fairlane.systems

SECURITY-VERGLEICH · TOOL-VERGLEICH

Security-Hardening-Tools im Vergleich: CrowdSec, Fail2ban, Wazuh, UFW, Vault, Authentik, WireGuard, Lynis, rkhunter, ClamAV

Zehn Open-Source-Tools für Server-Hardening, Intrusion-Detection, SSO und Secrets-Mgmt im CH-KMU. Klare Empfehlungen je Schutzschicht. Stand Mai 2026.

Recherche & Faktencheck: · Stand: 2026-05

Was ist Security-Hardening?

Security-Hardening ist die systematische Verringerung der Angriffsfläche eines Servers oder einer Anwendung. Es ist keine einzelne Massnahme, sondern eine Kombination aus mehreren Schutzschichten: Firewall am Perimeter, Intrusion-Detection am System, Secrets-Management für Zugangsdaten, SSO für Identitäten, VPN für Remote-Zugang, Audit-Tools für Compliance und Antivirus an den Eingangs-Toren (Mail, Upload).

Ein CH-KMU mit Hetzner-Server, Treuhand-Mandanten und Berufsgeheimnis-Pflichten kommt mit einer Standard-Linux-Installation nicht aus. Die Mindest-Konfiguration im Mai 2026 deckt sechs Schichten: (1) Firewall (UFW/nftables), (2) Intrusion-Detection (CrowdSec oder Fail2ban), (3) SSH-Hardening, (4) Secrets-Management (Vault oder mindestens .env-Verschlüsselung), (5) Identity (Authentik oder Authelia für SSO/2FA), (6) Remote-Zugang via VPN (WireGuard).

Wer das nicht aufsetzt, hat in 6-12 Monaten Bot-Brute-Force-Versuche auf SSH (1000+ pro Stunde), Phishing-Versuche an Mitarbeiter (wöchentlich) und potenziell ein Rancing-Ware-Risiko. Im Mai 2026 sind die meisten Angriffe automatisiert -- Bots scannen IPv4-Ranges, Login-Endpoints und exponierte Datenbanken. Die Hardening-Schicht ist deshalb keine Luxus-Ausstattung, sondern Mindestpflicht unter dem Sorgfalts-Massstab nach Art. 717 OR (Verwaltungsrats-Pflichten).

Warum es wichtig ist

Drei Punkte machen Security-Tools für CH-Treuhand-Büros und Anwaltskanzleien essenziell: regulatorische Pflicht, Versicherungs-Anforderungen und Cyber-Risk-Realität.

Regulatorische Pflicht: Das revFADP verlangt Schutzmassnahmen, die dem Stand der Technik entsprechen (Art. 8 revFADP). Berufsgeheimnis nach StGB Art. 321 verlangt, dass kein Dritter unautorisiert auf Mandantendaten zugreift -- ein offener SSH-Zugang ohne 2FA, eine ungesicherte API-Endpunkt oder ein Mitarbeiter-Account ohne starke Passwörter erfüllt diesen Standard nicht. Im Mai 2026 mit dem EU AI Act und ISO 42001 kommen zusätzliche Audit-Anforderungen: jede KI-Anwendung muss Audit-Trail haben, jede Anmeldung muss nachverfolgbar sein.

Versicherungs-Anforderungen: Schweizer Cyber-Versicherungen (Helvetia, Mobiliar, AXA, Zurich) verlangen seit 2025 Pflicht-Massnahmen: 2FA für alle administrativen Accounts, Backup-Strategie mit 3-2-1-Regel, Patch-Management mit dokumentiertem Zyklus, Intrusion-Detection. Wer das nicht hat, bekommt entweder keine Police, oder die Police bezahlt im Schadensfall nicht. Die Pramien-Differenz zwischen einem gehärteten und einem ungehärteten KMU beträgt 30-60 Prozent.

Cyber-Risk-Realität: Im Mai 2026 sind die wichtigsten Angriffsvektoren auf CH-KMU: (a) Phishing mit nachgemachten E-Banking-Logins, (b) Ransomware via geknackte VPN- oder SSH-Zugänge, (c) Supply-Chain-Angriffe via kompromittierte NPM-Pakete oder Docker-Images, (d) MFA-Bypass via Push-Bombing oder SIM-Swap. Gegen alle vier helfen die hier verglichenen Tools: WireGuard ersetzt unsichere VPN-Lösungen, CrowdSec/Wazuh erkennt anomale Logins, Vault verhindert Secrets-Leaks im Code-Repository, Authentik liefert FIDO2-Hardware-Keys, die Push-Bombing aushebeln.

