CIS Controls - Was ist neu in Version 8

CIS Controls

Was ist neu in Version 8

Tomaso Vasella
von Tomaso Vasella
am 07. Oktober 2021
Lesezeit: 6 Minuten

Keypoints

Das sind die Neuerungen der CIS Controls v8

  • Die CIS Controls (ehemals CIS Critical Security Controls) sind eine Sammlung empfohlener Sicherheitsmassnahmen zur Abwehr der verbreitetsten und gefährlichsten Angriffe
  • Die aktuelle Version 8 der CIS Controls wurde im Mai 2021 veröffentlicht
  • Die CIS Controls umfassen 18 sogenannte Safeguards, die in drei Umsetzungsgruppen (Implementation Groups, IG) unterteilt sind
  • Die Implementation Groups bauen aufeinander auf, dienen der Priorisierung der Massnahmen und berücksichtigen verschiedene Organisationsgrössen

Cybersecurity-Vorfälle gehören inzwischen immer mehr zum Alltag und müssen leider schlicht als Teil der Normalität betrachtet werden. In den letzten Jahren hat eine starke Professionalisierung der Angreifer stattgefunden und die Zahl der Angriffsziele ist durch fortschreitende Digitalisierung stark gestiegen – eine Entwicklung, die auch in den kommenden Jahren anhalten dürfte. Gleichzeitig sind sich immer mehr und auch kleinere Organisationen der Bedrohungen und der Notwendigkeit robuster Sicherheitsmassnahmen bewusst.

Diese Entwicklungen führen auch zu einer zunehmenden Vielfalt von Sicherheitsstandards, Regulativen, Richtlinien und Hilfsmitteln, die Organisationen aller Grössen dabei helfen sollen, Risiken richtig einzuschätzen und wirksame Massnahmen für einen angemessenen Schutz zu ergreifen. Einerseits ist dies begrüssenswert, andererseits existieren inzwischen fast schon zu viele Sicherheitsstandards, so dass es gerade kleineren Organisationen schwerfallen kann, die essenziellen oder minimal nötigen Vorkehrungen herauszuschälen (zur Illustration können die referenzierten Standards im Secure Controls Framework dienen).

CIS-Kontrollen

Es ist eines der Hauptziele der CIS-Kontrollen, genau hier anzusetzen und für alle Organisationsgrössen und verschiedene Sicherheitsbedürfnisse eine Hilfestellung zur Verfügung zu stellen. Die CIS-Kontrollen sind eine Sammlung konkreter, priorisierter Sicherheitsmassnahmen (sogenannte Safeguards), die der Abwehr der häufigsten Cyberangriffe auf Systeme und Netzwerke dienen. Vor allem für Organisationen, die noch nicht über ein Sicherheitsprogramm verfügen, bieten sie eine wertvolle Orientierungs- und Starthilfe. Die CIS-Kontrollen referenzieren verschiedene anerkannte Frameworks wie das NIST CSF, ISO 27000, PCI DSS und weitere und bestehen aus konkreten, pragmatisch umsetzbaren Massnahmen. Die CIS-Kontrollen gibt es seit vielen Jahren und sie werden laufen weiterentwickelt und neuen Entwicklungen und Erkenntnissen angepasst.

Die CIS-Kontrollen in der aktuellen Version 8 (früher: CIS Critical Security Controls oder CIS Top 20) wurden im Mai 2021 veröffentlicht. Sie wurden angepasst, um besser mit modernen Systemen und aktueller Software Schritt zu halten. Die fortschreitende Umstellung auf Cloud Computing, zunehmende Mobilität, Telearbeit und Home-Office und auch veränderte Angriffstaktiken waren der Anlass für die Aktualisierung. Die nachfolgende Abbildung zeigt eine Übersicht über alle 18 CIS-Kontrollen.

Übersicht CIS-Kontrollen

Implementation Groups

Seit Version 7.1 definieren die CIS-Kontrollen drei aufeinander aufbauende, sogenannte Implementation Groups (IG). Diese Gruppen dienen vor allem der Priorisierung der Sicherheitsmassnahmen, richten sich aber auch an verschiedene Sicherheitsbedürfnisse. So fasst die IG1 diejenigen Massnahmen zusammen, die zu Erreichung eines grundlegenden Sicherheitsniveaus umgesetzt werden sollten und auch mit eingeschränkten Ressourcen und wenig Expertise erreicht werden können.

