Security Posture - Sicherheitslage und ihre Messung
Security Posture beschreibt den Gesamtzustand der Cybersicherheit einer Organisation - die Summe aus Policies, Controls, Reifegrad, Schwachstellen und Bedrohungsexposition. Eine gute Security Posture ist messbar (Secure Score, Compliance-Rate, MTTD/MTTR) und wird kontinuierlich durch CSPM, Vulnerability Management und Security Audits bewertet.
Security Posture - die Sicherheitslage - ist der Sammelbegriff für den aktuellen Verteidigungszustand einer Organisation gegenüber Cyberbedrohungen. Im Gegensatz zu punktuellen Sicherheitsaudits ist Security Posture ein kontinuierlicher, messbarer Zustand.
Security Posture messen
1. Platform-basierte Scores:
Microsoft Secure Score (Entra ID + Microsoft 365):
- 0-100% basierend auf implementierten Sicherheitsmaßnahmen
- Kategorien: Identity, Device, Apps, Infrastructure, Data
- Maßnahmen sortiert nach Wirkung (Punkte) und Aufwand
- Portal: security.microsoft.com → Secure Score
Typische Score-Verbesserungen: MFA für alle Admins +10 Punkte, MFA für alle User +15 Punkte, Legacy-Authentifizierung blockieren +5 Punkte, Passwort-Spray-Schutz +3 Punkte.
Microsoft Defender for Cloud Secure Score (Azure): Bewertet Azure-Infrastruktur-Konfiguration; CIS, NIST, ISO 27001, DSGVO Compliance-Checks.
AWS Security Hub Security Score: Aggregiert Findings aus GuardDuty, Config, Inspector, Macie; CIS AWS Foundations Benchmark; Finding-Schweregrade: Critical, High, Medium, Low, Informational.
2. Quantitative Posture-Metriken:
| Bereich | Metrik | Ziel |
|---|---|---|
| Vulnerability Posture | Offene kritische Schwachstellen | < 5 pro 1.000 Assets |
| Mean Time to Remediate Critical Vulns | < 48h | |
| Patch Compliance Rate | > 95% in 30 Tagen | |
| Exposure Posture | Exposed Management Interfaces (RDP, SSH) | 0 |
| Ungepatchte CVEs in CISA KEV-Liste | 0 | |
| Identity Posture | MFA-aktivierte Accounts | 100% |
| Accounts mit veralteten Passwörtern (> 12 Monate) | 0 | |
| Privilegierte Accounts mit Inaktivität (> 90 Tage) | sofort sperren |
3. Reifegradmodelle:
- CMMC Level 1: Grundlegende Cyber-Hygiene (17 Practices)
- CMMC Level 2: Advanced (110 Practices aus NIST SP 800-171) - Pflicht für US-Verteidigungsauftragnehmer
- CMMC Level 3: Expert (NIST SP 800-172 Zusätze)
- CIS Controls IG1: Basic Cyber Hygiene - 56 Safeguards für alle Unternehmen
- CIS Controls IG2: +74 Safeguards für mittlere Unternehmen
- CIS Controls IG3: +23 Safeguards für Enterprise (APT-Schutz)
Security Posture Dashboard (Beispiel):
| Bereich | Score | Trend |
|---|---|---|
| Gesamt-Score | 73/100 | ↑ +5 (30d) |
| Identity | 82% | ↑ |
| Endpoint | 61% | ↑ |
| Cloud | 78% | → |
| Network | 70% | ↑ |
| Data | 54% | ↓ |
Kritische Issues: 2 Server ohne kritischen Patch (CVE-2024-XXXX), 1 S3-Bucket mit öffentlichem Lesezugriff, Root-Account ohne MFA.
Security Posture kontinuierlich verbessern
Security Posture Improvement Cycle:
- MESSEN: Automated scanning (Vulnerability Scanner, CSPM, Security Score) + manuelle Prüfung (Penetrationstest jährlich, Audit)
- PRIORISIEREN: Kritische + extern erreichbare Schwachstellen sofort; Identity-Schwachstellen (kein MFA) hohe Priorität; Compliance-Gaps nach regulatorischem Zeitplan
- BEHEBEN: Jira/ServiceNow-Tickets mit SLA, Ownership pro Team/Person, Patch-Prozess / Konfigurationsänderung / Policy-Update
- VALIDIEREN: Re-Scan nach Behebung, Penetrationstest-Verifizierung für kritische Issues
- REPORTEN: Monatlicher Posture-Report, Trend-Darstellung (verbessert/verschlechtert?), Business Impact der offenen Issues
Security Posture vs. Security Audit vs. Penetrationstest:
| Security Posture | Security Audit | Penetrationstest | |
|---|---|---|---|
| Rhythmus | Kontinuierlich, automatisiert | Punktuell (jährlich, nach Incident) | Punktuell (jährlich bis quartalsweise) |
| Methode | Selbstbewertung + Tool-basiert | Externe unabhängige Bewertung | Simulierter Angriff auf reale Systeme |
| Zweck | Interne Steuerungsgröße, Trend-Tracking | Zertifizierungs-/Compliance-Nachweis (ISO 27001, SOC 2) | Findet was Scanner übersehen (Logikfehler, Kombinationen) |
