Konfigurationsmanagement in der Informationssicherheit

INHALT

• Komplexität und Bedrohungslage nehmen zu
• Konfigurationsmanagement im Kontext von ISO 27001:2022
• Control 8.9 „Konfigurationsmanagement“
• Konfigurationsmanagement in der Informationssicherheit – Fazit
• DQS: Ihr Ansprechpartner für zertifizierte Informationssicherheit

Komplexität und Bedrohungslage nehmen zu

Fehlerhafte Einstellungen und Sicherheitskonfigurationen bergen nicht abschätzbare Risiken für die Informationssicherheit. Angesichts der steigenden Komplexität moderner IT-Umgebungen wird das Konfigurationsmanagement – also die fortlaufende und systematische Festlegung, Dokumentation, Umsetzung, Überwachung und Überprüfung von Sicherheitskonfigurationen – zu einer anspruchsvollen Aufgabe, die bis in das Compliance Management einer Organisation hineinreicht.

Die IT-Infrastruktur ist für einen Außenstehenden ein unübersichtliches Geflecht aus Applikationen, Geräten, Netzwerkkomponenten und Diensten, ob On-Prem oder in einer Cloud gehostet. Gerade letztere haben im Zuge der Corona-Pandemie sprunghaft zugenommen. Für die IT-Teams bedeuten die Konfiguration der steigenden Anzahl von Systemkomponenten sowie die fortlaufende Überwachung und Anpassung der Konfigurationen der Systeme jedoch einen erheblichen Aufwand, der die Mitarbeitenden oft überfordert. Ohne ein systematisches Konfigurationsmanagement kann dies zu einem erheblichen Sicherheitsrisiko und dem Verlust oder Missbrauch von (auch personenbezogenen) Daten führen.

Immerhin gaben 81 % der Sicherheitsverantwortlichen in einer Studie aus dem Jahr 2022 an, dass Schwachstellen und unbekannte Fehlkonfigurationen die größten Sicherheitsprobleme in ihren Infrastrukturen verursachen. Und auch in den Pandemic Eleven, einer Studie der Cloud Security Alliance über die gravierendsten Schwachstellen im Bereich des Cloud Computings während der Pandemie, stehen Fehlkonfigurationen auf einem prominenten dritten Platz.

Es ist also eine logische Konsequenz aus den Entwicklungen der letzten Jahre, dem Konfigurationsmanagement in der Informationstechnologie zum Beispiel im Kontext unbefugter Zugriffe mehr Aufmerksamkeit zu schenken. Daher ist es richtig, dass die neue ISO/IEC 27001:2022 diesem Thema eine eigene Informationssicherheitsmaßnahme gewidmet hat.

Konfigurationsmanagement im Kontext von  ISO 27001:2022

Der neu strukturierte Anhang A von ISO 27001 aus dem Jahr 2022 enthält 93 Informationssicherheitsmaßnahmen (Controls), darunter 11 neue. Mit der Aktualisierung sind die Controls jetzt neu in vier Abschnitten thematisch geordnet:

• organisatorische Maßnahmen
• personenbezogene Maßnahmen
• physische Maßnahmen
• technologische Maßnahmen

Das sichere Konfigurationsmanagement in der Informationstechnologie fällt in den Themenbereich technologische beziehungsweise technische Maßnahmen und wird im Anhang A unter 8.9 aufgeführt. Es zählt zu den präventiven Werkzeugen, mit dem alle drei Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) unterstützt werden.

Standardvorlagen

Die Festlegung von Standardvorlagen unterstützt Organisationen dabei, ihr Konfigurationsmanagement zu systematisieren. Bei dieser Entwicklung sollten folgende Grundaspekte berücksichtigt werden:

• Öffentlich zugängliche Leitfäden, zum Beispiel von Anbietern oder unabhängigen Sicherheitsorganen
• Erforderliche Schutzstufen, um eine ausreichende Sicherheit zu gewährleisten
• Unterstützung der internen Informationssicherheitspolitik, themenspezifischer Richtlinien, Normen und anderen Sicherheitsanforderungen
• Durchführbarkeit und Anwendbarkeit von Konfigurationen im Kontext der Organisation

Die ausgearbeiteten Standardvorlagen sollten regelmäßig überprüft und aktualisiert werden, besonders wenn neue Bedrohungen oder Schwachstellen behoben werden müssen, oder wenn neue Software- oder Hardwareversionen ins Unternehmen eingeführt wurden.