Welche weiteren Implementation Groups umgesetzt werden sollen, muss eine Organisation für sich selbst entscheiden. Diese Entscheidung sollte die folgenden Gesichtspunkte berücksichtigen:

Implementation Group 1

Die IG1 umfasst 56 Massnahmen zur Erreichung eines Minimalniveaus an Informationssicherheit. Diese Massnahmen beinhalten grundsätzliche Themen und Vorkehrungen wie Inventar, sichere Konfigurationen, Zugriffskontrollen, Backup usw. Sie stellen das absolute Minimum an Sicherheitsmassnahmen dar, die jede Organisation implementieren sollte und werden dementsprechend auch als Basic Cyber Hygiene bezeichnet.

Implementation Group 2

Die IG2 umfasst 74 weitere Massnahmen und baut auf der IG1 auf. Ziel dieser Implementation Group ist die Unterstützung von etwas grösseren Organisationen, die möglicherweise aus mehreren Abteilungen mit unterschiedlichen Risikoprofilen bestehen und etwas grössere Komplexität aufweisen. Einige der Massnahmen setzen Lösungen und Werkzeuge voraus, die eher in grossen Umgebungen eingesetzt werden und Spezialisten für die Konfiguration und den Betrieb erfordern können. Beispiele sind automatisierte Lösungen für die Inventarisierung von Hard- und Software, Lösungen für das Schwachstellenmanagement oder zentralisiertes Logging und Monitoring.

Implementation Group 3

Die IG3 umfasst 23 zusätzliche Massnahmen und baut auf der IG2 auf. Sie sind darauf ausgerichtet, auch grössere Organisationen mit mehr Ressourcen und Sicherheitsexpertise zu einem besseren Schutz auch gegen höher entwickelte Angriffe zu verhelfen. Themen dieser Gruppe sind unter anderem verbesserte Detektionsmöglichkeiten für sicherheitsrelevante Ereignisse und umfassenderes Security Testing.

Neuerungen in der Version 8

Die offensichtlichste Änderung gegenüber der Vorgängerversion ist die Reduktion auf insgesamt 18 Kontrollen mit 153 Massnahmen (Version 7.1: 20 Kontrollen und 171 Massnahmen). Dies ist einerseits einer stärkeren Fokussierung auf das heute wesentliche geschuldet, andererseits sind Themen teilweise zusammengefasst worden.

Änderungen seit der letzten Version

Neu ist das Service Provider Management (Kontrolle 15) hinzugekommen, was der immer noch zunehmenden Bedeutung des Cloud Computing und dem hohen Stellenwert der Sicherheit von Versorgungsketten Rechnung trägt. Auffallend, aber einleuchtend, ist auch die Verschiebung der Kontrolle “Data Protection” nach vorne auf Stelle 3 und die Erhöhung der Prioritäten der Themen “Account Management” und “Access Control Management”. Die Änderungen auf der Ebene der Kontrollen sind somit recht übersichtlich ausgefallen. Hingegen wurden auf der Ebene der Massnahmen über 200 Änderungen vorgenommen. Organisationen, die bereits die CIS-Kontrollen einsetzen, sollten sich deshalb im Detail mit den Neuerungen auseinandersetzen. Eine umfassende Zusammenstellung aller Änderungen seit der letzten Version stellt CIS auf ihrer Website zur Verfügung.

Zusammenfassung

Die jüngsten CIS-Kontrollen wurden um aktuelle Themen und Arbeitsweisen ergänzt und setzen die aus früheren Versionen bekannten Grundsätze konsequent fort. Es wurde noch mehr auf die Konzentration auf das Wesentliche und auf den Einbezug von Organisationen aller Arten und Grössen geachtet. Das Konzept der Implementation Groups betont den Begriff der “Cyber Hygiene” in der Version 8 noch stärker und definiert einen Minimalstandard für Informationssicherheit, der auch für kleine Organisationen mit eingeschränktem Budget und Ressourcen erreichbar ist. Angesichts der wahrscheinlichen Entwicklungen darf man annehmen, dass heute als fortgeschritten bezeichnete Massahmen künftig nur noch zur Erreichung eines Minimalniveaus an Informationssicherheit ausreichen werden.

Über den Autor

Tomaso Vasella

Tomaso Vasella hat seinen Master in Organic Chemistry an der ETH Zürich abgeschlossen und ist seit 1999 im Bereich Cybersecurity aktiv. Positionen als Berater, Engineer, Auditor und Business Developer zählen zu seinen Erfahrungen. (ORCID 0000-0002-0216-1268)

Links

Sie wollen Ihr Log und Monitoring auf das nächste Level bringen?

Unsere Spezialisten kontaktieren Sie gern!

×
Passwortlose Authentifizierung

Passwortlose Authentifizierung

Tomaso Vasella

Data Leakage Prevention

Data Leakage Prevention

Tomaso Vasella

Webscraping mit Powershell

Webscraping mit Powershell

Tomaso Vasella

Datenverschlüsselung in der Cloud

Datenverschlüsselung in der Cloud

Tomaso Vasella

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv