{"id":168,"date":"2021-08-12T16:46:27","date_gmt":"2021-08-12T14:46:27","guid":{"rendered":"https:\/\/www.edilog.de\/network\/?p=168"},"modified":"2021-08-20T15:33:40","modified_gmt":"2021-08-20T13:33:40","slug":"systemsicherheit","status":"publish","type":"post","link":"https:\/\/www.edilog.de\/network\/2021\/08\/12\/systemsicherheit\/","title":{"rendered":"Systemsicherheit"},"content":{"rendered":"<p>Schwachstellen in der Sicherheit von IT-Systemen k\u00f6nnen ggf. die Datensicherheit gef\u00e4hrden und stellen damit auch ein gesch\u00e4ftskritisches Risiko f\u00fcr Unternehmen dar.<\/p>\n<p>Hierzu geh\u00f6ren u.a.:<\/p>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li>Unsichere Grundkonfiguration der Server sowie unn\u00f6tige Dienste und Protokolle<\/li>\n<li>unzureichende Netztrennung z.B. Applikationen inkl. Datenbanken mit sch\u00fctzenswerten Daten sind von jedem Rechner aus dem Intranet aus erreichbar<\/li>\n<li>unzureichende Prozesse und fehlendes Reporting z.B. Software auf Servern wird nicht regelm\u00e4\u00dfig mit Security Patches versorgt<\/li>\n<li>Mangelnde Pflege des Sicherheitsstatus im Sinne von aktuellen sogenannten Patches \/ Bugfixes etc. und Softwareversionen<\/li>\n<li>unzureichende Prozesse um Firewall Regeln im Sinne eines Lifecycle-Managements zu beantragen, frei zu schalten und implementieren zu lassen<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Hinzu kommen h\u00e4ufig noch Compliance-Verst\u00f6\u00dfe und Missachtung von gesetzlichen Auflagen wie dem Datenschutz.<\/p>\n<p>Zur Herstellung und Aufrechterhaltung der Sicherheit von IT-Systemen\u00a0kommen zahlreiche Ma\u00dfnahmen in Betracht, die nachfolgend erl\u00e4utert werden sollen.<\/p>\n<p><strong>Systemh\u00e4rtung<\/strong><\/p>\n<p>Die Grundlage f\u00fcr alle Ma\u00dfnahmen zur Verbesserung der Systemsicherheit\u00a0bildet die Systemh\u00e4rtung (OS-, DB-Systeme, WebServer etc.) zur Herstellung eines Mindeststandards bei der Konfiguration und dem Betrieb von Systemen, Datenbanken und Anwendungen. Die Systeme m\u00fcssen technisch\u00a0immer auf dem aktuellen Stand gehalten werden, wobei der Status\u00a0kontinuierlich \u00fcberwacht und kontrolliert werden mu\u00df.<\/p>\n<p>Systemh\u00e4rtung bedeutet unabh\u00e4ngig von der Art der Software die Konfiguration eines Systems, welche nach dem aktuellen Stand der Technik einen angemessen Schutz vor Angriffen bietet.<\/p>\n<p>Durch die Umsetzung\u00a0von konkreten Sicherheitsanforderungen an die Konfiguration von Betriebssystemen, Middleware und Datenbanken wird ein kurzfristiger Sicherheitsgewinn mit wenig Ressourcenaufwand sichergestellt.<\/p>\n<p>Zu den H\u00e4rtungsma\u00dfnahmen geh\u00f6ren u.a.:<\/p>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li>Abschalten von nicht ben\u00f6tigten Diensten\/ Softwarepaketen<\/li>\n<li>Sichere Dateisysteme und Dateiberechtigungen<\/li>\n<li>Einrichtung von Zugriffsbeschr\u00e4nkungen<\/li>\n<li>Vermeidung unsicherer Dienste und Kommunikationsprotokolle<\/li>\n<li>Aktualisierung der\u00a0Software- und Versionsst\u00e4nde<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>S\u00e4mtliche Serversysteme wie Betriebs-, Middleware-, Webserver- und Datenbanksysteme sollten gem\u00e4\u00df einer Security Baseline \u201egeh\u00e4rtet\u201c sein, was bedeutet, dass nur ein minimales Set an Diensten und Softwaremodulen bereitgestellt werden soll. Informationen zur H\u00e4rtung z.B. von Datenbanksystemen finden Sie\u00a0<a title=\"Database Hardening als Basis f\u00fcr sichere Datenhaltung\" href=\"https:\/\/www.edilog.de\/network\/2021\/08\/19\/database-hardening-als-basis-fuer-sichere-datenhaltung\/\">hier<\/a>.<\/p>\n<p>Notwendige Ausnahmen von der Konfigurations-Baseline m\u00fcssen grunds\u00e4tzlich dokumentiert und genehmigt\u00a0werden und erm\u00f6glichen somit einen \u201eCompliance-Green\u201c Status trotz Abweichung.<\/p>\n<p><strong>Weitere Ma\u00dfnahmen<\/strong><\/p>\n<p>Neben der Systemh\u00e4rtung sollten auch die nachfolgenden\u00a0Ma\u00dfnahmen im Rahmen der Systemsicherheit ber\u00fccksichtigt werden:<\/p>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li>Integration von Security-Richtlinien in den Entwicklungsprozess<\/li>\n<li>\u00dcberpr\u00fcfung der Umsetzung \/ Compliance-Statements<\/li>\n<li>Automatisierte Code-Inspektion<\/li>\n<li>Patch-Management auf Servern<\/li>\n<li>Vulnerability-Monitoring<\/li>\n<li>Applikations-Sicherheitstests<\/li>\n<li>Firewall- und Anti-Virus-Software Integration<\/li>\n<li>Audits<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Neben der