Was ist der Unterschied zwischen Systemhärtung und Patch-Management?

Patch-Management installiert Sicherheitsupdates für bekannte Schwachstellen. Systemhärtung geht weiter: unnötige Dienste werden deaktiviert, Berechtigungen eingeschränkt, Konfigurationen verschärft und die Angriffsoberfläche systematisch reduziert. Beides ist nötig — Härtung schützt auch dort, wo noch kein Patch existiert.

Welche Standards setzen Sie bei der Härtung ein?

Wir arbeiten mit drei sich ergänzenden Frameworks: CIS Benchmarks (technisch granular, plattformspezifisch), Microsoft Security Baselines (Windows-spezifische Best Practices von Microsoft selbst) und BSI IT-Grundschutz (deutsche Compliance-Anforderungen). Die genaue Kombination stimmen wir auf Ihre regulatorischen Anforderungen ab.

Kann Systemhärtung Anwendungen beeinträchtigen?

Ja, das ist ein reales Risiko — deshalb testen wir jede Maßnahme vor dem Produktiv-Rollout. Wir identifizieren Abhängigkeiten vorab, implementieren schrittweise und stellen sicher, dass jede Änderung rückrollbar ist. Bei Konflikten finden wir kompensierende Maßnahmen, die Sicherheit gewährleisten ohne Funktionalität einzuschränken.

Wie bleibt die Härtung aktuell?

CIS veröffentlicht regelmäßig neue Benchmark-Versionen, Microsoft aktualisiert Security Baselines und das BSI passt Empfehlungen an. Wir übernehmen die kontinuierliche Aktualisierung Ihrer Härtungsmaßnahmen im Rahmen eines Maintenance-Plans — inklusive Regressionstests und aktualisierter Dokumentation.

Systemhärtung

Server und Endpoints nach BSI, CIS und Microsoft Baselines härten

Systemhärtung reduziert die Angriffsoberfläche Ihrer IT-Infrastruktur auf das absolute Minimum. Wir implementieren Härtungsmaßnahmen für Windows Server, Linux, Endpoints und Applikationsserver — basierend auf Microsoft Security Baselines, CIS Benchmarks und BSI IT-Grundschutz. Von der initialen Analyse über die Implementierung bis zur kontinuierlichen Aktualisierung der Härtungsmaßnahmen: Sie erhalten eine nachweisbar gehärtete Umgebung mit vollständiger Dokumentation.

CIS BenchmarksBSI GrundschutzMicrosoft BaselinesServer HardeningEndpoint Hardening

Assessment anfragen Häufige Fragen

CIS

Benchmark-konform

BSI

IT-Grundschutz

Automatisiert

Baseline-Prüfung

Win/Linux

Plattform-Abdeckung

Leistungen

Was wir leisten

Gap-Analyse: Wo stehen Sie heute?

Wir vergleichen Ihre Systeme mit anerkannten Sicherheitsstandards (CIS, Microsoft, BSI IT-Grundschutz) und zeigen jede Abweichung — als priorisierten Maßnahmenplan.

Windows-Systeme absichern

Server und Arbeitsplätze werden gezielt gehärtet: Unnötige Dienste werden abgeschaltet, riskante Funktionen deaktiviert und Sicherheitseinstellungen verschärft.

Linux-Server absichern

Auch Ihre Linux-Systeme (z. B. RHEL, Ubuntu, SUSE) härten wir nach anerkannten Standards — vom Fernzugriff bis zu den Berechtigungen im Dateisystem.

Dauerhaft aktuell

Härtung ist kein einmaliges Projekt: Wenn sich Standards weiterentwickeln, aktualisieren wir Ihre Konfigurationen — und testen vorher, dass nichts ausfällt.

Zielgruppe

Für wen dieser Service gedacht ist

Nicht jedes Unternehmen braucht sofort das volle Programm. Diese Ausgangslagen sind typisch für Projekte, in denen wir den größten Unterschied machen — wenn Sie sich hier wiederfinden, lohnt sich ein Gespräch.

Unternehmen, deren Compliance-Vorgaben (ISO 27001, TISAX, BSI IT-Grundschutz) nachweisbare Härtung verlangen
IT-Teams mit heterogener Server-Landschaft aus Windows und Linux ohne einheitliche Sicherheits-Baselines
Organisationen, deren Pentest oder Audit Fehlkonfigurationen und unnötige Dienste bemängelt hat
Versicherungsnehmer, deren Cyberversicherung dokumentierte Härtungsmaßnahmen zur Bedingung macht

Methodik

Unser Vorgehen

Bestandsaufnahme

Wir inventarisieren Ihre Server und Arbeitsplätze und erfassen, wie sie heute konfiguriert sind — die Grundlage für alle weiteren Schritte.

