Beiträge

SiSyPHuS Win10 ist ein Projekt des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Auf Basis einer Analyse der sicherheitskritischen Funktionen im Betriebssystem Microsoft Windows 10, wurden Handlungsempfehlungen zu dessen Härtung entwickelt. Diese Empfehlungen sind jetzt auch in Form einer Compliance-Richtlinie Bestandteil des Greenbone Security Feeds und können für Greenbone-Kunden komfortabel direkt mit den Greenbone-Appliances geprüft werden.

Die Maßnahmen beinhalten unter Anderem Konfigurationsempfehlungen, Kennwortrichtlinien, Verschlüsselungsvorgaben und natürlich Aktualisierungen. Sie helfen dabei, Windows-10-Systeme deutlich sicherer zu machen. Durch die Integration der Compliance-Richtlinie in den Greenbone Security Feed, sind die Maßnahmen einfach in die Prüfroutinen des Greenbone-Schwachstellenmanagements integrierbar.

Weitere Informationen finden Sie hier.

Compliance-Richtlinien werden von Unternehmen, Organisationen oder Behörden genutzt, um zu prüfen, ob alle verwendeten Produkte, Anwendungen, Betriebssysteme und andere Komponenten bestimmte Vorgaben erfüllen. Das Center for Internet Security (CIS) stellt dafür sogenannte CIS Benchmarks bereit. Auch die Greenbone-Lösungen bieten seit März 2021 die Möglichkeit, die Erfüllung von CIS Benchmarks zu prüfen – mithilfe von neuen Compliance-Richtlinien.

Was versteht man aber überhaupt unter einer Compliance-Richtlinie?

Zusätzlich zu gesetzlichen Vorgaben unterliegen Unternehmen, Organisationen und Behörden oft auch anderen Anforderungen, die für die sichere Konfiguration eines Systems erfüllt werden müssen. Solche Anforderungen können beispielsweise von einem Software- oder Anwendungshersteller für die eigenen Produkte formuliert werden, aber auch von IT-Sicherheits-Organisationen.

Ziel dabei ist es, für die Informations- und Datensicherheit eines Unternehmens oder einer Behörde zu sorgen, indem die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Authentizität von Informationen sichergestellt wird.

Alle Vorgaben und Richtlinien, aber auch Empfehlungen, die dafür zu erfüllen sind, werden in einer Richtlinie in schriftlicher Form gebündelt.

Diese Richtlinien bilden die Grundlage für von Greenbone Networks entwickelte Compliance-Richtlinien, also für die Zusammenstellung an Tests, die eine Greenbone-Lösung auf einem Zielsystem ausführt. Dabei wird für jede einzelne Anforderung oder Empfehlung ein Schwachstellentest entwickelt, der die Erfüllung jener Anforderung oder Empfehlung prüft. Alle Tests werden von Greenbone Networks zu Scan-Konfigurationen zusammengefasst und zum Greenbone Security Feed hinzugefügt.

Da die Scan-Konfigurationen in diesem Fall Richtlinien von Unternehmen oder Behörden abbilden, werden sie als „Compliance-Richtlinien“ bezeichnet.


Beispiel: Ein Unternehmen bringt eine Richtlinie mit den folgenden Anforderungen heraus:

  • Version 2 der Software A ist auf dem Zielsystem installiert
  • SSH ist auf dem Zielsystem aktiviert
  • Software B ist nicht auf dem Zielsystem installiert

Greenbone Networks entwickelt für jede der Anforderungen jeweils einen Schwachstellentest, der abfragt, ob die jeweilige Bedingung erfüllt ist.

Die drei Tests werden dann zu einer Compliance-Richtlinie zusammengefasst, die ein Nutzer der Greenbone-Lösungen zum Ausführen eines Schwachstellenscans wählen kann. Während des Scans wird dann geprüft, ob die oben genannten Bedingungen auf dem Zielsystem erfüllt werden.


CIS Benchmarks als maßgebende Security-Richtlinien

Auch das Center for Internet Security (CIS) veröffentlich solche Security-Richtlinien: die sogenannten CIS Benchmarks. CIS ist eine im Jahr 2000 gegründete Non-Profit-Organisation, die Best Practices für die IT-Sicherheit bereitstellen, die von Regierungen, der Industrie und der Wissenschaft genutzt werden.

