Home » Fachbeiträge » Security Management » Der unbeachtete Standard

Der unbeachtete Standard

CIS Critical Security Controls – Die kontinuierliche Verbesserung der Cybersicherheit sollte höchste Priorität im Sicherheitsmanagement eines jeden Unternehmens haben. Es muss ein Weg gefunden werden, mit vertretbarem Aufwand einen bestmöglichen Schutz gegen Angriffe zu etablieren.

4 Min. Lesezeit
Security Control
Foto: ©AdobeStock/tongpatong

Eine große Hilfe können dabei bestehende Standards sein. Diese sind jedoch oft sehr umfangreich oder werfen mehr Fragen auf, als sie beantworten. Im Gegensatz dazu ist der weniger bekannte Standard CIS Critical Security Controls technisch orientiert und damit einfacher in der Anwendung.

Wenn es eine wichtige Erkenntnis aus vielen Jahren des Beraterlebens gibt, dann das Motto „lieber gut gestohlen als schlecht selbst erfunden“. Das soll heißen, dass es häufig eine zeitsparende und nervenschonende Vorgehensweise ist, sich an Standards zu orientieren und deren Inhalte zu verwenden. So lassen sich zeitraubende Diskussionen vermeiden, ob diese oder jene Forderung oder Maßnahme wirklich nötig und angemessen ist. Wenn es im Standard aufgeführt ist, muss man sich darum kümmern.

Das Problem der Nutzung vieler Standards als Vorlage ist jedoch, dass ihre sinnvolle Anwendung Vorwissen erfordert. Dazu kommt oft, dass etablierte Standards mit den Jahren und ihrer Fortschreibung immer umfangreicher oder auch immer beliebiger werden. Ein Beispiel für „umfangreich“ ist der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI). Dessen Systematik und die über 100 Bausteine erfordern eine kenntnisreiche Vorauswahl, um mit einer Menge an Maßnahmen zu starten, die nicht alle unvorbereiteten Projektbeteiligten überfordert.

Auf der anderen Seite kann ein Standard auch so vage oder generisch sein, dass seine universelle Anwendbarkeit es schwer macht, konkrete Forderungen oder Maßnahmen daraus abzuleiten. Ein Beispiel hierfür ist die ISO 27002, deren neue Fassung mehr Fragen aufwirft als beantwortet.

Standards hinsichtlich Aufgabenstellung betrachten

Auch mit Blick auf die eigentliche Aufgabenstellung – diese lautet, Cybersicherheit zu schaffen – darf man skeptisch auf die etablierten Standards schauen: IT-Grundschutz, ISO 27000 und weitere sind Managementstandards. Das heißt, sie befassen sich ausführlich mit der Organisation, Steuerung und Überwachung von Prozessen, die sich mit dem Thema Sicherheit befassen.

Das wiederum bedeutet, dass bei der Umsetzung eines solchen Standards viel Energie in die Themen Organisation, Richtlinien und Prozesse gesteckt wird. Es besteht die Gefahr, dass die technischen Aspekte, also die wirksamen Maßnahmen an Hard- und Software, dabei hinter zig Richtlinien, die zu schreiben sind, und etlichen Prozessdiagrammen, die zu malen sind, zurückstehen.

Critical Security Controls

Aus dieser Erwägung heraus verdienen die bislang in Deutschland wenig beachteten CIS Critical Security Controls (www.cisecurity.org/controls) eine nähere Betrachtung. Sie sind eine systematische Zusammenstellung konkreter, priorisierter  Sicherheitsmaßnahmen, die bei der Erkennung und der Abwehr von Cyberangriffen auf Systeme und Netze dienen.

Der Anbieter des Standards ist das Center for Internet Security (CIS). Dabei handelt es sich um eine gemeinnützige Organisation, die die CIS Controls veröffentlicht und für deren Weiterentwicklung verantwortlich ist. Kern aller Veröffentlichung des CIS ist die Aufstellung der „Critical Security Controls“, aktuell vorliegend in der Version 8. Die Controls umfassen 153 Sicherheitsmaßnahmen (bei CIS „safeguards“ genannt) in 18 „Controls“. Damit sind thematisch zusammengehörende Maßnahmen bezeichnet:

  • Control 1: Bestandsführung der Werte des Unternehmens (Hardware)
  • Control 2: Bestandsführung der Werte des Unternehmens (Software)
  • Control 3: Schutz von Informationen
  • Control 4: Sichere Konfiguration von Hard- und Software
  • Control 5: Rechteverwaltung
  • Control 6: Zugriffskontrolle
  • Control 7: Kontinuierliches Schwachstellenmanagement
  • Control 8: Verwaltung von Logs und Protokollen
  • Control 9: Schutz von E-Mails und Webbrowsern
  • Control 10: Schutz vor Schadsoftware
  • Control 11: Daten-Wiederherstellung
  • Control 12: Verwaltung der Netz-Infrastruktur
  • Control 13: Netzüberwachung und -verteidigung
  • Control 14: Security-Awareness und fachliche Schulung
  • Control 15: Service-Provider-Management
  • Control 16: Sicherheit der Anwendungssoftware
  • Control 17: Incident-Management
  • Control 18: Penetrationstests

Technische Ausrichtung

Allein die Überschriften der 18 Controls zeigen, dass dieser Standard technisch ausgerichtet ist. Richtlinien und organisatorische oder personelle Themen spielen keine wichtige Rolle. Anders gesagt, es wird unter Control 3 „Schutz von Informationen“ keine Richtlinie zum Einsatz von Verschlüsselung empfohlen, sondern einfach gefordert: Daten auf Endgeräten müssen verschlüsselt werden!

