Was sind CIS-Benchmarks?

CIS-Benchmarks des Center of Internet Security (CIS) sind eine Reihe von weltweit anerkannten und konsensbasierten bewährten Methoden, die Sicherheitsexperten bei der Implementierung und Verwaltung ihrer Cybersicherheitsverteidigung unterstützen. Die Richtlinien wurden in Zusammenarbeit mit einer globalen Community aus Sicherheitsexperten entwickelt und helfen Unternehmen, sich proaktiv gegen neue Risiken zu schützen. Unternehmen implementieren die CIS-Benchmark-Richtlinien, um konfigurationsbasierte Sicherheitslücken in ihren digitalen Assets einzugrenzen.

Warum sind CIS-Benchmarks wichtig?

Tools wie die CIS-Benchmarks sind wichtig, da sie von Sicherheitsexperten und Fachleuten entwickelte bewährte Methoden für die Bereitstellung von über 25 verschiedenen Herstellerprodukten enthalten. Diese bewährten Methoden sind ein guter Ausgangspunkt für die Erstellung eines Plans zur Einführung eines neuen Produkts oder Services oder für die Überprüfung der Sicherheit bestehender Installationen.

Wenn Sie CIS Benchmarks implementieren, können Sie Ihre Legacy-Systeme besser gegen gängige und neu auftretende Risiken absichern, indem Sie Schritte wie die folgenden unternehmen: 

  • Deaktivieren ungenutzter Ports
  • Entfernen von unnötigen App-Berechtigungen
  • Einschränkung der administrativen Berechtigungen

IT-Systeme und Anwendungen funktionieren auch besser, wenn Sie unnötige Services deaktivieren. 

Beispiel für CIS-Benchmarks

Administratoren können zum Beispiel die CIS-AWS-Foundations-Benchmark-Richtlinien schrittweise befolgen, um eine starke Passwortrichtlinie für AWS Identity and Access Management (IAM) einzurichten. Die Durchsetzung von Passwortrichtlinien, die Verwendung der Multi-Faktor-Authentifizierung (MFA), die Deaktivierung von Root, die Sicherstellung, dass Zugriffsschlüssel alle 90 Tage rotiert werden, und andere Maßnahmen sind unterschiedliche, aber verwandte Identitätsrichtlinien zur Verbesserung der Sicherheit eines AWS-Kontos.

Durch die Übernahme der CIS-Benchmarks kann Ihr Unternehmen von mehreren Vorteilen im Bereich der Cybersicherheit profitieren, z. B. von den folgenden:

Richtlinien für Cybersicherheit von Experten

Die CIS-Benchmarks bieten Unternehmen einen Rahmen für von Experten geprüfte und bewährte Sicherheitskonfigurationen. Unternehmen können Trial-and-Error-Szenarien vermeiden, die die Sicherheit gefährden, und von der Expertise einer vielfältigen IT- und Cybersicherheits-Community profitieren.

Weltweit anerkannte Sicherheitsstandards

Die CIS-Benchmarks sind die einzigen bewährten Methoden, die weltweit von Behörden, Unternehmen, Forschungs- und akademischen Einrichtungen gleichermaßen anerkannt und akzeptiert werden. Dank der globalen und vielfältigen Community, die nach einem konsensbasierten Entscheidungsmodell arbeitet, haben die CIS-Benchmarks eine weitaus größere Anwendbarkeit und Akzeptanz als regionale Gesetze und Sicherheitsstandards. 

Kostengünstige Bedrohungsprävention

Die CIS-Benchmark-Dokumentation kann von jeder Person kostenlos heruntergeladen und implementiert werden. Ihr Unternehmen kann kostenlos aktuelle, schrittweise Anleitungen für alle Arten von IT-Systemen erhalten. Sie können IT-Governance erreichen und Finanz- und Reputationsverluste durch vermeidbare Cyberbedrohungen abwenden.

Gesetzliche Vorschriften

Die CIS-Benchmarks orientieren sich an den wichtigsten Frameworks für Sicherheit und Datenschutz wie diesen:

  • National Institute of Standards and Technology (NIST) Cybersecurity Framework 
  • Health Insurance Portability and Accountability Act (HIPAA)
  • Payment Card Industry Data Security Standard (PCI DSS)

Die Implementierung von CIS-Benchmarks ist ein großer Schritt in Richtung Compliance für Unternehmen, die in stark regulierten Branchen tätig sind. Sie können verhindern, dass Vorschriften aufgrund von falsch konfigurierten IT-Systemen nicht eingehalten werden.

Welche Arten von IT-Systemen decken die CIS-Benchmarks ab?

