Hardening

Was ist Hardening?
Hardening bezeichnet die gezielte Härtung von IT-Systemen durch das Entfernen unnötiger Dienste, Softwarekomponenten und Berechtigungen, um die Angriffsfläche zu reduzieren. Ziel ist es, Systeme so zu konfigurieren, dass nur die wirklich notwendigen Funktionen aktiv sind und potenzielle Einfallstore für Angreifer eliminiert werden. Dies ist ein zentraler Bestandteil der IT-Sicherheit und insbesondere relevant für Server, Clients, Netzwerkkomponenten und Anwendungen.

Technischer Aufbau & Varianten

Maßnahmen des Hardening unterscheiden sich je nach Systemtyp, umfassen aber häufig:

• Betriebssysteme:

  • Entfernen unnötiger Systemdienste

  • Aktivieren sicherheitsrelevanter Module (z. B. SELinux, AppArmor)

  • Minimierung von Benutzerrechten (Least Privilege)

  • Anpassung sicherheitsrelevanter Konfigurationsdateien

• Netzwerkebene:

  • Schließen nicht genutzter Ports

  • Einsatz restriktiver Firewall-Regeln

  • Nutzung von Paketfiltern (z. B. iptables)

• Anwendungsebene:

  • Deaktivieren unsicherer Skriptsprachen oder Plug-ins

  • Absicherung von Webservern (z. B. TLS-Konfiguration, HSTS)

  • Nutzung sicherer Standardwerte (Secure Defaults)

• Automatisierung:

  • Einsatz von Hardening-Skripten (z. B. Bash, PowerShell)

  • Verwendung von Tools wie Ansible, Chef oder Puppet

  • Automatisierte CIS-Benchmark-Checks

Relevanz in der Praxis

Hardening ist ein fundamentaler Bestandteil des Secure-by-Design-Ansatzes und wird in zahlreichen sicherheitskritischen Umgebungen standardmäßig angewendet. Vorteile in der Praxis:

• Reduktion der Attack Surface

• Verbesserung der Compliance (ISO 27001, BSI-Grundschutz, CIS)

• Vermeidung von Zero-Day-Ausnutzungen durch Deaktivierung gefährdeter Komponenten

• Unterstützung von Incident-Response durch saubere Systembasis

• Kosteneinsparungen durch Vermeidung von Sicherheitsvorfällen

Standards & regulatorische Anforderungen

• ISO/IEC 27001 – Informationssicherheits-Managementsysteme

• BSI-Grundschutz-Kompendium – technische und organisatorische Maßnahmen

• CIS Benchmarks – standardisierte Hardening-Guidelines für viele Systeme

• NIST SP 800-123 – „Guide to General Server Security“

Verwandte Begriffe

• Least Privilege Prinzip

• Firewall Rule Set Audit

• Patch Management

• Security Scan

• Configuration Review

Beispiel aus der Praxis

Ein Finanzdienstleister implementierte systemweites Hardening auf seinen Linux-Servern gemäß CIS-Benchmarks. Dabei wurden unnötige Dienste wie FTP und Telnet deaktiviert, Standardpasswörter geändert und Protokolle auf sichere Alternativen umgestellt. Durch die Kombination mit SIEM-Überwachung wurde ein Angriff über einen bislang unbekannten SSH-Exploit frühzeitig erkannt und blockiert.