Die Einschätzung der Cyber Academy
Die CIS Critical Security Controls sind ein priorisierter Satz von 18 Kontrollkategorien, veröffentlicht vom Center for Internet Security. Implementierungsgruppen (IG1, IG2, IG3) orientieren sich an der Reife der Organisation. Der schnellste Weg, eine kleine oder mittelgroße Organisation von null auf ein verteidigungsfähiges Niveau zu bringen. Lässt sich sauber auf ISO/IEC 27001 Annex A abbilden.
Was die CIS Controls tatsächlich sind
Die CIS Critical Security Controls sind eine geordnete, klar positionierte Antwort auf eine Frage, vor der jeder Verteidiger steht: Von allem, was Sie tun könnten, was sollten Sie zuerst tun?
Veröffentlicht und gepflegt vom Center for Internet Security, verdichten sie reale Angriffsdaten zu einem priorisierten Satz von Schutzmaßnahmen, gegliedert in 18 Kontrollkategorien, vom Inventar der Unternehmensassets und der Software über Datenschutz, Zugriffskontrolle, kontinuierliches Schwachstellenmanagement, Verwaltung von Audit-Protokollen bis zur Reaktion auf Vorfälle.
Anders als ein Rahmenwerk, das Ihnen sagt, einen Prozess einzurichten, sagen Ihnen die Controls konkret, was zu implementieren ist und ungefähr in welcher Reihenfolge, weshalb sie oft der schnellste Weg von keinem Sicherheitsprogramm zu einem belastbaren sind.
Das bestimmende Merkmal ist die Priorisierung. Die Liste ist weder alphabetisch noch theoretisch; die frühen Kontrollen sind diejenigen, die die häufigsten Angriffe blockieren. Zu wissen, welche Hardware und Software Sie besitzen, sie sicher zu konfigurieren, administrative Berechtigungen zu kontrollieren und bekannte Schwachstellen zu patchen, verhindert einen großen Teil realer Vorfälle, bevor Sie einen einzigen Euro für fortgeschrittene Werkzeuge ausgeben. Genau diese Reihenfolge ist der Wert: Ein kleines Team mit begrenzter Zeit kann oben beginnen und sich nach unten arbeiten, in der Gewissheit, die Lücken zu schließen, die Angreifer tatsächlich ausnutzen.
Die Implementation Groups: IG1, IG2, IG3
Die Controls skalieren über drei Implementation Groups, sodass derselbe Katalog sowohl einem Zwei-Personen-Betrieb als auch einem multinationalen Konzern dient. IG1 ist als grundlegende Cyber-Hygiene definiert, der Mindestsatz, den jede Organisation eingerichtet haben sollte, ausgelegt für Unternehmen mit begrenztem Fachwissen und begrenzten Ressourcen zum Schutz vor unraffinierten, opportunistischen Angriffen. IG2 ergänzt Schutzmaßnahmen für Organisationen, die sensiblere Daten verwalten und es mit fähigeren Gegnern zu tun haben. IG3 ist der vollständige Satz, gedacht für reife Organisationen, die kritische Assets halten und sich gegen gezielte, raffinierte Angriffe verteidigen müssen. Jede Gruppe ist kumulativ: IG2 enthält alles aus IG1, und IG3 enthält alles aus IG1 und IG2.
| Gruppe | Für wen sie passt | Sicherheitslage |
|---|---|---|
| IG1 | Kleine bis mittelgroße Organisationen, begrenzte IT- und Sicherheitsressourcen | Wesentliche Cyber-Hygiene, Basisverteidigung |
| IG2 | Organisationen mit sensibleren Daten, eigenes Sicherheitspersonal | Gehärtet gegen fähigere Angreifer |
| IG3 | Reife Organisationen mit kritischen Assets und hoher Exposition | Vollständiger Satz an Schutzmaßnahmen gegen gezielte Angriffe |
In der Praxis bewerten Sie sich selbst hin zu einer Implementation Group und behandeln dann die Schutzmaßnahmen dieser Gruppe als Ihren Arbeitsplan. Die meisten kleinen und mittelgroßen Organisationen sollten zuerst klar auf IG1 abzielen und erst zu IG2 übergehen, sobald diese steht. Das macht die Controls dort zugänglich, wo ein vollständiges Managementsystem unerreichbar wirken kann: Ihnen wird eine endliche, überprüfbare Checkliste in die Hand gegeben, die auf Ihre Realität zugeschnitten ist.
Wo sie neben ISO 27001 und anderen Rahmenwerken stehen
Die CIS Controls sind ein Kontrollkatalog, kein zertifizierbares Managementsystem, und diese Unterscheidung ist wichtig. ISO 27001 zertifiziert, dass Sie ein Informationssicherheits-Managementsystem mit Risikobeurteilung, einer Erklärung zur Anwendbarkeit und kontinuierlicher Verbesserung betreiben; CIS gibt Ihnen einen konkreten, priorisierten Satz technischer und operativer Schutzmaßnahmen, die Sie darunter umsetzen. Sie sind eher ergänzend als konkurrierend.
CIS veröffentlicht Zuordnungen seiner Schutzmaßnahmen zu Anhang A der ISO 27001 und zu anderen Referenzen wie den NIST-Rahmenwerken, sodass die Umsetzungsarbeit, die Sie für CIS leisten, zu einem Nachweis wird, den Sie gegenüber einem ISO-Kontrollsatz vorlegen können. Teams nutzen CIS häufig, um die praktische Härtung voranzutreiben, und ordnen diesen Aufwand dann demjenigen Rahmenwerk zu, das ihre Auditoren oder Kunden verlangen.
Frequently asked questions
01Wie viele CIS Controls gibt es?
In der aktuellen Version gibt es 18 Kontrollkategorien, von denen jede einen Satz spezifischer Schutzmaßnahmen enthält. Die Anzahl der Schutzmaßnahmen, die Sie umsetzen, hängt davon ab, welche Implementation Group Sie anstreben.
02Mit welcher Implementation Group sollte eine kleine Organisation beginnen?
Mit IG1, definiert als wesentliche Cyber-Hygiene. Es ist die Mindestbasis, ausgelegt für Organisationen mit begrenzten Sicherheitsressourcen, und sie sollte vollständig stehen, bevor man zu IG2 übergeht.
03Sind die CIS Controls eine Zertifizierung?
Nein. Sie sind ein priorisierter Katalog von Schutzmaßnahmen, kein zertifizierbares Managementsystem. Es gibt kein CIS-Zertifikat zum Vorzeigen, doch Sie können sich selbst bewerten und die Controls nutzen, um ein Programm voranzutreiben, das Zertifizierungen wie ISO 27001 unterstützt.
04Wie verhalten sich die CIS Controls zu ISO 27001?
Sie ergänzen sie. CIS gibt Ihnen konkrete, priorisierte technische Schutzmaßnahmen zur Umsetzung, während ISO 27001 das Managementsystem darum herum zertifiziert. CIS veröffentlicht Zuordnungen zu Anhang A der ISO 27001, sodass dieselbe Arbeit beides unterstützt.
05Sind die CIS Controls kostenlos nutzbar?
Ja. Die Controls sowie ihre unterstützenden Zuordnungen und Werkzeuge werden vom Center for Internet Security veröffentlicht und sind frei verfügbar, was zum Teil erklärt, warum sie ein beliebter Ausgangspunkt für ressourcenbeschränkte Teams sind.