Die CIS Controls erklärt: Best Practice Empfehlungen des Center for Internet Security

Bei den CIS Critical Security Controls bzw. CIS Controls handelt es sich um eine Liste an einfachen, praxisorientierten und priorisierten Best Practices, die von dem Center for Internet Security bereitgestellt wird, einem Non-Profit Organisation mit Fokus auf Cybersicherheit.

Die CIS Controls sollen Organisationen dabei helfen, grundlegende Cyberhygiene umzusetzen, und dient darüber hinaus als Starthilfe für die Compliance mit komplexeren Regularien wie SOX, PCI DSS oder NIST CSF.

Cybersecurity ist ein komplexes und umfangreiches Aufgabenfeld. Doch diese Komplexität sollte Unternehmen nicht davon abschrecken, sich mit dem Thema IT-Sicherheit zu befassen. Während andere Sicherheitsstandards abstrakte Ziele und vage Vorgaben setzen, liefern die CIS Controls zu diesem Zweck konkrete, messbare und praxis-orientierte Empfehlungen.

Die Handlungsempfehlungen der CIS Controls sind einfach gehalten und nach Priorität gestaffelt, was sie zum idealen Einstiegspunkt für komplexere Zertifizierungen macht und es Organisationen erlaubt, schnelle und möglichst effektive Verbesserungen zu treffen. Die CIS Controls eignen sich daher vor allem für Firmen, die bislang über kein Sicherheitskonzept verfügen oder ihre IT-Sicherheit mit begrenzten Ressourcen verbessern möchten.

Vorteile der CIS Controls:

Neben den CIS Controls bietet das Center for Internet Security auch eine Reihe sogenannter CIS Benchmarks an. Dabei handelt es sich Empfehlungen für die korrekte Konfiguration spezifischer Software-Produkte, wie etwa Microsoft 365 oder Windows Server bzw. Active Directory. Diese detaillierten Guides helfen Firmen dabei, die von ihnen genutzten Dienste sicher zu konfigurieren.

Wie alle Standards für Cybersicherheit müssen auch die CIS Controls regelmäßig aktualisiert werden, um mit neuen Technologien und Bedrohungen Schritt zu halten. Version 8 der CIS Controls, das letzte Update, wurde 2021 veröffentlicht und stellt eine umfassende Überarbeitung des Regelwerks dar.

Durch die Zusammenlegung von Kapiteln wurde die Zahl an Kontrollen von 20 auf 18 reduziert. Darüber hinaus sind die gesammelten Maßnahmen nun in drei Implementierungsgruppen (Implementation Groups) eingeteilt, von der grundlegenden Absicherung für alle Organisationen bis hin zu Empfehlungen für größere Betriebe.

ISO 27001 ist eine internationale Norm für den Aufbau eines sogenannten Informationssicherheitsmanagementsystems (ISMS). Da sich beide Standards mit dem Thema IT-Sicherheit befassen, gibt es logischerweise große Überschneidungen zwischen ISO 27001 und den CIS Controls. Aber während es sich bei den CIS Controls um eine Liste konkreter, technischer Sicherheitsmaßnahmen handelt, widmet sich ISO 27001 eher der Governance-Ebene.

ISO 27001 befasst sich mit den Verantwortlichkeiten innerhalb der Organisation und der Rolle von Geschäftsführung und Sicherheitsbeauftragten. Dadurch soll sichergestellt werden, dass das Thema IT-Sicherheit ausreichend Ressourcen und Aufmerksamkeit erhält. Allerdings ist die Norm dadurch auch abstrakter gehalten.

Während ISO 27001 zwar empfohlene technische, organisatorische und physische Kontrollen mitliefert, gibt die Norm Anwendern große Freiheiten, diese Empfehlungen an die eigene IT anzupassen und selbst zu entscheiden, welche Maßnahmen relevant sind und welche nicht. Entsprechend erfordert die Vorbereitung von ISO 27001 viel Planung und genaue Risiko-Assessments.

ISO 27001	CIS Controls
Fokus auf Organisation	Fokus auf IT
Abstrakte Sicherheitsvorgaben	Konkrete, technische Maßnahmen
Empfehlungen müssen auf eigene IT zugeschnitten werden	Keine Anpassung, aber Auswahl einer von drei Implementierungsgruppen

Die CIS Controls v8 umfassen insgesamt 153 Sicherheitsmaßnahmen, aufgeteilt auf 18 Kapitel bzw. Kontrollen. Bei diesen Maßnahmen handelt es sich um konkrete, messbare und technik-fokussierte Best Practices. Die CIS Controls schreiben Organisationen also spezifische Schritte vor, anstatt nur Ziele zu setzen und es den Firmen zu überlassen, wie sie diese erreichen.

