Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

CIS Controls : Top-20-Sicherheitsmaßnahmen für Organisationen

Die Liste der aus Sicht des Center for Internet Security (CIS) wichtigsten 20 IT-Sicherheitsmaßnahmen, die eine Organisation ergreifen sollte, liegt mittlerweile in der siebten Version vor. Das CIS ist eine unabhängige US-amerikanische Non-Profit-Organisation mit dem Ziel, Best-Practice-Ansätze und -Werkzeuge zur IT-Sicherheit zur Verfügung zu stellen.

Lesezeit 5 Min.

Von Steffen Gundel, Heilbronn

Der frei verfügbare Katalog der CIS Controls (www.cisecurity.org/controls/) enthält insgesamt 20 überwiegend technische IT-Sicherheitsmaßnahmen (Controls), deren Reihenfolge im Katalog einen ersten Anhaltspunkt für eine risikoorientierte Priorisierung bei ihrer Umsetzung liefert (vgl. Abb. 1): Die Controls 1 bis 6 werden als „basic“ eingestuft und stellen aus Sicht des CIS den Ausgangspunkt der „Cyber-Hygiene“ dar. Daran schließen sich 10 technische Controls an, die als grundlegend (foundational) gelten. Die letzten vier Controls sind organisatorischer Natur und vor allem für Unternehmen interessant, die bereits einen gewissen Reifegrad bei ihrer IT- und Informationssicherheit erreicht haben.

Der Katalog stellt eine innerhalb der IT-Sicherheits-Community abgestimmte Best-Practice-Auswahl an IT-Sicherheitsmaßnahmen zur Erkennung und zum Schutz vor Kompromittierungen dar. Die Controls sind grundsätzlich für jede Art und Größe von Organisationen anwendbar: vom kleinen Familienbetrieb bis zum Konzern und vom privaten Verein bis zur öffentlichen Großbehörde. Um diesem durchaus hohen Anspruch gerecht zu werden (schließlich unterscheiden sich die Sicherheitsanforderungen sowie personellen und finanziellen Möglichkeiten mitunter dramatisch), hat die zuständige Arbeitsgruppe des CIS ab der Version 7 des Katalogs das Konzept der „Implementation-Groups“ (IG) entwickelt.

Hierbei ordnet sich jede Organisation selbst in eine von drei IGs ein: Kriterien dafür sind neben der Kritikalität der verarbeiteten Daten beziehungsweise angebotenen IT-Services vor allem auch die in der Organisation zur Verfügung stehende technische Expertise zur Umsetzung von IT-Sicherheitsmaßnahmen sowie die vorhandenen zeitlichen, personellen und monetären Ressourcen.

Jedes der 20 CIS Controls ist in 5 bis 13 Einzelmaßnahmen (Sub-Controls) untergliedert, um verschiedene Facetten des jeweiligen Controls abzubilden. Jedem dieser Sub-Controls wird dabei die Implementation-Group zugeordnet, ab der man es aus Sicht des CIS umsetzen sollte: Sub-Controls der IG 1 sollten von allen Organisationen umgesetzt werden, IG-2-Sub-Controls von Organisation, die sich in die IGs 2 oder 3 eingeordnet haben, und die Sub-Controls der IG 3 werden schließlich nur von IG-3-Organisationen realisiert.

Die Zuordnung der Implementation-Group zu Sub-Controls ermöglicht Organisationen aber nicht nur die Auswahl eines der Schutzbedürftigkeit und Größe des Unternehmens (auch unter Aufwandsaspekten) angemessenen Maßnahmenbündels. Sie stellt gleichzeitig auch die Empfehlung des CIS für die Reihenfolge dar, mit der einzelne Sub-Controls zeitlich nacheinander umgesetzt werden sollten (erst IG 1, dann IG 2 und schließlich IG 3) und liefert somit einen Anhaltspunkt für die Priorisierung der Aktivitäten im eigenen Haus (vgl. Abb. 2)

Abbildung 1

Abbildung 1: Übersicht über die 20 CIS Controls

Abbildung 2

Abbildung 2: Aufbau eines Controls mit Sub-Controls am Beispiel des kontinuierlichen Schwachstellenmanagements

Anwendungsbereiche

Die praktischen Anwendungsbereiche für die CIS Controls sind vielfältig. Nachfolgend werden beispielhaft drei naheliegende Nutzungsmöglichkeiten vorgestellt: Kleinere Organisationen, die einen (neuen) Einstieg in ihre Absicherung suchen, können die CIS Controls als ihr Security-Framework festlegen und finden dann im Katalog eine praxiserprobte, priorisierte und – aufgrund der Einordnung in die Implementation-Group 1 – eine zu ihrer Größe und Bedrohungslage passende Liste umzusetzender Maßnahmen, ohne zuvor mühsam eine strukturierte Risikoanalyse durchführen zu müssen. Als unterstützendes Werkzeug für die Umsetzung der CIS-Controls gibt es neuerdings das vom CIS bereitgestellte kostenfreie und webbasierte Tool CSAT (www.cisecurity.org/blog/cis-csat-free-tool-assessing-implementation-of-cis-controls/ – vgl. Abb. 3), das es zum Beispiel ermöglicht, den aktuellen Umsetzungsgrad der Controls zu dokumentieren und zugehörige Reports zu erzeugen.

