Systemhärtung
Sicherheit entsteht durch Reduktion von Angriffsflächen, nachvollziehbare Konfigurationen und überprüfbare Ergebnisse.
Systemhärtung bedeutet, Betriebssysteme und Dienste so zu konfigurieren, dass sie auch unter realistischen Angriffsannahmen stabil, sicher und wartbar bleiben.
Ich unterstütze bei der systematischen Systemhärtung auf Basis sicherer Standards, auditierbarer Prozesse und objektiver Metriken – vom Basissystem über Netzwerkdienste bis hin zu Compliance-Fragestellungen.
Ziel ist ein definiertes Sicherheitsniveau, das sich automatisiert prüfen, dokumentieren und kontinuierlich verbessern lässt.
Ziele & Vorgehensweise
Ein gehärtetes System ist kein Zufallsprodukt, sondern das Ergebnis eines strukturierten Vorgehens.
Im Mittelpunkt stehen:
- gezielte Reduktion unnötiger Angriffsflächen
- saubere, nachvollziehbare Konfigurationen
- klare Trennung von sicherheitskritischen und optionalen Maßnahmen
Ich verbinde technische, organisatorische und prozessuale Maßnahmen und integriere sie in bestehende Betriebs- und Deployment-Prozesse.
Alle Härtungsmaßnahmen werden dokumentiert, versioniert und regelmäßig überprüft.
Die Härtung orientiert sich an Best-Practice-Standards, realen Bedrohungsmodellen und betrieblichen Anforderungen – nicht an blind abgearbeiteten Checklisten.
Objektive Bewertung mit Lynis
Zur objektiven Bewertung des Härtungsgrads setze ich Lynis ein – ein etabliertes Audit-Tool für Unix-basierte Systeme. Lynis analysiert unter anderem:
- Betriebssystem- und Kernel-Konfigurationen
- Benutzer- und Rechteverwaltung
- Netzwerk- und Dienstekonfigurationen
- Logging-, Audit- und Compliance-Aspekte
Der daraus resultierende Lynis-Score dient als transparenter Referenzpunkt für: Priorisierung von Maßnahmen, Vergleich zwischen Systemen, und Monitoring von Fortschritt und Konfigurations-Drift
Der Score ist kein Selbstzweck, sondern eine messbare Grundlage für Entscheidungen und kontinuierliche Verbesserung.
Betriebssystem & Kernel
Ein sicher konfigurierter Kernel bildet die Basis jeder Systemhärtung.
Schwerpunkte sind unter anderem:
- sichere Kernel-Parameter (sysctl)
- Deaktivierung unnötiger Kernel-Module
- restriktive Geräte- und Dateisystemrechte
- sichere Boot- und Runtime-Einstellungen
Maßnahmen werden stets im Kontext der Systemrolle bewertet, um Sicherheit und Stabilität in Einklang zu halten.
Authentifizierung & Rechte
Fehlkonfigurierte Zugriffsrechte gehören zu den häufigsten Ursachen für Sicherheitsvorfälle.
Ich unterstütze bei:
- SSH-Härtung und key-basierter Authentifizierung
- sauberen sudo- und Rollen-Konzepten
- klaren Passwort-, Session- und Timeout-Policies
- nachvollziehbarer Benutzer- und Gruppenverwaltung
Netzwerk &
Dienste
Jeder offene Port erhöht die Angriffsfläche.
Daher liegt der Fokus auf klaren, restriktiven Netzwerkkonzepten:
- Firewall- und Filterregeln (z. B. nftables / iptables)
- Deaktivierung nicht benötigter Dienste
- sichere Kommunikationsprofile (TLS, Cipher Suites)
- Trennung interner und externer Kommunikationspfade
Netzwerkhärtung erfolgt immer in enger Abstimmung mit Betrieb und Monitoring.
Protokollierung &
Auditing
Ohne saubere Protokollierung ist Sicherheit nicht überprüfbar.
Ich implementiere Konzepte für:
- strukturierte und zentrale Log-Erfassung
- Audit-Logs mit Manipulationsschutz
- definierte Retention- und Auswertungsstrategien
- regelmäßige Re-Audits, z. B. mit Lynis
So lassen sich Sicherheitszustand, Änderungen und Abweichungen jederzeit nachvollziehen.
Mandatory Access Control
(SELinux / AppArmor)
Mandatory Access Control zählt zu den wirkungsvollsten, aber auch anspruchsvollsten Härtungsmaßnahmen.
Ich unterstütze bei:
- Bewertung, ob MAC sinnvoll und realistisch ist
- produktivem Betrieb im enforcing-Modus
- Analyse und Reduktion von False Positives
- Entwicklung, Pflege und Debugging eigener Policies
Der Fokus liegt auf Verständnis, Wartbarkeit und Betriebssicherheit – nicht auf blindem Aktivieren.
Seminare
Konkrete Seminare und aktuelle Schwerpunkte finden Sie in unserem Seminarkatalog.
Ob Inhouse bei Ihnen im Unternehmen, als Webinar oder als offener Termin – die Formate sind flexibel auf unterschiedliche Anforderungen zugeschnitten.
Häufig gestellte Fragen zu Systemhärtung
In dieser FAQ finden Sie die Themen, die in Beratung und Trainings am häufigsten aufkommen. Jede Antwort ist kurz gehalten und verweist bei Bedarf auf weiterführende Inhalte. Ihre Frage fehlt? Nehmen Sie gern Kontakt mit mir auf.
Was ist der Unterschied zwischen Hardening und „Security by Default“?
Security by Default beschreibt sichere Grundeinstellungen eines Systems. Systemhärtung geht darüber hinaus: Sie bewertet aktiv genutzte Funktionen, reduziert Angriffsflächen gezielt und passt Konfigurationen an reale Bedrohungen und Betriebsanforderungen an.
Härtung ist immer kontextabhängig – nicht jede empfohlene Maßnahme ist in jeder Umgebung sinnvoll.
Muss ein System für maximale Sicherheit möglichst stark eingeschränkt werden?
Nein. Maximale Einschränkung führt häufig zu instabilem Betrieb und erhöhtem Administrationsaufwand.
Ziel der Systemhärtung ist kontrollierte Sicherheit, nicht maximale Restriktion.
Ein gutes Härtungskonzept balanciert Sicherheit, Verfügbarkeit und Wartbarkeit und dokumentiert bewusst getroffene Entscheidungen.
Wie aussagekräftig ist ein Lynis-Score wirklich?
Der Lynis-Score ist eine Orientierungsgröße, kein absolutes Qualitätsmerkmal.
Ein niedrigerer Score kann in bestimmten Szenarien bewusst akzeptiert sein, wenn Maßnahmen betrieblich nicht sinnvoll sind – entscheidend ist die Begründung und Transparenz.