BSI-konforme Endpoint-Härtung, SIEM-Aufbau und Container Security für eine Sicherheitsbehörde

Ausgangslage

Eine Sicherheitsbehörde im öffentlichen Sektor stand vor der Aufgabe, ihre Microsoft-basierte IT-Infrastruktur auf ein einheitliches Sicherheitsniveau zu bringen. Die bestehende Umgebung umfasste Azure-Cloud-Dienste, Entra ID als Identitätsplattform sowie eine wachsende Anzahl containerisierter Anwendungen. Verbindliche Vorgaben des BSI-Grundschutzes erforderten eine systematische Härtung aller Endgeräte und eine nachvollziehbare Sicherheitsüberwachung. Gleichzeitig fehlte ein zentrales System zur Erkennung und Analyse sicherheitsrelevanter Ereignisse.

Massnahmen

Wenske Cyber Solutions wurde beauftragt, mehrere Sicherheitsbereiche parallel zu adressieren. Unser Team führte zunächst IT-Sicherheitsaudits in Microsoft Intune, Azure und Entra ID durch, um den Ist-Zustand strukturiert zu erfassen. Auf dieser Basis entwickelten wir Hardening-Baselines für Windows 10/11 und Linux Ubuntu, die an den Anforderungen des BSI-Grundschutzes ausgerichtet sind. Für die Endgeräteverwaltung konzipierten wir einen standardisierten App-Paketierungs- und Update-Prozess mit automatisiertem Rollout über Intune. Im Bereich Container Security erarbeiteten wir ein Sicherheitsmodell für Azure Kubernetes Service (AKS) und Azure Container Registry (ACR), einschliesslich einer Image-Scanning-Pipeline zur frühzeitigen Erkennung von Schwachstellen in Container-Images. Parallel dazu bauten wir Microsoft Sentinel als zentrale SIEM-Lösung (Security Information and Event Management) auf, definierten relevante Datenquellen und entwickelten Erkennungsregeln auf Basis von KQL, die systematisch auf das MITRE ATT&CK Framework gemappt wurden.

Ergebnis

Die Behörde verfügt nun über eine durchgängig gehärtete Endgeräteflotte, die den Anforderungen des BSI-Grundschutzes entspricht. Neue Anwendungen und Updates werden automatisiert und ohne manuellen Eingriff ausgerollt. Das SIEM-System erkennt sicherheitsrelevante Ereignisse in Echtzeit und ordnet sie definierten Angriffsmustern zu. Die Container-Umgebung ist durch automatisierte Prüfungen in der Build-Pipeline abgesichert. Alle implementierten Massnahmen sind dokumentiert und können vom internen Team eigenständig weiterentwickelt werden.