Die CIS Controls erklärt: Best Practice Empfehlungen des Center for Internet Security

Mit den Critical Security Controls stellt das Center for Internet Security (CIS) simple und praxisorientierte Empfehlungen zur Verbesserung der IT-Sicherheit bereit. Aufgrund ihrer einfachen Anwendung zählen die CIS Controls zu den weltweit bekanntesten Sicherheitsstandards. Alles zu den Anforderungen der CIS Controls und wie sich das Framework von Standards wie ISO 27001 unterscheidet.

Was sind die CIS Controls?

Bei den CIS Critical Security Controls bzw. CIS Controls handelt es sich um eine Liste an einfachen, praxisorientierten und priorisierten Best Practices, die von dem Center for Internet Security bereitgestellt wird, einem Non-Profit Organisation mit Fokus auf Cybersicherheit.

Die CIS Controls sollen Organisationen dabei helfen, grundlegende Cyberhygiene umzusetzen, und dient darüber hinaus als Starthilfe für die Compliance mit komplexeren Regularien wie SOX, PCI DSS oder NIST CSF.

Vorteile der CIS Controls

Cybersecurity ist ein komplexes und umfangreiches Aufgabenfeld. Doch diese Komplexität sollte Unternehmen nicht davon abschrecken, sich mit dem Thema IT-Sicherheit zu befassen. Während andere Sicherheitsstandards abstrakte Ziele und vage Vorgaben setzen, liefern die CIS Controls zu diesem Zweck konkrete, messbare und praxis-orientierte Empfehlungen.

Die Handlungsempfehlungen der CIS Controls sind einfach gehalten und nach Priorität gestaffelt, was sie zum idealen Einstiegspunkt für komplexere Zertifizierungen macht und es Organisationen erlaubt, schnelle und möglichst effektive Verbesserungen zu treffen. Die CIS Controls eignen sich daher vor allem für Firmen, die bislang über kein Sicherheitskonzept verfügen oder ihre IT-Sicherheit mit begrenzten Ressourcen verbessern möchten.

Vorteile der CIS Controls:

  • Beliebtes und praxis-erprobtes Framework

  • Konkrete und priorisierte Empfehlungen

  • Lässt sich gut mit anderen Standards integrieren

  • Einstiegspunkt für komplexere Regelwerke

  • Kostenlos & zugänglich

Die CIS Benchmarks: Systeme korrekt konfigurieren

Neben den CIS Controls bietet das Center for Internet Security auch eine Reihe sogenannter CIS Benchmarks an. Dabei handelt es sich Empfehlungen für die korrekte Konfiguration spezifischer Software-Produkte, wie etwa Microsoft 365 oder Windows Server bzw. Active Directory. Diese detaillierten Guides helfen Firmen dabei, die von ihnen genutzten Dienste sicher zu konfigurieren.

CIS Controls v8: Die aktuelle Version

Wie alle Standards für Cybersicherheit müssen auch die CIS Controls regelmäßig aktualisiert werden, um mit neuen Technologien und Bedrohungen Schritt zu halten. Version 8 der CIS Controls, das letzte Update, wurde 2021 veröffentlicht und stellt eine umfassende Überarbeitung des Regelwerks dar.

Durch die Zusammenlegung von Kapiteln wurde die Zahl an Kontrollen von 20 auf 18 reduziert. Darüber hinaus sind die gesammelten Maßnahmen nun in drei Implementierungsgruppen (Implementation Groups) eingeteilt, von der grundlegenden Absicherung für alle Organisationen bis hin zu Empfehlungen für größere Betriebe.

Auf der CIS Website gibt es weitere Informationen zu dem Update, inklusive eines detaillierten Change Logs.

CIS Controls vs. ISO 27001

ISO 27001 ist eine internationale Norm für den Aufbau eines sogenannten Informationssicherheitsmanagementsystems (ISMS). Da sich beide Standards mit dem Thema IT-Sicherheit befassen, gibt es logischerweise große Überschneidungen zwischen ISO 27001 und den CIS Controls. Aber während es sich bei den CIS Controls um eine Liste konkreter, technischer Sicherheitsmaßnahmen handelt, widmet sich ISO 27001 eher der Governance-Ebene.

ISO 27001 befasst sich mit den Verantwortlichkeiten innerhalb der Organisation und der Rolle von Geschäftsführung und Sicherheitsbeauftragten. Dadurch soll sichergestellt werden, dass das Thema IT-Sicherheit ausreichend Ressourcen und Aufmerksamkeit erhält. Allerdings ist die Norm dadurch auch abstrakter gehalten.