CIS hat über 100 Benchmarks veröffentlicht, die mehr als 25 Produktfamilien umfassen. Wenn Sie die CIS-Benchmarks auf alle Arten von IT-Systemen anwenden und überwachen, schaffen Sie eine inhärent sichere IT-Umgebung, die Sie mit Sicherheitslösungen weiter schützen können. Die Technologien, die von den CIS-Benchmarks abgedeckt werden, lassen sich grob in die folgenden sieben Kategorien einteilen. 

Betriebssysteme

CIS-Benchmarks für Betriebssysteme bieten Standard-Sicherheitskonfigurationen für gängige Betriebssysteme, einschließlich Amazon Linux. Diese Benchmarks enthalten bewährte Methoden für Funktionen wie diese:

  • Zugriffskontrolle für das Betriebssystem 
  • Gruppenrichtlinien
  • Webbrowsereinstellungen
  • Patch-Verwaltung 

Cloud-Infrastruktur und -Services

Die CIS-Benchmarks für Cloud-Infrastrukturen bieten Sicherheitsstandards, die Unternehmen zur sicheren Konfiguration von Cloud-Umgebungen nutzen können, wie sie beispielsweise von AWS bereitgestellt werden. Die Richtlinien enthalten aus bewährten Methoden abgeleitete Richtlinien für die Einstellungen virtueller Netzwerke, AWS Identity and Access Management (IAM)-Konfigurationen, Compliance- und Sicherheitskontrollen und mehr. 

Serve-Software

Die CIS-Benchmarks für Server-Software bieten Konfigurationsgrundlagen und Empfehlungen für Servereinstellungen, Serververwaltungssteuerungen, Speichereinstellungen und Serversoftware beliebter Anbieter. 

Desktop-Software 

Die CIS-Benchmarks decken den größten Teil der Desktop-Software ab, die Unternehmen üblicherweise verwenden. Die Richtlinien enthalten bewährte Methoden für die Verwaltung von Desktop-Softwarefunktionen, z. B. diese:

  • Desktop-Software von Drittanbietern
  • Browsereinstellungen
  • Zugriffsrechte
  • Benutzerkonten
  • Client-Geräteverwaltung

Mobile Geräte

Die CIS-Benchmarks für mobile Geräte umfassen Sicherheitskonfigurationen für Betriebssysteme, die auf Mobiltelefonen, Tablets und anderen Handheld-Geräten laufen. Sie geben Empfehlungen für Einstellungen für Browser von Mobilgeräten, Anwendungsberechtigungen, Datenschutzeinstellungen und mehr. 

Netzwerkgeräte

CIS-Benchmarks bieten auch Sicherheitskonfigurationen für Netzwerkgeräte wie Firewalls, Router, Switches und Virtual Private Networks (VPNs). Sie enthalten sowohl herstellerneutrale als auch herstellerspezifische Empfehlungen, um die sichere Einrichtung und Verwaltung dieser Netzwerkgeräte zu gewährleisten. 

Multifunktionsdrucker

Die CIS-Benchmarks für Netzwerk-Peripheriegeräte wie Multifunktionsdrucker, Scanner und Fotokopierer zeigen die bewährten Methoden für die sichere Konfiguration wie Einstellungen für die Dateifreigabe, Zugriffsbeschränkungen und Firmware-Updates auf.

Was sind CIS-Benchmark-Ebenen?

Um Unternehmen dabei zu helfen, ihre individuellen Sicherheitsziele zu erreichen, ordnet das CIS jeder CIS-Benchmark-Richtlinie eine Profilebene zu. Jedes CIS-Profil enthält Empfehlungen, die ein unterschiedliches Maß an Sicherheit bieten. Unternehmen können ein Profil wählen, das ihren Sicherheits- und Compliance-Anforderungen entspricht. 

Profil der Ebene 1

Die Konfigurationsempfehlungen für das Profil der Ebene 1 sind grundlegende Sicherheitsempfehlungen für die Konfiguration von IT-Systemen. Sie sind einfach zu befolgen und beeinträchtigen weder die Geschäftsfunktionen noch die Betriebszeit. Diese Empfehlungen reduzieren die Anzahl der Einstiegspunkte in Ihre IT-Systeme und verringern so Ihre Cybersicherheitsrisiken.

Profil der Ebene 2

Die Empfehlungen für die Konfiguration von Profilen der Ebene 2 eignen sich am besten für hochsensible Daten, bei denen die Sicherheit eine Priorität ist. Die Umsetzung dieser Empfehlungen erfordert professionelles Fachwissen und eine sorgfältige Planung, um umfassende Sicherheit bei minimalen Unterbrechungen zu erreichen. Die Umsetzung der Empfehlungen für Profile der Ebene 2 hilft auch bei der Einhaltung gesetzlicher Vorschriften. 