Mit eines der größten Tätigkeitsfelder der Organisation sind die sogenannten CIS Benchmarks. Dabei handelt es sich um Handlungs- und Konfigurationsempfehlungen für zahlreiche Produkte aus den unterschiedlichsten Produktfamilien. So gibt es beispielweise CIS Benchmarks für Webbrowser wie Mozilla Firefox oder Google Chrome, für Betriebssysteme wie Microsoft Windows oder unterschiedliche Linux-Distributionen, aber auch für die Microsoft-Office-Produkte.

Im Gegensatz zu vielen anderen Security-Standards, die nur grundsätzliche Vorgaben bezüglich der IT-Sicherheit machen – beispielsweise, dass es ein Schwachstellenmanagement geben muss – sind die CIS Benchmarks sehr detailliert. Sie stellen Anforderungen bereit, die erfüllt werden müssen, um ein System zu härten, sprich sicherer zu machen und vor Angriffen zu schützen. Dazu können unter anderem Kriterien für Passwörter, aber auch Vorgaben für bestimmte installierte Software-Versionen gehören.

Die CIS Benchmarks werden von CIS kostenlos als PDF zur Verfügung gestellt und ständig erweitert. Für CIS SecureSuite Member – so wie Greenbone Networks es seit 2021 ist – sind die CIS Benchmarks aber auch über die CIS Workbench in anderen Formaten, zum Beispiel für Microsoft Word oder Excel, verfügbar.

CIS-zertifizierte Compliance-Richtlinien bei Greenbone Networks

Wie auch bei den Security-Richtlinien anderer Unternehmen, Organisationen oder Behörden hat Greenbone Networks nun basierend auf den CIS Benchmarks eigene Compliance-Richtlinien entwickelt. Diese ermöglichen es Nutzern einer Greenbone-Lösung, ihre Netzwerke, Systeme und Anwendungen auf die Anforderungen aus den CIS Benchmarks zu überprüfen. Seit März 2021 sind mehrere Compliance-Richtlinien, die CIS Benchmarks abbilden, im Greenbone Security Feed enthalten.

Und das Besondere daran: Die von Greenbone Networks entwickelten Compliance-Richtlinien sind von CIS zertifiziert! Das bedeutet, dass Nutzer sicher gehen können, dass ihr System gemäß den Härtungsempfehlungen von CIS geprüft wird.

Nutzer können nun also ihre Systeme daraufhin prüfen, ob die Vorgaben von CIS erfüllt werden. Das vereinfacht auch die Vorbereitung von Audits. Wichtige Kriterien können bereits vorab mit einem Scan durch eine Greenbone-Lösung geprüft und gegebenenfalls gefundene Schwachstellen behoben werden.

Doch bei diesen CIS-zertifizierten Compliance-Richtlinien wird es nicht bleiben. Viele weitere Compliance-Richtlinien, die CIS Benchmarks abbilden, sind bei Greenbone Networks in der Planung oder sogar bereits in der Entwicklung.

Mithilfe von Compliance-Richtlinien kann ein Unternehmen prüfen, ob alle im System integrierten Komponenten die erforderlichen Vorgaben erfüllen. Durch die steigende Digitalisierung und die damit einhergehende Zunahme neuer Technologien entstehen Chancen, aber auch Risiken. Aus diesem Grund nehmen auch die Anforderungen an die Compliance zu. Mit GOS 20.08 wurden alle Compliance-Richtlinien über den Greenbone Security Feed verfügbar gemacht und vier neue Compliance-Richtlinien hinzugefügt: TLS-Map, BSI TR-03116: Part 4, Huawei Datacom Product Security Configuration Audit Guide und Windows 10 Security Hardening.

Compliance Richtlinien für unterschiedliche Branchen

Was ist überhaupt eine Compliance Richtlinie?

Neben den gesetzlichen Vorgaben haben Unternehmen und Behörden oft auch ihre eigenen Richtlinien, die für die sichere Konfiguration eines Systems zu erfüllen sind. Ziel dabei ist es, für die Informationssicherheit des Unternehmens oder der Behörde zu sorgen, indem die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Authentizität von Informationen sichergestellt wird.

