Ein gehärtetes System (englisch: hardened system) ist ein Computer, dessen Konfiguration so angepasst wurde, dass die Angriffsfläche für Cyberangriffe auf ein Minimum reduziert ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert Systemhärtung als „die sichere Konfiguration von IT-Systemen mit dem Ziel, Schwachstellen zu verringern und Angriffsflächen zu reduzieren."
Das klingt abstrakt. Aber das Prinzip ist simpel: Alles, was ein Angreifer nutzen könnte, wird abgeschaltet, eingeschränkt oder entfernt. Je weniger ein System kann, desto weniger kann schiefgehen.
Welche Arten der Systemhärtung gibt es?
Systemhärtung ist ein Spektrum – von einfachen Konfigurationsänderungen bis hin zu Systemen, die physisch unveränderbar sind. Hier die wichtigsten Stufen, von leicht bis radikal:
Stufe 1: Konfigurationshärtung (Software-Hardening)
Das ist, was die meisten meinen, wenn sie von Systemhärtung sprechen:
- Unnötige Dienste deaktivieren – Windows hat Dutzende Dienste aktiv, die die meisten Nutzer nie brauchen. Jeder laufende Dienst ist ein potenzielles Einfallstor.
- Benutzerrechte einschränken – Nicht als Administrator arbeiten. Prinzip der minimalen Rechte.
- Firewall konfigurieren – Nur die Ports öffnen, die tatsächlich benötigt werden.
- Telemetrie abschalten – Besonders bei Windows 10/11 sendet das System umfangreiche Daten an Microsoft.
- Gruppenrichtlinien setzen – Das BSI stellt für Windows 10 rund 400 Konfigurationsempfehlungen als Gruppenrichtlinien bereit.
Problem: Aufwändig, fehleranfällig, muss nach jedem Update geprüft werden. Die CIS-Benchmarks für Windows 11 umfassen etwa 600 Einstellungen – wer soll die alle pflegen?
Stufe 2: Read-Only-Systeme (Live-Systeme)
Hier wird das Betriebssystem von einem schreibgeschützten Medium gestartet:
- Booten von DVD-ROM oder USB-Stick – Das System läuft komplett im Arbeitsspeicher. Die DVD kann nicht verändert werden, also kann sich auch keine Malware dauerhaft einnisten.
- Tails OS – Das Betriebssystem, das Edward Snowden nutzte. Er startete Tails bewusst von einem schreibgeschützten USB-Stick – so konnte selbst dann kein Schadcode dauerhaft installiert werden, wenn sein System während einer Sitzung kompromittiert worden wäre. Tails hinterlässt keine Spuren und wird bei jedem Start komplett neu geladen.
- Kali Linux Live – Das bevorzugte System vieler Sicherheitsexperten und Penetrationstester. Wird von USB oder DVD gestartet, ist nach dem Ausschalten spurlos verschwunden.
Warum Hacker Read-Only-Systeme lieben: Ein System, das bei jedem Start neu vom schreibgeschützten Medium geladen wird, kann nicht kompromittiert werden. Selbst wenn ein Angreifer während einer Sitzung Schadcode einschleust, überlebt dieser keinen Neustart. Professionelle Hacker und Sicherheitsforscher nutzen genau dieses Prinzip, um sich selbst zu schützen.
Problem: Unpraktisch für den Alltag. Du kannst keine Programme dauerhaft installieren, keine Einstellungen speichern. Für einen Desktop-Arbeitsplatz ist das keine Option.
Stufe 3: Eingefrorene Systempartitionen (Reboot-to-Restore)
Und hier kommen wir zur elegantesten Lösung. Sie kombiniert das Beste aus beiden Welten:
- Normale Windows-Installation – Du installierst und konfigurierst dein System ganz normal, mit allen Programmen, die du brauchst.
- Einfrieren der Systempartition – Software wie Deep Freeze macht die Systempartition nach dem Einfrieren faktisch schreibgeschützt. Alle Änderungen landen in einem temporären Bereich.
- Neustart = Originalzustand – Wie bei einem Live-System überlebt keine Änderung den Neustart. Aber anders als bei einem Live-System hast du ein vollständig konfiguriertes, schnelles Windows.
- ThawSpaces für Daten – Bestimmte Bereiche (Dokumente, Downloads) bleiben vom Einfrieren ausgenommen.
Das ist das Prinzip von Read-Only-Systemen – angewandt auf Windows. Du bekommst die Sicherheit eines Live-Systems mit dem Komfort einer normalen Windows-Installation.
Warum klassische Härtung nicht ausreicht
Das BSI empfiehlt rund 400 Konfigurationsänderungen allein für Windows 10. Das Problem:
- Komplexität – Wer soll 400 Einstellungen prüfen und pflegen?
- Updates – Jedes Windows-Update kann Einstellungen zurücksetzen.
- Neue Angriffsvektoren – Zero-Day-Exploits umgehen jede Konfiguration.
- Menschliche Fehler – Ein einziger Klick auf den falschen Link kann alles zunichtemachen.
Eine eingefrorene Systempartition macht all diese Probleme irrelevant. Es ist egal, ob eine Einstellung zurückgesetzt wurde. Es ist egal, ob ein Zero-Day-Exploit existiert. Es ist egal, ob jemand auf den falschen Link geklickt hat. Nach dem Neustart ist alles zurück im sicheren Ausgangszustand.
Systemhärtung in der Praxis
| Methode | Schutzlevel | Alltagstauglichkeit | Wartungsaufwand |
|---|---|---|---|
| Konfigurationshärtung (BSI) | Mittel | Hoch | Sehr hoch |
| Virenscanner | Niedrig–Mittel | Hoch | Mittel |
| Live-System (DVD/USB) | Sehr hoch | Sehr niedrig | Keiner |
| Eingefrorene Systempartition | Sehr hoch | Hoch | Keiner |
Die eingefrorene Systempartition ist die einzige Methode, die sowohl maximalen Schutz als auch volle Alltagstauglichkeit bietet – bei null Wartungsaufwand.
Gehärtete Systeme und NIS2
Seit Dezember 2025 müssen Unternehmen mit mehr als 50 Mitarbeitern die NIS2-Richtlinie umsetzen. Systemhärtung ist darin keine freiwillige Empfehlung, sondern eine gesetzliche Pflicht. Eingefrorene Systempartitionen sind eine der effizientesten Maßnahmen, um diese Anforderung zu erfüllen – mit minimalem Aufwand und maximalem Schutz.
Ein gehärtetes System bedeutet nicht, dass du 600 Einstellungen anpassen musst. Es bedeutet, dass dein System nach jedem Neustart in einem garantiert sicheren Zustand ist. Das ist Härtung in ihrer konsequentesten Form.