Die neueste Version der CIS Controls ist da! Erneut gibt das Center for Internet Security wichtige Tipps – unter anderem für die automatisierte Systemhärtung. Und es zeigt sich: Security Configuration Management auf Basis des Enforce Administrator erfüllt gleich mehrere Punkte der CIS-Empfehlungen.
Die Cybersicherheit wird zunehmend wichtiger
“Die Lage der IT-Sicherheit bleibt […] angespannt”.
Das ist eine zentrale Erkenntnis der jüngsten BSI-Veröffentlichung “Die Lage der IT-Sicherheit in Deutschland 2020”. Denn viele deutsche Unternehmen sind noch immer unzureichend gegen Cyber-Attacken geschützt.
Maßnahmen zur Verringerung der Angriffsvektoren gibt es zwar, doch lange Entscheidungsprozesse und Randbedingungen wie Shareholder Value, Unternehmenspolitik oder fehlendes Budget machen es Angreifern häufig zu einfach.
Eine wichtige technische Maßnahme auf infrastruktureller Ebene (das “Fundament”) ist die Systemhärtung. Mit dieser Maßnahme werden Betriebssysteme, Applikationen, Server, Cloud-Dienste und vieles mehr auf dem Stand der Technik sicher konfiguriert. Das Ziel: Angriffsvektoren verringern.
Für eine ordentliche und an Standards angelehnte, sichere Konfiguration von IT-Systemen gibt es zahlreiche Empfehlungen – zum Beispiel von Microsoft, vom Australian Cyber Security Centre (ACSC) und nicht zuletzt vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI). Und auch das US-amerikanische Center for Internet Security (CIS) ist eine erstklassige Quelle.
Die CIS Controls als Basis für Informationssicherheit
Die CIS Controls sind eine Sammlung von technischen und organisatorischen Maßnahmen. Sie dienen als De-facto-Industriestandard dazu, Informationssicherheit in Unternehmen zu etablieren und auszubauen.
Dafür nutzt das Center for Internet Security eine Liste von 20 sogenannten “Critical Security Controls” (CSC), die auf Basis einer Priorisierung sowohl von kleinen als auch von großen bzw. sehr großen Unternehmen angewendet werden können.
Diese Maßnahmen beinhalten einerseits einfache Maßnahmen wie die strukturierte Handhabung von administrativen Accounts, der Einsatz von Anti-Malware-Software und Firewalls sowie die Verwendung von Netzwerksegmenten zur Abschottung sensibler Bereiche.
Andererseits behandeln die CIS Controls auch äußerst wichtige Themen, die in Unternehmen leider selten strukturiert zum Einsatz kommen. Das sind unter anderem Asset Management für Hardware und Software, das Schwachstellen-Scanning und -Management sowie die Systemhärtung.
CIS Controls v8: Eine wichtige Checkliste für die Cybersicherheit
Am 18. Mai 2021 wurde Version 8 der CIS Controls veröffentlicht. Die Checkliste beinhaltet die bekannten 20 Critical Security Controls. Diese dienen als Empfehlung zur Anwendung für Unternehmen jeglicher Größe, einfach dargestellt über die drei “Implementation Groups” (IG).
Punkt 4 der CIS Controls v8 lautet “Secure Configuration of Enterprise Assets and Software”. Die Empfehlungen der IT-Sicherheitsexperten des CIS sehen dabei so aus:
Was uns beim ersten Anblick sofort auffiel, waren drei Dinge:
-
- In der letzten Fassung der CIS Controls hieß die Überschrift noch lang und umständlich “Secure Configuration for Hardware and Software on Mobile Devices, Laptops, Workstations and Servers”. Daraus wurden nun kurz und knapp “Enterprise Assets and Software”.
- Die Maßnahme ist wichtiger geworden und um einen Punkt nach vorne gerückt – in Version 7.x standen sie noch an Platz 5.
- Zudem hat das CIS die Liste deutlich länger und detaillierter gestaltet.
Wir denken, die Umbenennung der Headline, das Vorrücken um einen Platz sowie die längere Maßnahmen-Liste unterstreichen eine essentielle Information: Liebe Firmen, nehmt die Empfehlungen ernst. Hierbei handelt es sich um wichtige Maßnahmen zum Schutz der Unternehmens-Informationen!
Denn in Zeiten der fortschreitenden Digitalisierung kann kaum noch ein Unternehmen ohne sauber funktionierende und sichere digitale Infrastruktur überleben!
Die CIS Controls in Version 8 und der Enforce Administrator
Das Aufsetzen und Etablieren eines Konfigurationsprozess’ für alle Systeme (Punkt 4.1 und 4.2) – das ist die Basis der Systemhärtung. Die weiteren Aspekte (Punk 4.3 ff) sind das, was eine durchdachtes und sauberes Hardening ausmachen.
Und das alles sind auch Punkte, die im IT-Alltag extrem viel Zeit und Energie fressen. Besonders wenn die Systemhärtung – wie es ratsam und gesetzlich vorgeschrieben ist – dauerhaft und nachhaltig durchgeführt wird.
Deshalb sollten Unternehmen die CIS-Empfehlungen 4.3 bis 4.12 so weit wie möglich automatisieren. Genau das stellt die Kernkompetenz des Enforce Administrator dar. Er erfüllt das, was die CIS Controls v8 für kleine, mittelständische und große Firmen empfehlen.
Wie? Der Enforce Administrator führt automatisiert die Härtung von IT-Systemen durch und überwacht fortwährend deren Status. Gibt es eine unerwünschte Änderung, wird diese eigenständig zurückgesetzt. So entsteht quasi ein “selbstheilendes System” auf Basis aktuellster Härtungsempfehlungen.
Möchten Sie den Enforce Administrator nutzen?
Die FB Pro GmbH ist einer von mehreren Partnern, die den Enforce Administrator bei Unternehmen implementieren und auch in Härtungs- und Kompatibilitätsfragen beraten.
Sie möchten auch Unterstützung im Betrieb? Wir sorgen neben der Einrichtung für die dauerhafte Betreuung der #NoCodeHardening-Lösung im Rahmen unseres Managed Service.
Möchten Sie mehr darüber wissen? Dann informieren Sie sich auf unserer Enforce Administrator-Seite über die Einsatzmöglichkeiten und Features. Und dieses Produktvideo verschafft Ihnen ebenfalls einen guten Überblick:
Haben Sie weitere Fragen zum Thema Systemhärtung oder zu den Enforce -Produkten? Melden Sie sich ganz unverbindlich bei uns!