KMUSEC Logo
Kontakt
Suche
Close this search box.

Was sind CIS Controls?

  • Zuletzt aktualisiert:
  • 15. April 2024

Die CIS Controls (Center for Internet Security Controls) sind eine Reihe von empfohlenen Sicherheitsmaßnahmen, die von Experten für Cybersecurity entwickelt wurden. Sie dienen dazu, Organisationen aller Größen bei der Abwehr von Cyberangriffen zu unterstützen. Diese Kontrollen sind praxiserprobt und werden regelmäßig aktualisiert, um den neuesten Bedrohungen Rechnung zu tragen.

CIS Controls bestehen aus 153 Einzelmaßnahmen (Safeguards) die auf 18 Maßnahmenpakete (Controls) aufgeteilt sind.

Einzelmaßnahmen bei den CIS Controls sind spezifische Sicherheitsmaßnahmen und Praktiken, die dazu dienen, die Cybersicherheit innerhalb einer Organisation zu verbessern und zu schützen. Sie sind als handlungsorientierte Empfehlungen konzipiert, die Unternehmen dabei helfen, sich gegen die am weitesten verbreiteten Cyberangriffe zu verteidigen.

Beispiel für eine Einzelmaßnahme (Safeguard): Ein häufiger Safeguard ist die Forderung nach der Implementierung von automatisierten Software-Updates. Dies stellt sicher, dass alle Systeme und Anwendungen stets auf dem neuesten Stand sind und bekannte Sicherheitslücken geschlossen werden, um das Risiko von Cyberangriffen zu minimieren.

Einfach, Mittel oder Aufwändig

CIS Controls dienen Hervorragend für ein erstes Cybersecurity Risk Assessment. Dahinter stecken die sogenannten Implementation Groups IG1, IG2 und IG3.

Die CIS Controls sind in Implementation Groups unterteilt, die Unternehmen basierend auf deren spezifischen Ressourcen und Risikoprofilen Anleitungen bieten. Die Anzahl der Safeguards (Sicherheitsmaßnahmen) in den CIS Controls variiert je nach Implementierungsgruppe:

IG1 hat 56 Safeguards, IG2 hat 74 und IG3 umfasst alle 153 Safeguards der CIS Controls V8.

Somit eignet sich die IG1 hervorragend für ein erstes Cybersecurity Risk Assessment, da:

  • die Controls allgemein sehr gut beschrieben sind und
  • die Implementation Group 1 auf die Minimalanforderungen abzielt
  • Alle enthaltenen Safeguards wichtig und vernünftig sind und
  • ein Großteil auch in komplexeren Rahmenwerken wie NIST CSF oder ISO 27001 vorkommen.

Beim Einsatz der CIS Controls als Rahmenwerk für Security Management würden die Implementation Groups für folgende Profile zugeschnitten sein:

  • IG1 ist für kleine bis mittelgroße Unternehmen (KMU) gedacht, die über begrenzte Ressourcen für Cybersicherheit verfügen. IG1 konzentriert sich auf die grundlegendsten und wichtigsten Safeguards, die für alle Organisationen als unverzichtbar angesehen werden.
  • IG2 richtet sich an mittelgroße Unternehmen, die über mehr Ressourcen und ein höheres Maß an Cybersicherheitskompetenz verfügen. IG2 umfasst alle Safeguards von IG1 und fügt weitere hinzu, die für Organisationen mit komplexeren oder sensibleren IT-Umgebungen relevant sind.
  • IG3 ist für große oder hochregulierte Unternehmen vorgesehen, die über umfangreiche Ressourcen und eine ausgeprägte Cybersicherheitsinfrastruktur verfügen. IG3 beinhaltet alle Safeguards von IG1 und IG2 und ergänzt zusätzliche, fortgeschrittene Safeguards für Organisationen, die einem hohen Risiko ausgesetzt sind oder kritische Infrastrukturen betreiben.

Kurze Beschreibung der 18 CIS Controls

01 Inventarisierung und Management der Hardware

Eine genaue Bestandsaufnahme aller Hardwarekomponenten (Laptops, Workstations, Server, Firewalls, WiFi, etc.), die mit deinem Netzwerk verbunden sind, um sicherzustellen, dass nur autorisierte Geräte Zugang erhalten. Dies hilft, unbefugte Zugriffe zu verhindern und die Sicherheit zu erhöhen.

02 Inventarisierung und Management der Software

Überwache und inventarisiere alle genutzten Softwareanwendungen. Unautorisierte oder veraltete Software kann ein erhebliches Sicherheitsrisiko darstellen und muss deshalb konsequent erfasst und verwaltet werden.

03 Datensicherheit und Datenschutz

Schütze sensible Daten durch Verschlüsselung, Zugriffskontrollen und Richtlinien. Daten sind ein wertvolles Gut und müssen gegen Verlust, Diebstahl und Manipulation abgesichert sein.

04 Sichere Konfiguration

Sichere Systeme und Anwendungen durch die Anwendung bewährter Konfigurationsstandards und regelmäßige Überprüfungen. Vermeide Standardpasswörter und -einstellungen, um potenzielle Angriffswege zu schließen.

05 Benutzerverwaltung

Führe eine detaillierte Benutzerverwaltung durch, bei der jeder Nutzer eindeutig identifiziert und seine Berechtigungen nach dem Prinzip der minimalen Rechte vergeben werden.

06 Rechteverwaltung

Verwalte und dokumentiere die Vergabe von Nutzerrechten sorgfältig, um sicherzustellen, dass nur autorisierte Personen Zugang zu kritischen Systemen und Daten haben.

07 Schwachstellen-Management

Identifiziere und behebe systematisch Schwachstellen in Software und Hardware. Ein proaktives Schwachstellen-Management hilft, Sicherheitslücken zeitnah zu schließen und Risiken zu minimieren.

