SECURITYSQUAD
Zurück zum Blog

Systemhärtung mit CIS Benchmarks: Werkseinstellungen sind offene Türen

2026-07-16 · von SECURITYSQUAD

Systemhärtung mit CIS Benchmarks: Werkseinstellungen sind offene Türen

Viele erfolgreiche Angriffe brauchen keine ausgefeilte Zero-Day-Lücke. Es genügt ein Server im Auslieferungszustand, ein Standard-Passwort oder ein Dienst, der offen lauscht, obwohl ihn niemand nutzt. Werkseinstellungen sind auf schnelle Inbetriebnahme optimiert, nicht auf Sicherheit – und genau diese Bequemlichkeit lassen Angreifer sich zunutze machen. Systemhärtung schließt diese Türen, bevor sie jemand findet.

Warum Standardkonfigurationen ein Risiko sind

Ein frisch installiertes Betriebssystem, eine neue Datenbank oder ein Cloud-Dienst kommt mit Voreinstellungen, die möglichst viel ermöglichen: aktive Beispieldienste, großzügige Berechtigungen, veraltete Protokolle, ausführliche Fehlermeldungen. Für den Betrieb ist das komfortabel, für Angreifer ist es eine Landkarte. Automatisierte Scanner suchen im Minutentakt nach genau diesen Mustern. Wer Systeme unverändert produktiv setzt, verlässt sich darauf, dass niemand hinschaut – keine tragfähige Sicherheitsstrategie.

CIS Benchmarks: Härtung nach Maß

Die CIS Benchmarks des Center for Internet Security sind ein weltweit etablierter, herstellerübergreifender Katalog konkreter Härtungsvorgaben – für Windows und Linux, für Microsoft 365 und Azure, für Datenbanken, Container und Netzwerkkomponenten. Statt vager Empfehlungen liefern sie prüfbare Einzelmaßnahmen: welcher Dienst deaktiviert, welche Richtlinie gesetzt, welches Protokoll abgeschaltet gehört.

Dabei unterscheiden die Benchmarks bewusst zwei Niveaus: Level 1 umfasst Maßnahmen, die sich mit vertretbarem Aufwand und ohne spürbare Einschränkung des Betriebs umsetzen lassen. Level 2 zielt auf Umgebungen mit erhöhtem Schutzbedarf und nimmt dafür Einschränkungen in Kauf. So lässt sich die Härtung an den tatsächlichen Schutzbedarf eines Systems anpassen, statt pauschal alles zuzudrehen.

Vom Benchmark zum Betrieb

Ein Benchmark ist kein Schalter, den man einmal umlegt. Der Weg führt über vier Schritte: messen, wie weit ein System vom Zielzustand entfernt ist; priorisieren, welche Abweichungen das größte Risiko tragen; ausrollen, idealerweise automatisiert über Konfigurationsmanagement; und dokumentieren, warum eine Vorgabe bewusst abweicht, wenn eine Anwendung sie nicht zulässt. Werkzeuge wie CIS-CAT oder die Prüfprofile gängiger Härtungs-Frameworks liefern dafür einen reproduzierbaren Soll-Ist-Abgleich.

Wichtig ist der Praxistest: Nicht jede Vorgabe passt zu jeder Anwendung. Eine Härtung, die zentrale Funktionen lahmlegt, wird im Alltag umgangen – und schadet damit mehr, als sie nützt. Härten heißt abwägen, nicht blind maximieren.

Härtung braucht Pflege

Der gefährlichste Trugschluss ist, Härtung als einmaliges Projekt zu verstehen. Systeme verändern sich: Updates setzen Einstellungen zurück, neue Software bringt eigene Defaults mit, Administratoren öffnen für eine Fehlersuche einen Port und vergessen ihn wieder. Dieser schleichende Configuration Drift frisst den Sicherheitsgewinn auf, wenn niemand nachmisst. Deshalb gehört Systemhärtung in einen kontinuierlichen Zyklus und in ein Managementsystem – der IT-Grundschutz des BSI und die ISO 27001 verankern genau diese wiederkehrende Prüfung.

Systemhärtung ist unspektakulär, aber sie gehört zu den wirksamsten und günstigsten Maßnahmen überhaupt: Sie senkt die Angriffsfläche, bevor ein einziger Euro in aufwendige Erkennungstechnik fließt.

Weiterführend: Kompetenz & Services · Cyber-Risiko-Check · Penetrationstest