Bei der Erstellung der Vorlagen gilt es zudem, eine Reihe weiterer Punkte zu berücksichtigen. Diese tragen allesamt dazu bei, unbefugte oder falsche Änderungen der Konfigurationen zu verhindern:

• Minimierung der Anzahl von Identitäten mit privilegierten oder administrativen Zugangsrechten
• Deaktivierung unnötiger, ungenutzter oder unsicherer Identitäten
• Deaktivierung oder Einschränkung von nicht benötigten Funktionen und Diensten
• Beschränkung des Zugriffs auf leistungsstarke Dienstprogramme und Host-Parametereinstellungen
• Synchronisierung von Uhren
• Änderung der Standardauthentifizierungsdaten und Standardpasswörter des Herstellers unmittelbar nach der Installation und Überprüfung wichtiger sicherheitsrelevanter Parameter
• Aufrufen von Timeout-Einrichtungen, die Computergeräte nach einer bestimmten Zeit der Inaktivität automatisch abmelden
• Überprüfung, ob die Lizenzanforderungen erfüllt sind

Verwaltung und Überwachung von Konfigurationen

Um Fehlkonfigurationen nach einem Schadensfall ausschließen zu können, sollten sämtliche Konfigurationen aufgezeichnet und Änderungen zuverlässig protokolliert werden. Diese Informationen müssen sicher gespeichert werden, beispielsweise in Konfigurationsdatenbanken oder -vorlagen.

Sämtliche Änderungen erfolgen dabei nach dem Vorbild des Controls 8.32 „Änderungssteuerung“, das einen Leitfaden für Änderungen an Informationsverarbeitungsrichtlinien und Informationssystemen beschreibt. Die Konfigurationsdatensätze müssen sämtliche Informationen enthalten, die erforderlich sind, um sowohl den Status eines IT-Systems oder Assets als auch sämtliche daran vorgenommenen Änderungen jederzeit nachzuvollziehen. Dazu gehören zum Beispiel folgende Informationen:

• Aktuelle Informationen über das jeweilige Asset – Wer ist Eigentümer oder Kontaktstelle?
• Datum der letzten Konfigurationsänderung
• Version der Konfigurationsvorlage
• Zusammenhänge und Beziehungen zu den Konfigurationen anderer Assets

Ein umfassender Satz von Systemmanagement-Tools – wie zum Beispiel Wartungsprogrammen, Fernsupport, Unternehmensmanagement-Tools und Sicherungs- und Wiederherstellungssoftware – unterstützt bei der Überwachung und regelmäßigen Prüfung von Konfigurationen. Mithilfe dieser Werkzeuge verifizieren Verantwortliche Konfigurationseinstellungen, bewerten Kennwortstärken und beurteilen durchgeführte Aktivitäten.

Ebenso lassen sich Ist-Zustände mit den definierten Soll-Vorlagen abgleichen und im Falle von Abweichungen angemessene Reaktionen einleiten – entweder durch die automatische Durchsetzung der definierten Soll-Konfiguration oder durch manuelle Analyse der Abweichung und anschließender Korrekturmaßnahmen. Durch Automatisierung, beispielsweise per Infrastructure as Code (programmierbare Infrastruktur), lässt sich die Verwaltung von Sicherheitskonfigurationen in virtualisierten Umgebungen und im Cloud Computing effizient und sicher gestalten.

