Cybersecurity Framework des Center for Internet Security

Das CIS Framework und die 18 Sicherheitskontrollen

18
LinkedInRedditWhatsApp

Viele Teams wissen zwar, dass bessere Sicherheit wichtig ist, aber nicht, wo sie anfangen sollen. Das CIS Framework bietet konkrete, priorisierte Schritte zur Verbesserung der Cybersicherheit und Abwehr gängiger Bedrohungen – mit verbindlichen Handlungsanweisungen statt interpretationsbedürftiger Modelle.

Was ist das CIS Cybersecurity Framework?

Das Cybersecurity Framework des Center for Internet Security (CIS) umfasst 18 wichtige Sicherheitskontrollen, die zum Schutz vor den häufigsten Cyberangriffen entwickelt wurden. Es wurde ursprünglich von einem internationalen Konsortium aus Experten, darunter Führungskräfte aus Regierung, Wissenschaft und Industrie, entwickelt, um eine gemeinsame Grundlage für Cybersicherheit zu schaffen.

Anzeige

Es ist wichtig, zwischen zwei wichtigen CIS-Angeboten zu unterscheiden: CIS Controls sind Reihe von verbindlichen Best Practices, die sich mit Identität, Daten, Geräten und Infrastruktur befassen. CIS Benchmarks sind Konfigurationsrichtlinien zur Sicherung bestimmter Technologien, wie Betriebssysteme, Cloud-Plattformen oder Anwendungen.

CIS vs. NIST: Wie lassen sich die Rahmenwerke vergleichen?

Das CIS Framework existiert nicht isoliert. Es wurde so konzipiert, dass es anderen Frameworks und regulatorischen Anforderungen entspricht und diese ergänzt.

Am häufigsten werden CIS-Kontrollen mit dem NIST Cybersecurity Framework (CSF) verglichen. Während das NIST CSF breit gefächert und risikobasiert ist, ist CIS präskriptiv und taktisch. Viele Unternehmen verwenden CIS-Kontrollen, um die Kategorien des NIST zu operationalisieren, da es erhebliche Überschneidungen zwischen den Modellen gibt. Die Übereinstimmung zwischen NIST-Funktionen und CIS-Kontrollen umfasst beispielsweise NIST Identify und CIS Controls 1-2 (Inventur der Assets), NIST Protect und CIS Controls 3-7 (Daten, Konten, Zugriff), NIST Detect und CIS Controls 8, 13 (Protokollierung, Überwachung), NIST Respond und CIS Control 17 (Reaktion auf Vorfälle) sowie NIST Recover und CIS Control 11 (Datenwiederherstellung).

Anzeige

Über das NIST CSF hinaus lassen sich die CIS-Kontrollen auf eine Reihe anderer regulatorischer Anforderungen und Industriestandards abbilden.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Die 18 kritischen Sicherheitskontrollen von CIS

Die im Rahmenwerk der kritischen Sicherheitskontrollen von CIS beschriebenen Best Practices bieten einen Fahrplan für die Abwehr moderner Cyberbedrohungen.

CIS-Kontrolle 1: Bestandsaufnahme und Kontrolle der Unternehmensressourcen

Angesichts der zunehmenden Ausbreitung von Netzwerken umfasst diese Best Practice Schutzmaßnahmen für die aktive Verwaltung aller Ressourcen, die mit der Infrastruktur eines Unternehmens verbunden sind. CIS empfiehlt eine kontinuierliche Erfassung von Ressourcen und automatisierte Kontrollen, um Schatten-IT und nicht verwaltete Geräte zu bekämpfen, die häufig Schwachstellen schaffen, die von Angreifern ausgenutzt werden.

CIS-Kontrolle 2: Bestandsaufnahme und Kontrolle von Softwareressourcen

Nicht genehmigte oder veraltete Software stellt einen häufigen Angriffsvektor dar. Diese Kontrolle verlangt von Unternehmen, dass sie die gesamte Software – vom Betriebssystem bis zu den Anwendungen – so verwalten, dass nur autorisierte Software installiert wird.

CIS-Kontrolle 3: Datenschutz

Der Schutz sensibler Daten ist ein Kernziel vieler Cybersicherheitsvorschriften. Diese CIS-Kontrolle leitet Unternehmen bei der Entwicklung von Prozessen und technischen Kontrollen zur sicheren Identifizierung, Klassifizierung, Handhabung und Aufbewahrung wichtiger Daten an.

CIS-Kontrolle 4: Sichere Konfiguration von Unternehmensressourcen und Software

Die Standardeinstellungen von Systemen sind selten sicher genug, um komplexe Angriffe zu verhindern. Die CIS-Kontrolle 4 fordert gehärtete Konfigurationen für Betriebssysteme, Anwendungen, Netzwerkgeräte und andere Ressourcen.