Alle Vorgaben und Richtlinien, die dafür nötig sind, werden in einem Dokument zu einer Richtlinie zusammengefasst.

Auf Basis der einzelnen Kriterien der Richtlinien entwickelt Greenbone Networks Schwachstellentests – grob gesagt: ein Kriterium ergibt einen Schwachstellentest. Diese Tests fasst Greenbone Networks zu Scan-Konfigurationen zusammen.

Solche Scan-Konfigurationen, die Richtlinien von Unternehmen oder Behörden abbilden, werden als Compliance-Richtlinien bezeichnet.


Beispiel: Ein Unternehmen bringt eine Security-Richtlinie mit den folgenden Anforderungen heraus:

  • Version 2 der Software A ist auf dem Zielsystem installiert
  • SSH ist auf dem Zielsystem aktiviert
  • Software B ist nicht auf dem Zielsystem installiert

Greenbone Networks entwickelt für jede der Anforderungen jeweils einen Schwachstellentest, der abfragt, ob die jeweilige Bedingung erfüllt ist.

Die drei Tests werden dann zu einer Compliance-Richtlinie zusammengefasst, die ein Nutzer der Greenbone-Lösungen beim Ausführen eines Schwachstellenscans wählen kann. Während des Scans wird dann geprüft, ob die oben genannten Bedingungen auf dem Zielsystem erfüllt werden.


Neu: Verteilung der Compliance-Richtlinien über den Greenbone Security Feed

Ab GOS 20.08 werden alle standardmäßigen Scan-Konfigurationen, Berichtsformate, Portlisten und Compliance-Richtlinien von Greenbone Networks über den Greenbone Security Feed verteilt.

Dies ermöglicht unter anderem die Veröffentlichung und Verteilung von Scan-Konfigurationen für aktuelle, heiße Schwachstellen-Tests. Früher wurden diese als XML-Dateien für den manuellen Download auf der Greenbone-Download-Website veröffentlicht und mussten vom Nutzer selbst importiert werden – was sehr mühsam war und Raum für Fehler ließ, weshalb eine schnelle Anwendung kaum möglich war.

Doch dies ist nicht der einzige Vorteil. Auch die Fehlerbehebung für den Kunden ist somit viel einfacher und schneller: die Objekte können mit einem einzigen Feed-Update für alle Setups aktualisiert und, falls nötig, gefixt werden.

Zusätzlich zu dieser Neuerung wurde der Greenbone Security Feed um ein paar wichtige Compliance-Richtlinien erweitert.

Mehr Compliance-Richtlinien im Greenbone Security Feed

Dem Greenbone Security Feed wurden im 4. Quartal 2020 vier neue Compliance-Richtlinien hinzugefügt:

  • TLS-Map
  • BSI TR-03116: Part 4
  • Huawei Datacom Product Security Configuration Audit Guide
  • Windows 10 Security Hardening

Über die spezielle Scan-Konfiguration TLS-Map

Hinweis: Bei TLS-Map handelt es sich um eine Scan-Konfiguration für spezielle Scans, die sich von Schwachstellenscans unterscheiden. Aus Gründen der Übersichtlichkeit wird diese spezielle Scan-Konfiguration in diesem Beitrag mit den Compliance-Richtlinien zusammen aufgeführt.

Die spezielle Scan-Konfiguration TLS-Map ist überall dort hilfreich, wo eine gesicherte Kommunikation über das Internet stattfindet. TLS – kurz für Transport Layer Security – ist ein Protokoll für die sichere Übertragung von Daten im Internet. Es ist der Nachfolger von SSL – Secure Sockets Layer –, weshalb beide Protokolle auch heute oft noch synonym verwendet werden. Alle SSL-Versionen und TLS-Versionen vor Version 1.2 sind allerdings seit spätestens 2020 veraltet und somit unsicher.

Das größte Einsatzgebiet von TLS ist die Datenübertragung im World Wide Web (WWW), beispielsweise zwischen einem Webbrowser als Client und einem Server wie www.greenbone.net. Andere Anwendungsgebiete finden sich im E-Mail-Verkehr und bei der Übertragung von Dateien über File Transport Protocol (FTP).

Die spezielle Scan-Konfiguration TLS-Map prüft, ob die erforderliche TLS-Version auf dem Zielsystem vorhanden ist und ob die benötigten Verschlüsselungsalgorithmen – sogenannte Ciphers – angeboten werden.

