Fehlkonfiguration (Misconfiguration / Security Misconfiguration)

Eine Fehlkonfiguration bezeichnet eine sicherheitsrelevante Abweichung von der empfohlenen oder vorgeschriebenen Konfiguration eines IT-Systems, einer Anwendung oder eines Netzwerkdienstes, die Angreifern einen Einstiegspunkt oder erweiterte Rechte verschaffen kann. Typische Beispiele sind offene Cloud-Storage-Buckets, unnötig aktivierte Dienste, Standard-Passwörter oder fehlende Zugriffskontrollen; laut OWASP zählen Fehlkonfigurationen zu den zehn häufigsten Webanwendungsschwachstellen. In IT-Vergaben für Managed Services und Cloud-Plattformen sollten Auftraggeber regelmäßige Konfigurationsaudits nach CIS-Benchmarks, automatisierte Compliance-Scans und ein Konfigurationsmanagement-Werkzeug (CMDB) als Pflichtleistung vorschreiben.