Was sind CIS-Benchmarks?

Die CIS-Benchmarks werden in einem konsensbasierten Prozess entwickelt, an dem Fachleute für Cybersicherheit aus der ganzen Welt beteiligt sind. Diese Experten identifizieren, verfeinern und validieren fortlaufend bewährte Sicherheitspraktiken in ihren Schwerpunktbereichen, um Unternehmen dabei zu helfen, ihre digitalen Werte vor Cyberrisiken zu schützen.

CIS hat über 100 CIS-Benchmarks veröffentlicht, die sich auf 8 Kerntechnologiekategorien erstrecken und mehr als 25 Hersteller-Produktfamilien abdecken.¹ Sie sind als kostenloser PDF-Download für die nicht-kommerzielle Nutzung verfügbar.

Die CIS-Benchmarks helfen Unternehmen, ihre Sicherheitslage zu verbessern, indem sie verbindliche, weltweit anerkannte Sicherheitsstandards und Richtlinien zur Cyberabwehr befolgen. CIS-Benchmarks unterstützen auch geschäftliche Anwendungsfälle wie die Einhaltung von Vorschriften, IT-Governance und Sicherheitsrichtlinien.

Die im Oktober 2000 gegründete CIS ist eine gemeinnützige Organisation, deren Aufgabe es ist, „die vernetzte Welt sicherer zu machen, indem sie zeitgemäße Best-Practice-Lösungen entwickelt, validiert und fördert, die Menschen, Unternehmen und Regierungen dabei helfen, sich vor allgegenwärtigen Cyberbedrohungen zu schützen.“²

Die CIS Benchmarks Communities, eine Gruppe von mehr als 12.000 IT-Sicherheitsexperten, die zur Entwicklung der CIS Benchmarks Best Practices beitragen, stehen jedem offen, der einen Beitrag leisten möchte. Die Communities bestehen aus Freiwilligen und umfassen Fachexperten, Anbieter, technische Redakteure, Tester und andere CIS-Mitglieder aus aller Welt.

Das CIS beherbergt auch das Multi-State Information Sharing and Analysis Center (MS-ISAC), das Ressourcen für die Prävention, den Schutz, die Reaktion und die Wiederherstellung von Cyberbedrohungen für staatliche, lokale, regionale und territoriale (SLTT) Regierungsbehörden der USA bereitstellt. Es ist auch der Hauptsitz des Elections Infrastructure Information Sharing and Analysis Center (EI-ISAC), das die Cybersicherheitsanforderungen der US-Wahlbüros unterstützt.³

Die CIS-Profilebenen beziehen sich auf verschiedene Sicherheitsempfehlungsstufen und enthalten mehrere Konfigurationen für verschiedene Produkte.

Stufe 1 umfasst Basiskonfigurationen, die einfacher zu implementieren sind und nur minimale Auswirkungen auf die Geschäftsfunktionen haben.

Stufe 2 gilt für Hochsicherheitsumgebungen, die mehr Koordination und Planung erfordern, um sie mit minimaler Betriebsunterbrechung zu implementieren.

STIG ist eine Reihe von Konfigurations-Baselines, die den Security Technical Implementation Guide (STIG) adressieren. Dabei handelt es sich um Sicherheitsstandards, die vom US-Verteidigungsministerium (DOD) veröffentlicht und gepflegt werden, um die Anforderungen der US-Regierung zu erfüllen.

Das STIG-Profil von CIS hilft Unternehmen bei der Einhaltung von STIG. Mit STIG konfigurierte Sicherheitssysteme erfüllen sowohl die CIS- als auch die STIG-Compliance-Anforderungen.

Wie bereits erwähnt, gibt es über 100 CIS-Benchmarks, die sich auf 8 IT-Technologie-Kategorien verteilen, darunter:

• Betriebssysteme

• Serversoftware

• Cloud-Provider

• Mobiles Gerät

• Netzwerkgerät

• Desktop-Software

• Multifunktions-Druckgerät

• DevSecOps-Tools

Diese Kategorie umfasst Sicherheitskonfigurationen von Kernbetriebssystemen wie Microsoft Windows, Linux und dem Apple macOS. Dazu gehören Best-Practice-Richtlinien für lokale und Fernzugriffsbeschränkungen, Benutzerprofile, Authentifizierung, Treiberinstallationsprotokolle und Internet-Browser-Konfigurationen.

Diese Kategorie umfasst Sicherheitskonfigurationen häufig verwendeter Serversoftware, einschließlich Microsoft Windows Server, SQL Server und VMware. Sie unterstützt auch Open-Source-Containerisierungsplattformen, wie Docker und Kubernetes.

Die Benchmarks enthalten Empfehlungen für die Konfiguration von Kubernetes PKI (Public Key Infrastructure)-Zertifikaten, API-Server-Einstellungen (Application Programming Interface), Server-Admin-Kontrollen, vNetwork-Richtlinien und Speicherbeschränkungen.