Während ISO 27001 zwar empfohlene technische, organisatorische und physische Kontrollen mitliefert, gibt die Norm Anwendern große Freiheiten, diese Empfehlungen an die eigene IT anzupassen und selbst zu entscheiden, welche Maßnahmen relevant sind und welche nicht. Entsprechend erfordert die Vorbereitung von ISO 27001 viel Planung und genaue Risiko-Assessments.

ISO 27001CIS Controls
Fokus auf OrganisationFokus auf IT
Abstrakte SicherheitsvorgabenKonkrete, technische Maßnahmen
Empfehlungen müssen auf eigene IT zugeschnitten werdenKeine Anpassung, aber Auswahl einer von drei Implementierungsgruppen

Die Kompatibilität mit anderen Standards zählt zu den Stärken der CIS Controls. Für viele der enthaltenen Kontrollen gibt es Entsprechungen in ISO 27001. Eine entsprechende Zuordnungstabelle ist als Download verfügbar.

Die 18 CIS Controls im Überblick

Die CIS Controls v8 umfassen insgesamt 153 Sicherheitsmaßnahmen, aufgeteilt auf 18 Kapitel bzw. Kontrollen. Bei diesen Maßnahmen handelt es sich um konkrete, messbare und technik-fokussierte Best Practices. Die CIS Controls schreiben Organisationen also spezifische Schritte vor, anstatt nur Ziele zu setzen und es den Firmen zu überlassen, wie sie diese erreichen.

Darüber hinaus sind die 18 CIS Controls auch grob nach der empfohlenen Reihenfolge der Umsetzung geordnet. Der erste Abschnitt, die Inventarisierung von Hardware- und Software-Assets sollte etwa zu Beginn erfolgen, da viele weitere Entscheidungen von diesem Inventar abhängen. Umgekehrt reiht sich Penetration Testing an das Ende der CIS Controls, da ein Test der Sicherheitsmaßnahmen erst nach deren Implementierung Sinn ergibt.

Die 18 CIS Controls:

  • Inventory and Control of Enterprise Assets

  • Inventory and Control of Software Assets

  • Data Protection

  • Secure Configuration

  • Account Management

  • Access Control Management

  • Continuous Vulnerability Management

  • Audit Log Management

  • Email and Web Browser Protection

  • Malware Defenses

  • Data Recovery

  • Network Infrastructure Management

  • Network Monitoring and Defense

  • Security Awareness and Skills Training

  • Service Provider Management

  • Application Software Security

  • Incident Response Management

  • Penetration Testing

Die vollständige Liste aller CIS Controls kann über die Website des Center for Internet Security heruntergeladen werden.

CIS Controls: Implementation Groups

Um die Empfehlungen der CIS Controls an die Größe des betroffenen Unternehmens anpassen zu können, ist der Standard in drei Implementierungsgruppen unterteilt. Implementation Group 1 deckt Maßnahmen der grundlegenden Cyberhygiene ab, die jede Organisation umsetzen sollte. Dahingegen umfassen Group 2 und Group 3 tiefergehende Empfehlungen für größere Betriebe mit den entsprechenden Ressourcen.

Jede Sicherheitsmaßnahme innerhalb der 18 Kontrollen ist mit Labels für IG1, IG2 bzw. IG3 gekennzeichnet. Die drei Implementierungsgruppen bauen aufeinander auf: Betriebe in der Implementation Group 2 müssen also weiterhin alle grundlegenden Maßnahmen umsetzen und Implementation Group 3 umfasst sämtliche empfohlenen Vorkehrungen.

Die Einteilung in Implementierungsgruppen erfolgt auf Basis der Selbsteinschätzung des Unternehmens. Firmen müssen also selbst entscheiden, welche Kategorie ihren Ressourcen und ihrem Risikoprofil entspricht.

  • Implementation Group 1: Kleine bis mittelgroße Firmen mit kaum internem IT Know-how, die sich gegen ungezielte Angriffe verteidigen müssen und dabei durch IT-Produkte von der Stange und den enthaltenen Möglichkeiten eingeschränkt sind.

  • Implementation Group 2: Mittlere bis große Firmen, die über ein eigenes IT-Team aber mit begrenzten Ressourcen verfügen. Unterschiedliche Abteilungen mit verschiedenen Risikoprofilen erschweren die Absicherung. Es kommt Technologie aus dem Enterprise-Segment zum Einsatz und muss korrekt konfiguriert werden.