Abgleich mit Standards

Jedes System wird gegen anerkannte Sicherheitsstandards geprüft (CIS, BSI, Microsoft). Jede Abweichung wird dokumentiert und nach Risiko eingeordnet.

Härtungsplan

Sie erhalten einen priorisierten Plan: Was wird zuerst umgesetzt, was hängt womit zusammen, und wo ist besondere Vorsicht geboten?

Umsetzung mit Sicherheitsnetz

Jede Maßnahme wird zuerst in einer Testumgebung validiert und dann schrittweise ausgerollt — damit keine Anwendung unerwartet ausfällt.

Dokumentation & Pflege

Alle Maßnahmen werden vollständig dokumentiert, und ein Wartungsplan hält die Härtung aktuell, wenn sich Standards weiterentwickeln.

Ergebnisse

Was Sie erhalten

Am Ende des Projekts stehen konkrete, nutzbare Arbeitsergebnisse — keine Folien, sondern Berichte, Konfigurationen und Unterlagen, mit denen Ihr Team direkt weiterarbeitet.

Gap-Assessment-Report

Ist-Zustand aller Systeme gegen CIS Benchmarks, Microsoft Security Baselines und BSI IT-Grundschutz — jede Abweichung dokumentiert und priorisiert.

Härtungsplan

Priorisierte Maßnahmen mit Risikoklassifizierung und Abhängigkeitsanalyse, damit keine Änderung den Betrieb gefährdet.

Umgesetzte Baselines

In Testumgebung validierte und produktiv ausgerollte Härtungskonfigurationen für Windows und Linux.

Härtungsnachweis

Vollständige Dokumentation aller Maßnahmen — direkt verwendbar für Audits, Zertifizierungen und Versicherer.

Maintenance-Plan

Geregelter Prozess für Baseline-Updates bei neuen CIS-Versionen und Microsoft-Releases, inklusive Regressionstests.

FAQ

Häufig gestellte Fragen

Weiterführend

Vertiefen Sie das Thema

Sie möchten erst tiefer einsteigen, bevor Sie mit uns sprechen? Diese Artikel aus unserem Blog liefern Hintergrund und Praxiswissen — und mit unseren kostenlosen Tools führen Sie erste Checks direkt selbst durch.

BitUnlocker macht Boot-Chain-Härtung zur Pflichtdisziplin — unser neuer Praxisleitfaden

Der Intrinsec-PoC für CVE-2025-48804 entschlüsselt TPM-only BitLocker in unter fünf Minuten. Gleichzeitig läuft die UEFI CA 2023 Migration. Warum beide Themen zusammengehören — und wie unser neuer Leitfaden die Bootkette einer Windows-Flotte in sieben Schritten härtet.

9 minArtikel lesen

BlackLotus & CVE-2023-24932 — Wenn das Bootkit unter Secure Boot durchschlüpft

BlackLotus war das erste UEFI-Bootkit, das Secure Boot auf vollständig gepatchtem Windows 11 ausgehebelt hat. Wie der Baton-Drop-Bypass funktioniert, warum die Microsoft-Revokation drei Jahre und vier Phasen brauchte und wie Sie eine Infektion in Ihrer Flotte erkennen — bevor das Bootkit Defender, BitLocker und HVCI deaktiviert hat.

13 minArtikel lesen

UEFI CA 2023 Migration — Secure Boot-Zertifikate vor dem Ablauf erneuern

Microsofts Secure Boot-Zertifikate von 2011 laufen ab Juni 2026 ab. Von der Bestandsaufnahme über Registry-Monitoring bis zur gesteuerten Ausrollung — so migrieren Sie Ihre Geräteflotte rechtzeitig auf die Windows UEFI CA 2023.

12 minArtikel lesen

Weitere Security Services

IT-Schwachstellenprüfung

Schwachstellen erkennen, bevor Angreifer es tun

Mehr erfahren

Cloud Security

Microsoft 365, Azure und Multi-Cloud absichern

Mehr erfahren

Identity & Access Hardening

AD-Härtung, PAM und Angriffspfad-Sanierung

Mehr erfahren

Systemhärtung anfragen

Im unverbindlichen Erstgespräch klären wir Ihre Ausgangslage — Sie erhalten eine erste Einschätzung, welche Maßnahmen bei Ihnen die größte Wirkung haben, und einen konkreten Vorschlag für den Einstieg.

Erstgespräch vereinbaren

BSI-konforme Sicherheitslösungen

Zurück

Netzwerksicherheit

Weiter

Security Documentation & Compliance