Kontinuierliche Erkennung sicherheitskritischer Konfigurationsabweichungen
Security Baseline Check
Hardening-Maßnahmen sind nur dann wirksam, wenn sie real durchgesetzt sind und unter operativer Veränderung stabil bleiben. Der Security Baseline Check bewertet die tatsächliche Sicherheits-Konfiguration Ihrer Systeme gegenüber etablierten Hardening-Standards, identifiziert Drift und priorisiert Maßnahmen nach Risiko.
Warum Hardening allein nicht reicht
Eine dokumentierte Security Baseline ist nicht dasselbe wie eine durchgesetzte Baseline. In jeder produktiven Umgebung entsteht Drift: durch Betriebsentscheidungen, Ausnahmen, neue Systeme, Plattform-Updates und unbeabsichtigte Konfigurationsänderungen.
Eine einmalige Konformitätsmessung schafft kurzfristig Klarheit – aber keinen nachhaltigen Sicherheitsstandard. Der Unterschied zwischen einer Hardening-Folie und einer wirksamen Sicherheits-Konfiguration ist die kontinuierliche Überwachung: Drift erkennen, einordnen, priorisieren.
Was wir prüfen
Die Bewertung deckt die sicherheitskritischen Konfigurationsfelder ab:
- Sicherheits-Konfiguration entlang etablierter Hardening-Standards
- Logging- und Audit-Konfiguration
- Authentifizierungs- und Passwortrichtlinien
- Privilegierte Konten und Zugriffe
- Unsichere Dienste und Protokolle (z. B. veraltete TLS-Versionen, schwache SMB-/LDAP-Konfigurationen)
- Patch- und Baseline-Status
- Kritische Sicherheits-Settings im Betriebssystem und in Plattform-Diensten
- Konsistenz zwischen Soll-Stand und Betriebsrealität
- Risikobasierte Bewertung der Abweichungen
Methodik & Werkzeuge
Agentenbasierte Sicherheitsbewertung – wir setzen eine plattformgestützte Erhebung Ihrer Sicherheits-Konfiguration ein, die Ergebnisse über Zeit konsistent erfasst.
Mapping gegen etablierte Hardening-Standards – die Bewertung erfolgt gegen anerkannte Sicherheits-Baselines, immer im Kontext Ihrer Betriebsrealität.
Operativ statt formal – wir bewerten Wirksamkeit, nicht Häkchen. Eine Konfigurationsabweichung wird im Bericht nach realem Risiko und Aufwand priorisiert, nicht nach Norm-Punkten.
Continuous Hardening (Standard/Continuous Hardening-Tier) – wiederkehrende Bewertungen machen Drift sichtbar, bevor sie sich operativ festsetzt.
Was Sie nach dem Check in der Hand haben
Der Bericht ist so geschrieben, dass IT-Betrieb und Sicherheitsverantwortung unmittelbar handlungsfähig werden. Die Continuous-Hardening-Variante etabliert einen wiederkehrenden Bewertungsrhythmus statt einer Einmal-Aufnahme.
- Technische Sicherheits-Bewertung pro System und in Summe
- Risikobasiert priorisierte Maßnahmenliste
- Konkrete Konfigurationsempfehlungen
- Drift-Sicht über Zeit (Standard, Continuous Hardening)
- Wiederkehrende Reviews mit Trend-Beobachtung (Continuous Hardening)
Vorgehensmodell
Scoping
Systemumfang, Erhebungsmodus, Tier-Auswahl
Datenerhebung
Plattformgestützte Erhebung der Sicherheits-Konfiguration
Analyse
Bewertung gegen Hardening-Standards, Drift-Analyse, Priorisierung
Bericht & Walkthrough
Übergabe + Workshop; bei Continuous Hardening anschließend wiederkehrender Bewertungsrhythmus
Bericht typischerweise innerhalb von 10 Arbeitstagen nach vollständiger Datenerhebung.
Pricing
Tier-Auswahl nach Estate-Größe und Bewertungstiefe.
Compact
Bis 10 Systeme. Erste technische Sicherheitsbewertung, Baseline-Analyse, Maßnahmenübersicht, Ergebnis-Workshop.
ab 3.900 €
Standard
Bis 50 Systeme. Erweiterte Baseline-Analyse, risikobasierte Priorisierung, kundenspezifische Anpassungen, technische Detailbewertung.
ab 8.900 €
Continuous Hardening
Größere Umgebungen. Kontinuierliche Sicherheitsbewertung, Drift Detection, wiederkehrende Reviews, kontinuierliche Verbesserung.
ab 14.900 €
Richtwerte; finaler Festpreis nach Scoping-Call.
Häufige Fragen
Was ist Drift Detection konkret?
Drift Detection erkennt Abweichungen zwischen dem definierten Soll-Stand Ihrer Sicherheits-Konfiguration und der tatsächlichen Konfiguration über Zeit. Ohne Drift Detection bleibt jede einmalige Härtung statisch – mit Drift Detection wird sichtbar, wo sich der Schutz still verändert.
Welche Plattformen werden unterstützt?
Wir unterstützen die gängigen Server- und Endpoint-Plattformen (Windows Server, Windows-Endpoints, die etablierten Linux-Distributionen) sowie ausgewählte Netzwerk- und Plattformdienste. Den genauen Scope stimmen wir im Scoping-Call ab.
Greifen Sie aktiv in unsere Konfiguration ein?
Nein. Die Bewertung ist nicht-invasiv und arbeitet auf Lesezugriff-Niveau. Konfigurationsänderungen empfehlen wir – die Umsetzung erfolgt durch Ihren Betrieb oder optional in einem Folgeprojekt.
Wie unterscheidet sich der Check von einem reinen Compliance-Scan?
Ein Compliance-Scan liefert eine punktuelle Konformitätsmessung gegen einen Standard. Der Security Baseline Check bewertet die operative Sicherheitsfähigkeit über Zeit, priorisiert risikobasiert und schafft eine Continuous-Hardening-Grundlage – kein „100 % Compliance"-Versprechen, sondern wirksame Konfiguration im Alltag.
Was bedeutet Continuous Hardening operativ?
Continuous Hardening ist ein wiederkehrender Bewertungsrhythmus: Wir erfassen Drift, ordnen sie ein und liefern in definierten Abständen einen aktualisierten Maßnahmenstand. Statt einmal pro Jahr eine Aufnahme zu machen, halten Sie Ihre Sicherheits-Konfiguration über Zeit stabil.
Was passiert nach dem Check?
Sie haben einen klaren Maßnahmenpfad. Häufige Folgeschritte: gezielte Hardening-Projekte, ein wiederkehrender Continuous-Hardening-Rhythmus, oder die Integration in ein bestehendes Vulnerability-/Configuration-Management.
Kontakt aufnehmen
Wie stabil ist Ihre Hardening-Linie im Alltag?
Ein Scoping-Call genügt, um Systemumfang und Tier zu klären. Kein Vorab-Commitment.