Die heutigen Organisationen stehen vor einer Vielzahl von Bedrohungen, was die Cybersicherheit entmutigend machen kann. Wie können sie sich mit begrenzten Ressourcen gegen so viele Arten von Cyberangriffen schützen?

Die CIS Critical Security Controls® (CIS Controls®) sollen Organisationen helfen, diese spezielle Herausforderung zu meistern. Die CIS Controls sind eine priorisierte Reihe von Maßnahmen, die Organisationen ergreifen können, um sich und ihre Daten gegen gängige Cyberangriffsmethoden zu verteidigen.

Lassen Sie uns genauer betrachten, was diese Kontrollen sind, warum Ihre Organisation sie implementieren sollte und wie.

Was sind die CIS Controls?

Die CIS Controls sind eine Reihe von Best Practices für die Cybersicherheit, die vom Center for Internet Security, Inc. (CIS®) entwickelt wurden. Diese Kontrollen sollen Organisationen dabei helfen, die häufigsten Cyberbedrohungen gegen Systeme und Netzwerke zu identifizieren, zu verwalten und zu mildern. Sie sind darauf ausgelegt, umfangreich genug zu sein, um die Cybersicherheitsprogramme eines jeden Unternehmens, unabhängig von seiner Größe, zu schützen und zu verteidigen, aber auch spezifisch genug, um ihre Implementierung zu erleichtern.

Jede CIS-Kontrolle ist in CIS-Schutzmaßnahmen oder messbare Aktionen unterteilt. Jede Schutzmaßnahme beschreibt eine Handlung, die Organisationen ergreifen können, um sich gegen gängige Cyberangriffsmethoden zu verteidigen, einschließlich Malware, Ransomware, Webanwendungsangriffe, Insider-Bedrohungen und -Missbrauch sowie gezielte Eindringlinge, unter anderem.

Die CIS Controls werden kontinuierlich aktualisiert im Rahmen des fortlaufenden Engagements von CIS, sicherzustellen, dass Organisationen widerstandsfähig gegenüber sich ständig weiterentwickelnden Cyberbedrohungen bleiben. Im Folgenden betrachten wir die letzte Iteration.

CIS Controls Version 8.1

Die CIS Controls Version 8.1 stellen die neueste Entwicklung der Cybersecurity-Standards dar, um die Cybersicherheitslage eines Unternehmens zu verbessern. Diese neueste Iteration, veröffentlicht im Juni 2024, behandelt die zunehmenden Komplexitäten und Schwachstellen der aktuellen Cyberlandschaft, indem neue Asset-Klassen integriert und eine Governance-Sicherheitsfunktion eingeführt werden.

Die Version 8.1 der CIS Controls ist ein iteratives Update zur Version 8.0, das die Kontrollen verfeinert und verbessert, um besser auf die aktuellen Herausforderungen der Cybersicherheit zu reagieren. Hier sind die wichtigsten Aspekte und Verbesserungen, die in den CIS Controls Version 8.1 eingeführt wurden:

