Die so genannten CIS Controls (auch bekannt unter CIS Critical Security Controls) werden vom Center for Internet Security veröffentlicht und regelmäßig aktualisiert. Dabei handelt es sich im Grunde um eine Liste an Maßnahmen, die dazu dienen sollen, die IT-Sicherheit eines Unternehmens zu verbessern. Primäres Ziel ist es häufig auftretende Cyberbedrohungen zu verhindern. Die aktuellste Ausgabe wurde im August 2024 als CIS Controls 8.1 veröffentlicht.
Warum sind die CIS Controls wichtig?
IT-Sicherheit ist kein einfaches Thema. CIS Controls 8.1 bietet einen Maßnahmenkatalog, den jedes Unternehmen - egal welcher Größe - step by step umsetzen kann. Das Ergebnis ist eine kontinuierlich sinkende Wahrscheinlichkeit erfolgreicher Cyberangriffe. Die CIS Controls sind außerdem so gestaltet, dass sie mit wenig Aufwand umgesetzt werden können - zumindest im ersten Maßnahmenpaket. Aus Perspektive von IT-Sicherheitsexperten bieten die CIS Controls einen soliden Leitfanden, um die meist begrenzten Ressourcen effizient einzusetzen.
Wer nutzt die CIS Controls?
Die CIS Controls haben sich als quasi-Standard weltweit etablieren können. Entsprechend nutzen es Organisationen weltweit. CIS Controls ist daher sowohl für KMU als auch Großkonzerne gut geeignet. Sie eigenen sich außerdem für Behörden, Bildungseinrichtungen und Non-Profit-Organisationen.
Wo bekommt man die CIS Controls?
Der einfachste Weg ist die Website von CIS. Dort findet man immer die aktuellste Version der CIS Controls. Nach einer kostenloses Anmeldung kann man relevantes Material herunterladen. Primär bekommt man eine PDF, in der alle relevanten Informationen enthalten sind. Für jeden, der die Maßnahmen umsetzen will, wird außerdem eine Excel-Datei bereit gestellt, in der die Maßnahmen aufgelistet sind und abgearbeitet werden können.
Struktur von CIS Controls 8.1
In aktueller Version werden die CIS Controls in 18 Kategorien unterteilt. Beispielsweise ist Kategorie 16 "Application Software Security". Hier findet man 14 Maßnahmen, die umgesetzt werden sollten. Jede Maßnahme wird außerdem einer Implementierungsgruppe zugeordnet. Hiervon gibt es 3 Gruppe: IG1, IG2, IG3.
Was sind Implementierungsgruppen (IG) innerhalb der CIS Controls?
-
IG1:
In dieser Gruppe findet man alle essenziellen Maßnahmen, die unbedingt umgesetzt werden sollten - unabhängig von der Unternehmensgröße oder Unternehmensart. -
IG2:
Diese Gruppe enthält Maßnahmen, die für mittelgroße und große Unternehmen relevant sind - vor allem, wenn es Personal gibt, das für die IT-Sicherheit zuständig ist. In der Regel braucht man hier für einige Maßnahmen Fachpersonal und Zugang zu bestimmter Software. -
IG3:
Der Fokus sind hier Unternehmen, die eine Vielzahl von Experten haben, die verschiedene Gebiete der IT-Sicherheit abdecken können. Hier sind Maßnahmen enthalten, die für sehr große Unternehmen relevant sind. Wenn Themen, wie Penetrationstests oder CIA Triade an der Tagesordnung sind, sollte man sich mit IG3 auseinandersetzen.
Wichtig zu erwähnen ist an der Stelle, dass IG2 die Maßnahmen von IG1 enthalten. Analog enthält IG3 die Maßnahmen von IG1 und IG2. In Summe macht es also Sinn alle Maßnahmen aus IG1 zuerst umzusetzen, um die Basics abzudecken. Anschließend kümmert man sich um IG2. IG3 ist der abschließende Schritt. Anschließend wäre der Weg gut frei für ISO 27001 oder ähnliche Zertifizierungen.
Welche Maßnahmen sind in den CIS Controls enthalten?
In Version 8.1 der CIS Controls gibt es 18 Kategorien mit insgesamt 153 Maßnahmen - eine grobe Zusammenfassung findet sich in der folgenden Liste:
-
Bestandsaufnahme und Kontrolle von Unternehmensressourcen:
Bezieht sich auf die Identifizierung, Verwaltung und Überwachung aller physischen und virtuellen Geräte im Unternehmensnetzwerk, um nicht autorisierte oder unbekannte Geräte zu vermeiden. -
Bestandsaufnahme und Kontrolle von Software-Ressourcen:
Umfasst die Verwaltung und Überwachung aller Software-Anwendungen, um sicherzustellen, dass nur genehmigte, sichere und unterstützte Software auf Unternehmenssystemen installiert ist. -
Datenschutz:
Bezieht sich auf den Schutz sensibler Daten durch Verschlüsselung, Zugriffskontrollen und Datenklassifizierung, um sicherzustellen, dass vertrauliche Informationen sicher gespeichert und übertragen werden. -
Sichere Konfiguration von Unternehmensressourcen und Software:
Stellt sicher, dass alle Unternehmenssysteme und Software sicher konfiguriert sind und bekannte Schwachstellen sowie unnötige Dienste minimiert werden. -
Kontenverwaltung:
Bezieht sich auf die Verwaltung von Benutzerkonten und Berechtigungen, einschließlich der Verwendung eindeutiger Passwörter und der Deaktivierung inaktiver Konten, um das Risiko von Kontoübernahmen zu minimieren. -
Zugriffssteuerung:
Konzentriert sich auf die Verwaltung des Zugriffs auf Systeme und Daten, einschließlich der Verwendung von Mehr-Faktor-Authentifizierung (2FA/MFA) und rollenbasierten Zugriffskontrollen (RBAC). -
Kontinuierliches Schwachstellenmanagement:
Umfasst die Identifizierung, Bewertung und Behebung von Schwachstellen in Software und Systemen durch regelmäßige Scans und automatisiertes Patch-Management. -
Protokollmanagement:
Sammelt, speichert und analysiert Audit-Protokolle (Logs), um verdächtige Aktivitäten zu erkennen und sicherzustellen, dass Ereignisse ordnungsgemäß überwacht und dokumentiert werden. -
Schutz für E-Mail und Webbrowser:
Setzt Sicherheitsmaßnahmen für E-Mail-Clients und Webbrowser ein, um Phishing, Malware und schädliche Webseiten zu blockieren, die über diese Kanäle ins Unternehmen gelangen können. -
Abwehr von Schadsoftware:
Umfasst die Implementierung und Verwaltung von Anti-Malware-Software, die regelmäßige Aktualisierung von Signaturen und das Scannen auf Schadsoftware, um Systeme vor Viren und anderen Bedrohungen zu schützen. -
Datenwiederherstellung:
Bezieht sich auf das regelmäßige Sichern und Schützen von Daten (siehe Backups) sowie auf die Fähigkeit, Daten im Falle eines Vorfalls wie Ransomware-Angriffen oder Hardware-Ausfällen wiederherzustellen. -
Netzwerk-Infrastrukturverwaltung:
Konzentriert sich auf den sicheren Betrieb und die Verwaltung der Netzwerkkomponenten eines Unternehmens, einschließlich Firewalls, Switches und Routern, um das Netzwerk vor Bedrohungen zu schützen. -
Netzwerküberwachung und -verteidigung :
Implementiert Überwachungsmechanismen, wie Intrusion Detection und Prevention Systeme (IDS/IPS), um Netzwerkaktivitäten zu überwachen und potenzielle Angriffe in Echtzeit zu erkennen und abzuwehren. -
Sicherheitsschulungen und Awarenesstraining:
Stellt sicher, dass alle Mitarbeitenden regelmäßig in Sicherheitspraktiken geschult werden, um Social Engineering, Phishing und andere Sicherheitsbedrohungen zu erkennen und entsprechend zu handeln. -
Dienstleisterverwaltung:
Bezieht sich auf das Management und die Überwachung von Drittanbietern (z. B. Cloud-Dienste), um sicherzustellen, dass sie den Sicherheitsanforderungen des Unternehmens entsprechen und keine zusätzlichen Risiken darstellen. -
Anwendungssicherheit:
Konzentriert sich auf den sicheren Entwicklungsprozess von Software, die Implementierung von Sicherheitschecks auf Code-Ebene und das Management von Drittanbieter-Komponenten, um Schwachstellen in Anwendungen zu minimieren. -
Incident Response:
Beinhaltet die Vorbereitung und Koordination von Maßnahmen zur Reaktion auf Sicherheitsvorfälle, die Benennung eines Reaktionsteams und die Durchführung von regelmäßigen Übungen zur Vorbereitung auf potenzielle Sicherheitsvorfälle. -
Penetrationstests:
Umfasst die Durchführung von regelmäßigen Penetrationstests, um Schwachstellen in Systemen und Netzwerken zu identifizieren und die Effektivität bestehender Sicherheitsmaßnahmen zu überprüfen.
Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.