Die zehn Tools im Detail

CrowdSec (MIT, Self-Host): Open-Source-WAF mit kollaborativer Blocklist. Liest Logs (Nginx, SSH, Postfix), erkennt Angriffsmuster und teilt verdächtige IPs mit allen anderen CrowdSec-Installationen. Die Community-Blocklist umfasst 2026 über 2 Millionen aktive IPs. Hetzner-friendly, blockiert Brute-Force binnen Sekunden. Im Mai 2026 für KMU-Setups der Marktführer -- ersetzt Fail2ban bei den meisten Neuinstallationen.

Fail2ban (GPL-2, Self-Host): klassisches Log-basiertes IP-Banning. Liest auth.log, blockt nach N fehlgeschlagenen Versuchen via iptables. Sehr einfach, sehr stabil seit 2004. Kein Crowdsource-Layer. Im Mai 2026 noch produktiv wertvoll für minimalistische Setups, bei mehr als 3 Services lohnt sich CrowdSec.

Wazuh (GPL-2, Self-Host): SIEM plus EDR plus Compliance-Toolkit. File-Integrity-Monitoring, Vulnerability-Detection, PCI-DSS-/GDPR-Reports automatisiert. Sehr umfangreich -- Setup-Aufwand 2-5 Tage. Für ein 10-Mitarbeiter-Treuhand-Büro oft überzogen, für eine 100-Mitarbeiter-Kanzlei mit Compliance-Pflichten richtig.

UFW / iptables / nftables (GPL-2, Self-Host): Linux-Firewall-Basis. UFW (Uncomplicated Firewall) ist das Standard-Frontend in Ubuntu/Debian, nftables der moderne Kernel-Backend. Mit UFW deny incoming, allow 22/443, default deny ist eine 5-Minuten-Konfiguration, die 90 Prozent der zufälligen Scans blockiert.

HashiCorp Vault (BSL 1.1 seit 2023, Self-Host + Cloud): Industrie-Standard für Secrets-Management. Speichert API-Keys, DB-Passwörter, Zertifikate verschlüsselt mit Auto-Unseal via KMS. Dynamic Secrets für DB-Zugang (TTL: 1 Stunde). BSL-Lizenz blockiert kommerzielle Konkurrenz, nicht KMU-Eigennutzung. Alternative im Mai 2026: OpenBao (Linux-Foundation-Fork von Vault unter MPL).

Authelia / Authentik (Apache 2.0, Self-Host): SSO und 2FA für interne Dienste. Authelia ist klein und einfach (Go, < 30 MB), Authentik ist grösser (Python) mit mehr Features (Webauthn, SAML, OAuth2-Provider, LDAP, Webhooks). Beide liefern FIDO2-Hardware-Key-Support, was Phishing-Resistenz dramatisch erhöht. Im Mai 2026 für CH-KMU die richtige Identity-Schicht.

WireGuard (GPL-2 in Linux-Kernel seit 5.6, Self-Host): modernes VPN. 4000 Zeilen Code, in den Linux-Kernel integriert, Performance 3-10x über OpenVPN. Setup pro Client 5 Minuten. Ersetzt OpenVPN und IPsec-Setups in 2026 fast komplett. Schweizer Treuhand mit Home-Office-Mitarbeitenden setzt WireGuard als Standard -- VPN-Plus-2FA über Authentik ist die richtige Kombi.

Lynis (GPL-3, Self-Host): Audit-Script für Linux-Server-Hardening. Läuft als ein-Datei-Bash-Script, prüft 300+ Sicherheits-Checkpoints (Kernel-Parameter, Dateirechte, Cron-Jobs, SSH-Konfig, Firewall-Regeln). Generiert Report mit Empfehlungen. Im Mai 2026 das schnellste Tool für monatliche Audit-Routine.

rkhunter (GPL-2, Self-Host): Rootkit-Hunter. Sucht nach versteckten Backdoors, manipulierten System-Binaries, ungewöhnlichen Netzwerk-Sockets. Klassisch und stabil. 2026 weniger relevant, da moderne Rootkits Kernel-Module sind, die rkhunter schwer erkennen kann -- aber als zweite Schicht neben Wazuh oder OSSEC noch sinnvoll.