• Überarbeitete Beschreibungen der Asset-Klassen und CIS-Schutzeinrichtungen: Version 8.1 fügt Dokumentation als Asset-Klasse hinzu und erhöht die Gesamtzahl auf sechs. Diese sechs Klassen – Geräte, Software, Daten, Benutzer, Netzwerk, Dokumentation – entsprechen besser den spezifischen Bereichen des Unternehmensumfelds, auf die sich die CIS Controls beziehen. Aufgrund dieser Ergänzung und anderer kleinerer Überarbeitungen der Asset-Klassen wurden auch einige Beschreibungen der Schutzeinrichtungen aktualisiert, um mehr Details, Praktikabilität und/oder Klarheit zu bieten.
• Einbeziehung neuer Glossardefinitionen und Erweiterung der Definitionen bestimmter Begriffe in den Kontrollen: Aufgrund der neuen und überarbeiteten Asset-Klassen und Schutzeinrichtungsbeschreibungen sind in Version 8.1 mehrere neue Glossardefinitionen oder aktualisierte Definitionen enthalten. Neue Glossarbegriffe umfassen API, Daten, Dokumentation, Internet der Dinge (IoT), Netzwerk, Plan und empfindliche Daten.
• Aktualisierte Ausrichtung an NIST CSF 2.0: Seit ihrer ersten Veröffentlichung wurden die CIS Controls kontinuierlich aktualisiert, um sich an die sich entwickelnden Industrie-Standards und Rahmen anzupassen. Die jüngste Veröffentlichung des NIST CSF 2.0 hat zur Orchestrierung dieser neuesten Version der Kontrollen beigetragen, die aktualisierte Zuordnungen und Schutzeinrichtungen umfasst, die mit den im NIST CSF 2.0 vorgenommenen Änderungen übereinstimmen.
• Die Hinzufügung einer Sicherheitsfunktion „Governance“: In Version 8.1 wird Governance als Sicherheitsfunktion hinzugefügt, wodurch die Gesamtzahl auf sechs erhöht wird. (Die anderen fünf sind Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen.) In dieser neuesten Überarbeitung werden Governance-Themen speziell als Empfehlungen identifiziert, die implementiert werden können, um die Governance eines Cybersicherheitsprogramms zu verbessern. Dies wird den Organisationen helfen, die Governance-Elemente des Programms besser zu erkennen, um sie auf die Erreichung ihrer Unternehmensziele auszurichten und den Organisationen die notwendigen Beweise zu liefern, um die Einhaltung der Vorschriften nachzuweisen.

Warum die CIS Controls implementieren?

Die CIS Controls zielen darauf ab, den Prozess der Gestaltung, Implementierung, Messung und Verwaltung der Sicherheit von Unternehmen zu vereinfachen. Hier sind einige wichtige Gründe, diese Kontrollen zu implementieren.

1. Verbessern Sie Ihre Cybersicherheitslage

Die CIS Controls bieten einen umfassenden Rahmen zum Schutz vor einer Vielzahl von Cyberbedrohungen. Durch die Befolgung dieser Best Practices können Organisationen ihre Abwehrkräfte stärken, Schwachstellen reduzieren und ihre allgemeine Sicherheitslage verbessern. Die Kontrollen decken wesentliche Bereiche wie Datenschutz, Verwaltung der Zugriffskontrollen und Reaktion auf Vorfälle ab und gewährleisten einen ganzheitlichen, aber dennoch vereinfachten Ansatz für die Cybersicherheit.

2. Passen Sie Ihren Cybersicherheitsansatz an

Die CIS-Kontrollen sind so konzipiert, dass sie skalierbar und flexibel sind, sodass sie für Organisationen jeder Größe und Branche geeignet sind. Version 8.1 enthält 18 Kontrollen und 153 Schutzmaßnahmen, die in drei Implementierungsgruppen (IGs) eingeteilt sind. Die IGs sind selbsteingestufte Kategorien, die auf dem Risikoprofil der Organisation und den verfügbaren Ressourcen basieren. Diese Kategorisierung ermöglicht es Organisationen, einen angepassten und priorisierten Ansatz zu verfolgen, indem sie die geeigneten Kontrollen entsprechend ihren spezifischen Bedürfnissen und Fähigkeiten umsetzen, anstatt alle 18 Kontrollen und 153 Schutzmaßnahmen auf einmal umsetzen zu müssen.

3. Ressourcen effizient zuweisen

Die CIS-Kontrollen sind darauf ausgelegt, die kritischsten Sicherheitsmaßnahmen zu priorisieren, sodass sich die Organisationen auf die Bereiche konzentrieren können, in denen ihre Maßnahmen am dringendsten benötigt werden. Diese Priorisierung hilft dabei, Ressourcen effizient zuzuweisen, die wichtigsten Risiken zuerst zu adressieren und bedeutende Sicherheitsverbesserungen zu erzielen, ohne die Organisation mit zu vielen Aufgaben gleichzeitig zu überlasten.

4. Kontinuierliche Verbesserung im Laufe der Zeit

Die CIS-Kontrollen legen großen Wert auf die kontinuierliche Überwachung, Messung und Verbesserung der Sicherheitspraktiken. Durch regelmäßige Bewertung der Wirksamkeit der umgesetzten Kontrollen und Anpassungen bei Bedarf können Organisationen auf aufkommende Bedrohungen reagieren und eine robuste Cybersicherheitslage im Laufe der Zeit aufrechterhalten. Dieser proaktive Ansatz hilft, sich an die sich entwickelnde Bedrohungslandschaft anzupassen und langfristige Resilienz zu gewährleisten.

