Konfigurationsprüfungen

Konfigurationsprüfungen gehören zur Gruppe der Whitebox-Tests und sind essenziell, um sicherzustellen, dass IT-Systeme korrekt und sicher konfiguriert sind. Sie helfen Schwachstellen zu identifizieren und die Einhaltung von Sicherheitsrichtlinien zu gewährleisten.

Wann sollte eine Konfigurationsprüfung durchgeführt werden?

Nach der Erstinstallation und -konfiguration: Unmittelbar nach der Einrichtung neuer Systeme, Anwendungen oder Netzwerke, um sicherzustellen, dass sie vor dem produktiven Betrieb sicher konfiguriert sind.

Regelmäßige Intervalle: In regelmäßigen Abständen, wie z.B. quartalsweise oder jährlich, um kontinuierlich Sicherheitsstandards zu gewährleisten und neue Schwachstellen zu identifizieren.

Nach bedeutenden Änderungen: Immer nach wesentlichen Änderungen in der IT-Infrastruktur, wie z.B. Software-Updates, Systemupgrades, Netzwerkänderungen oder dem Hinzufügen neuer Dienste.

Als Audit-Nachweis: Im Zuge von internen oder externen Audits, um nachzuweisen, dass alle Systeme und Anwendungen den erforderlichen Sicherheitsstandards und Vorschriften entsprechen.

Bei stark abgekapselten Systemen: Wenn die Einrichtung von externen oder Vor-Ort-Zugängen eine Hürde darstellt, kann die Prüfung in Form einer Videokonferenz mit Administratoren durchgeführt werden, bei der der Administrator auf Anleitung des Auditors die sicherheitsrelevanten Einstellungen zeigt.

Nach Sicherheitsvorfällen: Nach einem Sicherheitsvorfall oder einer Sicherheitsverletzung, um die Ursache zu identifizieren und zukünftige Vorfälle zu verhindern.

Unser Vorgehen

Konfigurationsprüfungen werden durch Inaugenscheinnahmen und automatisierten Abgleich auf die Einhaltung von Best-Practices wie u.a. die CIS Benchmarks, Herstellerempfehlungen oder kundenindividueller Anforderungen geprüft. Da in der Regel Abweichungen gegenüber den Zielen festgestellt werden und eine vollständige Konformität zu großen Anforderungskatalogen wie den CIS Benchmarks selten erreicht wird, zeigen wir im Abschlussbericht auf, welche verbleibenden Sicherheitseinstellungen einen begründbaren Mehrwert bieten.

Über die Bewertung der allgemeinen Härtungsmaßnahmen auf Basis der Best Practices hinaus untersuchen wir die Lösungen hinsichtlich anwendbarer projektspezifischer Konfigurationseinstellungen. So werden die Authentisierungs- und Autorisierungsverfahren, Schad-Software-Schutzmaßnahmen und die Verschlüsselung sensibler Daten bei der Übertragung und Speicherung nach Stand der Technik (BSI TR 02102) hinsichtlich ihrer sicheren Implementierung und Wirksamkeit geprüft.

Des Weiteren untersuchen wir die eingesetzten Software-Komponenten hinsichtlich ihrer Aktualität bzw. der Existenz öffentlich bekannter Schwachstellen und bewerten die Ausnutzbarkeiten unter Berücksichtigung des Schadenspotentials und der Eintrittswahrscheinlichkeit.

Wir bewerten unter anderem die sicherheitsrelevanten Konfigurationen von

  • Betriebssystemen / Firmware
  • System- und Applikationsdiensten
  • Datenbanken
  • Netzwerkgeräten und WLAN-Access Points
  • Security Gateways
  • Cloud-Umgebungen (Entra ID, Azure Cloud, AWS)
  • Active Directory und PKI-Infrastrukturen