ClamAV (GPL-2, Self-Host): Open-Source-Antivirus, hauptsächlich für Mail-Server. Scannt eingehende Anhänge, ergänzt Brevo/Postmark-Filter. Auf Endpoints (Workstations) ist ClamAV 2026 nicht ausreichend -- dort kommen Defender (Windows) oder XDR-Lösungen (CrowdStrike, SentinelOne) zum Einsatz. ClamAV gehört auf den Mail-Gateway.

Hardening-Workflow in 6 Schritten

  1. 01Lynis-Audit auf allen Servern laufen lassen und Hardening-Score notieren (Baseline).
  2. 02UFW oder nftables konfigurieren: default deny incoming, allow 22/443/80, anschliessend strikt prüfen.
  3. 03CrowdSec installieren mit Bouncer für Nginx und SSH; nach 24 Stunden Logs prüfen.
  4. 04WireGuard-VPN-Server aufsetzen, Mitarbeitenden-Profile mit QR-Codes verteilen.
  5. 05Authentik oder Authelia als SSO-Layer einführen, FIDO2-Keys für Admin-Accounts beschaffen (YubiKey 5C, ca. CHF 80 pro Stück).
  6. 06Vault aufsetzen, alle .env-Secrets migrieren, Dynamic Secrets für Datenbank-Zugang aktivieren; monatlicher Lynis-Re-Audit als Routine.

Empfehlung je Schicht

Mindest-Stack für CH-Treuhand-Büro (5-20 Mitarbeitende): UFW (Firewall) + CrowdSec (Intrusion-Detection) + WireGuard (VPN) + Authentik (SSO/2FA) + Vault (Secrets) + Lynis (Audit-Routine) + ClamAV (Mail-Gateway). Setup-Aufwand 3-5 Tage, laufende Wartung 2-4 Stunden pro Monat. Erfüllt revFADP-Mindeststandard und Cyber-Versicherungs-Voraussetzungen.

Erweiterter Stack für 50+ Mitarbeitende-Kanzlei: Mindest-Stack plus Wazuh (SIEM mit Compliance-Reports) plus dezidiertes Patch-Management plus Pentest-Routine. Setup-Aufwand 1-2 Wochen, laufende Wartung 8-15 Stunden pro Monat. Erfüllt ISO-27001-Voraussetzungen und reduziert Cyber-Versicherungs-Pramien deutlich.

Schnelle Hardening eines bestehenden Servers: Lynis ausführen, Top-10-Findings beheben (meist SSH-Config, sudo-Regeln, Cron-Permissions). Anschliessend CrowdSec installieren und UFW konfigurieren. Im einen Tag erledigt, blockt 95 Prozent der automatischen Angriffe.

Minimalistische Setups (Solo-Selbständig, 1-3 Mitarbeitende): UFW + Fail2ban + WireGuard + Bitwarden (Password-Manager) als pragmatisches Setup. Vault und Authentik können bei Wachstum nachgerüstet werden. Wichtigster Punkt: kein admin-account ohne 2FA, kein Passwort wiederverwendet.

Wann diese Tools nicht reichen

Open-Source-Security-Tools sind eine Mindest-Basis, kein Vollschutz. Sie helfen nicht gegen: Social Engineering (Mitarbeiterschulung statt Software-Lösung), Zero-Day-Exploits in geschlossener Software (Defender/XDR und schnelle Patches), gezielte Angriffe mit Insider-Wissen (regelmässige Pentests und Threat-Modeling).

ClamAV ist auf Workstations nicht ausreichend -- Windows-Defender oder ein bezahltes XDR (CrowdStrike, SentinelOne, Sophos Intercept-X) ist Pflicht für Mitarbeiter-PCs. Auch Wazuh ersetzt keine professionelle SOC-Überwachung (Mensch in der Schleife) -- es liefert nur die Daten, nicht die Interpretation.

Die hier vorgestellten Tools sind alle Open-Source und kostenlos in Lizenz, aber nicht in Betrieb. Wer sie betreiben will und nicht selbst Linux-DevOps-Erfahrung hat, braucht entweder einen externen Managed-Service-Partner oder muss intern aufbauen. Halbherzige Setups (Vault installiert, aber nie integriert; CrowdSec ohne Update-Routine) sind potenziell schlechter als gar nichts -- weil sie Sicherheits-Theater schaffen, das das Management ruhigstellt, ohne real zu schützen.