Beseitigung von IT-Sicherheitsl\u00fccken sollte auch ein kontinuierliches Reporting und Schwachstellenmanagement zur Vermeidung solcher L\u00fccken in Zukunft mit den nachfolgenden Zielen etabliert werden:<\/p>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li>Umsetzung von technischen und organisatorischen Ma\u00dfnahmen zur Behebung der Sicherheitsschwachstellen<\/li>\n<li>das Bedrohungspotentials durch Umsetzung von Best Practice Ma\u00dfnahmen zu minimieren<\/li>\n<li>Sicherheitsanforderungen (Security Requirements)\u00a0umzusetzen und\u00a0Security Compliance sicherzustellen<\/li>\n<li>Vereinfachung der Security Compliance und der Kontrollnachweise z.B. f\u00fcr Sicherheitsaspekte im Rahmen von Sarbanes-Oxley Act (SOX), Prozessen und Produktzertifizierungen<\/li>\n<li>Security-Informationen der Applikationen werden systematisch erhoben und notwendige Nachweise f\u00fcr Security-Audits und Zertifizierungen sind leichter und schneller verf\u00fcgbar<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><strong>Security Reporting<\/strong><\/p>\n<p>Das Security Reporting stellt technische Informationen \u00fcber den Sicherheits- und Compliance-Status von Projekten, Applikation und Systemen zur Verf\u00fcgung.<\/p>\n<p>Hierzu geh\u00f6ren:<\/p>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li>Systemh\u00e4rtungs-Reports der Betriebs-, Middleware-, Webserver- und Datenbanksysteme in denen ein Abgleich der sicherheitsrelevanten Konfiguration der Server mit den Security Anforderungen durchgef\u00fchrt wird<\/li>\n<li>Basis-System\u00a0Security Scans (von innen und au\u00dfen), um bekannte Schwachstellen der eingesetzten Systeme aufzudecken. Hiermit werden tats\u00e4chlich vorhandene Schwachstellen identifiziert, die ein Angreifer ausnutzen k\u00f6nnte. Als Ergebnis werden sowohl fehlende Security-Patche der Server als auch extern wirksame Schwachstellen der Serverkonfiguration aufgedeckt.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><strong>Schwachstellen Management<\/strong><\/p>\n<p>Hierzu z\u00e4hlt insbesondere das Patch-Management auf Servern, das eine entscheidene Rolle zur Aufrechterhaltung der Systemsicherheit spielt und nachfolgend detaillierter dargestellt werden soll.<\/p>\n<p>Das Patch-Management umfasst im Wesentlichen:<\/p>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li>Aktualisierung der eingesetzten Software<\/li>\n<li>adhhoc\/ Emergency Schwachstellenbehebung<\/li>\n<li>regelm\u00e4\u00dfige Einspielung von Sicherheitspatches<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Zur Realisierung des Patch-Managements hat sich nachfolgender Ablauf bew\u00e4hrt:<\/p>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li>Pr\u00fcfung eingehende Patchinformationen der Systemhersteller und anderer Quellen auf Relevanz und Dringlichkeit<\/li>\n<li>Information an System Manager der Anwendungen, die von einem Patch betroffene Komponenten (Betriebssystem, Middelware oder Datenbank) nutzen<\/li>\n<li>Bewertung der Patchinformationen und Testnotwendigkeiten durch die System Manager<\/li>\n<li>System Manager veranlassen die Einspielung der Patche in eine Testumgebung und testen die Auswirkungen des Patches oder\u00a0erwirken die\u00a0empfohlene Umkonfigurationen des Servers<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Schwachstellen in der Sicherheit von IT-Systemen k\u00f6nnen ggf. die Datensicherheit gef\u00e4hrden und stellen damit auch ein gesch\u00e4ftskritisches Risiko f\u00fcr Unternehmen dar. Hierzu geh\u00f6ren u.a.: Unsichere Grundkonfiguration der Server sowie unn\u00f6tige Dienste und Protokolle unzureichende Netztrennung z.B. Applikationen inkl. Datenbanken mit sch\u00fctzenswerten Daten sind von jedem Rechner aus dem Intranet aus erreichbar unzureichende Prozesse und fehlendes &hellip; <\/p>\n<p class=\"link-more\"><a href=\"https:\/\/www.edilog.de\/network\/2021\/08\/12\/systemsicherheit\/\" class=\"more-link\"><span class=\"screen-reader-text\">\u201eSystemsicherheit\u201c<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[26,7],"tags":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/posts\/168"}],"collection":[{"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/comments?post=168"}],"version-history":[{"count":0,"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/posts\/168\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/media?parent=168"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/categories?post=168"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/tags?post=168"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}