5. Wirtschaftlich effizientes Sicherheitsmanagement

Durch die Behandlung der kritischsten Schwachstellen und die Verbesserung der Reaktionsfähigkeit auf Vorfälle können die CIS-Kontrollen Organisationen dabei helfen, die Wahrscheinlichkeit und die finanziellen sowie betrieblichen Auswirkungen von Cyberangriffen zu minimieren. Darüber hinaus stellt die priorisierte Natur der Kontrollen sicher, dass Ressourcen effizient genutzt werden, sodass mit optimalem Aufwand maximale Sicherheitsvorteile erzielt werden.

6. Angemessenes Sicherheitsniveau demonstrieren

In den USA gibt es keine nationale, gesetzliche, bereichsübergreifende Mindestnorm für die Informationssicherheit. Stattdessen verlangen mehrere US-Bundesstaaten von Organisationen, ein „angemessenes“ Sicherheitsniveau zu implementieren. Obwohl es mehrere Möglichkeiten gibt, dies zu erreichen, nennen viele dieser staatlichen Gesetze und Vorschriften explizit die CIS-Kontrollen als einen Weg, um ein angemessenes Sicherheitsniveau nachzuweisen.

7. Vereinfachte Multi-Framework-Konformität

Die CIS-Kontrollen umfassen nicht nur grundlegende Sicherheitsmaßnahmen, die jede Organisation nutzen kann, um eine grundlegende Cyberhygiene zu erreichen und sich vor einem Cyberangriff zu schützen. Sie beziehen sich auch auf mehrere rechtliche, regulatorische und politische Rahmenwerke, einschließlich PCI DSS, NIST CSF, NIST 800-171, NIST 800-53, HIPAA, DSGVO und ISO 27001. Die Umsetzung der Kontrollen kann Organisationen dabei helfen, diese Standards und Vorschriften einzuhalten und so redundante Arbeit zu reduzieren.

Liste des contrôles CIS

Voici une vue d'ensemble des 18 contrôles CIS dans la version 8.1. Pour une vue plus détaillée des contrôles, des sauvegardes, des types d'actifs et des fonctions de sécurité dans chaque contrôle.

Groupes d'Implémentation CIS

Introduits pour la première fois dans CIS v7.1, les groupes d'implémentation (IG) sont conçus pour aider les organisations avec des ressources et une exposition au risque variées à mettre en œuvre les contrôles CIS ainsi qu'à créer et gérer un programme de défense cybernétique efficace.

Chaque IG identifie quels des 18 contrôles et 153 sauvegardes sont raisonnables à mettre en œuvre pour une organisation ayant un profil de risque et des ressources similaires. Ce sont des catégories auto-évaluées. Cela signifie que les organisations se classent elles-mêmes pour mieux concentrer leurs ressources et expertise en cybersécurité lors de la mise en œuvre des contrôles CIS.

Groupe d'Implémentation 1

Approprié pour les organisations ayant une expertise limitée en TI et en cybersécurité, ce GI se concentre sur les pratiques d'hygiène cybernétique essentielles pour se protéger contre les menaces courantes.

Les entreprises du GI1 seront probablement :

• Stocker et traiter des données peu sensibles, comme des informations sur les employés et financières
• Être une PME avec des ressources limitées dédiées à la protection des actifs TI et du personnel
• Avoir des matériels et logiciels commerciaux sur étagère (COTS) pour défendre contre les attaques
• Avoir besoin de déjouer les attaques générales, non ciblées
• Être principalement préoccupé par la prévention des temps d'arrêt

Composé de 15 contrôles et 56 sauvegardes, cet ensemble représente la norme minimale de sécurité de l'information pour toutes les entreprises. Comme chaque entreprise devrait commencer par le GI1 pour se protéger contre les cyberattaques les plus courantes, ce groupe est considéré comme la « rampe d'accès » aux contrôles CIS.