Die auf den ersten Blick bedenklich hohe Zahl von über 150 Maßnahmen in den 18 Themengruppen wird relativiert, wenn man die Klassifikation aller Maßnahmen in den sogenannten Implementierungsgruppen beachtet. Diese drei Gruppen zeigen die Priorität der Implementierung der einzelnen Controls an und sind ein Leitfaden, an dem sich Anwender orientieren können:

  • IG1: Die Implementierungsgruppe 1 (IG1) beinhaltet die Mindestanforderungen an die Informationssicherheit von Unternehmen. Die Gruppe besteht aus einer Reihe von 56 grundlegenden Sicherheitsvorkehrungen zur Cyberverteidigung. Die in IG1 enthaltenen Schutzmaßnahmen sollten laut Webseite der CIS von jedem Unternehmen angewendet werden, um sich gegen die häufigsten Angriffe zu schützen. Zielgruppe sind hier kleine bis mittelgroße Unternehmen mit begrenztem Cybersicherheits-Know-how.
  • IG2: Diese Gruppe besteht aus 74 zusätzlichen Schutzmaßnahmen und baut auf den 56 in IG1 genannten Maßnahmen auf. Die IG2-Schutzmaßnahmen erfordern Sicherheitstechnik und spezielles Fachwissen für die Installation und Konfiguration. Unternehmen, die diese Stufe umsetzen sollten, speichern und verarbeiten häufig sensible Kunden- oder Unternehmensdaten und können kurze Unterbrechungen ihrer Dienste verkraften, so die Empfehlung der CIS.
  • IG3: Auch diese Stufe baut auf den Implementierungsgruppen 1 und 2 auf und wurde zusätzlich um 23 Schutzmaßnahmen ergänzt. Zielgruppe sind Unternehmen, die Sicherheitsexperten beschäftigen und der Aufsicht von Behörden und besonderer Compliance-Anforderungen unterliegen. Ein solches Unternehmen muss die Verfügbarkeit von Diensten sowie die Vertraulichkeit und Integrität sensibler Daten sicherstellen. Erfolgreiche Angriffe können dem öffentlichen Wohl erheblichen Schaden zufügen.

Eine ausführliche Beschreibung der drei Gruppen findet man auf der CIS-Webseite unter www.cisecurity.org/controls/implementation-groups. Dort ist auch beschreiben, welche Controls in die jeweilige Implementierungsgruppe gehören.

Fazit

Besonders hilfreich ist die Implementierungsgruppe 1, die einen leichten und systematischen Einstieg in das Thema Cybersicherheit bietet. 56 Maßnahmen, von denen wahrscheinlich eine beachtliche Anzahl direkt als „bereits umgesetzt“ gewertet werden kann, sind weder abschreckend schwierig noch unübersichtlich. Vor allem für Organisationen, die sich bislang nur punktuell mit dem Thema Cybersicherheit befasst haben, bieten die CIS-Veröffentlichungen eine wertvolle Orientierungs- und Starthilfe.

Werner Metterhausen

Werner Metterhausen, Diplom-Informatiker, ist Sicherheitsberater der VON ZUR MÜHLEN’SCHE (VZM) GmbH mit den Spezialgebieten RZ-Zertifizierung, Datenschutz, Informationssicherheit (ISO 27001 Lead-Auditor).

Andere interessante Fachbeiträge

Sicherheitskonzept

Hinter verschlossenen Türen

Nicht nur digitale Angriffe, sondern auch physische Bedrohungen wie Einbruch, Diebstahl oder Sabotage stellen eine Gefahr für Unternehmen dar. Physische Penetrationstests decken di...

Abstrakte Grafik in 3D mit leuchtenden Pfeilen

S/4HANA-Transformation als Booster für mehr SAP-Sicherheit

Die in vielen Unternehmen anstehende Migration zu S/4HANA bietet eine einzigartige Gelegenheit, die häufig vernachlässigte Sicherheit ihrer SAP-Landschaft zu stärken. Durch eine ga...

Energieanlage

Angriffserkennung mit IDS in Energieanlagen

Viele Angreifer haben mittlerweile ein tiefes Verständnis von Steuerungssystemen. Das ist spätestens seit den Cyberangriffen auf das ukrainische Stromnetz 2015, 2016 und 2022 sowie...