Das neue Control „8.9 Configuration management“ zählt zu den „Technological Controls“ der ISO/IEC 27002:2022. Das Ziel des Controls ist es, dass Konfigurationen (inklusive Sicherheitskonfigurationen) von Hardware, Software, Diensten und Netzwerken eingeführt, dokumentiert, umgesetzt, überwacht und geprüft werden.

Was ist üblicherweise Configuration Management?

Unter dem Begriff „Configuration Management“ (auch „Configuration Management Database“ (CMDB)) wird z. B. nach ITIL v4 die Dokumentation und Pflege relevanter Konfigurationselemente (Configuration Record/Item (CI)) verstanden. Die Konfigurationselemente werden durch Attribute genauer spezifiziert und Attribute können bspw. Folgendes sein:

  • Allgemeine Informationen: Verantwortlicher, Administrator
  • Typinformationen: Hersteller, Typ, Version, Herstellungsjahr
  • Technische Informationen: RAM, Festplattenspeicher bei Clients
  • Einsatzort: Gebäude, Raum, Rack-Nummer des Konfigurationselements

Außerdem können und sollten Konfigurationselemente untereinander in Beziehung gesetzt werden, z. B. ein Client wird mit der darauf installierten Software verknüpft und ein Switch mit den daran angeschlossenen Clients oder Servern.

Bei der ISO/IEC 27002:2022 sollen im Rahmen des „Configuration managements“ nur die Konfigurationstypen Hardware, Software, Dienste und Netzwerke berücksichtigt werden. Bei einem „Configuration management“ nach ITIL werden dagegen auch weitere Elemente wie Dokumente oder Mitarbeitende betrachtet. In der ISO/IEC 27002:2022 werden diese aber im Asset-Management in Control „5.9 Inventory of information and other associated assets“ (früher 8.1.1 Inventarisierung der Werte und 8.1.2 Zuständigkeit für Werte) berücksichtigt.

Welche Umsetzungsempfehlungen gibt die ISO/IEC 27002:2022 in Control 8.9?

Über das Konfigurationsmanagement sollen Prozesse, Verfahren und ggf. Tools festgelegt werden, über die die Umsetzung von Konfigurationen sowohl für neue als auch für bereits betriebene Systeme sichergestellt werden kann. Dazu wurden die folgenden Umsetzungsanleitungen definiert.

Standardvorlagen

Es sollten Standardvorgaben zu Sicherheitskonfigurationen entwickelt werden, dabei ist Folgendes zu berücksichtigen:

  • die verfügbaren Empfehlungen, z. B. Standardvorgaben vom Hersteller oder von unabhängigen Organisationen
  • der notwendige Schutzbedarf und das angestrebte Sicherheitsniveau
  • die eigenen Regelungen und Richtlinien zur Informationssicherheit
  • die Angemessenheit der geplanten Sicherheitskonfigurationen in der eigenen Organisation

Für die sichere Konfiguration sollten mindestens die folgenden Härtungsmaßnahmen berücksichtigt werden:

  • Minimierung der Zugänge mit administrativen Rechten
  • Deaktivierung von unnötigen, nicht verwendeten oder unsicheren Zugängen
  • Deaktivierung oder Einschränkung von unnötigen Funktionen oder Diensten
  • Einschränkung der Zugriffe auf Systemeinstellungen oder umfassend berechtigte Hilfsprogramme
  • Uhrensynchronisation durch Nutzung einheitlicher Zeitserver
  • Änderung von Standardeinstellungen, insbesondere Passwörtern, und Prüfung von sicherheitsrelevanten Einstellungen direkt nach Inbetriebnahme
  • automatische Abmeldung nach Inaktivität
  • Sicherstellung der angemessenen Lizensierung

Verwaltung von Konfigurationen

Für alle Hardware, Software, Dienste und Netzwerke sollten die umgesetzten Konfigurationen dokumentiert und sicher gespeichert werden. Änderungen an den Konfigurationen sollten protokolliert werden und den Changemanagement Prozess gemäß Control 8.32 einhalten.

Zur Darstellung der Konfigurationen können folgende Attribute vorgesehen werden:

  • aktuelle Kontaktdaten für den Asset-Eigentümer oder Kontaktstellen
  • Datum der letzten Änderung des Konfigurationselements
  • Version der Konfigurationsvorlage
  • Beziehungen zu anderen Konfigurationen oder Assets

Überwachung von Konfigurationen

Die dokumentierten Konfigurationen sollten kontinuierlich überwacht und geprüft werden, um die Aktualität und Angemessenheit der Einstellungen und von durchgeführten Änderungen sicherzustellen und zu prüfen.

Auch die Umsetzung der dokumentierten Konfigurationen an den IT-Systemen soll sichergestellt werden. Identifizierte Abweichungen sollten behoben werden, entweder durch die automatische Umsetzung der vorgesehenen Dokumentationen oder die Einleitung von Korrekturmaßnahmen.

