CIS Controls kurz erklärt

1 Was sind die CIS Controls?

Die CIS Controls (früher bekannt unter der Bezeichnung CIS Critical Security Controls) bestehen aus einer Reihe von konkreten Handlungsempfehlungen im Bereich der IT-Sicherheit, um die am weitesten verbreiteten und gefährlichsten Cyberangriffe zu stoppen. Im Mai 2021 wurde die Version 8 der CIS Controls auf der RSA Conference 2021 vorgestellt. Die CIS Controls v8 werden vom Center for Internet Security gepflegt und weiterentwickelt.

2 Wie funktionieren die CIS Controls?

Die CIS Controls bestehen aus insgesamt 18 Maßnahmenpaketen. Dabei werden drei Implementierungsgruppen IG1, IG2 und IG3 unterschieden. Jede Implementierungsgruppe baut auf der vorhergehenden auf: IG2 umfasst IG1, und IG3 umfasst alle CIS-Schutzmaßnahmen in IG1 und IG2.

1. IG1 (56 Einzelmaßnahmen): Maßnahmen der Implementierungsgruppe 1 werden von den CIS Controls als Cyber-Hygiene-Mindeststandard definiert und sind auf jeden Fall von jedem Unternehmen umzusetzen. Dazu gehören insgesamt 56 Einzelmaßnahmen, die sie auf fast alle Maßnahmenpakete verteilen. In den meisten Fällen handelt es sich dabei um eher kleine Unternehmen mit begrenztem IT-Security-Knowhow und eingeschränkten Ressourcen. Die Einzelmaßnahmen sind in so konzipiert, dass sie mit handelsüblicher Hardware und Software insbesondere auch für kleine Unternehmen oder Heimbüros funktionieren.
2. IG2 (enthält IG1, 130 Einzelmaßnahmen): Ein IG2-Unternehmen beschäftigt eigene Mitarbeiter, die für die Verwaltung und den Schutz der IT-Infrastruktur zuständig sind. Solche Unternehmen speichern und verarbeiten häufig sensible Kunden- oder Unternehmensdaten und können kurze Unterbrechungen des Dienstes verkraften. Ein großes Problem ist der Verlust des öffentlichen Vertrauens, wenn es zu einem Verstoß kommt. Die bei der Implementierungsgruppe 2 ausgewählten Einzelmaßnahmen helfen den Sicherheitsteams bei der Bewältigung der erhöhten betrieblichen Komplexität. Einige Schutzmaßnahmen erfordern anspruchsvollere Sicherheitstechnologie und spezielles Fachwissen.
3. IG3 (enthält IG1 und IG2, 153 Einzelmaßnahmen): Ein IG3-Unternehmen verfügt über IT-Security-Experten, die auf verschiedene Aspekte der Cybersicherheit spezialisiert sind (z.B. Risikomanagement, Penetrationstests, Anwendungssicherheit). Die verarbeiteten Daten unterliegen dabei häufig regulatorischen Anforderungen, die über den Datenschutz hinausgehen. Das Unternehmen muss die Vertraulichkeit und Integrität sensibler Daten gewährleisten und die Verfügbarkeit von Diensten sicherstellen. Erfolgreiche Angriffe können dem öffentlichen Wohl erheblichen Schaden zufügen. Die für die Implementierungsgruppe 3 ausgewählten Einzelmaßnahmen sollen dabei auch gegen gezielte Angriffe hochentwickelter Gegner wirken.

Tabelle – Übersicht CIS Controls und Einzelmaßnahmen in Implementierungsgruppen

CIS-Control	Anzahl der Einzelmaßnahmen	davon in IG1	davon in IG2	davon in IG3
01 Inventarisierung und Management der Hardware	5	2	4	5
02 Inventarisierung und Management der Software	7	3	6	7
03 Datensicherheit und Datenschutz	14	6	12	14
04 Sichere Konfiguration	12	7	11	12
05 Benutzerverwaltung	6	4	6	6
06 Rechteverwaltung	8	5	7	8
07 Schwachstellen-Management	7	4	7	7
08 Audit Log Management	12	3	11	12
09 E-Mail- und Webbrowser-Schutz	7	2	6	7
10 Malware-Schutz	7	3	7	7
11 Backups	5	4	5	5
12 Management der Netzwerkinfrastruktur	8	1	7	8
13 Netzwerk-Monitoring	11	0	6	11
14 Security Awareness Training	9	8	9	9
15 Service Provider Management	7	1	4	7
16 Anwendungssoftware-Sicherheit	14	0	11	14
17 Incident Response Management	9	3	8	9
18 Penetration Testing	5	0	3	5
Gesamt	153	56	130	153

3 Die 18 CIS Controls

Nachfolgend fassen wir die 18 CIS Controls kurz zusammen. Die gesamte Liste mit allen Details zur IG1, IG2 und IG3 lässt sich als PDF und Excel direkt vom Center of Internet Security downloaden.

01 - Inventar und Management der Hardware (Unternehmens-IT)

Ein Unternehmen kann eine IT-Infrastruktur nur schützen, wenn es weiß, woraus diese besteht. Dazu sollte ein Inventar alle eingesetzten Hardware-Komponenten vorhanden sein. Dazu gehören insbesondere alle mit dem Unternehmens-Netz verbundenen Geräte wie Clients (Workstations, Laptops, Smartphones, und IoT Geräte) und Server. Aber auch Cloud-Infrastruktur zählt dazu.

02 - Inventar und Management der eingesetzten Software im Unternehmen

Da Softwareschwachstellen ein häufiges Einfallstor darstellen, ist eine Liste aktuell genutzter Software wichtig, um potenzielle Risiken für den der Einsatz zu erkennen. Ohne eine solches Software-Inventar ist ein zuverlässiges Updaten und Patchen nicht möglich.

03 – [[LNK:guide-data-security|Datensicherheit]] und Datenschutz

Unsere Daten befinden sich nicht mehr nur innerhalb der eigenen Grenzen, sondern auf mobilen Endgeräten wie Smartphone oder Laptop oder in der Cloud - und werden auch oft noch mit Partnern auf der ganzen Welt geteilt. Ohne ein Verständnis dafür zu haben, wer gerade auf welche Daten zugreifen kann, wer einen solchen Zugriff genehmigen darf und wie die Daten auf mobilen Endgeräten geschützt sind, ist es schwer sich vor Datenverlusten („Data leak“) zu schützen. Datenverlust kann bei vertraulichen Kundendaten oder Geschäftsgeheimnissen sehr unangenehm sein.

04 – Sichere Konfiguration der Unternehmens-IT sowie der eingesetzten Software

Häufig sind neu eingesetzte Hardware oder Software mit Standardpasswörtern- und Konfigurationen versehen, die einen einfachen Einsatz im Unternehmen und weniger die Sicherheit im Blick haben. Eine umfassende Härtung und aller eingesetzten Clients, Server, Firewalls sollte nach jeder Produktivschaltung erfolgen.

05 – Benutzerverwaltung

Für einen Angreifer ist es oft am einfachsten einen bereits vorhandenen Benutzerkonto zu missbrauchen indem schwache oder durch Phishing gewonnene Zugangsdaten und Passwörte, aktive Benutzerkonten von Personen, die bereits das Unternehmen verlassen haben, Testkonten oder ähnliches verwendet werden können.

Um dem zu begegnen, muss man einen Überblick auf die aktuell eingesetzten Konten haben und normale Benutzer von administrativen Konten trennen.

06 – Rechteverwaltung

Aufbauend auf 05 müssen die genutzten Rechte verwaltet werden. Multi-Faktor-Autorisierung sollte bei einem Zugriff von remote oder falls möglich auch bei einem Zugriff mit administrativen Rechten genutzt werden.

Das Management von Benutzern und deren Zugriff wird als IAM (Identity Access Management) bezeichnet – darauf aufbauend wird Verwaltung von privilegiertem Zugriff als PAM (Privileged Access Management) bezeichnet.

07 – Schwachstellen-Management

Zügiges Patchen von Sicherheitsschwachstellen und das Einspielen von Updates hätten bereits viele Daten-Leaks verhindert. Dazu ist ein guter Blick auf die im Unternehmen eingesetzten Betriebssystemen und auch Software wichtig.

08 – Audit Log Management

Logdateien von System- und Benutzerereignissen sind wichtig um - im Fall der Fälle - herauszufinden was passiert ist und welche Daten gestohlen oder verändert worden sind.

