CIS Benchmark - für höchste Cloud Security

Was bedeutet CIS Benchmark?

CIS Benchmarks gehören zu den Best Practices, mit denen Sie ein Zielsystem sicher konfigurieren können. Sie unterstützen Sie dabei, Ihre IT-Systeme, Netzwerke, Software und Cloud-Infrastruktur zuverlässig abzusichern.
Mittlerweile ist der CIS Benchmark für zahlreiche Anbieter in unterschiedlichen Produktfamilien verfügbar. Insgesamt decken die Benchmarks sieben Kerntechnologie-Kategorien ab. Gemeinsam ist ihnen, dass sie von einer globalen Gemeinschaft aus Cybersecurity-Experten entwickelt werden. Diese weltweite Zusammenarbeit sorgt dafür, dass bewährte Sicherheitspraktiken kontinuierlich identifiziert, verfeinert und validiert werden.

CIS - das Center for Internet Security

Seit sich immer mehr Bereiche in den Cyberspace verlagert haben, steigen die Anforderungen an die Cloud-Sicherheit stetig. Bereits im Oktober 2000 wurde deshalb eine gemeinnützige Organisation gegründet, die sich gezielt mit diesen Sicherheitsaspekten befasst: das Center for Internet Security. Es handelt sich um eine internationale IT-Gemeinschaft, die Best-Practice-Lösungen für die Cybersicherheit entwickelt, validiert und etabliert, um Unternehmen bei der Cyberabwehr wirksam zu unterstützen.

So wird ein CIS Benchmark entwickelt

Jeder CIS Benchmark beginnt mit der Definition seines Geltungsbereichs. Auf dieser Grundlage werden erste Arbeitsentwürfe diskutiert, erstellt und getestet. Anschließend werden die Diskussionsstränge auf der zugehörigen Community-Website veröffentlicht. So haben Experten weltweit die Möglichkeit, den Dialog fortzuführen und weitere Empfehlungen einzubringen. Das Ziel ist ein breiter Konsens innerhalb der CIS-Benchmark-Community. Erst wenn dieser erreicht ist, wird der endgültige CIS Benchmark veröffentlicht.

So sind CIS Benchmarks organisiert

CIS Benchmarks gliedern ihre Konfigurationsempfehlungen in zwei Profilebenen.
Die Level-1-Benchmark-Profile decken die Basiskonfiguration ab, die Sie ohne großen Aufwand implementieren können. Der Vorteil: Diese Empfehlungen wirken sich nur minimal auf Ihre Geschäftsfunktionalität aus.
Level-2-Benchmark-Profile sind hingegen für Hochsicherheitsumgebungen konzipiert. Wenn Sie diese umsetzen möchten, ist deutlich mehr Koordination und Planung erforderlich, um Betriebsunterbrechungen auf ein Minimum zu begrenzen.
Beide Profilebenen existieren für jede der sieben Kernkategorien der CIS Benchmarks.

Betriebssysteme

Dieser Bereich umfasst die Sicherheitskonfigurationen Ihrer Kernbetriebssysteme wie Apple OSX, Linux oder Microsoft Windows. Dazu gehören Best-Practice-Richtlinien für Zugriffsbeschränkungen, Benutzerprofile und die Browsereinstellungen. Dieser CIS Benchmark bildet eine wichtige Grundlage für Ihr System Hardening und Database Hardening. Achten Sie darauf, dass alle Konfigurationen zu Ihrer IT Compliance passen.

Cloud Anbieter

Diese Benchmarks befassen sich mit Sicherheitskonfigurationen für Cloud-Anbieter wie Amazon Web Services, Google, IBM und Microsoft Azure. Zusätzlich enthalten sie Richtlinien für das Identity and Access Management (IAM) und weitere Sicherheitsmaßnahmen.

Desktop Software

Dieser CIS Benchmark enthält Empfehlungen zur sicheren Konfiguration häufig genutzter Softwareanwendungen, darunter gängige Internetbrowser, Exchange Server und Microsoft Office. Da der Schwerpunkt auf dem Datenschutz liegt, ist er besonders relevant für Ihr Database Hardening. Auch hier sollten die Best Practices mit Ihrer IT Compliance Hand in Hand gehen.

Mobilgeräte

Mobile Betriebssysteme wie iOS und Android sind wichtige Bestandteile Ihrer Cloud Security. Der Zugriff von außerhalb des Unternehmensnetzwerks erfordert, dass Sie alle Datenschutzkonfigurationen, App-Berechtigungen und Entwicklereinstellungen sorgfältig prüfen und absichern. Denn Ihre Cloud Security hängt nicht nur vom On-Premises System Hardening ab, sondern von einem ganzheitlichen Sicherheitskonzept.

Multifunktionsdrucker

Der CIS Benchmark für Multifunktionsdrucker sorgt dafür, dass diese Geräte in Büroumgebungen sicher konfiguriert sind. Er umfasst unter anderem die regelmäßige Aktualisierung der Firmware, die Konfiguration des drahtlosen Zugriffs und die Dateifreigabe.