Konfigurationsmanagement in der Informationssicherheit – ein Fazit

Das Konfigurationsmanagement in der Informationssicherheit ist ein wichtiges Sicherheitswerkzeug und trägt nachhaltig dazu bei, Sicherheitslücken durch Fehlkonfigurationen deutlich zu verringern. Durch die systematische Herangehensweise entlastet es interne Teams und trägt zum effizienten IT-Betrieb sowie zur Härtung von Systemen und Verfügbarkeit von Informationen und vertraulichen Daten bei. Auch die positiven Auswirkungen zum Beispiel auf den personenbezogenen Datenschutz liegen auf der Hand.

Das Konfigurationsmanagement lässt sich zudem in die Prozesse der Anlagenverwaltung und damit verbundene Werkzeuge integrieren. Die zentrale Verwaltung von Sicherheitseinstellungen ermöglicht es, schnell auf neue Bedrohungen und Schwachstellen bei der Verfügbarkeit von Systemen und dem Datenschutz zu reagieren und trägt somit zur Minimierung möglicher Angriffsflächen in Systemen bei. Die neue  Informationssicherheitsmaßnahme 8.9 aus ISO 27001 liefert einen wichtigen Sicherheitsbeitrag für Organisationen und deren Management.

Diesen Mehrwert gilt es für Unternehmen und Organisationen umzusetzen. Die Anforderungen aus dem Control 8.9 gilt es, mit dem Ist-Zustand abzugleichen und über einen gesteuerten Änderungsprozess weiter zu optimieren. Mit unserer Audit- und Zertifizierungs-Expertise aus über 35 Jahren sind wir Ihr optimaler Ansprechpartner und stehen Ihnen beim Thema Informationssicherheit mit Rat und Tat zur Seite.

Was bedeutet das Update für Ihre Zertifizierung?

ISO/IEC 27001:2022 wurde am 25. Oktober 2022 veröffentlicht.

Daraus ergeben sich für Anwender folgende Fristen und Zeiträume für den Übergang:

Letzter Termin für die Erst-/Rezertifizierungsaudits nach der „alten“ ISO 27001

• nach dem 30. April 2024 wird die DQS Erst- und Rezertifizierungsaudits nur noch nach der neuen Norm ISO/IEC 27001:2022 durchführen

Umstellung aller bestehenden Zertifikate nach der „alten“ ISO/IEC 27001:2013 auf die neue Version von 2022

• es gilt eine 3-jährige Übergangsfrist ab dem 31. Oktober 2022
• ausgestellte Zertifikate nach ISO/IEC 27001:2013 oder DIN EN ISO/IEC 27001:2017 sind längstens bis zum 31. Oktober 2025 gültig oder müssen zu diesem Datum zurückgezogen werden

Die deutsche DIN-Norm liegt seit Ende 2023 vor:

DIN EN ISO/IEC 27001:2024-01 – Informationssicherheit, Cybersicherheit und Datenschutz –  Informationssicherheitsmanagementsysteme – Anforderungen

Zeitgemäßes ISMS mit der Expertise der DQS

Beim Übergang auf die neue Version von ISO/IEC 27001 bleibt Organisationen also noch etwas Zeit. Die aktuellen Zertifikate auf Basis der alten Norm verlieren am 31.10.2025 ihre Gültigkeit. Dennoch sind sie gut beraten, sich frühzeitig mit den veränderten Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) auseinanderzusetzen, geeignete Change-Prozesse einzuleiten und dementsprechend umzusetzen.

Als Experten für Audits und Zertifizierungen mit der Erfahrung aus über drei Jahrzehnten unterstützen wir Sie bei der Umsetzung der neuen ISO 27001:2022. Informieren Sie sich bei unseren zahlreichen erfahrenen Auditoren über die wichtigsten Veränderungen und deren Relevanz für Ihr Unternehmen – und vertrauen Sie auf unsere Expertise. Wir freuen uns auf Ihre Kontaktaufnahme. 

Vertrauen und Expertise

Unsere Beiträge und Whitepapers werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail: willkommen@dqs.de

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.