CIS Framework

CIS Framework: Aufbau und Zielsetzung der Sicherheitskontrollen

Das Cybersecurity Framework des Center for Internet Security umfasst 18 Sicherheitskontrollen, die von einem internationalen Konsortium aus Regierungs-, Wissenschafts- und Industrieexperten entwickelt wurden. Kay Ernst erklärt die grundlegende Struktur: „Es ist wichtig, zwischen CIS Controls und CIS Benchmarks zu unterscheiden. Die Controls sind verbindliche Best Practices für Identität, Daten, Geräte und Infrastruktur. Benchmarks hingegen sind Konfigurationsrichtlinien für spezifische Technologien wie Betriebssysteme oder Cloud-Plattformen.“

CIS Controls vs. NIST Framework: Unterschiede und Synergien

Im Vergleich zum NIST Cybersecurity Framework verfolgt CIS einen präskriptiven und taktischen Ansatz. Während NIST risikobasiert und breit angelegt ist, nutzen viele Unternehmen CIS Controls zur Operationalisierung der NIST-Kategorien. Die Frameworks ergänzen sich dabei optimal:

• NIST Identify entspricht CIS Controls 1-2 (Inventur der Assets)
• NIST Protect entspricht CIS Controls 3-7 (Daten, Konten, Zugriff)
• NIST Detect entspricht CIS Controls 8 und 13 (Protokollierung, Überwachung)
• NIST Respond entspricht CIS Control 17 (Reaktion auf Vorfälle)
• NIST Recover entspricht CIS Control 11 (Datenwiederherstellung)

Die 18 CIS Controls im Detail: Umfassender Cybersecurity-Schutz

Vermögensverwaltung und Asset-Inventar

CIS Control 1 und 2 befassen sich mit der Erfassung und Verwaltung von Hardware- und Softwareressourcen. Angesichts der zunehmenden Netzwerkausbreitung empfiehlt das CIS Framework eine kontinuierliche Erfassung und automatisierte Kontrollen gegen Schatten-IT.

Datenschutz und sichere Konfiguration

CIS Control 3 widmet sich dem Datenschutz durch Klassifizierung und sichere Handhabung sensibler Informationen. Control 4 fordert gehärtete Konfigurationen, da Standardeinstellungen oft unzureichenden Schutz bieten.

Identitäts- und Zugriffsmanagement im CIS Framework

CIS Controls 5 und 6 adressieren die Verwaltung von Benutzerkonten und Zugriffsrechten. Identitätsbasierte Angriffe nehmen stetig zu, während viele Organisationen Schwierigkeiten haben, diese kritischen Grenzen zu sichern.

Schwachstellenmanagement und Protokollierung

Control 7 verlangt kontinuierliches Schwachstellenmanagement zur Minimierung von Angriffsflächen. Control 8 fokussiert auf zentralisierte Protokollierung für forensische Zwecke und Compliance-Audits.

Abwehrmaßnahmen gegen Malware und Ransomware

CIS Controls 9 und 10 behandeln den Schutz vor Phishing, Malware und Ransomware durch moderne Filterung, Sandboxing und fortschrittlichen Endpunktschutz.

Resilienz und Netzwerkarchitektur

Control 11 betrifft Datenwiederherstellungsverfahren für Business Continuity. Controls 12 und 13 konzentrieren sich auf sichere Netzwerkarchitektur und kontinuierliche Netzwerküberwachung.

Sicherheitsschulungen und Lieferkettenrisiken

Control 14 fordert regelmäßige Sicherheitsschulungen für Mitarbeiter als wichtigen Faktor gegen Social Engineering. Control 15 verlangt die Bewertung von Dienstleistern angesichts wachsender Risiken durch Schwachstellen in der Lieferkette.

Anwendungssicherheit und Incident Response

CIS Controls 16 und 17 verlangen sichere Codierungspraktiken sowie dokumentierte Verfahren für die professionelle Reaktion auf Sicherheitsvorfälle. Control 18 schließlich sieht regelmäßige Penetrationstests zur Überprüfung der Sicherheitsmaßnahmen vor.