Netzwerkgeräte

Für Ihre Netzwerkgeräte benötigen Sie sowohl herstellerspezifische als auch allgemeine Sicherheitsrichtlinien. Der CIS Benchmark stellt Ihnen beides zur Verfügung.

Serversoftware

Um Ihre Serversoftware sicher zu halten, bietet Ihnen der CIS Benchmark für Serversoftware verschiedene Best Practices. Dazu zählen API-Servereinstellungen, Steuerelemente der Serveradministration sowie Speicherbeschränkungen für gängige Serversoftware.

Diese Vorteile hat der CIS Benchmark

Der CIS Benchmark bietet Ihnen zahlreiche Vorteile. Auch wenn Sie nicht verpflichtet sind, ihm zu folgen, kann er Ihre Entscheidungen im Konfigurationsmanagement wirksam unterstützen:

• Die Benchmarks bündeln das gesammelte Fachwissen der globalen Cybersecurity-Community.
• Sie helfen Ihnen, digitale Transformationsstrategien sicher umzusetzen.
• Sie enthalten regelmäßig aktualisierte Schritt-für-Schritt-Anleitungen für jeden Bereich Ihrer IT-Infrastruktur.
• Die empfohlenen Konfigurationen sind effizient, nachhaltig und einfach zu implementieren.
• Sie fördern die Konsistenz Ihres Compliance-Managements.

Übrigens: Auch wenn Sie die Vorteile des CIS Benchmarks in Ihrem Unternehmen nutzen, sollten Sie auf einen Penetration Test nicht verzichten. Er hilft Ihnen, bestehende Schwachstellen und Sicherheitslücken zu erkennen.

CIS Hardened Images für kosteneffizientes Computing

Wenn Sie Rechenoperationen kostengünstig durchführen möchten, bietet Ihnen das CIS zusätzlich vorkonfigurierte Hardened Images an. Der Vorteil: Sie müssen nicht in zusätzliche Soft- oder Hardware investieren. Gleichzeitig ist ein Hardened Image deutlich sicherer als ein virtuelles Standardimage. So begrenzen Sie Ihre Angriffsfläche und schützen sich einfach und effektiv gegen Cyberangriffe.

CIS Benchmark und die Einhaltung der IT-Compliance

Der CIS Benchmark orientiert sich stark an den regulatorischen Rahmenbedingungen für Datenschutz und Sicherheit. Wenn in Ihrem Unternehmen Vorschriften wie das NIST Cybersecurity Framework gelten, können Sie den Benchmark problemlos integrieren. Dasselbe gilt für HIPAA, PCI DSS oder ISO/IEC 27001. Der CIS Benchmark erleichtert es Ihnen, Ihre IT-Compliance einzuhalten.

Häufige Fragen zum Thema CIS Benchmark

Viele Unternehmen sind mit dem CIS Benchmark noch wenig vertraut. Deshalb tauchen häufig Fragen auf, die Sie vor der Optimierung Ihrer Cloud-Sicherheit klären sollten.

Wie oft werden die Benchmarks aktualisiert?

Wie oft neue Benchmarks veröffentlicht oder bestehende aktualisiert werden, hängt von der Community und der jeweiligen Technologie ab. Einen festen Zeitplan gibt es daher nicht.

Welches Format hat der CIS Benchmark?

Der Benchmark nutzt das kostenlose PDF-Format. Zusätzlich erhalten Sie ihn in anderen Formaten wie Word, XML oder Excel.

Was, wenn ein Fehler in der Benchmark vorliegt?

Wenn Sie Unstimmigkeiten in einem CIS Benchmark feststellen, sollten Sie die Community darüber informieren. Solche Diskrepanzen kommen vor, und es ist wichtig, sie zu korrigieren. Die Pflege der Dokumente nach ihrer Veröffentlichung ist ein fester Bestandteil des CIS-Benchmark-Lifecycles.

Müssen sämtliche Konfigurationen vorgenommen werden?

Der Benchmark enthält sinnvolle Konfigurationen, mit denen Sie die Sicherheit Ihrer IT-Infrastruktur erhöhen. Sie sind jedoch nicht zwingend umzusetzen, wenn sie sich in Ihrem Unternehmen nicht realisieren lassen.

Fazit - CIS Benchmarks sind für die Cloud-Security sinnvoll

Für Ihre Cloud-Sicherheit ist der CIS Benchmark ein wichtiger Schritt in die richtige Richtung. Er unterstützt Sie dabei, die Anforderungen Ihrer IT-Compliance zu erfüllen und Ihre Systeme durchgängig sicher zu gestalten. Auch wenn die vorgeschlagenen Konfigurationen nicht verpflichtend sind, erhöhen sie Ihre Sicherheit erheblich. In Kombination mit regelmäßigen Sicherheitschecks und Penetration Tests profitieren Sie von einer rundum sicheren Umgebung für Ihr Unternehmen.