Für Organisationen, für die IT-Sicherheit nicht neu ist und die bereits die aus ihrer Sicht notwendigen Maßnahmen umgesetzt haben, bietet sich hingegen die Durchführung einer Gap-Analyse an, um festzustellen, ob sie die für ihre Implementation-Group relevanten IT-Sicherheitsmaßnahmen bereits ausreichend umgesetzt haben. Als Ergebnis kann dann abhängig von den erkannten Gaps eine Nachjustierung der vorhandenen Maßnahmenlandschaft erfolgen. Als Werkzeug für die Durchführung einer solchen Gap-Analyse ist ebenfalls CSAT ein mögliches Tool der Wahl (vgl. Abb. 3), da es bereits „out of the Box“ die Formulare zur Abfrage des Umsetzungsgrads enthält – einschließlich der Möglichkeit zum Hochladen entsprechender Nachweise. Außerdem kann man über die integrierte Workflow-Unterstützung die Ermittlung des Umsetzungsgrads an zuständige Mitarbeiter delegieren und im Anschluss vom verantwortlichen Leiter die Freigabe des festgestellten Umsetzungsgrads anfordern. Hinzu kommen sinnvolle Funktionen wie ein Dashboard mit verschiedenen Grafiken zur Visualisierung oder ein Ergebnisexport nach Excel und Powerpoint.

Unternehmen mit einem höheren IT-Sicherheitsreifegrad, die ihre IT-Sicherheitsmaßnahmen mittels der Durchführung strukturierter Bedrohungs- und Risikoanalyse im Rahmen ihres ISMS ermitteln, können schließlich den CIS-Katalog als Nachschlagewerk nutzen, um für erkannte Risiken die passenden Maßnahmen auszuwählen (beispielsweise ergänzend zum Code of Practice der ISO 27002). Die bei den verschiedenen Sub-Controls enthaltenen Beschreibungen liefern dann gleich noch konkrete und wichtige Hinweise für die Planung und Umsetzung der Maßnahmen.

In diesem Zusammenhang sollte man im Bedarfsfall auch die ebenfalls vom CIS bereitgestellten „Companion Guides“ konsultieren, die derzeit für die Absicherung von mobilen Geräten, von Industrial-Control-System-(ICS)-Umgebungen, für die sichere Nutzung von Cloud-Services und neuerdings auch für Geräte im Internet of Things (IoT) verfügbar sind. Sie geben für jedes der 20 CIS Controls konkrete Umsetzungshinweise für das jeweilige Themenfeld.

Abbildung 3

Abbildung 3: Bewertung der Umsetzung eines Controls mithilfe des kostenlosen Tools CSAT

Fazit

Mit den CIS Controls steht ein von der Community für die Community entwickelter Katalog an Best-Practice-Maßnahmen bereit, durch dessen Umsetzung die typischen und wichtigsten IT-Sicherheitsrisiken einer Organisation in den Griff zu bekommen sind.

Gerade für Organisationen, die erst jetzt erkennen, dass IT-Sicherheit für einen stabilen Geschäftsbetrieb unerlässlich ist, kann die Abarbeitung von Maßnahmen aus einem solchen Katalog ein sehr sinnvolles Vorgehen sein. Dadurch können sie ziemlich sicher sein, die richtigen Dinge in der richtigen Reihenfolge zu tun, und somit zügig einen wirksamen Schutz gegen die wichtigsten Bedrohungen aufbauen.

Auf Dauer ersetzt die reine Umsetzung eines Maßnahmenkatalogs, egal ob es sich dabei um die CIS Controls oder ein anderes anerkanntes Werk handelt, aber nicht die Durchführung eigener individueller Risikobetrachtungen. In diese sollten die spezifischen Geschäftsprozesse und IT-Anwendungen der Organisation ebenso einbezogen werden wie die geltenden branchenspezifischen regulatorischen Vorgaben zur IT-Sicherheit oder der individuelle Risikoappetit. Speziell für Anwender der CIS Controls liefert das CIS mit seiner „Risk Assessment Method“ (CIS RAM) eine im Einklang mit den Prinzipien der ISO 27005 stehende geeignete Methode (siehe https://learn.cisecurity.org/cis-ram).

Steffen Gundel ist Partner bei der cirosec GmbH.

Diesen Beitrag teilen: