Die CIS Controls (Center for Internet Security Controls) sind eine Reihe von empfohlenen Sicherheitsmaßnahmen, die von Experten für Cybersecurity entwickelt wurden. Sie dienen dazu, Organisationen aller Größen bei der Abwehr von Cyberangriffen zu unterstützen. Diese Kontrollen sind praxiserprobt und werden regelmäßig aktualisiert, um den neuesten Bedrohungen Rechnung zu tragen.
CIS Controls bestehen aus 153 Einzelmaßnahmen (Safeguards) die auf 18 Maßnahmenpakete (Controls) aufgeteilt sind.
Einzelmaßnahmen bei den CIS Controls sind spezifische Sicherheitsmaßnahmen und Praktiken, die dazu dienen, die Cybersicherheit innerhalb einer Organisation zu verbessern und zu schützen. Sie sind als handlungsorientierte Empfehlungen konzipiert, die Unternehmen dabei helfen, sich gegen die am weitesten verbreiteten Cyberangriffe zu verteidigen.
Beispiel für eine Einzelmaßnahme (Safeguard): Ein häufiger Safeguard ist die Forderung nach der Implementierung von automatisierten Software-Updates. Dies stellt sicher, dass alle Systeme und Anwendungen stets auf dem neuesten Stand sind und bekannte Sicherheitslücken geschlossen werden, um das Risiko von Cyberangriffen zu minimieren.
Einfach, Mittel oder Aufwändig
CIS Controls dienen Hervorragend für ein erstes Cybersecurity Risk Assessment. Dahinter stecken die sogenannten Implementation Groups IG1, IG2 und IG3.
Die CIS Controls sind in Implementation Groups unterteilt, die Unternehmen basierend auf deren spezifischen Ressourcen und Risikoprofilen Anleitungen bieten. Die Anzahl der Safeguards (Sicherheitsmaßnahmen) in den CIS Controls variiert je nach Implementierungsgruppe:
IG1 hat 56 Safeguards, IG2 hat 74 und IG3 umfasst alle 153 Safeguards der CIS Controls V8.
Somit eignet sich die IG1 hervorragend für ein erstes Cybersecurity Risk Assessment, da:
- die Controls allgemein sehr gut beschrieben sind und
- die Implementation Group 1 auf die Minimalanforderungen abzielt
- Alle enthaltenen Safeguards wichtig und vernünftig sind und
- ein Großteil auch in komplexeren Rahmenwerken wie NIST CSF oder ISO 27001 vorkommen.
Beim Einsatz der CIS Controls als Rahmenwerk für Security Management würden die Implementation Groups für folgende Profile zugeschnitten sein:
- IG1 ist für kleine bis mittelgroße Unternehmen (KMU) gedacht, die über begrenzte Ressourcen für Cybersicherheit verfügen. IG1 konzentriert sich auf die grundlegendsten und wichtigsten Safeguards, die für alle Organisationen als unverzichtbar angesehen werden.
- IG2 richtet sich an mittelgroße Unternehmen, die über mehr Ressourcen und ein höheres Maß an Cybersicherheitskompetenz verfügen. IG2 umfasst alle Safeguards von IG1 und fügt weitere hinzu, die für Organisationen mit komplexeren oder sensibleren IT-Umgebungen relevant sind.
- IG3 ist für große oder hochregulierte Unternehmen vorgesehen, die über umfangreiche Ressourcen und eine ausgeprägte Cybersicherheitsinfrastruktur verfügen. IG3 beinhaltet alle Safeguards von IG1 und IG2 und ergänzt zusätzliche, fortgeschrittene Safeguards für Organisationen, die einem hohen Risiko ausgesetzt sind oder kritische Infrastrukturen betreiben.
Kurze Beschreibung der 18 CIS Controls
01 Inventarisierung und Management der Hardware
Eine genaue Bestandsaufnahme aller Hardwarekomponenten (Laptops, Workstations, Server, Firewalls, WiFi, etc.), die mit deinem Netzwerk verbunden sind, um sicherzustellen, dass nur autorisierte Geräte Zugang erhalten. Dies hilft, unbefugte Zugriffe zu verhindern und die Sicherheit zu erhöhen.
02 Inventarisierung und Management der Software
Überwache und inventarisiere alle genutzten Softwareanwendungen. Unautorisierte oder veraltete Software kann ein erhebliches Sicherheitsrisiko darstellen und muss deshalb konsequent erfasst und verwaltet werden.
03 Datensicherheit und Datenschutz
Schütze sensible Daten durch Verschlüsselung, Zugriffskontrollen und Richtlinien. Daten sind ein wertvolles Gut und müssen gegen Verlust, Diebstahl und Manipulation abgesichert sein.
04 Sichere Konfiguration
Sichere Systeme und Anwendungen durch die Anwendung bewährter Konfigurationsstandards und regelmäßige Überprüfungen. Vermeide Standardpasswörter und -einstellungen, um potenzielle Angriffswege zu schließen.
05 Benutzerverwaltung
Führe eine detaillierte Benutzerverwaltung durch, bei der jeder Nutzer eindeutig identifiziert und seine Berechtigungen nach dem Prinzip der minimalen Rechte vergeben werden.
06 Rechteverwaltung
Verwalte und dokumentiere die Vergabe von Nutzerrechten sorgfältig, um sicherzustellen, dass nur autorisierte Personen Zugang zu kritischen Systemen und Daten haben.
07 Schwachstellen-Management
Identifiziere und behebe systematisch Schwachstellen in Software und Hardware. Ein proaktives Schwachstellen-Management hilft, Sicherheitslücken zeitnah zu schließen und Risiken zu minimieren.
Technische Maßnahmen: Vulnerability Scanner
08 Audit Log Management
Erfasse und analysiere Protokolldateien, um sicherheitsrelevante Ereignisse zu überwachen. Protokolle sind unerlässlich für die Nachvollziehbarkeit von Aktivitäten und die Aufdeckung von Sicherheitsvorfällen.
Technische Maßnahmen: SIEM
09 E-Mail- und Webbrowser-Schutz
Implementiere Schutzmechanismen gegen Bedrohungen aus dem Internet wie Phishing oder schädliche Downloads. E-Mail und Webbrowser sind häufige Einfallstore für Cyberangriffe.
Technisches Mittel: Web-Proxy, DNS Filter
10 Malware-Schutz
Schütze Netzwerke und Systeme vor Malware durch den Einsatz von Antivirus-Software/EDR, regelmäßigen Scans und dem Blockieren von ausführbaren Dateien aus unbekannten Quellen.
Technische Maßnahmen: EDR, gepatchtes System, Anwender ohne Admin Rechte, CIS Benchmarks zum härten von System und Applikation
11 Backups
Erstelle regelmäßig Backups wichtiger Daten und Systeme, um im Falle eines Datenverlusts schnell reagieren zu können. Die Sicherung und Wiederherstellung sind Eckpfeiler der Resilienz.
12 Management der Netzwerkinfrastruktur
Verwalte die Netzwerkinfrastruktur proaktiv, um Leistung, Sicherheit und Verfügbarkeit zu gewährleisten. Dies umfasst auch die Segmentierung des Netzwerks zur Begrenzung von Risiken.
Technische Maßnahmen: Segmentierung der Netze
13 Netzwerk-Monitoring
Überwache kontinuierlich das Netzwerk auf Anomalien und Sicherheitsvorfälle. Ein effektives Monitoring ermöglicht es, auf Bedrohungen schnell zu reagieren.
Technische Maßnahmen: SIEM, IDS/IPS
14 Security Awareness Training
Schule Mitarbeiter in Sicherheitsbewusstsein und -praktiken, um menschliche Fehler zu minimieren, die zu Sicherheitsvorfällen führen können. Wissen ist eine wirksame Verteidigungslinie.
Technische Maßnahmen: Schulungen, friendly Phishing
15 Service Provider Management
Verwalte externe Dienstleister streng und überprüfe deren Sicherheitsstandards. Dienstleister müssen als Teil der Sicherheitskette betrachtet werden.
Maßnahmen: Inventar aller Service Provider
16 Anwendungssoftware-Sicherheit
Stelle sicher, dass Anwendungssoftware sicher entwickelt, konfiguriert und regelmäßig auf Schwachstellen geprüft wird, um die Applikationssicherheit zu gewährleisten.
Maßnahmen: CIS Benchmarks zum härten von System und Applikation
17 Incident Response Management
Bereite einen Plan für die Reaktion auf Sicherheitsvorfälle vor, um im Ernstfall schnell und koordiniert handeln zu können. Ein gutes Incident Management kann Schäden begrenzen.
18 Penetration Testing
Führe regelmäßige Penetrationstests durch, um die Wirksamkeit der Sicherheitsmaßnahmen zu überprüfen und unbekannte Schwachstellen zu identifizieren. Pen-Tests simulieren Angriffe unter kontrollierten Bedingungen.
CIS Controls und andere Standards
Die CIS Controls bieten weitreichende Kompatibilität und entsprechen teils direkt mehreren branchenspezifischen Compliance- und Sicherheitsstandards, wie zum Beispiel NIST 800–53, ISO27001, PCI DSS und HIPAA.
Für Unternehmen, die ihre Sicherheitsarchitektur stärken und sich gegen die häufigsten Angriffsarten absichern möchten, bieten die CIS Critical Security Controls einen ausgezeichneten Startpunkt, um das Risiko von Bedrohungen zu minimieren und die Wirksamkeit gegen eine breite Palette von Angriffen zu erhöhen.
Was sind CIS Benchmarks?
Die CIS Benchmarks sind vorschreibende Konfigurationsempfehlungen für mehr als 25 Herstellerproduktfamilien (darunter Windows Server, Windows Desktop und Linux Betriebssysteme). Sie stellen die konsensbasierte Anstrengung von Cybersicherheitsexperten weltweit dar, um dir zu helfen, deine Systeme selbstbewusster gegen Bedrohungen zu schützen.
Relevante Artikel
Wie sicher ist dein Unternehmen? Ein einfaches Cybersecurity Risk Assessment für KMUs
Weiterführende Links
Homepage der CIS Controls. Dort findet man sehr gute Beschreibung des Framworks inklusive Fragebögen Maßnahmendokumente (Vorlagen für Policies), Benchmarks und vieles mehr. Die Dokuementation ist frei zum Download udn vollständig in Englischer Sprache.