Mikrosegmentierung: Praktische Umsetzung der CIS Controls

Moderne Technologien wie Mikrosegmentierung können bei der Umsetzung mehrerer CIS Controls gleichzeitig unterstützen. Kay Ernst von Zero Networks erklärt: „Automatische, identitätsbewusste Mikrosegmentierung kann Unternehmen bei der Anpassung an Elemente des CIS Frameworks helfen, etwa bei der Erstellung von Asset-Inventaren, der Implementierung von Firewalls oder der Durchsetzung von Multi-Faktor-Authentifizierung für Fern- und Administratorzugriffe.“

Zero Trust und CIS Framework: Der Weg zu mehr Cyber-Resilienz

Die granulare Segmentierung von Netzwerkressourcen und die Einführung von Just-in-Time-Zugangskontrollen zielen darauf ab, Sicherheitslücken zu schließen und die Cyber-Resilienz zu verbessern. Diese Maßnahmen bilden zentrale Aspekte für eine widerstandsfähige, auf Zero Trust-Prinzipien basierende Architektur, die den Anforderungen des CIS Frameworks gerecht wird.

Unternehmen, die das CIS Framework systematisch implementieren, schaffen nicht nur eine robuste Verteidigung gegen Cyberbedrohungen, sondern erfüllen gleichzeitig regulatorische Vorgaben und Anforderungen von Cyberversicherungen. Die strukturierte Herangehensweise mit priorisierten Handlungsempfehlungen macht die praktische Umsetzung auch für ressourcenbeschränkte Organisationen realisierbar.

CIS Framework: Structure and objectives of the security controls

The Cybersecurity Framework from the Center for Internet Security comprises 18 security controls developed by an international consortium of government, academic, and industry experts. Kay Ernst explains the basic structure: “It is important to distinguish between CIS Controls and CIS Benchmarks. The Controls are binding best practices for identity, data, devices, and infrastructure. Benchmarks, on the other hand, are configuration guidelines for specific technologies such as operating systems or cloud platforms.”

CIS Controls vs. NIST Framework: Differences and Synergies

Compared to the NIST Cybersecurity Framework, CIS takes a prescriptive and tactical approach. While NIST is risk-based and broad in scope, many companies use CIS Controls to operationalize the NIST categories. The frameworks complement each other perfectly:

• NIST Identify corresponds to CIS Controls 1-2 (inventory of assets)
• NIST Protect corresponds to CIS Controls 3-7 (data, accounts, access)
• NIST Detect corresponds to CIS Controls 8 and 13 (logging, monitoring)
• NIST Respond corresponds to CIS Control 17 (incident response)
• NIST Recover corresponds to CIS Control 11 (data recovery)

The 18 CIS Controls in detail: Comprehensive cybersecurity protection

Asset management and asset inventory

CIS Controls 1 and 2 deal with the recording and management of hardware and software resources. In view of the increasing spread of networks, the CIS Framework recommends continuous recording and automated controls against shadow IT.

Data protection and secure configuration

CIS Control 3 is dedicated to data protection through classification and secure handling of sensitive information. Control 4 requires hardened configurations, as default settings often provide insufficient protection.

Identity and access management in the CIS Framework

CIS Controls 5 and 6 address the management of user accounts and access rights. Identity-based attacks are steadily increasing, while many organizations struggle to secure these critical boundaries.

Vulnerability management and logging

Control 7 requires continuous vulnerability management to minimize attack surfaces. Control 8 focuses on centralized logging for forensic purposes and compliance audits.

Defensive measures against malware and ransomware

CIS Controls 9 and 10 address protection against phishing, malware, and ransomware through modern filtering, sandboxing, and advanced endpoint protection.

Resilience and network architecture

Control 11 concerns data recovery procedures for business continuity. Controls 12 and 13 focus on secure network architecture and continuous network monitoring.

Security training and supply chain risks

Control 14 requires regular security training for employees as an important factor against social engineering. Control 15 requires the evaluation of service providers in light of growing risks from vulnerabilities in the supply chain.

Application security and incident response

CIS Controls 16 and 17 require secure coding practices and documented procedures for professional response to security incidents. Finally, Control 18 provides for regular penetration testing to verify security measures.

Micro-segmentation: Practical implementation of CIS Controls

Modern technologies such as micro-segmentation can support the implementation of several CIS Controls simultaneously. Kay Ernst of Zero Networks explains: “Automatic, identity-aware microsegmentation can help companies adapt to elements of the CIS framework, such as creating asset inventories, implementing firewalls, or enforcing multi-factor authentication for remote and administrative access.”

Zero Trust and CIS Framework: The path to greater cyber resilience

The granular segmentation of network resources and the introduction of just-in-time access controls aim to close security gaps and improve cyber resilience. These measures are key aspects of a resilient architecture based on zero trust principles that meets the requirements of the CIS Framework.

Companies that systematically implement the CIS Framework not only create a robust defense against cyber threats, but also comply with regulatory requirements and cyber insurance requirements. The structured approach with prioritized recommendations for action makes practical implementation feasible even for organizations with limited resources.