Definition und Zweck

Die CIS-Kontrollen sind eine empfohlene Reihe von Maßnahmen, die darauf abzielen, Systemschwachstellen und Cyberangriffe zu verhindern, zu erkennen und zu mindern. Ihr Zweck besteht darin, einen systematischen und priorisierten Ansatz zur Cybersicherheit bereitzustellen, beginnend mit grundlegenden Maßnahmen und fortschreitend zu fortgeschritteneren Techniken. Durch das Angebot eines Fahrplans der wichtigsten Schutzmaßnahmen mit der größten Wirkung helfen die CIS-Kontrollen Organisationen, ihre Abwehrmechanismen gegen Cyberbedrohungen zu verbessern.

Aufsichtsbehörde

Die Aufsichtsbehörde für das CIS-Framework ist das Center for Internet Security (CIS), eine gemeinnützige Einrichtung, die die Bereitschaft und Reaktion auf Cybersicherheit fördert.

Zuletzt aktualisiert

Die CIS-Kontrollen werden regelmäßig auf Basis der sich entwickelnden Bedrohungslage und technologischen Fortschritte aktualisiert. Die jüngste Aktualisierung wurde im März 2023 veröffentlicht.

Anwendbar auf

Die CIS-Kontrollen sind branchenunabhängig und können in verschiedenen Branchen und Organisationstypen angewendet werden, einschließlich Regierung, Privatsektor und gemeinnützigen Organisationen. Ihre universelle Anwendbarkeit ist einer der Gründe, warum sie weit verbreitet angenommen und empfohlen werden.

Kontrollen und Anforderungen

Die CIS-Kontrollen sind in drei Kategorien unterteilt: Grundlegend, Fundament und Organisation. Hier ist eine kurze Liste:

Grundlegende Kontrollen

• Inventar und Kontrolle von Hardware-Vermögenswerten
• Inventar und Kontrolle von Software-Vermögenswerten
• Kontinuierliches Schwachstellenmanagement
• Kontrollierte Nutzung administrativer Privilegien
• Sichere Konfiguration für Hardware und Software auf mobilen Geräten, Laptops, Workstations und Servern
• Wartung, Überwachung und Analyse von Prüfprotokollen

Fundamentale Kontrollen

• E-Mail- und Webbrowser-Schutz
• Malware-Abwehr
• Einschränkung und Kontrolle von Netzwerkports, Protokollen und Diensten
• Datenwiederherstellungsfähigkeiten
• Sichere Konfiguration für Netzwerkgeräte wie Firewalls, Router und Switches
• Grenzabwehr
• Datenschutz
• Kontrollierter Zugriff basierend auf dem 'Need to Know'-Prinzip
• Kontrolle des drahtlosen Zugangs
• Kontenüberwachung und Kontrolle

Organisatorische Kontrollen

• Implementierung eines Sicherheitsbewusstseins- und Schulungsprogramms
• Sicherheit von Anwendungssoftware
• Vorfallreaktion und -management
• Penetrationstests und Red-Team-Übungen

Bitte konsultieren Sie die offizielle CIS-Benchmark-Liste für eine detaillierte Liste der Kontrollen und Anforderungen.

Auditart, Häufigkeit und Dauer

Obwohl CIS keinen spezifischen Auditimmechanismus vorgibt, führen Organisationen oft interne oder Drittanbieterbewertungen durch, um ihre Compliance mit den CIS-Kontrollen zu messen.

Die Häufigkeit dieser Bewertungen kann je nach Risikobereitschaft der Organisation, regulatorischen Anforderungen oder Cybermaturity variieren. Allerdings wird in der Regel eine jährliche Bewertung empfohlen, um auf sich entwickelnde Bedrohungen und technologische Veränderungen zu reagieren.

Die Dauer des Audits oder der Bewertung hängt weitgehend von der Größe, Komplexität und dem Umfang der Bewertung der Organisation ab, kann jedoch von einigen Tagen bis zu mehreren Wochen reichen.