Vor- und Nachteile

STÄRKEN

  • CrowdSec: kollaborative Blocklist mit 2M+ IPs, MIT-lizensiert
  • WireGuard: 3-10x schneller als OpenVPN, Kernel-integriert
  • Authentik: FIDO2-Hardware-Keys gegen Phishing und Push-Bombing
  • Lynis: 5-Minuten-Audit-Routine mit 300+ Checkpoints
  • Vault: Dynamic Secrets mit 1-Stunde-TTL für DB-Zugang

SCHWÄCHEN

  • Wazuh: Setup 2-5 Tage, überzogen unter 20 Mitarbeitenden
  • Vault BSL: blockiert kommerzielle Konkurrenz, OpenBao als OSS-Alternative
  • ClamAV: auf Workstations unzureichend, Defender/XDR Pflicht
  • Open-Source-Setups: Software gratis, Operations nicht -- 2-15h/Monat Wartung
  • rkhunter: 2026 schwach gegen Kernel-Rootkits, nur als zweite Schicht

Häufige Fragen

Was kostet ein Mindest-Hardening-Setup im Mai 2026?

Software ist null Franken Lizenz. Hardware-Token (YubiKey 5C, 3-5 Stück) rund CHF 250-400. Setup-Aufwand bei externem Partner 3-5 Tage, ca. CHF 4500-7500. Laufende Wartung 2-4 Stunden pro Monat (CHF 300-600 pro Monat) inkl. Patch-Cycle. Insgesamt erste 12 Monate: CHF 8000-13000 -- deutlich unter dem Risiko eines Ransomware-Vorfalls (Median CH-KMU 2025: CHF 180000).

CrowdSec oder Fail2ban?

Für Neuinstallationen 2026 immer CrowdSec. Es teilt Threat-Intelligence aus 2 Millionen IPs und blockiert Angriffe, die Fail2ban nie sieht. Fail2ban bleibt valide für minimalistische Single-Service-Setups oder als Fallback, wenn CrowdSec aus Lizenz-Gründen nicht akzeptiert wird (was selten der Fall ist -- CrowdSec ist MIT-lizensiert).

Brauche ich Wazuh für ein kleines Treuhand-Büro?

Unter 20 Mitarbeitenden nein. CrowdSec plus Lynis liefert 80 Prozent der Wazuh-Funktionalität bei 10 Prozent des Aufwands. Wazuh wird sinnvoll bei 50+ Mitarbeitenden, ISO-27001-Pflicht oder regulierter Branche (FINMA, Heilberufe). Vorher: pragmatischer Stack mit CrowdSec, regelmässige Lynis-Audits, monatlicher Security-Review.

Vault BSL-Lizenz: ein Problem für KMU?

Für interne Eigennutzung nein. Die BSL 1.1 verbietet kommerzielle Konkurrenz (z.B. ein Hosting-Provider darf Vault nicht als verkaufter Service anbieten), nicht aber den Einsatz im eigenen Betrieb. Wer trotzdem unter rein Open-Source bleiben möchte, wählt OpenBao -- den Linux-Foundation-Fork von Vault 1.14 unter MPL-2.0. Funktional 2026 etwa 80 Prozent von Vault, für KMU ausreichend.

Verwandte Themen

HETZNER · TECHHetzner als EU-Hosting für CH-Treuhand und KMU: Rechenzentren, Verträge, KostenART. 957a OR · COMPLIANCEArt. 957a OR und KI-Buchungen: Audit-Trail, GeBüV und 10-Jahres-AufbewahrungrevDSG · TREUHAND-COMPLIANCErevDSG und KI im Treuhand-Büro: AVV, Datenkategorien, EDÖB-Position, GwG-PraxisISO 42001 · COMPLIANCEISO/IEC 42001: Der internationale Standard für AI-Management-SystemeDOCKER · TECH-STACKDocker-Orchestrierung für KMU: docker-compose ohne Kubernetes-Overkill

Quellen

  1. CrowdSec Documentation -- collaborative intrusion detection · 2026-05
  2. Wazuh Documentation -- SIEM and XDR · 2026-04
  3. HashiCorp Vault -- BSL 1.1 license terms · 2026-03
  4. OpenBao -- Linux Foundation fork of Vault · 2026-04
  5. WireGuard -- Whitepaper and benchmarks · 2026-02
  6. CISA Hardening Guide for Small Business 2026 · 2026-03

PASSEND ZU IHREM STACK?

Wie das in Ihrem Betrieb konkret aussieht – 30 Minuten Erstgespräch.

Erstgespräch buchen