Auswirkungen dieser Kontrollen auf Ihr Unternehmen
Mit den vom Center for Internet Security (CIS) veröffentlichten CIS Critical Security Controls (CSC) sollen sich Unternehmen besser gegen bereits bekannte Angriffe schützen können. Dazu werden die wichtigsten Sicherheitskonzepte in verwertbare Kontrollmechanismen umgewandelt, sodass insgesamt ein besserer Stand der IT-Sicherheit erreicht wird.
Die Sicherheitsrisiken wachsen und damit auch die geeigneten Abwehrmaßnahmen. CIS ist in der Sicherheitsbranche für ihre aktuellen und konkreten Empfehlungen bekannt. Diese sollen Unternehmen dabei helfen, ihre Sicherheitslage mithilfe der Critical Security Controls for Effective Cyber Defense, früher bekannt als SANS Top 20 Critical Security Controls, zu verbessern.
Während viele Standards und Compliance-Vorschriften, die auf die Verbesserung der Gesamtsicherheit abzielen, aufgrund ihrer branchenspezifischen Ausrichtung beschränkt sein können, wurden die in der siebten Version befindlichen CIS CSC von Experten zahlreicher Regierungsbehörden und Branchenführer entwickelt, um branchenneutral und universell einsetzbar zu sein.
Die CIS Benchmarks berücksichtigen die Ressourcenbegrenztheit der meisten Unternehmen und die Notwendigkeit, Prioritäten zu setzen. Daher unterteilt die CIS, unabhängig von der Branche, die erforderlichen Sicherheitsmaßnahmen in drei Kategorien: Elementar, grundlegend und strukturell. Diese Schwerpunktsetzung bei den Standards unterscheidet die CIS CSC-Empfehlungen von anderen Sicherheitskontrollen und -listen, in denen die Schwerpunktsetzung zwar als Notwendigkeit erwähnt wird, die aber nicht so weit gehen, konkrete Empfehlungen zu geben.
Insgesamt gibt es 20 CIS-Kontrollen, wobei die ersten sechs in der Liste als "elementar" eingestuft sind, die von allen Unternehmen im Hinblick auf die Bereitschaft zur Cyberabwehr implementiert werden sollten. In Version 7, sind die folgenden sechs die wichtigsten CIS-Kontrollen:
1) Bestände und Kontrolle von Hardware-Assets
2) Bestände und Kontrolle von Software-Assets
3) Durchgehendes Schwachstellen-Management
4) Kontrollierte Nutzung von Administratorrechten
6) Pflege, Überwachung und Analyse von Audit-Logs
Die einzelnen Punkte sind zwar breit gefächert, orientieren sich aber an bewährten Grundsätzen: Es muss dafür gesorgt werden, dass die richtigen Benutzer Zugriff auf die richtigen Ressourcen haben und dass alle Systeme auf dem neuesten Stand und so sicher wie möglich sind. Wenn Sie sich an den Hinweisen der CIS für diese sechs wichtigsten Maßnahmen orientieren, werden Sie davon erheblich profitieren. Das trifft auch dann zu, wenn dies die einzigen Maßnahmen sind, die Ihr Unternehmen durchführen kann.
Der Anwendungsbereich der wichtigsten 20 CIS Critical Security Controls ist umfassend und spiegelt wider, was für eine robuste Cybersicherheit benötigt wird: Sicherheit beschränkt sich nie nur auf den technischen Aspekt, und die CIS-Empfehlungen beziehen sich nicht nur auf Daten, Software und Hardware, sondern auch auf Menschen und Prozesse. So sind beispielsweise, Krisenreaktionsteams und Red Teams zentrale Elemente eines robusten vorbeugenden Abwehrplans und gehören zu den CIS CSC 19 bzw. 20.
Die CIS Critical Security Controls verfügen zudem über eine übergreifende Kompatibilität und/oder eine direkte Entsprechung zu mehreren mehrheitlich branchenspezifischen (z. B. NIST 800–53, PCI DSS, FISMA und HIPAA) Compliance- und Sicherheitsstandards – und das heißt, Unternehmen, die an diese Vorschriften gebunden sind, können die CIS-Kontrollen als Hilfsmittel für die Compliance nutzen. Darüber hinaus stützt sich die NIST Cybersecurity-Richtlinie, ein weiteres zuverlässiges Instrument, das häufig zur Optimierung und Stärkung der betrieblichen Sicherheitslage eingesetzt wird, auf das CIS CSC als Grundlage für eine Reihe von empfohlenen bewährten Verfahren.
Für Unternehmen, die an einer Verbesserung ihrer Sicherheitsstruktur und ihre Abwehr gegen die wahrscheinlichsten Angriffsvektoren interessiert sind, sind die CIS-kritischen Sicherheitskontrollen ein hervorragender Ausgangspunkt, mit dem sie das Gefährdungsrisiko verringern und den Umfang der meisten Angriffsarten abschwächen können.