Technische Maßnahmen: Vulnerability Scanner

08 Audit Log Management

Erfasse und analysiere Protokolldateien, um sicherheitsrelevante Ereignisse zu überwachen. Protokolle sind unerlässlich für die Nachvollziehbarkeit von Aktivitäten und die Aufdeckung von Sicherheitsvorfällen.

Technische Maßnahmen: SIEM

09 E-Mail- und Webbrowser-Schutz

Implementiere Schutzmechanismen gegen Bedrohungen aus dem Internet wie Phishing oder schädliche Downloads. E-Mail und Webbrowser sind häufige Einfallstore für Cyberangriffe.

Technisches Mittel: Web-Proxy, DNS Filter

10 Malware-Schutz

Schütze Netzwerke und Systeme vor Malware durch den Einsatz von Antivirus-Software/EDR, regelmäßigen Scans und dem Blockieren von ausführbaren Dateien aus unbekannten Quellen.

Technische Maßnahmen: EDR, gepatchtes System, Anwender ohne Admin Rechte, CIS Benchmarks zum härten von System und Applikation

11 Backups

Erstelle regelmäßig Backups wichtiger Daten und Systeme, um im Falle eines Datenverlusts schnell reagieren zu können. Die Sicherung und Wiederherstellung sind Eckpfeiler der Resilienz.

12 Management der Netzwerkinfrastruktur

Verwalte die Netzwerkinfrastruktur proaktiv, um Leistung, Sicherheit und Verfügbarkeit zu gewährleisten. Dies umfasst auch die Segmentierung des Netzwerks zur Begrenzung von Risiken.

Technische Maßnahmen: Segmentierung der Netze

13 Netzwerk-Monitoring

Überwache kontinuierlich das Netzwerk auf Anomalien und Sicherheitsvorfälle. Ein effektives Monitoring ermöglicht es, auf Bedrohungen schnell zu reagieren.

Technische Maßnahmen: SIEM, IDS/IPS

14 Security Awareness Training

Schule Mitarbeiter in Sicherheitsbewusstsein und -praktiken, um menschliche Fehler zu minimieren, die zu Sicherheitsvorfällen führen können. Wissen ist eine wirksame Verteidigungslinie.

Technische Maßnahmen: Schulungen, friendly Phishing

15 Service Provider Management

Verwalte externe Dienstleister streng und überprüfe deren Sicherheitsstandards. Dienstleister müssen als Teil der Sicherheitskette betrachtet werden.

Maßnahmen: Inventar aller Service Provider

16 Anwendungssoftware-Sicherheit

Stelle sicher, dass Anwendungssoftware sicher entwickelt, konfiguriert und regelmäßig auf Schwachstellen geprüft wird, um die Applikationssicherheit zu gewährleisten.

Maßnahmen: CIS Benchmarks zum härten von System und Applikation

17 Incident Response Management

Bereite einen Plan für die Reaktion auf Sicherheitsvorfälle vor, um im Ernstfall schnell und koordiniert handeln zu können. Ein gutes Incident Management kann Schäden begrenzen.

18 Penetration Testing

Führe regelmäßige Penetrationstests durch, um die Wirksamkeit der Sicherheitsmaßnahmen zu überprüfen und unbekannte Schwachstellen zu identifizieren. Pen-Tests simulieren Angriffe unter kontrollierten Bedingungen.

CIS Controls und andere Standards

Die CIS Controls bieten weitreichende Kompatibilität und entsprechen teils direkt mehreren branchenspezifischen Compliance- und Sicherheitsstandards, wie zum Beispiel NIST 800–53, ISO27001, PCI DSS und HIPAA.

Für Unternehmen, die ihre Sicherheitsarchitektur stärken und sich gegen die häufigsten Angriffsarten absichern möchten, bieten die CIS Critical Security Controls einen ausgezeichneten Startpunkt, um das Risiko von Bedrohungen zu minimieren und die Wirksamkeit gegen eine breite Palette von Angriffen zu erhöhen.

Was sind CIS Benchmarks?

Die CIS Benchmarks sind vorschreibende Konfigurationsempfehlungen für mehr als 25 Herstellerproduktfamilien (darunter Windows Server, Windows Desktop und Linux Betriebssysteme). Sie stellen die konsensbasierte Anstrengung von Cybersicherheitsexperten weltweit dar, um dir zu helfen, deine Systeme selbstbewusster gegen Bedrohungen zu schützen.

Relevante Artikel

Wie baue ich ein ISMS auf?

Wie sicher ist dein Unternehmen? Ein einfaches Cybersecurity Risk Assessment für KMUs

Weiterführende Links

Homepage der CIS Controls. Dort findet man sehr gute Beschreibung des Framworks inklusive Fragebögen Maßnahmendokumente (Vorlagen für Policies), Benchmarks und vieles mehr. Die Dokuementation ist frei zum Download udn vollständig in Englischer Sprache.

Artikel teilen!

Du willst das Thema Cybersecurity professionell angehen und systematisch die Cyber-Resilienz verbessern?
Jetzt informieren

KONTAKT

Wermescher Advisory GmbH

E-Mail: office@wermescher.com
Telefon: Terminvereinbarung über Kontaktformular

Einzugsgebiete: Deutschland, Österreich (z.B. Wien, Graz, Linz), Schweiz

UNTERNEHMEN

Über uns
Impressum
Datenschutzerklärung
Kontakt

RESSOURCEN

Cybersecurity Ratgeber
Cybersecurity Glossar

© Copyright KMUsec.com – Der KMU Ratgeber für Cyber Sicherheit in mittelständischen Unternehmen.