Angreifern das Leben schwer machen Was ist ein gehärtetes Betriebssystem?

Anbieter zum Thema

Rosenberger-OSI GmbH & Co. OHG

Fujitsu Technology Solutions GmbH

Die Zahl der Attacken auf IT-Systeme bleibt hoch und nimmt sogar immer weiter zu. Zu den verschiedenen Gegenmaßnahmen zählen auch gehärtete Betriebssysteme. Sie sind auf das Wesentliche reduziert und geben damit nur geringe Angriffsfläche.

Ein Betriebssystem erfüllt im Normalzustand viele Zwecke und stellt die Grundlage für unterschiedlichste Anwendungen bereit. Diese Vielseitigkeit ist oftmals willkommen, birgt aber auch Risiken: Umso breiter das Betriebssystem aufgestellt ist, desto höher ist die Wahrscheinlichkeit, dass Angreifer über kurz oder lang Schwachstellen finden und diese auch ausnutzen. Häufig gelingen Angriffe über Komponenten oder Anwendungen, die für den eigentlichen Einsatzzweck des jeweiligen Systems gar nicht oder nicht mehr erforderlich sind.

Derartige Sicherheitslücken lassen sich in der Regel nachträglich schließen. Viel besser wäre es allerdings, wenn sie gar nicht erst vorhanden wären. An diesem Punkt setzen so genannte gehärtete Betriebssysteme an: Sie umfassen ausschließlich Software, Komponenten und Dienste, die zum Betrieb des Systems erforderlich sind.

Bekannte Schwachstellen sind bereits gepatcht und lassen sich damit nicht mehr ausnutzen. Unnötige Einfallstore für Angreifer werden somit nicht nur geschlossen, sondern existieren schlicht nicht. Zudem wird die regelmäßige Pflege und Wartung der Systeme durch deren Beschränkung auf das Wesentliche vereinfacht.

Angriffsfläche minimieren

Die Härtung (englisch: „hardening“) eines Betriebssystems basiert auf konkreten Zielsetzungen. Die offensichtlichsten sind die Beseitigung möglicher Schwachstellen und damit auch die Reduzierung von Angriffsfläche und -methoden. Zudem spielt die Frage eine Rolle, was im schlimmsten Fall nach einer erfolgreichen Attacke passieren könnte. Dabei gilt es, dem Angreifer möglichst wenig Tools und Privilegien zugänglich zu machen, um seine Möglichkeiten einzuschränken. Gleichzeitig soll die Chance auf eine zeitnahe und erfolgreiche Entdeckung einer Attacke möglichst hoch sein.

Die naheliegendste Methode, um diese Ziele zu erreichen, ist die Entfernung oder Deaktivierung aller Bestandteile des Betriebssystems, die für den jeweiligen Einsatzzweck nicht unbedingt erforderlich sind. Weitere Möglichkeiten sind der Einsatz von unprivilegierten Benutzerkonten sowie die Deaktivierung von häufig vorhandenen Standard-Accounts wie etwa „root“ oder „admin“. Nicht benötigte Benutzerkonten oder Standard-Passwörter werden grundsätzlich gelöscht, unbenutzte Ports geschlossen. Veraltete Protokolle oder Verschlüsselungsalgorithmen sollten abgeschaltet oder wenn möglich ganz entfernt werden.

Der Einsatz von beispielsweise Passwortrichtlinien, restriktiven Zugangs- und Zugriffs-Policies und die Ausführung von Programmbibliotheken und Anwendungen in zufällig definierten Adressbereichen im virtuellen Speicher sorgen zusätzlich für Sicherheit. Regelmäßige Überprüfungen stellen sicher, dass die Maßnahmen stets auf dem neuesten Stand sind.

Weitere Informationen

Grundlegende und sehr detaillierte Informationen zum Thema gehärtete Systeme finden sich zum Beispiel im „IT-Grundschutz-Kompendium“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Beim Absichern von Microsofts aktuellem Betriebssystem „Windows 11“ hilft das „Microsoft Security Compliance Toolkit“.

(ID:48492617)