CIS-Kontrolle 5: Kontoverwaltung

Identitätsbasierte Angriffe nehmen zu, aber viele Teams haben Schwierigkeiten, die Identitätsgrenzen zu sichern. Um diese Lücken zu schließen, empfiehlt CIS Unternehmen, Berechtigungen für Ressourcen und Software für Benutzerkonten zuzuweisen und zu verwalten, die sich über Administratorkonten und Dienstkonten erstrecken.

CIS-Kontrolle 6: Zugriffskontrollmanagement

Allzu oft verursachen privilegierte Konten versteckte Netzwerksicherheitslücken, die Angreifern einen uneingeschränkten Zugang ermöglichen, um sich lateral im Netzwerk zu bewegen. Diese Kontrolle geht übermäßige Privilegien direkt an und empfiehlt Unternehmen, nicht benötigte Zugriffsrechte und Privilegien für Benutzer-, Administrator- und Dienstkonten zu erstellen, zuzuweisen, zu verwalten und zu widerrufen.

CIS-Kontrolle 7: Kontinuierliches Schwachstellenmanagement

Diese Kontrolle erfordert die kontinuierliche Überprüfung, Bewertung und Behebung von Schwachstellen, um sicherzustellen, dass das Zeitfenster für Angreifer so klein wie möglich ist.

CIS-Kontrolle 8: Verwaltung von Audit-Protokollen

Eine effektive Protokollierung gewährleistet Verantwortlichkeit und forensische Bereitschaft. Diese Kontrolle legt den Schwerpunkt auf zentralisierte Protokollierung, Aufbewahrungsrichtlinien und regelmäßige Überprüfungen, um verdächtige Aktivitäten zu erkennen, die Reaktion auf Vorfälle zu unterstützen und Compliance-Audits und die Berichterstattung an Aufsichtsbehörden zu optimieren.

CIS-Kontrolle 9: Schutz von E-Mails und Webbrowsern

Um Phishing-Angriffen und anderen weit verbreiteten Vektoren entgegenzuwirken, schreibt diese Kontrolle Filterung, Sandboxing und Browser-Sicherheitskonfigurationen vor, um einen besseren Schutz vor E-Mail- und Web-Bedrohungen zu gewährleisten.

CIS-Kontrolle 10: Malware-Abwehr

Ransomware ist für die meisten Sicherheitsverantwortlichen ein wichtiges Thema. Diese Kontrolle zielt darauf ab, die Installation, Verbreitung und Ausführung von Malware auf Unternehmensressourcen durch Schutzmaßnahmen wie Endpunktschutz und Verhaltenserkennung zu verhindern oder zu kontrollieren.

CIS-Kontrolle 11: Datenwiederherstellung

Um Cyber-Resilienz zu erreichen, benötigen Unternehmen eine Strategie, um sich wenn eine Sicherheitsverletzung auftritt – nicht falls. CIS empfiehlt Sicherheitsteams, Datenwiederherstellungsverfahren zu pflegen, mit denen wichtige Ressourcen in den Zustand vor dem Vorfall zurückversetzt werden können.

CIS-Kontrolle 12: Verwaltung der Netzwerkinfrastruktur

Netzwerkgeräte müssen sicher konfiguriert, regelmäßig aktualisiert und überwacht werden – andernfalls können Angreifer Schwachstellen in Diensten und Zugangspunkten ausnutzen. Diese Kontrolle legt den Schwerpunkt auf den Aufbau einer sicheren Netzwerkarchitektur und die Minimierung der Angriffsfläche.

CIS-Kontrolle 13: Netzwerküberwachung und -verteidigung

Diese Kontrolle sieht eine umfassende Netzwerküberwachung vor, um die Erkennung von Anomalien, Eindringlingen oder unbefugten seitlichen Bewegungen zu unterstützen. Die Hoffnung ist, dass Unternehmen durch die proaktive Überwachung auf abnormales Verhalten Verstöße stoppen können, bevor sie sich ausbreiten.

CIS-Kontrolle 14: Schulungen zu Sicherheitsbewusstsein und -kompetenzen

Technologie allein kann nicht gegen jede Cyberbedrohung schützen. Diese Kontrolle verlangt von Unternehmen die Durchführung regelmäßiger Schulungsprogramme, die das Sicherheitsbewusstsein der gesamten Belegschaft fördern.

CIS-Kontrolle 15: Verwaltung von Dienstleistern

Schwachstellen bei Drittanbietern und Angriffe auf die Lieferkette stellen für viele Unternehmen ein wachsendes Risiko dar. Unternehmen müssen Dienstleister bewerten, um sicherzustellen, dass sie interne Plattformen und Daten angemessen schützen.

