Ein Configuration Review (Konfigurationsprüfung) ist eine systematische Bewertung der Konfigurationen von IT-Systemen, Anwendungen und Cloud-Diensten gegen definierte Sicherheits-Baselines und Richtlinien. Ziel ist es, Fehlkonfigurationen frühzeitig zu erkennen, kontrolliert zu beheben und die Wirksamkeit des Konfigurationsmanagements nachzuweisen. Grundlage bilden etablierte Standards wie NIST SP 800-128, ISO/IEC 27002:2022 (Control 8.9 „Configuration management“), der BSI-IT-Grundschutz und die CIS Benchmarks sowie CIS Controls.
Configuration Reviews sind typischerweise in ein ISMS (Informationssicherheits-Managementsystem) eingebettet und eng mit Change Management und Patch- und Schwachstellenprozessen verzahnt.
Hintergrund und Entstehung
Configuration Reviews stammen aus dem sicherheitsfokussierten Konfigurationsmanagement. NIST beschreibt mit SP 800-128 Prozesse zur Festlegung sicherer Baselines, zur Steuerung von Änderungen und zur kontinuierlichen Überwachung von Konfigurationen, um Risiken durch Fehlkonfigurationen systematisch zu adressieren.
Mit ISO/IEC 27002:2022 wurde das Steuerungsziel 8.9 „Configuration management“ konkretisiert. Organisationen sollen Konfigurationen über den gesamten Lebenszyklus planen, dokumentieren, überprüfen und freigeben. Dadurch wird die Prüfbarkeit im Audit gestärkt und die Kopplung an Zertifizierungen nach ISO/IEC 27001 erleichtert.
Im DACH-Kontext fordert der BSI-IT-Grundschutz u. a. geregeltes Patch- und Änderungsmanagement sowie dokumentierte, geprüfte Systemzustände. Der Baustein OPS.1.1.3 „Patch- und Änderungsmanagement“ beschreibt, wie entsprechende Prozesse aufgebaut und kontrolliert werden können. Regelmäßige Configuration Reviews sind dafür ein wesentliches Kontrollinstrument.
Wichtigste Merkmale und Kernelemente eines Configuration Review
Baseline und Härtung
Ausgangspunkt ist eine definierte, freigegebene Sicherheits-Baseline, die auf Standards (z. B. CIS Benchmarks) und internen Richtlinien basiert. Systeme werden automatisiert oder halbautomatisiert gegen diese Baseline geprüft, Abweichungen werden priorisiert bewertet und über definierte Maßnahmenpläne behoben.
So wird sichergestellt, dass Konfigurationen nicht zufällig entstehen, sondern reproduzierbar, dokumentiert und auditierbar sind.
Regelmäßige Prüfung und Messbarkeit
Configuration Reviews erfolgen risikobasiert und periodisch, etwa vierteljährlich für kritische Assets oder anlassbezogen nach größeren Changes. Typische Kennzahlen sind Abweichungsquote, durchschnittliche Behebungszeit (MTTR) und Anteil konformer Systeme. ISO/IEC 27002 verlangt eine fortlaufende Steuerung und Überprüfung der Konfigurationen; diese Kennzahlen bilden die Grundlage für Managementberichte und Audits.
Änderungssteuerung (Change Control)
Festgestellte Abweichungen führen über definierte Change-Management-Prozesse zu Änderungen an Systemen, Infrastruktur oder IaC-Definitionen. Dazu gehören Vier-Augen-Prinzip, Tests in nicht-produktiven Umgebungen und formale Freigaben. NIST verankert diese Abläufe im sicherheitsfokussierten Konfigurationsmanagement und betont die enge Kopplung zwischen Security-Anforderungen und technischem Änderungsmanagement.
Dokumentation und Nachvollziehbarkeit
Ergebnisse, Entscheidungen und genehmigte Änderungen werden revisionssicher dokumentiert, z. B. in Ticket-Systemen oder einer CMDB. Der BSI-IT-Grundschutz betont die Notwendigkeit geordneter, dokumentierter Änderungen und prüfbarer Systemzustände.
Gut aufbereitete Reports ermöglichen es Auditoren und Führungsgremien, die Ordnungsmäßigkeit von Konfigurationsprozessen nachzuvollziehen.
Tool-Unterstützung und Automatisierung
Technische Scans (agent-basiert oder agentless), IaC-Checks (z. B. Policies für Terraform) und Drift-Detection unterstützen die kontinuierliche Überwachung. Das CIS-Steuerungsthema „Secure Configuration of Enterprise Assets and Software“ adressiert genau diese Kontrollen und verknüpft secure configuration mit automatisierter Bewertung und Reporting.
In reifen Umgebungen werden Findings automatisiert in Ticket-Systeme überführt und mit Vulnerability Scanning korreliert.
Bedeutung für Unternehmen und Praxisrelevanz
Für CISOs, IT-Leitungen und Geschäftsführungen schaffen Configuration Reviews Transparenz über den tatsächlichen Sicherheitszustand und liefern belastbare Audit-Nachweise. Sie reduzieren Angriffsflächen, da Fehlkonfigurationen zu den häufigsten Ursachen für Sicherheitsvorfälle zählen – insbesondere in Cloud- und Hybridumgebungen.
Im DACH-Umfeld unterstützen Configuration Reviews die Konformität mit ISO/IEC 27001-Audits (über Control 8.9 der ISO/IEC 27002) sowie mit Anforderungen des BSI-IT-Grundschutz an Patch- und Änderungsmanagement. Unternehmen, die Kennzahlen wie MTTR, Abweichungsquote oder Anteil konformer Assets systematisch verankern, können Fortschritte in der operativen Resilienz nachweisen.