Auch können diese Log-Daten in einem SIEM (Security Information and Event Management) weiterverarbeitet, um in Echtzeit Alarmierungen anzustoßen.

09 – E-Mail und Browser-Schutz

Der Einsatz aktueller und voll unterstützter Software für E-Mails und Browser sollte selbstverständlich sein. Sinnvoll ist häufig ein weitergehender Schutz wie ein Web-Proxy oder ein DNS-Filter.

10 - Malware-Schutz

Sollte es also doch zu einer Ausführung von Malware auf einem System kommen ist das unschön, oft aber schwer in einer Organisation komplett zu verhindern. Umso wichtiger ist es an dieser Stelle, dass die Malware sich in einem eingeschränkten, nicht-administrativen, Benutzerkonto auf einem voll-gepatchten System in einer gehärteten IT-Umgebung ohne Sicherheitslücken wiederfindet um den Schaden, der angerichtet werden kann zu minimieren. Auch Backups sind an dieser Stelle dann oft unersetzlich, um eine zügige Weiterarbeit zu ermöglichen.

11 – Backups

Automatisiert ablaufende Backups sind nicht optional, sondern ein Muss. Ganz wichtig ist, die Backups von den laufenden Systemen zu isolieren, damit – beispielsweise bei einem Befall von Ransomware – die Backups nicht gleich mit verschlüsselt oder gelöscht werden. Dazu können sich Cloud-Backupdienste oder auch Offline-Backups wie rollierende USB-Festplatten eignen.

12 – Management der Netzwerkinfrastruktur

Eine durchdachte Sicherheitsarchitektur des Unternehmensnetzwerkes (Zonierung/Firewalls) kann helfen die Bewegung von Angreifern einzuschränken. Häufig ist es beispielweise für den Betriebsablauf nicht notwendig von einem Client auf einen anderen Client zugreifen zu können – für den Angreifer (Lateral Movement) ist dies jedoch sehr wichtig.

13 – Netzwerk-Monitoring

Für fortgeschrittene Anforderungen an die IT-Sicherheit kann eine korrelierte Auswertung von Audit Logs und in einem SIEM (Security Information und Event Management) verbunden mit Lösungen für Host-Intrusion-Detection (HIDS), Network-Intrusion-Detection (NIDS), Paketfiltern und Traffic-Flow-Informationen sinnvoll sein.

14 – Security Awareness Trainings

Regelmäßige Awareness Trainings von Mitarbeitern sorgen dafür, dass die „Human Firewall“ aktiv. Da aktuell die meisten Angriffe von außen auf Basis von Social Engineering Techniken durchgeführt werden (oft anfänglich über Phishing oder über das Abgreifen von Benutzerpasswörtern) können gut geschulte Mitarbeiter das effektivste Erkennungssystem solcher Angriffe sein.

15 – Management von Service-Providern

In unserer vernetzten Welt verlassen sich Unternehmen auf Anbieter und Partner, um Unternehmensdaten zu verwalten und nutzen externe IT-Infrastruktur für unternehmenskritische Anwendungen. Ein Inventar der eingesetzten Service-Provider sollte verfügbar sein (z.B. Microsoft, falls Office365/Exchange Online eingesetzt werden). Der Einsatz von (Cloud-)Service-Providern kann dabei nicht pauschal bewertet werden. Die Sicherheitsvorkehrungen seitens des Service-Providers sind häufig viel höher als es ein mittleres Unternehmen je darstellen könnte – damit verschiebt sich aber die Angriffsoberfläche in Richtung der eigenen Unternehmensmitarbeiter.

16 – Sicherheit der eingesetzten Software und Web-Anwendungen

Zugegebenermaßen ist Anwendungssicherheit ist ein weites Feld. Ziel ist immer, dass die eingesetzten Anwendungen und Dienste nicht gehackt, kompromittiert, ohne Berechtigung aufgerufen oder abgeschaltet werden können. Je nachdem ob ein Unternehmen primär Software kauft und diese einsetzt oder Software selbst entwickelt kann der Fokus und die durchgeführten Maßnahmen hierzu auch sehr verschieden sein. Als Mindestanforderung sollte der Umgang mit 07 Schwachstellenmanagement etabliert sein. Falls Software selbst entwickelt wird, sollte ein Prozess zur sicheren Softwareentwicklung eingesetzt werden (SDLC, ggf. DevSecOps).

