Logo der activeMind AG

ISO 27002Kapitel 8.9 Konfigurationsmanagement

Kapitel 8.9 der ISO 27002 behandelt einen in der Praxis sehr häufig vernachlässigten Prozess. Es geht um die gesteuerte und geplante Konfiguration von Hardware und Software. Sofern überhaupt Anpassungen gemacht werden, erfolgen diese oft nur ad hoc in eigener Regie eines IT Mitarbeiters.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Worum geht es?

Eine der ganz wesentlichen Maßnahmen zur Erhöhung der Informationssicherheit ist, gekaufte IT-Lösungen nicht einfach im Lieferzustand mit standardmäßigen Einstellungen in Betrieb zu nehmen. Egal ob Hardware oder Software, Dienst oder Netzwerkkomponenten – alles sollte an die konkreten eigenen Anforderungen und Erfordernisse angepasst werden.

So kann schon die schlichte Deaktivierung nicht benötigter Dienste und Anschlüsse die Sicherheit erhöhen. Und auch in anderen Fällen, in denen etwa eine Firewall ohne korrekte Konfiguration der Organisation überhaupt keinen Nutzen bringt und sogar nachteilig sein kann, sollten alle Einstellungen geplant und nachvollziehbar sein.

Was empfiehlt die ISO 27002?

Das in Kapitel 8.9 der ISO 27002 vorgeschlagene Vorgehen ist kein anderes als bei anderen Prozessen auch. Das Vorgehen sollte geplant erfolgen und sich an den konkret festgestellten Anforderungen orientieren. Die Umsetzung sollte gesteuert und nur durch hierzu qualifizierte und befugte Personen stattfinden. Ausgangslage und Ergebnisse sollten regelmäßig überprüft werden, auch im Hinblick auf zwischenzeitlich eingetretene Änderungen.

Im Einzelnen können wir auf Basis der Norm folgende Empfehlungen geben:

  • Um den Soll-Zustand zu definieren, sollte es für jede Konfiguration eine klar dokumentierte Vorlage geben, die aus sich heraus für einen fachkundigen Dritten abschließend und verständlich ist.
  • Diese Vorlage dient auch als externe Referenz für spätere Kontrollen, ob der tatsächliche Zustand auch der Vorgabe entspricht. Die in der Praxis häufig anzutreffende Vorgehensweise, dass lediglich die aktuelle Konfiguration ausgelesen wird, ist nämlich keinerlei Beleg dafür, dass diese Konfiguration tatsächlich gewollt ist und sie zwischenzeitlich auch nicht verändert wurde.
  • Hinweise zur sicheren Konfiguration liefern oftmals die Hersteller selbst, aber auch andere Stellen. Organisationen sollten dafür sorgen, dass sie diese Informationen auch haben, etwa durch Abonnement der entsprechenden Newsletter.
  • Welche Einstellungen richtig sind und welches Sicherheitsniveau im Ergebnis erreicht werden soll, muss mit Blick auf die bestehenden Risiken im Einzelfall entschieden werden. Wie hoch ist die Schutzstufe? Wie exponiert ist ein Service oder ein System? Welche Auswirkungen hätte ein Ausfall oder eine Kompromittierung?
  • Nicht benötigte oder nicht genutzte Funktionen und Dienste sollten deaktiviert werden.
  • Sowohl die Beurteilung der Risiken als auch die Konfigurationshinweise sollten in angemessenen Abständen regelmäßig überprüft werden. In diesem Zusammenhang sollte auch daran gedacht werden, dass durch gegebenenfalls zwischenzeitlich erhältliche Updates von Hard- oder Software andere und neue Konfigurationen möglich sind oder gar erforderlich werden.
  • Der Zugriff auf Administrationstools und Konfigurationseinstellungen muss beschränkt sein.
  • Änderungen an Konfigurationen sollten nur durch wenige und hierzu ausdrücklich befugte Personen mit ausreichender Fachkunde erfolgen.
  • Die zur Arbeit mit Konfigurationen verwendeten Kennungen sollten nur exklusiv hierfür genutzt werden und nach Möglichkeit bei Nichtgebrauch deaktiviert sein.
  • Eigentlich selbstverständlich sollte sein, dass sämtliche vom Hersteller bei Auslieferung voreingestellten Standardpasswörter etc. unverzüglich durch sichere Authentifizierungsdaten ersetzt werden.
  • Viel Aufwand im Einzelfall und die damit verbundene Fehleranfälligkeit kann vermieden werden, wenn bereits gehärtete Images für ganze Installationen oder passende Pakete zur Softwareverteilung vorhanden sind, die möglichst auch schon laufend weiter aktualisiert wurden.
  • Insgesamt sollte auch in diesem gesamten Zusammenhang ein vollständiger Änderungsmanagementprozess etabliert werden. Ist- und vor allem Sollzustand sollten stets aktuell und objektiv zweifelsfrei dokumentiert sein. Eine Configuration Management Database (CMDB) ist zur sauberen Erfüllung der Aufgaben meist unverzichtbar. Änderungen sollten nur geplant und im Hinblick auf mögliche unerwünschte Folgen auch nur nach angemessenen Tests erfolgen. Alle Änderungen sollten sich inhaltlich und zeitlich nachvollziehen lassen. Viele Komponenten erlauben den regelmäßigen Export ihrer Konfiguration, die dann automatisch versioniert abgelegt und ggf. an Verantwortliche zur Kenntnis oder Prüfung weitergeleitet werden kann.
  • Wie üblich sollten im gesamten Zusammenhang regelmäßige dokumentierte Kontrollen erfolgen, speziell im Hinblick darauf, ob die aktuellen Konfigurationen noch den vorgesehenen entsprechen. Geeignete Tools zum Erfassen der vorhandenen IT und Software gleich verbunden mit dem automatischen Auslesen der jeweiligen aktuellen Konfiguration können hier eine enorme Hilfe sein. Sollten Abweichungen auftreten, sind diese nach Feststellung und Beseitigung der Ursache zu korrigieren. Korrekturen von Abweichungen bzw. die Sicherstellung der gewünschten Konfiguration können auch realisiert werden, indem Konfigurationen nach Möglichkeit zentral gepflegt und verteilt werden, beispielsweise durch GPO bzw. passende Vorgaben in Azure.

Fazit

Wie bereits eingangs erwähnt, ist das Konfigurationsmanagement ein in der Praxis oft sehr stiefmütterlich behandelter Bereich. Unterbesetzte IT-Abteilungen haben oftmals überhaupt keine andere Wahl, als Anpassungen schnell und mehr oder weniger aus dem Bauch heraus vorzunehmen. Spätestens ein Nachfolger oder Vertreter ist dann ohne irgendeine Dokumentation nicht mehr in der Lage, zeitnah und richtig zu handeln.

Ebenfalls häufig aus Zeitdruck fehlt es den zuständigen Personen an der Möglichkeit, sich tatsächlich mit Risiken, Konfigurationsmöglichkeiten, Auswirkungen usw. auseinanderzusetzen. Eine Verbesserung der Ressourcen und gegebenenfalls die Einholung externer, fachkundiger Hilfe ist in solchen Fällen dringend notwendig.

Dass Fehler bei der Konfiguration oder aber ein Ausbleiben von Anpassungen einer Konfiguration erheblich der Auswirkungen auf Organisationen haben kann, sollte auf der Hand liegen. Um auf das eingangs genannte Beispiel Firewall zurückzukommen: diese einfach nur anzustöpseln, ist genauso fatal, wie sie falsch zu konfigurieren.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Im Rahmen einer Zertifizierung nach ISO 27001 unterstützen die Experten der activeMind AG durch die Einführung von IT-Richtlinien, mit denen eine ordnungsgemäße und systematische Konfiguration aller IT-Komponenten gesteuert werden kann.

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.