In der Praxis wirken Configuration Reviews als Bindeglied zwischen Technik und Governance: Findings aus den Reviews fließen in Change-Prozesse zurück, Führungsgremien erhalten aggregierte Reports mit Priorisierung der Maßnahmen, und die Secure-Baseline wird kontinuierlich nachgeschärft.
Abgrenzung zu verwandten Begriffen
Configuration Review vs. Vulnerability Scanning
Vulnerability Scans identifizieren Schwachstellen in Software, Bibliotheken oder Services (z. B. bekannte CVEs). Ein Configuration Review bewertet, ob Systeme konform zur definierten Baseline betrieben werden, etwa ob unnötige Dienste deaktiviert, sichere Protokolle erzwungen und Logging-Anforderungen umgesetzt sind. Beide Ansätze ergänzen sich: Ein gehärtetes System kann dennoch verwundbare Komponenten enthalten, und ein gepatchtes System kann weiterhin riskante Konfigurationen aufweisen.
Configuration Review vs. Penetrationstest
Penetrationstests prüfen die Ausnutzbarkeit von Schwachstellen aus Angreifersicht. Configuration Reviews fokussieren dagegen auf Einstellungen, Baselines und Governance-Prozesse. Penetrationstests sind meist punktuell und szenariobasiert, während Configuration Reviews zyklisch erfolgen und dauerhaft im ISMS und Change-Management verankert sind.
Beispiele aus der Praxis
Beispiel 1: Cloud-SaaS (KMU, DACH)
Ein vierteljährliches Configuration Review einer SaaS-Umgebung deckt öffentlich zugängliche Objektspeicher, schwach konfigurierte MFA-Policies und fehlende Protokoll-Retention auf. Nach Umsetzung der Maßnahmen sinkt die Abweichungsquote von 22 % auf 4 %, die MTTR für Konfigurationsbefunde fällt von 15 auf 5 Tage. Die Ergebnisse fließen in das ISMS-Reporting ein und werden in Management-Reviews betrachtet.
Beispiel 2: Netzwerk-Security (KRITIS-Zulieferer)
Ein KRITIS-Zulieferer prüft Firewall- und Switch-Konfigurationen regelmäßig gegen CIS-Baselines. Änderungen werden ausschließlich über Change-Tickets beantragt und nach Tests freigegeben. Audit-Nachweise zu mehreren Releases zeigen die Ordnungsmäßigkeit der Konfigurationsprozesse und führen zu weniger Findings in ISO/IEC 27001-Audits und BSI-Prüfungen.
Häufig gestellte Fragen
Was ist ein Configuration Review?
Ein Configuration Review ist eine strukturierte Prüfung von Konfigurationen von Systemen, Anwendungen und Cloud-Diensten gegen definierte Sicherheits-Baselines und Policies. Es identifiziert Fehlkonfigurationen, priorisiert Maßnahmen und dokumentiert deren Umsetzung, um secure configuration und Governance nachweisbar zu machen.
Wie oft sollten Configuration Reviews durchgeführt werden?
Standards empfehlen eine risikobasierte Taktung. Kritische Systeme werden häufig mindestens vierteljährlich sowie anlassbezogen nach größeren Änderungen geprüft; weniger kritische Assets können in längeren Intervallen betrachtet werden. ISO/IEC 27002 Control 8.9 und der BSI-IT-Grundschutz verlangen eine kontinuierliche Steuerung und Überprüfung der Konfigurationen.
Worin liegt der Unterschied zwischen Vulnerability Assessment und Configuration Review?
Ein Vulnerability Assessment sucht nach bekannten Schwachstellen (CVEs, veraltete Softwarestände), während ein Configuration Review prüft, ob Systeme und Dienste gemäß einer sicheren Baseline konfiguriert sind (z. B. Protokolle, Dienste, Logging, Härtung). Erst die Kombination aus regelmäßigem Scanning und Configuration Reviews ergibt ein vollständiges Bild der technischen Angriffsfläche.
Welche Frameworks verweisen auf Configuration Reviews?
NIST SP 800-128 beschreibt Security-Focused Configuration Management, ISO/IEC 27002:2022 enthält mit Control 8.9 ein eigenes Steuerungsziel zum Configuration Management, der BSI-IT-Grundschutz fordert geregeltes Patch- und Änderungsmanagement, und die CIS Controls (Control 4) definieren konkrete Anforderungen an secure configuration und deren Überprüfung.
Quellen
[Q1] NIST: SP 800-128 – Guide for Security-Focused Configuration Management of Information Systems, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-128.pdf, Abrufdatum: 11.12.2025.
[Q2] ISO: ISO/IEC 27002:2022 – Information security, cybersecurity and privacy protection — Information security controls (inkl. Control 8.9 „Configuration management“), https://www.iso.org/standard/75652.html, Abrufdatum: 11.12.2025.
[Q3] BSI: IT-Grundschutz-Kompendium, Baustein OPS.1.1.3 Patch- und Änderungsmanagement (Edition 2023), https://it-grundschutzkompendium.de/ops_betrieb/ops.1.1.3_patch-_und_aenderungsmanagement, Abrufdatum: 11.12.2025.
[Q4] Center for Internet Security: CIS Critical Security Control 4 – Secure Configuration of Enterprise Assets and Software (CIS Controls v8, Bezug zu CIS Benchmarks), https://www.cisecurity.org/controls/secure-configuration-of-enterprise-assets-and-software, Abrufdatum: 11.12.2025.