STIG-Profil

Der Security Technical Implementation Guide (STIG) ist ein Satz von Konfigurationsgrundlagen der Defense Information Systems Agency (DISA). Das US-Verteidigungsministerium veröffentlicht und pflegt diese Sicherheitsstandards. STIGs werden speziell für die Anforderungen der US-Behörden geschrieben. 

Die CIS-Benchmarks enthalten auch ein STIG-Profil der Ebene 3, das Unternehmen bei der Einhaltung der STIG helfen soll. Das STIG-Profil enthält Empfehlungen für Profile der Ebenen 1 und 2, die STIG-spezifisch sind, und bietet weitere Empfehlungen, die von den anderen beiden Profilen nicht abgedeckt werden, die aber von den STIGs der DISA benötigt werden. 

Wenn Sie Ihre Systeme gemäß den CIS-STIG-Benchmarks konfigurieren, wird Ihre IT-Umgebung sowohl CIS- als auch STIG-konform sein.

Wie werden die CIS-Benchmarks entwickelt?

CIS-Communitys folgen einem einzigartigen konsensbasierten Prozess, um CIS-Benchmarks für verschiedene Zielsysteme zu entwickeln, zu genehmigen und zu pflegen. Insgesamt sieht der CIS-Benchmark-Entwicklungsprozess folgendermaßen aus:

  1. Die Community erkennt den Bedarf für eine spezifische Benchmark.
  2. Sie legt ihren Umfang fest.
  3. Freiwillige erstellen Diskussionsbeiträge auf der CIS-WorkBench-Community-Website. 
  4. Experten aus der CIS-Community des jeweiligen IT-Systems nehmen sich Zeit, um den Arbeitsentwurf zu prüfen und zu diskutieren. 
  5. Die Experten erstellen, diskutieren und testen ihre Empfehlungen, bis sie einen Konsens erreichen.
  6. Sie stellen die Benchmark fertig und veröffentlichen sie auf der CIS-Website.
  7. Weitere Freiwillige aus der Community beteiligen sich an der Diskussion über die CIS-Benchmark.
  8. Das Konsens-Team berücksichtigt das Feedback derjenigen, die die Benchmark umsetzen.
  9. Sie nehmen Überarbeitungen und Aktualisierungen in den neuen Versionen der CIS-Benchmark vor.

Die Veröffentlichung neuer Versionen der CIS-Benchmarks hängt auch von Änderungen oder Upgrades der entsprechenden IT-Systeme ab.

Wie können CIS-Benchmarks umgesetzt werden?

Jede CIS-Benchmark enthält eine Beschreibung der Empfehlung, den Grund für die Empfehlung und Anweisungen, die Systemadministratoren befolgen können, um die Empfehlung korrekt umzusetzen. Jede Benchmark kann mehrere hundert Seiten umfassen, da sie jeden Bereich des Ziel-IT-Systems abdeckt.  

Die Implementierung von CIS-Benchmarks und die Einhaltung aller Versionsveröffentlichungen wird kompliziert, wenn man versucht, dies manuell zu tun. Aus diesem Grund verwenden viele Unternehmen automatisierte Tools zur Überwachung der CIS-Compliance. Das CIS bietet auch kostenlose und Premium-Tools an, mit denen Sie IT-Systeme scannen und CIS-Compliance-Berichte erstellen können. Diese Tools warnen Systemadministratoren, wenn die vorhandenen Konfigurationen nicht den CIS-Benchmark-Empfehlungen entsprechen.

Welche anderen Sicherheitsressourcen sind in den CIS-Benchmarks enthalten?

Die GUS veröffentlicht auch andere Ressourcen zur Verbesserung der Internetsicherheit einer Organisation, darunter die folgenden zwei Hauptressourcen.

CIS-Kontrollen

CIS-Kontrollen (früher CIS Critical Security Controls genannt) sind eine weitere Ressource, die das CIS als umfassenden Leitfaden für bewährte Methoden im Bereich der System- und Netzwerksicherheit veröffentlicht. Der Leitfaden enthält eine Checkliste mit 20 Sicherheitsvorkehrungen und -maßnahmen, die hohe Priorität haben und sich als wirksam gegen die am weitesten verbreiteten und destruktiven Bedrohungen der Cybersicherheit für IT-Systeme erwiesen haben.

CIS-Kontrollen entsprechen den meisten der wichtigsten Standards und Regelwerke, z. B. diesen:

  • National Institute of Standards and Technology (NIST) Cybersecurity Framework
  • NIST 800-53
  • Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS), Federal Information Security Management Act (FISMA) und anderen Normen der Reihe ISO 27000.