  • Implementation Group 3: Große Unternehmen die sensible Daten verarbeiten und gesetzliche Compliance-Vorgaben erfüllen müssen. Verfügen über eigene Security-Experten und müssen sich gegen gezielte und ausgeklügelte Angriffe verteidigen.

CIS Controls: Zertifizierung

Anders als Sicherheitsstandards mit externem Audit wie ISO 27001 sind die CIS Controls primär als Angebot zur Selbsthilfe für Firmen gedacht, und nicht als Sicherheitszertifikat. Obwohl einige Audit-Firmen anbieten, die Umsetzung der CIS Controls zu bewerten, gibt es keine offizielle Zertifizierung der CIS Controls.

CIS Controls Anforderungen: User & Access Management

Effektive Cybersicherheit erfordert einen breiten Mix an Maßnahmen. Die CIS Controls haben sich zum Ziel gesetzt, alle Themen abzudecken, mit denen sich eine Organisation befassen muss, um die eigene IT gegen Cyberangriffe und Insider Threats abzusichern. Das Themenspektrum reicht dabei von Malwareschutz über Datenbackups bis zu Sicherheitsschulungen für das Personal.

Ein Abschnitt der CIS Controls ist dabei nicht nur von zentraler Bedeutung für die Cybersicherheit, sondern für den Betrieb einer produktiven IT-Umgebung im Allgemeinen: Identity und Access Management.

Aufgeteilt auf die Abschnitte 5 und 6 schreiben die CIS Controls Unternehmen unter anderem vor, ihre Benutzerverwaltung und Zugriffskontrolle zu zentralisieren, einen automatischen Prozess für Vergabe und Entzug von Zugriffsberechtigungen zu etablieren, inaktive Konten zu deaktivieren und ein Rollenmodell für Berechtigungen zu implementieren.

Und das aus gutem Grund: Die vom CIS geforderten Maßnahmen dienen der Umsetzung des Least Privilege Prinzips und sind entscheidend, um sensible Daten vor unberechtigtem Zugriff zu schützen. Die Automatisierung der Berechtigungsabläufe hat zudem gleich zwei Vorteile – automatische Vergabe und Löschung verhindert Fehler in der Berechtigungsvergabe und senkt den Arbeitsaufwand in der IT.

Von der Automatisierung des User Lifecycle über regelmäßige Access Reviews: Automatische Prozesse sind der Schlüssel zum Erfolg im Identity und Access Management!

Anforderungen der CIS Controls, die tenfold Access Management abdeckt:

Control 05: Account Management

  • 5.1 – Establish an Inventory of Accounts

  • 5.2 – Use Unique Passwords

  • 5.3 – Disable Dormant Accounts

  • 5.4 – Restrict Administrator Privileges

  • 5.5 – Establish an Inventory of Service Accounts

  • 5.6 – Centralize Account Management

Control 06: Access Control Management

  • 6.1 – Establish an Access Granting Process

  • 6.2 – Establish an Access Revoking Process

  • 6.6 – Establish an Inventory of Authentication Systems

  • 6.7 – Centralize Access Control

  • 6.8 – Maintain Role-Based Access Control

tenfold: Der einfache Weg, Zugriffsrechte zu verwalten

Auch wenn Identity & Access Management zwingend erforderlich ist, um moderne IT-Umgebungen erfolgreich zu verwalten, gibt es ein großes Problem: Gängige Lösungen sind viel zu kompliziert und nicht für mittelständische Betriebe geeignet. Da ihr Setup viel manuelles Scripting erfordert, nimmt die Implementierung dieser Produkte oft mehrere Jahre in Anspruch.

Doch es gibt einen schnelleren Weg, um ihr Benutzer- und Berechtigungsmanagement zu automatisieren, ohne auf wichtige Funktionen zu verzichten. Als erste vollständige No-Code IAM Plattform kann tenfold allein über sein benutzerfreundliches Interface in Betrieb genommen werden. Fertige Plugins für gängige Systeme wie Active Directory oder M365 erleichtern die Anbindung an Ihre bestehende Infrastruktur, wodurch Sie tenfold in Rekordzeit produktiv nutzen können!

Machen Sie sich selbst ein Bild und sehen Sie sich unser Demo-Video an oder vereinbaren Sie jetzt einen kostenlosen Test unser revolutionär einfachen IAM-Software.

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Verfasst von: Joe Köller

Als tenfolds Content Manager verantwortet Joe Köller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitäten tiefgehend beleuchtet. Komplexe Materie verständlich zu erklären ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergründe der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre über Games und digitale Medien berichtet.