Diese Kategorie befasst sich mit Sicherheitskonfigurationen für Amazon Web Services (AWS), Microsoft Azure, Google, IBM und andere gängige Public Cloud-Umgebungen. Die Benchmarks enthalten Cloud-Sicherheitsrichtlinien für die Konfiguration von Identity und Access Management (IAM), Systemprotokollen, Netzwerkkonfigurationen und Sicherheitsvorkehrungen zur Einhaltung gesetzlicher Vorschriften.

Diese Kategorie befasst sich mit mobilen Betriebssystemen, einschließlich iOS und Android, und konzentriert sich auf Bereiche wie Entwickleroptionen und -einstellungen, OS-Datenschutzkonfigurationen, Browsereinstellungen und App-Berechtigungen.

Diese Categories bieten allgemeine und herstellerspezifische Richtlinien zur Sicherheitskonfiguration für Netzwerkgeräte und entsprechende Hardware von Cisco, Palo Alto Networks, Juniper und anderen.

Diese Kategorie umfasst Sicherheitskonfigurationen für einige der am häufigsten verwendeten Desktop-Softwareanwendungen, darunter Microsoft Office und Exchange Server, Google Chrome, Mozilla Firefox und Safari Browser. Diese Benchmarks konzentrieren sich auf E-Mail-Datenschutz und Server-Einstellungen, Mobile Device Management, Standard-Browser-Einstellungen und das Blockieren von Drittanbieter-Software.

In dieser Kategorie werden bewährte Sicherheitspraktiken für die Konfiguration von Multifunktionsdruckern in Büroumgebungen beschrieben. Es umfasst Firmware-Updates, TCP/IP-Konfigurationen, Konfiguration des drahtlosen Zugangs, Benutzerverwaltung, Dateifreigabe und mehr.

Diese Kategorie deckt die Software-Lieferkette ab und hilft Teams, DevSecOps-Pipelines zu sichern. Sie bietet Best Practices für Sicherheitskontrollen während des gesamten Lebenszyklus der Softwareentwicklung, vom anfänglichen Design über die Integration, das Testen, die Bereitstellung und den Einsatz.

Im Laufe der Jahre hat die CIS weitere kostenlose Tools und kostenpflichtige Lösungen zur Unterstützung der CIS Benchmarks entwickelt und vertrieben. Diese Ressourcen helfen Unternehmen dabei, ihre Cybersecurity-Bereitschaft weiter zu stärken.

Die CIS Critical Security Controls (CSC), die früher als SANS Critical Security Controls (SANS Top 20 Controls) bekannt waren, sind ein umfassender Leitfaden mit 18 Schutzmaßnahmen und Gegenmaßnahmen für eine effektive Cyberabwehr. Sie werden auch als CIS-Kontrollen bezeichnet. Sie sind kostenlos und bieten eine nach Prioritäten geordnete Checkliste, mit der Unternehmen ihre Angriffsfläche für Cyberangriffe erheblich reduzieren können.

Die CIS-Benchmarks verweisen auf diese Best Practices im Bereich der Cybersicherheit, wenn es um Empfehlungen für besser gesicherte Systemkonfigurationen geht.

CIS bietet auch vorkonfigurierte Hardened Images an, die es Unternehmen ermöglichen, Rechenoperationen kostengünstig durchzuführen, ohne in zusätzliche Hardware oder Software investieren zu müssen. Gehärtete Images sind viel sicherer als virtuelle Standard-Images und schränken die Sicherheitslücken, die zu einem Cyberangriff führen können, erheblich ein.

CIS Hardened Images werden in Übereinstimmung mit den CIS-Benchmarks und CIS-Kontrollen entwickelt und konfiguriert und sind als vollständig konform mit verschiedenen Organisationen zur Einhaltung von Vorschriften anerkannt. CIS Hardened Images sind auf fast allen wichtigen Cloud Computing-Plattformen verfügbar und einfach bereitzustellen und zu verwalten.

Das CIS SecureSuite-Mitgliedschaftsprogramm stellt Unternehmen Tools und Ressourcen für die Cybersicherheit zur Verfügung. Die Mitgliedschaft ist für US SLTT (State, Local, Tribal, Territorial) Regierungs- und akademische Einrichtungen in den USA kostenlos, während für kommerzielle Nutzer und Regierungseinrichtungen in Übersee unterschiedliche Zahlungsmöglichkeiten bestehen.

CIS WorkBench ist eine zentrale Plattform, die CIS Controls und CIS Benchmarks Communities zusammenbringt und die Zusammenarbeit bei der Weiterentwicklung der CIS Benchmarks ermöglicht.

Das CIS SecureSuite Build Kit steht CIS SecureSuite-Mitgliedern zur Verfügung und besteht aus Ressourcen, die die Automatisierung der Sicherheit und die Anpassung von Systemen an die CIS Benchmarks ermöglichen.

Das CIS Configuration Assessment Tool (CAT) bietet automatische Scans der Konfigurationseinstellungen eines Systems anhand der CIS Benchmarks. Es ist für Mitglieder der CIS SecureSuite verfügbar.