Groupe d'Implémentation 2

Approprié pour les organisations ayant une complexité opérationnelle accrue, ce GI inclut tous les contrôles et sauvegardes identifiés dans le GI1 ainsi que trois contrôles supplémentaires et 74 sauvegardes supplémentaires qui adressent une gamme plus large de menaces et de vulnérabilités.

Les entreprises du GI2 seront probablement :

• Stocker et traiter des informations sensibles de clients ou d'entreprises
• Avoir des personnes dédiées responsables de la gestion et de la protection de l'infrastructure informatique
• Besoin d'une technologie de niveau entreprise et d'une expertise spécialisée pour installer et configurer correctement certaines des Mesures de Protection
• Soutenir plusieurs départements avec différents profils de risque et charges de conformité réglementaire
• Être principalement préoccupé par la prévention d'une fuite de données qui pourrait entraîner une perte de confiance du public

Au total, l'IG2 comprend l'ensemble des 18 Contrôles et 130 Mesures de Protection.

Groupe de mise en œuvre 3

Entwickelt für große Unternehmen mit anspruchsvollen IT-Umgebungen und fortgeschrittenen Fähigkeiten in der Cybersicherheit umfasst diese Gruppe alle in IG1 und IG2 identifizierten Kontrollen und Schutzmaßnahmen sowie 23 zusätzliche Schutzmaßnahmen, die umfassenden Schutz vor fortgeschrittenen anhaltenden Bedrohungen (APT) und anderen hochrangigen Risiken bieten.

IG3-Unternehmen werden wahrscheinlich:

• Hochsensible Daten speichern und verarbeiten, deren Vertraulichkeit, Integrität und/oder Verfügbarkeit bei Kompromittierung erheblichen Schaden für das öffentliche Wohl verursachen würde
• Spezialisten einstellen, die auf verschiedene Aspekte der Cybersicherheit spezialisiert sind, wie Risikomanagement, Penetrationstests und Anwendungssicherheit
• Empfindliche Informationen oder Funktionen enthalten, die einer regulatorischen und Compliance-Überwachung unterliegen
• Zielgerichtete und hochentwickelte Angriffe abschwächen und die Auswirkungen von Zero-Day-Attacken verringern müssen
• Hauptsächlich daran interessiert sein, die Verfügbarkeit von Diensten sowie die Vertraulichkeit und Integrität sensibler Daten zu schützen, um das öffentliche Wohl zu schützen

Insgesamt umfasst IG3 alle 18 Kontrollen und 153 Schutzmaßnahmen.

Wie man die CIS-Kontrollen implementiert

Die Implementierung der CIS-Kontrollen kann die Cybersicherheitslage einer Organisation erheblich verbessern. Hier ist eine detaillierte Schritt-für-Schritt-Anleitung, wie die Kontrollen effektiv implementiert werden können.

1. Bewerten Sie Ihre aktuelle Sicherheitslage

Bevor Sie die CIS-Kontrollen implementieren, führen Sie eine gründliche Bewertung durch, um Ihre aktuelle Sicherheitslage zu verstehen und Lücken oder Schwächen zu identifizieren. Dazu gehören die folgenden Aktivitäten:

• Asset-Inventar: Dokumentieren Sie alle Hardware- und Software-Assets innerhalb der Organisation
• Risikobewertung: Identifizieren Sie potenzielle Schwachstellen und Bedrohungen für diese Assets
• Lückenanalyse: Vergleichen Sie Ihre aktuellen Sicherheitsmaßnahmen mit den CIS-Kontrollen, um Lücken zu identifizieren

2. Wählen Sie Ihre Implementierungsgruppe

Wie bereits erwähnt, klassifiziert die Version 8.1 der CIS-Kontrollen die Kontrollen in drei Gruppen. Diese Gruppen bieten einen skalierbaren und flexiblen Ansatz zur Implementierung der Kontrollen entsprechend dem Risikoprofil und den verfügbaren Ressourcen der Organisation.

Verwenden Sie die folgende Tabelle, um zu bestimmen, welche Gruppe am besten zum Risikoprofil und zu den verfügbaren Ressourcen Ihrer Organisation passt.

Wie sich die CIS-Kontrollen in ein Cybersicherheitsprogramm integrieren lassen

Da die CIS-Kontrollen grundlegende Sicherheitsmaßnahmen umfassen, um die Cybersicherheitshaltung eines Unternehmens zu stärken, können sie einen hervorragenden Ausgangspunkt für jedes Cybersicherheitsprogramm darstellen.