CIS-Kontrolle 16: Sicherheit von Anwendungssoftware

Anwendungen müssen unter Berücksichtigung der Sicherheit entwickelt, getestet und gewartet werden. Diese Kontrolle erfordert sichere Codierungspraktiken, Schwachstellenscans und die Behebung von Fehlern während der Entwicklung, um sicherzustellen, dass ausnutzbare Schwachstellen niemals negative Auswirkungen auf das gesamte Unternehmen haben.

CIS-Kontrolle 17: Management der Reaktion auf Vorfälle

Eine effektive Reaktion auf Vorfälle reduziert Ausfallzeiten, begrenzt die Auswirkungen einer Sicherheitsverletzung und gewährleistet die Einhaltung gesetzlicher und versicherungstechnischer Anforderungen. Um jedem Unternehmen bei der Erstellung eines umsetzbaren Plans zur Reaktion auf Vorfälle zu helfen, empfiehlt CIS, Rollen, Verantwortlichkeiten und Eskalationsverfahren zu dokumentieren und zu testen.

CIS-Kontrolle 18: Penetrationstests

Diese letzte Kontrolle testet die Wirksamkeit und Widerstandsfähigkeit der Sicherheitsmaßnahmen eines Unternehmens, indem Schwachstellen in den Kontrollen identifiziert und ausgenutzt sowie Angriffe simuliert werden.

Screenshot 2025 10 27 at 09 45 30 The 18 CIS Critical Security Controls
Die 18 kritischen Sicherheitskontrollen der CIS. Bildquelle: Screenshot/Center for Internet Security (CIS)


Wie Mikrosegmentierung wichtige CIS-Kontrollen unterstützt

Automatische, identitätsbewusste Mikrosegmentierung und mehrschichtige Identitätszugriffskontrollen helfen Unternehmen dabei, sich an wichtige Elemente des CIS-Frameworks anzupassen. Zero Networks erleichtert, validiert oder liefert die meisten der in den CIS-Kontrollen 1 und 2 festgelegten Sicherheitsvorkehrungen. Hierzu zählen die Einrichtung und Pflege eines detaillierten Bestandsverzeichnisses der Unternehmens-Assets (1.1), die Behandlung nicht autorisierter Assets (1.2), der Einsatz eines aktiven Erkennungstools (1.3), der Einsatz eines passiven Asset-Erkennungstools (1.4) sowie die Erstellung und Pflege eines Software-Inventars (1.5). Zero automatisiert die Erkennung und lokalisiert mit einem Klick jedes Netzwerk-Asset und jede Identität, um den Weg zu granularer Sicherheit zu optimieren.

Vermögenswerte und Identitäten schützen durch Design

Die CIS-Kontrollen 4-6 zielen auf inhärente Schwachstellen und Konten mit übermäßigen Berechtigungen ab. Zero ermöglicht die vollständige Einhaltung vieler Sicherheitsvorkehrungen, die diese Kontrollen umfassen, wie z. B. die Implementierung und Verwaltung einer Firewall auf Servern (4.4) sowie einer Firewall auf Endbenutzergeräten (4.5) und Durchsetzung von MFA für den Fernzugriff auf das Netzwerk (6.4) sowie für den administrativen Zugriff (6.5).

Durch die Mikrosegmentierung aller Netzwerkressourcen und Identitäten und die Einführung einer Just-in-Time-MFA zur weiteren Sicherung des privilegierten Zugriffs schließt Zero Networks Sicherheitslücken und verbessert die Cyber-Resilienz, ohne die Komplexität des Betriebs zu erhöhen.

Aufbau einer widerstandsfähigen Netzwerkarchitektur

Die schnelle Eindämmung von Bedrohungen und die Echtzeit-Überwachung des Datenverkehrs sind Kernbestandteile einer widerstandsfähigen Architektur, die auf den Zero Trust-Prinzipien basiert. Experten unterstützen Unternehmen bei der Erreichung ihrer Ziele im Bereich Cyber-Resilienz durch die Bereitstellung von Sicherheitsmaßnahmen wie die Einrichtung und Aufrechterhaltung einer sicheren Netzwerkarchitektur (12.4) und die Durchführung von Datenverkehrsfilterung zwischen Netzwerksegmenten (13.4).

Mit granularen, adaptiven Kontrollen, die auf deterministischer Automatisierung basieren, stellt man sicher, dass die umfassende Sicherheit mit den Veränderungen im Netzwerk Schritt hält.


Kay Ernst

Kay

Ernst

DACH-Manager

Zero Networks

Anzeige

Weitere Artikel

Memory Tagging und der Kampf um sichere Arbeitsspeicher
Der Quantum-Countdown: Warum TLS jetzt ein Upgrade braucht
Angriff in 6 Tagen? So werden Edge-Devices zur Black Box
Cybersicherheits-Trends 2026: KI und KRITIS im Fokus
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.