Was hat Server Hardening mit Datenschutz zu tun?

29. Juli 2021

Im heutigen Blog-Beitrag geht es um das Thema "Härten" von Servern oder wie im Englischen auch "hardening" genannt. Hinter diesem Begriff sind Maßnahmen zu verstehen, welche darauf abzielen das Betriebssystem und die darauf installierten Anwendungen und Daten vor Sicherheitsrisiken (beispielsweise Cyberattacken oder Malware) zu schützen. Die bereits veröffentlichten Beiträge zur Authentifizierung und zur Einführung von Berechtigungskonzepten können als erste Schritte auf dem Weg zu einem gehärteten System verstanden werden.

Was hat das Ganze mit dem Datenschutz zu tun?

Eine ganze Menge! Wer sich mit der Thematik etwas befasst, wird schnell feststellen, dass IT-Security und Datenschutz eine extrem hohe Schnittmenge haben - wer hätte das gedacht 😉

Im Mittelpunkt steht das Verzeichnis der Verarbeitungstätigkeiten (Art. 30). Hier sind alle Tätigkeiten und Prozesse des Unternehmens dokumentiert, bei denen personenbezogene Daten verarbeitet werden. Dies umfasst neben dem Zweck der Verarbeitung, die Kategorien von betroffenen Personen und personenbezogenen Daten, [...] , auch technisch organisatorische Maßnahmen TOMs (Art. 32), welche die zum Schutz der Daten getroffenen Maßnahmen dokumentieren.

Diese Maßnahmen beziehen sich meist auf:

- die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Art. 32 DSGVO - Sicherheit der Verarbeitung

Hardening - was tun?

In der Realität steht der Ruf nach "sicheren Systemen" oftmals im Widerspruch mit der Budgetsituation oder den vorhandenen Ressourcen. Die Frage ist also: "Wo soll ich mit dem Hardening anfangen? Welche Maßnahmen sind die am dringendsten umzusetzenden Maßnahmen?"

Viele der großen Softwaregiganten wie z.B. Microsoft, Oracle oder Microfocus bieten teils kostenfreie und frei zugängliche Security- bzw. Hardening-Guides an, welche einen sehr guten Ausgangspunkt bieten. Dabei sollte beachtet werden, dass diese Guides jedoch nur als allgemeine Basis zu verstehen sind, welche durch die Spezifika Ihres Unternehmens ergänzt werden müssen, um zu einem ganzheitlich betrachteten System zu kommen.

Neben den großen Tech-Unternehmen sind externe Organisationen wie das Center for Internet Security (CIS), Defense Information System Agency (DISA), das Britische National Cyber Security Center (NCSC) oder das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Quelle für technisch versierte Handlungsempfehlungen zu nennen. Häufig lassen sich auch in diesen Dokumenten herstellerübergreifende Maßnahmen finden, die in den Dokumentationen der Organisationen aus dem ersten Artikel nicht erwähnt werden.

Hardening am Beispiel

Eine der fundamentalsten Maßnahmen ist das System auf seine essentiellsten Bestandteile (Rolle/Funktion) zu beschränken. Durch das Entfernen von nicht verwendeten Diensten wird der Footprint des Servers ebenso reduziert, wie die potentielle Angriffsfläche: Software, die nicht auf einem System vorhanden ist, kann nicht ausgenutzt werden um sich Zugriff auf das System zu verschaffen. Standard Administratorkonten sollten ebenfalls deaktiviert werden und - wo immer möglich - mit eigenen, benutzergebundenen Zugängen versehen werden. Durch diese Maßnahmen wird sowohl die Gruppierung von Systemen als auch die Überwachung der Systeme erleichtert.

Wie einleitend erwähnt, ist die Aktualität der einzelnen Komponenten wie Treiber, Firmware, Sicherheitspatches des Betriebssystem sowie aller installierten Anwendungen von oberster Priorität, denn jeder eingespielte Patch schließt weitere potentielle Lücken in Ihrem System und verhindert, dass Unbefugte über diese in Ihre Systeme eindringen können.

Vertrauen ist gut, Kontrolle ist besser!

Sind die Maßnahmen definiert und implementiert, so bedarf es einer stetigen Kontrolle ihrer Wirksamkeit. Die Durchführung von Sicherheitsmaßnahmen ist ein kontinuierlicher Prozess, und darf nicht aus Zeit- oder Kostengründen vernachlässigt werden.

Um es nicht soweit kommen zu lassen, sollten Sie frühzeitig auf die Hilfe von Experten und zurückgreifen und von Anfang an auf eine konsequente Automatisierung beim Betrieb Ihrer IT-Landschaft setzen!

Haben Sie Fragen zu diesem oder anderen Themen oder benötigen Sie konkrete Unterstützung? - Wir sind nur einen Klick entfernt.

crossmenu