Über die Compliance-Richtlinie BSI TR-03116: Part 4

Die Technische Richtlinie BSI TR-03116 Kryptographische Vorgaben für Projekte der Bundesregierung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt für Projekte der Bundesregierung zum Einsatz. Das bedeutet, soll ein Bundesprojekt umgesetzt werden, muss die Richtlinie erfüllt werden. Sie besteht aus insgesamt 5 Teilen:

  • Teil 1: Telematikinfrastruktur
  • Teil 2: Hoheitliche Ausweisdokumente
  • Teil 3: Intelligente Messsysteme
  • Teil 4: Kommunikationsverfahren in Anwendungen
  • Teil 5: Anwendungen der Secure Element API

Die Compliance-Richtlinie, die Greenbone Networks entsprechend entwickelt hat, prüft, ob die Inhalte des vierten Teils der Richtlinie erfüllt werden. Dieser Teil enthält Anforderungen für Kommunikationsverfahren.

Die Compliance-Richtlinie BSI TR-03116: Part 4 im Greenbone Security Feed prüft die drei Hauptanforderungen – minimal unterstützte TLS-Version sowie notwendige und nicht legitime Ciphers – der technischen Richtlinie.

 Über die Compliance-Richtlinie Huawei Datacom Product Security Configuration Audit Guide

Compliance-Richtlinien für Huawei-Lösungen befinden sich bereits seit längerer Zeit im Greenbone Security Feed.

Für die folgenden beiden Lösungen hatte Greenbone Networks bereits zuvor Compliance-Richtlinien entwickelt:

  • EulerOS: Linux-Betriebssystem, basierend auf CentOS
    Zugehörige Compliance Richtlinie: EulerOS Linux Security Configuration
  • GaussDB: Datenbankmanagementsystem (DBMS)
    Zugehörige Compliance Richtlinie: GaussDB 100 V300R001C00 Security Hardening Guide

Mit einer Compliance-Richtlinie für Huawei Datacom, einer Produktkategorie, die auch Router und Switches mit einem eigenen Betriebssystem umfasst, kommt nun eine dritte Compliance-Richtlinie für von Huawei entwickelte Lösungen hinzu.

Für alle drei Produkte – Huawei Datacom, EulerOS und GaussDB – gibt es Sicherheitskonfigurationen, die von Huawei vorgegeben wurden. Auf deren Basis hat Greenbone Networks Compliance-Richtlinien entwickelt, die die Einhaltung eben jener Sicherheitskonfigurationen prüfen. Die unterschiedlichen Compliance-Richtlinien finden immer dann Anwendung, wenn auf dem Zielsystem die entsprechende Lösung vorhanden ist.

Für Huawei Datacom vertreibt Huawei den Huawei Datacom Product Security Configuration Audit Guide. Die zugehörige, neu entwickelte Compliance-Richtlinie prüft beispielsweise ob die korrekten Versionen von SSH und SNMP auf dem Zielsystem vorhanden ist.

Über die Compliance-Richtlinie Windows 10 Security Hardening

Die Compliance-Richtlinie Windows 10 Security Hardening beinhaltet Schwachstellentests, um die Härtung von Windows 10 nach Industriestandards zu bewerten.

Unter anderem prüft die Compliance-Richtlinie unterschiedliche Passwortvorgaben wie Alter, Länge und Komplexität des Passworts, Vorgaben für das Vergeben von Benutzerrechten und Anforderungen für unterschiedliche Systemdienste.

Jetzt noch schnellere Einbindung von Compliance-Richtlinien mit GOS 20.08

Mit fortschreitender Digitalisierung wachsen in Unternehmen jeder Größe und Branche die Anforderungen an die Compliance.

Durch die direkte Einbindung der Compliance-Richtlinien über den Greenbone Security Feed und der Aufnahme neuer Compliance-Richtlinien, werden Zielsysteme noch effektiver, einfacher und schneller geprüft und somit der Schutz der IT-Infrastruktur erhöht, ohne dass spezielles Compliance-Know-How benötigt wird.

Natürlich arbeiten wir auch weiterhin laufend an neuen Compliance-Richtlinien. Sie dürfen also gespannt sein!