Der CIS-CAT Lite ist ein kostenloses Tool zur Bewertung von IT-Systemen. Im Vergleich zum CIS-Cat Pro bietet diese eingeschränkte Version grundlegende Bewertungen anhand weniger CIS-Benchmarks.

Die CIS-Benchmarks helfen Unternehmen mit Governance-, Risiko- und Compliance-Strategien (GRC) dabei, Governance und Risiken zu verwalten und gleichzeitig die Compliance mit Branchen- und Regierungsvorschriften zu gewährleisten.

Die CIS-Benchmarks sind eng mit den regulatorischen Frameworks für Sicherheit und Datenschutz verbunden oder „ordnen sich an diese an“. Folglich kann jedes Unternehmen, das in einer Branche tätig ist, für die diese Art von Vorschriften gilt, durch die Einhaltung der CIS-Benchmarks erhebliche Fortschritte bei der Einhaltung der Vorschriften erzielen. Zu diesen Regulierungsbehörden gehören:

• National Institute of Standards and Technology (NIST) Cybersicherheits-Framework bietet umfassende Anleitungen und Best Practices, die private Unternehmen folgen können, um die Informationssicherheit (InfoSec) und das Management von Cybersicherheitsrisiko zu verbessern.

• Der Payment Card Industry Data Security Standard (PCI DSS) besteht aus einer Reihe von Sicherheitsanforderungen zum Schutz von Karteninhaberdaten – primäre Kontonummern (PANs), Namen, Ablaufdaten, Service-Codes – und anderen sensiblen Karteninhaberdaten während ihres gesamten Lebenszyklus.

• Health Insurance Portability and Accountability Act (HIPAA) legt die Anforderungen für die Verwendung, Offenlegung und sichere Speicherung geschützter Gesundheitsinformationen fest.

• ISO/IEC 27001, auch als ISO 27001 bezeichnet, ist der führende weltweit anerkannte Informationssicherheitsstandard, der gemeinsam von der Internationalen Unternehmen für Standardisierung (ISO) und der International Electrotechnical Commission (IEC) entwickelt wurde. Er bietet einen systematischen, strukturierten und risikobasierten Ansatz für die Verwaltung und den Schutz sensibler Datenbestände.

• Die Datenschutz-Grundverordnung (DSGVO) ist ein Gesetz der Europäischen Union (EU), das regelt, wie Unternehmen innerhalb und außerhalb der EU die personenbezogenen Daten von EU-Bürgern verarbeiten.

Während es Unternehmen immer freisteht, ihre eigenen Entscheidungen bezüglich der Sicherheitskonfigurationen zu treffen, bieten CIS Benchmarks eine Reihe von Vorteilen:

• Branchenweit anerkannte Standards: Die CIS Benchmarks wurden von einer globalen Gemeinschaft von IT- und Cybersicherheitsexperten entwickelt und helfen Unternehmen dabei, ein starkes Engagement für die Cybersicherheit zu entwickeln und das Vertrauen von Kunden und Stakeholdern zu stärken.

• Regelmäßig aktualisierte Anleitungen: Die CIS-Benchmarks bieten regelmäßig aktualisierte Schritt-für-Schritt-Anleitungen, die Unternehmen dabei helfen, alle Aspekte der IT-Infrastruktur zu sichern. Zum Beispiel wird der CIS Benchmark für Windows regelmäßig innerhalb von 90 Tagen nach seiner Veröffentlichung auf die neueste Version aktualisiert. Außerdem werden die CIS Hardened Images jeden Monat aktualisiert, um sie mit den neuesten Best Practices für die Sicherheit auf dem neuesten Stand zu halten.

• Unterstützung für Governance, Risiko und Compliance (GRC): Die CIS-Benchmarks bieten einen Rahmen, der Unternehmen dabei hilft, Governance, Risiko und Compliance (GRC), eine Unternehmensstrategie zur Verwaltung von Governance und Risiken bei gleichzeitiger Einhaltung von Branchen- und Regierungsvorschriften, zu berücksichtigen.

• Anpassung: Die CIS-Benchmarks bieten eine flexible Vorlage für die sichere Einführung neuer Cloud-Services und Workloads sowie zur Umsetzung von digitalen Transformation Strategien. So können CIS SecureSuite-Mitglieder beispielsweise die CIS-Benchmarks innerhalb der CIS WorkBench-Plattform an ihre spezifischen Geschäfts- und Technologieanforderungen anpassen.

• Flexibilität: CIS Benchmarks bieten eine grundlegende Empfehlung für Sicherheitseinstellungen, einschließlich Firewalls, Router und Server. Sie bieten außerdem herstellerspezifische Richtlinien zur Einrichtung und Verwaltung von Systemen und Geräten. Diese Kombination aus neutralen und anbieterspezifischen Funktionen unterstützt die Flexibilität, sodass sich die Systeme an sich verändernde Anforderungen anpassen können.

• Einfache Bereitstellung: DevSecOps- und andere Teams vertrauen auf CIS-Benchmarks für einfach zu implementierende Sicherheitskonfigurationen, um die betriebliche Effizienz und Nachhaltigkeit zu verbessern.