktualisiert werden, besonders wenn neue Bedrohungen oder Schwachstellen behoben werden müssen, oder wenn neue Software- oder Hardwareversionen ins Unternehmen eingeführt wurden.

Bei der Erstellung der Vorlagen gilt es zudem, eine Reihe weiterer Punkte zu berücksichtigen. Diese tragen allesamt dazu bei, unbefugte oder falsche Änderungen der Konfigurationen zu verhindern:

• Minimierung der Anzahl von Identitäten mit privilegierten oder administrativen Zugangsrechten
• Deaktivierung unnötiger, ungenutzter oder unsicherer Identitäten
• Deaktivierung oder Einschränkung von nicht benötigten Funktionen und Diensten
• Beschränkung des Zugriffs auf leistungsstarke Dienstprogramme und Host-Parametereinstellungen
• Synchronisierung von Uhren
• Änderung der Standardauthentifizierungsdaten und Standardpasswörter des Herstellers unmittelbar nach der Installation und Überprüfung wichtiger sicherheitsrelevanter Parameter
• Aufrufen von Timeout-Einrichtungen, die Computergeräte nach einer bestimmten Zeit der Inaktivität automatisch abmelden
• Überprüfung, ob die Lizenzanforderungen erfüllt sind

Verwaltung und Überwachung von Konfigurationen

Um Fehlkonfigurationen nach einem Schadensfall ausschließen zu können, sollten sämtliche Konfigurationen aufgezeichnet und Änderungen zuverlässig protokolliert werden. Diese Informationen müssen sicher gespeichert werden, beispielsweise in Konfigurationsdatenbanken oder -vorlagen.

Sämtliche Änderungen erfolgen dabei nach dem Vorbild des Controls 8.32 „Änderungssteuerung“, das einen Leitfaden für Änderungen an Informationsverarbeitungsrichtlinien und Informationssystemen beschreibt. Die Konfigurationsdatensätze müssen sämtliche Informationen enthalten, die erforderlich sind, um sowohl den Status eines IT-Systems oder Assets als auch sämtliche daran vorgenommenen Änderungen jederzeit nachzuvollziehen. Dazu gehören zum Beispiel folgende Informationen:

• Aktuelle Informationen über das jeweilige Asset – Wer ist Eigentümer oder Kontaktstelle?
• Datum der letzten Konfigurationsänderung
• Version der Konfigurationsvorlage
• Zusammenhänge und Beziehungen zu den Konfigurationen anderer Assets

Ein umfassender Satz von Systemmanagement-Tools – wie zum Beispiel Wartungsprogrammen, Fernsupport, Unternehmensmanagement-Tools und Sicherungs- und Wiederherstellungssoftware – unterstützt bei der Überwachung und regelmäßigen Prüfung von Konfigurationen. Mithilfe dieser Werkzeuge verifizieren Verantwortliche Konfigurationseinstellungen, bewerten Kennwortstärken und beurteilen durchgeführte Aktivitäten.

Ebenso lassen sich Ist-Zustände mit den definierten Soll-Vorlagen abgleichen und im Falle von Abweichungen angemessene Reaktionen einleiten – entweder durch die automatische Durchsetzung der definierten Soll-Konfiguration oder durch manuelle Analyse der Abweichung und anschließender Korrekturmaßnahmen. Durch Automatisierung, beispielsweise per Infrastructure as Code (programmierbare Infrastruktur), lässt sich die Verwaltung von Sicherheitskonfigurationen in virtualisierten Umgebungen und im Cloud Computing effizient und sicher gestalten.

Konfigurationsmanagement in der Informationssicherheit – ein Fazit

Das Konfigurationsmanagement in der Informationssicherheit ist ein wichtiges Sicherheitswerkzeug und trägt nachhaltig dazu bei, Sicherheitslücken durch Fehlkonfigurationen deutlich zu verringern. Durch die systematische Herangehensweise entlastet es interne Teams und trägt zum effizienten IT-Betrieb sowie zur Härtung von Systemen und Verfügbarkeit von Informationen und vertraulichen Daten bei. Auch die positiven Auswirkungen zum Beispiel auf den personenbezogenen Datenschutz liegen auf der Hand.

Das Konfigurationsmanagement lässt sich zudem in die Prozesse der Anlagenverwaltung und damit verbundene Werkzeuge integrieren. Die zentrale Verwaltung von Sicherheitseinstellungen ermöglicht es, schnell auf neue Bedrohungen und Schwachstellen bei der Verfügbarkeit von Systemen und dem Datenschutz zu reagieren und trägt somit zur Minimierung möglicher Angriffsflächen in Systemen bei. Die neue  Informationssicherheitsmaßnahme 8.9 aus ISO 27001 liefert einen wichtigen Sicherheitsbeitrag für Organisationen und deren Management.

Diesen Mehrwert gilt es für Unternehmen und Organisationen umzusetzen. Die Anforderungen aus dem Control 8.9 gilt es, mit dem Ist-Zustand abzugleichen und über einen gesteuerten Änderungsprozess weiter zu optimieren. Mit unserer Audit- und Zertifizierungs-Expertise aus über 35 Jahren sind wir Ihr optimaler Ansprechpartner und stehen Ihnen beim Thema Informationssicherheit mit Rat und Tat zur Seite.

Zeitgemäßes ISMS mit der Expertise der DQS

Die DQS ist Ihr Spezialist für Audits und Zertifizierungen von Managementsystemen und Prozessen. Mit der Erfahrung aus über vier Jahrzehnten und dem Know-how von mehr als 3.000 Auditorinnen und Auditoren weltweit sind wir Ihr kompetenter Partner für Zertifizierungen.

Wir auditieren nach rund 200 anerkannten Normen und Regelwerken sowie nach unternehmens- und verbandsspezifischen Standards. Als erste deutsche Zertifizierungsstelle erhielten wir im Dezember 2000 die Akkreditierung für BS 7799-2 – dem Vorläufer der heutigen ISO 27001.

Nutzen Sie unsere Expertise und informieren Sie sich über den Zertifizierungsprozess. Unsere Audits erfolgen stets unabhängig, unvoreingenommen und angemessen – auf Basis international anerkannter Standards. Unser Anspruch beginnt dort, wo Auditchecklisten enden. Nehmen Sie uns beim Wort.

Vertrauen und Expertise

Unsere Beiträge und Whitepapers werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail: [email protected]

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.