Viele dieser grundlegenden Sicherheitsmaßnahmen können Ihnen auch helfen, die Anforderungen anderer Informationssicherheitsrahmen zu erfüllen, wodurch Doppelarbeit reduziert und die Zeit zur Einhaltung mehrerer Rahmen verkürzt wird.

Mit dem Navigationswerkzeug für CIS Critical Security Controls können Sie sehen, wie die CIS-Kontrollen von mehreren gesetzlichen, regulatorischen und politischen Rahmen abgebildet und referenziert werden, unter anderem:

• Azure Security Benchmark
• CMMC v2.0
• Criminal Justice Information Services (CJIS)
• CSA Cloud Controls Matrix
• Cyber Essentials v2.2
• HIPAA
• ISACA COBIT 19
• ISO/IEC 27002:2002
• MITRE Enterprise ATT&CK v8.2
• NIST 800-171
• NIST 800-53
• NIST CSF 2.0
• NYDFS Part 500
• PCI DSS v4.0
• SOC 2

Wenn Sie eine Compliance-Automatisierungsplattform wie Secureframe verwenden, wird diese Zuordnung automatisch auf der Plattform vorgenommen, sobald Sie einen anderen Rahmen zu Ihrer Instanz hinzufügen. Dies spart nicht nur Zeit und reduziert das Potenzial menschlicher Fehler — es bietet auch sofortige Sichtbarkeit über den Fortschritt Ihres Compliance-Prozesses mit jedem zusätzlichen Rahmen und genau die Lücken, die Sie schließen müssen, um konform zu werden.

Ein Managed Service Provider kann auch dabei helfen, die CIS-Kontrollen bei Bedarf in ein größeres Sicherheitsprogramm oder einen anderen Rahmen zu integrieren.

Wie Secureframe die Implementierung der CIS-Kontrollen und die Compliance mit anderen Rahmen vereinfachen kann

Als CIS SecureSuite® Produktanbieter-Mitglied haben wir die Inhalte der CIS-Kontrollen in unsere Plattform integriert, um Organisationen und Dienstleistungspartnern dabei zu helfen, ihre Sicherheitslage zu stärken und umfassende Sicherheitsprogramme für sich selbst und/oder ihre Kunden zu entwickeln.

Egal, ob Ihre Organisation die CIS-Kontrollen selbst umsetzt oder mit einem Managed Service Provider zusammenarbeitet, Secureframe kann helfen, den Prozess zu vereinfachen und zu beschleunigen.

Mit Secureframe können Sie:

• Die Beweiserhebung automatisieren, um manuelle Aufgaben wie das Erstellen von Screenshots und die Organisation von Dokumentationen zu eliminieren.
• Ihre Technologie- und Cloud-Dienste kontinuierlich überwachen, um die Konformität zu gewährleisten und Abweichungen zu melden.
• Mitarbeiterschulungen anbieten und verfolgen.
• Die Verwaltung von Anbietern und Personal vereinfachen.
• Von Prüfern genehmigte Richtlinienschablonen verwenden, um Zeit bei der Erstellung von Richtlinien zu sparen.
• Mit der neuesten Version der CIS-Kontrollen und anderer Rahmenwerke auf dem aktuellen Stand bleiben.
• Die Kontrollen und Tests, die Sie für die CIS-Konformität implementieren, auf andere Rahmenwerke abbilden, um die Konformitätszeit zu verkürzen und Doppelarbeit zu reduzieren.

Wenn Sie ein Managed Service Provider sind, können Sie die leistungsstarken Automatisierungs- und KI-Funktionen von Secureframe nutzen, um die Art und Weise, wie Sie Sicherheit und Konformität für Ihre Kunden verwalten, zu revolutionieren.

Um zu sehen, warum 97% der Benutzer angegeben haben, dass sie ihre Sicherheits- und Konformitätshaltung mit Secureframe gestärkt haben, fordern Sie noch heute eine Demonstration an. Oder wenn Sie daran interessiert sind, ein Secureframe-Partner zu werden, registrieren Sie sich hier.