17 – Incident Response

Jedes Unternehmen sollte auf Sicherheitsvorfälle vorbereite sein. Klar definierte Richtlinien, Pläne, Verfahren, Verantwortlichkeiten, Ausbildung und Kommunikation sind die Basis um Sicherheitsvorfälle schnell zu erkennen und angemessen darauf zu reagieren.

18 – Penetrationstests

Eine erfolgreiche Abwehrstrategie erfordert ein umfassendes Programm mit wirksamen Strategien und Governance, starke technische Abwehrmechanismen sowie eine angemessene Einbindung der Benutzer. Es ist jedoch selten perfekt. In einer komplexen IT-Umgebung, in der Technologie ständig weiterentwickelt wird und regelmäßig neue Angreifer mit neuen Vorgehensweisen auftauchen, sollten Unternehmen die eingesetzten Maßnahmen regelmäßig durch Penetration Testing überprüfen, um Lücken zu ermitteln und die eigene Widerstandsfähigkeit zu bewerten.

4 Wie werden die CIS Controls implementiert?

Für IT-Sicherheitsbeauftragte und Cybersicherheitsexperten kann die Planung der Umsetzung eines IT-Security-Frameworks wie der CIS Controls eine entmutigende Aufgabe sein. Bei 18 kritischen Maßnahmenpaketen die es umzusetzen gilt, und keinem standardisierten Weg zur Erreichung der Konformität, kann es schnell überwältigend wirken. Häufig ist es ratsam im Zuge der Entwicklung des eigenen IT-Sicherheitskonzepts eine Bewertung zum aktuellen Stand der Umsetzung hinsichtlich der CIS Controls mit durchzuführen.

Dennoch soll die folgende Guideline als kleine Hilfe dienen.

Schritt 1 – Grundlegende Sicherheitsmaßnahmen & Cyber-Hygiene (IG1)

Die CIS Controls der Implementierungsgruppe 1 befassen sich mit grundlegenden bewährten Praktiken der Cybersicherheit, auch als Cyber-Hygiene bezeichnet. Dazu gehört, dass man weiß, welche Personen, Software oder IT-Systeme Zugriff auf Unternehmens- oder Kundendaten haben.

Schritt 2 – Schutz von Vermögenswerten in der Informationstechnologie (IG2)

In Ergänzung zu den Maßnahmen von IG1 werden allgemeine und technische Aspekte der IT-Sicherheit verbessert und verfeinert. Zu diesem Zweck werden nun technische Maßnahmen umgesetzt die Vermögenswerte gezielt schützen: E-Mails und andere persönliche Daten, Kundendaten und auch IT-Systeme.

Schritt 3 – Weiterentwicklung zu einer Sicherheitskultur (IG3)

Die Implementierungsgruppe 3 erweitert das bereits sehr solide aufgestellte Sicherheitsprogramm um Maßnahmen und Konzepte, die es ermöglichen auch fortgeschrittenen Angreifern Einhalt zu gebieten. Die Umsetzung dieser Maßnahmen erfordert ein hohes Maß an verfügbarem technischem Knowhow und ist für KMUs häufig auch nicht zwingend erforderlich.

5 Mapping der CIS Controls auf ISO 27002

Es wird ein Mapping der CIS Controls v8 auf die ISO 27002:2022 Controls gepflegt. Eine detaillierte Excel-Liste ist vom CIS dazu ebenfalls kostenfrei zum Download verfügbar.

6 Wie werden die CIS Benchmarks verwendet?

Das Center of Internet Security hat zur Umsetzung der CIS Controls die CIS Benchmarks entwickelt. Die CIS Benchmarks bestehen aus über 100 Konfigurations- und Härtungsrichtlinie in den folgenden Bereichen:

• Betriebssysteme
• Server-Software
• Cloud-Provider
• Mobilgeräte
• Netzwerkgeräte
• Desktop-Software
• Multi-Funktions-Drucker

Die CIS Benchmarks sind ebenfalls zum Download verfügbar.