Möglichkeiten zur Umsetzung des Configuration managements

Interessant wird am Ende die Umsetzung des neuen Controls. Sobald die neuen Controls der ISO/IEC 27002 in den Annex A der ISO/IEC 27001 überführt werden, werden diese auch Bestandteil der Zertifizierung nach ISO/IEC 27001 und somit wird am Ende auch die Interpretation des jeweiligen Auditors zur korrekten Umsetzung eine Rollen spielen. Reicht dann eine Umsetzung gemäß des Control-Ziels aus oder wird auch die Berücksichtigung der Umsetzungsempfehlungen erwartet?

Im Folgenden wollen wir zwei Möglichkeiten zur Umsetzung skizzieren.

Umsetzung gemäß Control-Ziel

Das Ziel des Controls beschränkt sich auf die Forderung nach dokumentierten und umgesetzten Konfigurationen und Sicherheitskonfigurationen, für die anschließend die Umsetzung und Einhaltung überwacht wird.

Dazu könnte auf Basis eines bereits etablierten Asset-Managements nach 27002:2022 5.9 (ehemals A.8.1.1) für alle dort betrachteten Assets (oder Asset-Gruppen) Konfigurationen festgelegt werden. Eine mögliche Umsetzung wäre der Einsatz von Checklisten, die beim Aufbau eines neuen Systems ausgefüllt und dann abgelegt werden.

Diese Checklisten werden dann versioniert und regelmäßig auf Angemessenheit und den Stand der Technik überprüft. Außerdem wird für die Überwachung dann jährlich ein Soll-Ist-Abgleich durchgeführt, in dem stichprobenartig für betriebene Systeme die Checklisten erneut ausgefüllt werden und so die tatsächliche Konfiguration überprüft wird.

Umsetzung entsprechend der Umsetzungsempfehlungen

Nicht alle Vorgaben aus der Umsetzungsempfehlung sind komplett neu und in einem etablierten ISMS sollte es verschiedene Maßnahmen geben, die berücksichtigt werden können.

Im Rahmen der Einführung von neuen IT-Systemen werden häufig bereits Standardvorgaben der Hersteller zur Absicherung der Systeme berücksichtigt und umgesetzt. Hier müsste im nächsten Schritt dann nur die Dokumentation der umgesetzten Konfiguration sichergestellt werden.

Auch die vorgeschlagenen Mindesthärtungsmaßnahmen sollten bereits im Rahmen der Systemhärtung berücksichtigt worden sein. Problematisch könnte hier sein, dass diese dokumentierten Sicherheitskonfigurationen nun für alle betriebenen IT-Systeme erstellt werden müssen. Wobei es auch hierzu bereits über das Risikomanagement mindestens eine High-Level-Betrachtung geben sollte.

Auch bei einer engen Umsetzung des Configuration managements anhand der Umsetzungsempfehlungen kann des Asset-Managements weiterhin ein guter Ausgangspunkt sein. Für bereits im Asset-Management gebildete Gruppen können z. B. direkt Standardvorgaben zu Sicherheitskonfigurationen entwickelt und umgesetzt werden. Falls im Asset-Management bereits Assets als Einzelobjekte erfasst oder Beziehungen zwischen Assets gepflegt werden, ist dies auch eine gute Grundlage bzw. kann eventuell die Anforderungen des Configuration managements umfassend erfüllen. Das bestehende Asset-Management um weitere Attribute zur Beschreibung der jeweiligen Assets zu erweitern, kann in diesem Fall am sinnvollsten sein.

Eine vollständige und einheitliche Umsetzung der Verwaltung von Konfigurationen kann wahrscheinlich auch vom Einsatz geeigneter Software profitieren. Es könnte eine dedizierte Software zur Umsetzung eines Configuration managements verwendet werden, wodurch insbesondere die Pflege von verschiedenen Attributen und Verknüpfungen zwischen Konfigurationselementen einfach möglich sein sollte. Eine automatische Versionierung der Konfigurationen sollte ebenfalls darüber sicherstellt werden können.

Eine andere Möglichkeit ist, die Verwaltung der Konfigurationen im Rahmen der Systemadministration zu lösen. Hier könnten sich z. B. über Anwendungen zur Softwareverteilung oder über Automatisierungswerkzeuge zur Systemadministration Lösungen ergeben. Denn in Rahmen dieser Anwendungen werden gewünschte Systemkonfigurationen bereits festgelegt und damit dokumentiert. Anschließend wird die Einhaltung dieser Konfiguration automatisch sichergestellt. Die Versionierung und sichere Ablage der Systemkonfigurationen kann entweder direkt durch die Anwendungen erfolgen oder durch die Ablage von erstellen Konfigurationsdateien in einer Versionsverwaltung.

Fazit

Die Umsetzung des Configuration managements kann je nach Umsetzungsumfang eine Herausforderung werden. Bei der Umsetzung sollte insbesondere auf dem Asset-Management aufgebaut werden, um eine einheitliche bzw. zusammenpassende Lösung zu erreichen und keinen Mehraufwand durch „doppelte“ Lösungen zu erzeugen.

Es sollte auch genauer betrachtet werden, ob bereits Anwendungen genutzt werden, die eine gute Basis für das Configuration management bilden oder ob ggf. eine geeignete Anwendung für das Configuration management neu eingeführt werden soll.