Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Technologische Kontrolle

A.8.9 — Konfigurationsmanagement

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.8.9 ISO 27001ISO 27002BSI OPS.1.1.1

Zwei identische Webserver, die denselben Dienst bereitstellen — und trotzdem unterschiedliche TLS-Versionen, unterschiedliche Firewall-Regeln und unterschiedliche Logging-Einstellungen. Einer wurde vor zwei Jahren manuell eingerichtet, der andere letzte Woche. A.8.9 fordert, dass Konfigurationen für Hardware, Software, Dienste und Netzwerke dokumentiert, standardisiert und gegen unbefugte Änderungen geschützt werden.

Konfigurationsdrift — also das schleichende Auseinanderlaufen von Konfigurationen — ist eines der häufigsten Sicherheitsprobleme in IT-Umgebungen. Die Kontrolle stellt sicher, dass Systeme über ihren gesamten Lebenszyklus sicher konfiguriert bleiben.

Was verlangt die Norm?

  • Standardkonfigurationen definieren. Für jeden Systemtyp existiert eine dokumentierte Baseline auf Basis von Herstellerempfehlungen und Sicherheits-Best-Practices.
  • Baselines regelmäßig aktualisieren. Bei neuen Bedrohungen, Softwareversionen oder organisatorischen Änderungen werden die Baselines überprüft und angepasst.
  • Änderungen kontrollieren. Konfigurationsänderungen folgen dem Änderungsmanagement-Prozess und werden protokolliert.
  • Compliance überwachen. Tools überwachen die Systeme auf Abweichungen von der Baseline und melden diese automatisch.
  • Konfigurationsdaten schützen. Die Konfigurationen selbst sind vor unbefugtem Zugriff geschützt — sie enthalten oft sicherheitsrelevante Details.

In der Praxis

Konfigurationsbaselines pro Systemtyp erstellen. Für jeden Typ (Windows-Server, Linux-Server, Netzwerk-Switch, Firewall, Cloud-Service) eine eigene Baseline. CIS Benchmarks oder Herstellerempfehlungen als Grundlage, ergänzt um organisationsspezifische Anforderungen.

Configuration as Code umsetzen. Definiere Konfigurationen als Code (Ansible Playbooks, Terraform Modules, Chef Cookbooks). Damit ist die Baseline versioniert, testbar und reproduzierbar. Manuelle Konfigurationsänderungen werden zum Sonderfall.

Automatisierte Compliance-Prüfung einrichten. Tools wie Ansible, InSpec, oder cloud-native Dienste (AWS Config, Azure Policy) prüfen laufend, ob Systeme der Baseline entsprechen. Abweichungen lösen automatisch eine Meldung oder Korrektur aus.

Konfigurationsdatenbank (CMDB) pflegen. Die CMDB dokumentiert die Soll-Konfiguration jedes Systems und den aktuellen Ist-Zustand. Sie bildet die Basis für Abweichungsberichte und Audit-Nachweise.

Typische Audit-Nachweise

Auditoren erwarten bei A.8.9 typischerweise diese Nachweise:

  • Konfigurationsbaselines — dokumentierte Soll-Konfigurationen pro Systemtyp (→ Konfigurations- und Änderungsmanagement im Starter Kit)
  • Compliance-Berichte — Nachweis des Soll-Ist-Abgleichs
  • Änderungsprotokolle — Nachweis, dass Konfigurationsänderungen dem Änderungsprozess folgen
  • CMDB-Auszug — aktuelle Dokumentation der Systemkonfigurationen
  • Baseline-Review-Protokoll — Nachweis der regelmäßigen Aktualisierung der Baselines

KPI

Anteil der Systeme mit dokumentierten und verifizierten Sicherheitskonfigurationen

Gemessen als Prozentsatz: Wie viele deiner Systeme haben eine dokumentierte Baseline und bestehen den automatisierten Compliance-Check? Ziel: über 95%.

Ergänzende KPIs:

  • Anzahl der Konfigurationsabweichungen pro Monat (Ziel: abnehmend)
  • Mittlere Dauer zwischen Abweichungserkennung und Korrektur
  • Anteil der Systemtypen mit aktueller Baseline (Ziel: 100%)

BSI IT-Grundschutz

A.8.9 mappt auf mehrere BSI-Bausteine für IT-Betrieb und Härtung:

  • OPS.1.1.1 (Allgemeiner IT-Betrieb) — Anforderungen an die Dokumentation und Verwaltung von Systemkonfigurationen, regelmäßige Überprüfung und Schutz vor unbefugten Änderungen.
  • CON.8 (Software-Entwicklung) — Konfigurationsmanagement im Entwicklungskontext, Versionierung von Konfigurationen.
  • SYS.1.1 (Allgemeiner Server) — spezifische Härtungsanforderungen für Server-Konfigurationen.
  • NET.3.1/NET.3.2 (Router und Switches, Firewalls) — Konfigurationsmanagement für Netzwerkgeräte.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Was ist eine Konfigurationsbaseline?

Eine dokumentierte Standardkonfiguration für einen Systemtyp — z.B. Windows-Server, gehärtet. Sie definiert alle sicherheitsrelevanten Einstellungen: deaktivierte Dienste, Firewall-Regeln, Passwortrichtlinien, Logging-Level. Jedes neue System wird auf Basis dieser Baseline eingerichtet.

Wie oft müssen Konfigurationen überprüft werden?

Kontinuierlich, wenn möglich automatisiert. Tools wie Ansible, Puppet oder Chef können Konfigurationen laufend gegen die Baseline prüfen und Abweichungen melden. Mindestens quartalsweise sollte ein manueller Review stattfinden, um die Baseline selbst zu aktualisieren.

Gehört Infrastructure as Code (IaC) zum Konfigurationsmanagement?

Ja, IaC ist eine sehr gute Umsetzung von A.8.9. Terraform, Ansible, CloudFormation oder Pulumi definieren die Konfiguration als Code, versionieren sie und machen Abweichungen sofort sichtbar. Die Baseline ist dann das Repository selbst.