Configuration Review

Was ist eine Configuration Review?

Eine Configuration Review ist eine systematische Sicherheitsüberprüfung von Konfigurationsparametern in IT-Systemen, Netzwerkkomponenten und Anwendungen. Ziel ist die Erkennung von Fehlkonfigurationen, Sicherheitslücken und Verbesserungspotenzial.

Technischer Ablauf & Inhalte

Typische Prüfelemente:

• Passwortregeln & Authentifizierung

• Firewall- und ACL-Konfigurationen

• Dienste und Ports (z. B. unnötige Services)

• Logging, Zeitserver, TLS-Versionen

• Admin-Interfaces und Managementzugänge

• Cloud-Konten & Berechtigungsmodelle

Tools & Methoden:

• CIS-CAT (CIS Benchmarks)

• OpenVAS, Nessus, Lynis

• Manuelle Inspektion von SSH-/RDP-Hosts

• Playbook-basierte Vergleiche (z. B. mit Ansible)

Relevanz in der Praxis

Fehlkonfigurationen sind laut Verizon DBIR eine der häufigsten Ursachen für Sicherheitsvorfälle.
Configuration Reviews helfen bei:

• Härtung (Hardening)

• Vorbereitung auf Audits (z. B. ISO 27001, SOC 2)

• Nachbereitung von Sicherheitsvorfällen

• Re-Zertifizierung von Cloud- oder OnPrem-Infrastrukturen

Normen & Vorgaben

• BSI IT-Grundschutz – SYS.1.1 & NET.1.1

• ISO/IEC 27002 – A.9–A.13

• NIS-2 & DORA verlangen Konfigurationsmanagement

• CIS Benchmarks – Standardisierter Härtungskatalog

Verwandte Begriffe

• Hardening

• Secure Configuration

• Baseline

• Patch Management

• Security Review

• Audit Trail

Beispiel aus der Praxis

In einem Configuration Review wurde entdeckt, dass ein Kubernetes-Cluster öffentlich erreichbar war – ohne Authentifizierung an der API. Der Zugang wurde umgehend eingeschränkt, und ein Baseline-Template eingeführt.