(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Die sichere und kontrollierte Konfiguration von Systemen, Anwendungen und Netzwerken ist eine wesentliche Voraussetzung für die Informationssicherheit. Fehlkonfigurationen gehören zu den häufigsten Ursachen von Sicherheitsvorfällen, da sie Angriffsflächen vergrößern oder Schutzmechanismen unwirksam machen können. Dieses Control stellt sicher, dass Konfigurationen systematisch definiert, umgesetzt, überwacht und geändert werden.

Zweck des Controls

A 8.9 soll gewährleisten, dass Konfigurationen von Informationsverarbeitungssystemen sicher, konsistent und nachvollziehbar sind. Ziel ist es, Sicherheitsrisiken durch Fehl- oder unautorisierte Konfigurationen zu minimieren und die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen.

Anforderungen und Maßnahmen

1. Definition sicherer Basiskonfigurationen

Organisationen müssen sichere Basiskonfigurationen festlegen, insbesondere für:

• Betriebssysteme
• Anwendungen und Datenbanken
• Netzwerkkomponenten
• Endpunktgeräte

Die Basiskonfigurationen müssen dokumentiert und genehmigt sein.

2. Umsetzung und Durchsetzung von Konfigurationen

Definierte Konfigurationen müssen konsequent umgesetzt werden:

• Standardisierte Installation und Bereitstellung
• Einsatz automatisierter Konfigurationswerkzeuge, sofern angemessen
• Vermeidung individueller Abweichungen
• Kontrolle der Einhaltung

So wird ein einheitliches Sicherheitsniveau erreicht.

3. Verwaltung von Konfigurationsänderungen

Änderungen an Konfigurationen müssen kontrolliert erfolgen:

• formale Änderungsanträge
• Bewertung von Sicherheitsauswirkungen
• Genehmigung durch zuständige Stellen
• Dokumentation der Änderungen

Dies verhindert unkontrollierte Anpassungen.

4. Schutz vor unbefugten Änderungen

Konfigurationen müssen vor Manipulation geschützt werden:

• Einschränkung administrativer Zugriffsrechte
• Protokollierung von Konfigurationsänderungen
• Einsatz von Monitoring- oder Kontrollmechanismen
• regelmäßige Überprüfung der Konfigurationen

So bleibt die Integrität erhalten.

5. Überprüfung und Abgleich von Konfigurationen

Konfigurationen müssen regelmäßig überprüft werden:

• Abgleich mit genehmigten Basiskonfigurationen
• Identifikation von Abweichungen
• Bewertung von Risiken
• Einleitung von Korrekturmaßnahmen

Dies unterstützt die kontinuierliche Sicherheit.

6. Umgang mit Notfall- oder temporären Änderungen

Temporäre Änderungen müssen besonders geregelt sein:

• klare Definition der Einsatzszenarien
• zeitliche Begrenzung
• nachträgliche Überprüfung
• Rückführung in den definierten Zustand

So werden langfristige Risiken vermieden.

7. Dokumentation und Verantwortlichkeiten

Konfigurationsmanagement muss klar dokumentiert sein:

• Beschreibung der Konfigurationen
• Zuständigkeiten und Rollen
• Änderungs- und Freigabeprozesse
• Integration in Betriebs- und Sicherheitsprozesse

Die Dokumentation unterstützt Nachvollziehbarkeit.

8. Überprüfung und kontinuierliche Verbesserung

Konfigurationsmanagement-Prozesse müssen überprüft werden:

• Bewertung der Wirksamkeit
• Analyse von Vorfällen oder Abweichungen
• Anpassung von Basiskonfigurationen
• Integration von Lessons Learned

So bleibt das Konfigurationsmanagement aktuell.

Zusammenfassung

A 8.9 fordert, dass Organisationen Konfigurationen von Informationsverarbeitungssystemen systematisch verwalten. Durch definierte Basiskonfigurationen, kontrollierte Änderungen, Schutz vor unbefugter Manipulation, regelmäßige Überprüfung sowie klare Verantwortlichkeiten wird sichergestellt, dass Konfigurationen nicht zur Schwachstelle der Informationssicherheit werden. Das Control ist ein zentraler Bestandteil der technischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.