Darüber hinaus sind die 18 CIS Controls auch grob nach der empfohlenen Reihenfolge der Umsetzung geordnet. Der erste Abschnitt, die Inventarisierung von Hardware- und Software-Assets sollte etwa zu Beginn erfolgen, da viele weitere Entscheidungen von diesem Inventar abhängen. Umgekehrt reiht sich Penetration Testing an das Ende der CIS Controls, da ein Test der Sicherheitsmaßnahmen erst nach deren Implementierung Sinn ergibt.

Die 18 CIS Controls:

Um die Empfehlungen der CIS Controls an die Größe des betroffenen Unternehmens anpassen zu können, ist der Standard in drei Implementierungsgruppen unterteilt. Implementation Group 1 deckt Maßnahmen der grundlegenden Cyberhygiene ab, die jede Organisation umsetzen sollte. Dahingegen umfassen Group 2 und Group 3 tiefergehende Empfehlungen für größere Betriebe mit den entsprechenden Ressourcen.

Jede Sicherheitsmaßnahme innerhalb der 18 Kontrollen ist mit Labels für IG1, IG2 bzw. IG3 gekennzeichnet. Die drei Implementierungsgruppen bauen aufeinander auf: Betriebe in der Implementation Group 2 müssen also weiterhin alle grundlegenden Maßnahmen umsetzen und Implementation Group 3 umfasst sämtliche empfohlenen Vorkehrungen.

Die Einteilung in Implementierungsgruppen erfolgt auf Basis der Selbsteinschätzung des Unternehmens. Firmen müssen also selbst entscheiden, welche Kategorie ihren Ressourcen und ihrem Risikoprofil entspricht.

Anders als Sicherheitsstandards mit externem Audit wie ISO 27001 sind die CIS Controls primär als Angebot zur Selbsthilfe für Firmen gedacht, und nicht als Sicherheitszertifikat. Obwohl einige Audit-Firmen anbieten, die Umsetzung der CIS Controls zu bewerten, gibt es keine offizielle Zertifizierung der CIS Controls.

Effektive Cybersicherheit erfordert einen breiten Mix an Maßnahmen. Die CIS Controls haben sich zum Ziel gesetzt, alle Themen abzudecken, mit denen sich eine Organisation befassen muss, um die eigene IT gegen Cyberangriffe und Insider Threats abzusichern. Das Themenspektrum reicht dabei von Malwareschutz über Datenbackups bis zu Sicherheitsschulungen für das Personal.

Ein Abschnitt der CIS Controls ist dabei nicht nur von zentraler Bedeutung für die Cybersicherheit, sondern für den Betrieb einer produktiven IT-Umgebung im Allgemeinen: Identity und Access Management.

Aufgeteilt auf die Abschnitte 5 und 6 schreiben die CIS Controls Unternehmen unter anderem vor, ihre Benutzerverwaltung und Zugriffskontrolle zu zentralisieren, einen automatischen Prozess für Vergabe und Entzug von Zugriffsberechtigungen zu etablieren, inaktive Konten zu deaktivieren und ein Rollenmodell für Berechtigungen zu implementieren.

Und das aus gutem Grund: Die vom CIS geforderten Maßnahmen dienen der Umsetzung des Least Privilege Prinzips und sind entscheidend, um sensible Daten vor unberechtigtem Zugriff zu schützen. Die Automatisierung der Berechtigungsabläufe hat zudem gleich zwei Vorteile – automatische Vergabe und Löschung verhindert Fehler in der Berechtigungsvergabe und senkt den Arbeitsaufwand in der IT.

Auch wenn Identity & Access Management zwingend erforderlich ist, um moderne IT-Umgebungen erfolgreich zu verwalten, gibt es ein großes Problem: Gängige Lösungen sind viel zu kompliziert und nicht für mittelständische Betriebe geeignet. Da ihr Setup viel manuelles Scripting erfordert, nimmt die Implementierung dieser Produkte oft mehrere Jahre in Anspruch.

Doch es gibt einen schnelleren Weg, um ihr Benutzer- und Berechtigungsmanagement zu automatisieren, ohne auf wichtige Funktionen zu verzichten. Als erste vollständige No-Code IAM Plattform kann tenfold allein über sein benutzerfreundliches Interface in Betrieb genommen werden. Fertige Plugins für gängige Systeme wie Active Directory oder M365 erleichtern die Anbindung an Ihre bestehende Infrastruktur, wodurch Sie tenfold in Rekordzeit produktiv nutzen können!

Machen Sie sich selbst ein Bild und sehen Sie sich unser Demo-Video an oder vereinbaren Sie jetzt einen kostenlosen Test unser revolutionär einfachen IAM-Software.