Die CIS-Kontrollen bieten Ihnen einen Ausgangspunkt für die Befolgung eines dieser Regelwerke. 

CIS-Benchmarks im Vgl. zu CIS-Kontrollen

CIS-Kontrollen sind eher allgemeine Richtlinien für die Absicherung ganzer Systeme und Netzwerke, während CIS-Benchmarks sehr spezifische Empfehlungen für sichere Systemkonfigurationen sind. CIS-Benchmarks sind ein entscheidender Schritt für die Implementierung der CIS-Kontrollen, da sich jede CIS-Benchmark-Empfehlung auf eine oder mehrere der CIS-Kontrollen bezieht.

CIS-Kontrolle 3 schlägt zum Beispiel sichere Hardware- und Softwarekonfigurationen für Computersysteme vor. Die CIS-Benchmarks bieten herstellerneutrale und herstellerspezifische Anleitungen sowie detaillierte Anweisungen, die Administratoren bei der Implementierung der CIS-Kontrolle 3 befolgen können. 

CIS-gehärtete Images

Eine virtuelle Maschine (VM) ist eine virtuelle Computerumgebung, die dedizierte Computerhardware emuliert. VM-Images sind Vorlagen, die Systemadministratoren verwenden, um schnell mehrere VMs mit ähnlichen Betriebssystemkonfigurationen zu erstellen. Wenn das VM-Image jedoch nicht richtig konfiguriert ist, sind auch die daraus erstellten VM-Instances falsch konfiguriert und anfällig. 

Das CIS bietet CIS-gehärtete Images, d. h. VM-Images, die bereits nach CIS-Benchmark-Standards konfiguriert wurden. 

Vorteile der Verwendung von CIS-gehärteten Images

CIS-gehärtete Images sind nützlich, weil sie die folgenden Funktionen bieten: 

  • Vorkonfiguriert für CIS-Benchmark-Baselines
  • Einfache Bereitstellung und Verwaltung
  • Aktualisiert und gepatcht vom CIS

Je nach Ihren Sicherheits- und Compliance-Anforderungen können Sie sich für CIS-gehärtete Images entscheiden, die mit einem Profil der Ebenen 1 oder 2 konfiguriert sind. 

Wie verwendet man CIS-Benchmarks in AWS?

CIS ist ein unabhängiger Softwareanbieter (ISV) bei AWS und AWS ist ein Mitgliedsunternehmen von CIS Security Benchmarks. Die CIS-Benchmarks enthalten Richtlinien für sichere Konfigurationen für eine Teilmenge der AWS-Cloud-Services und Einstellungen auf Kontoebene. 

In den AWS in CIS-Benchmarks beschreibt CIS zum Beispiel die besten Konfigurationseinstellungen für AWS, wie zum Beispiel diese:

  • CIS AWS Foundations Benchmark
  • CIS Amazon Linux 2 Benchmark
  • CIS Amazon Elastic Kubernetes Service (EKS) Benchmark 
  • AWS End User Compute Benchmark

Sie können auch auf CIS-gehärtete Amazon Elastic Compute Cloud-Images (EC2) im AWS Marketplace zugreifen, damit Sie sicher sein können, dass Ihre Amazon-EC2-Images die CIS-Benchmarks erfüllen.

Ebenso können Sie die Checks automatisieren, um sicherzustellen, dass Ihre AWS-Bereitstellung die Empfehlungen des CIS-AWS-Foundations-Benchmark-Standards erfüllt. AWS Security Hub unterstützt den CIS-AWS-Foundations-Benchmark-Standard, der aus 43 Kontrollen und 32 Anforderungen des Payment Card Industry Data Security Standard (PCI DSS) für 14 AWS-Services besteht. Sobald AWS Security Hub aktiviert ist, beginnt er sofort mit kontinuierlichen und automatisierten Sicherheitsprüfungen für jede Kontrolle und jede relevante Ressource, die mit der Kontrolle verbunden ist.

Stellen Sie die CIS-Compliance für Ihre Cloud-Infrastruktur sicher und beginnen Sie mit AWS, indem Sie noch heute ein kostenloses AWS-Konto anlegen.

AWS CIS Benchmark – nächste Schritte

Schauen Sie sich zusätzliche verwandte Ressourcen an
Weitere Informationen zur AWS-Cloud-Sicherheit 
Registrieren Sie sich für ein kostenloses Konto

Sie erhalten sofort Zugriff auf das kostenlose Kontingent von AWS. 

Registrieren 
Beginnen Sie mit der Entwicklung in der Konsole

Beginnen Sie mit der Entwicklung mit AWS in der AWS-Managementkonsole.

Anmeldung