Cybersecurity, Systemhärtung und mehr: Diese Aufgaben haben BSI, DISA, ACSC und CIS

Wenn Sie sich mit IT-Security oder Datenschutz beschäftigen – kurz mit Informationssicherheit -, dann stolpern Sie recht schnell über DISA, CIS und BSI. Wir erklären Ihnen, was die Organisationen und Behörden, die hinter den Begriffen stecken, machen und was diese speziell mit Systemhärtung bzw. Secure Configuration zu tun haben.

BSI

Das Bundesamt für Sicherheit in der Informationstechnik, kurz: BSI, ist eine deutsche Bundesbehörde. Sie gehört zum Innenministerium (Bundesministerium des Inneren und für Heimat, so die korrekte Bezeichnung) und hat ihren Hauptsitz in Bonn. Das 1991 gegründete BSI verfügte 2021 über ein Budget von knapp 170 Millionen Euro und hatte über 1.300 Mitarbeiter an zwei Standorten.

Organigramm BSI (Bild: BSI)

Kleine und mittelständische Unternehmen (sogenannte KMU) werden vom Bundesamt für Sicherheit in der Informationstechnik beraten, zudem dient es als zentrale Cyber-Sicherheitsbehörde. Wie viele Bundesämter bietet auch das BSI eine umfangreiche Website: Unter bsi.bund.de finden Sie News, Ratgeber und Tipps im Bereich IT-Sicherheit.

Zu den Angeboten gehören unter anderem das IT-Grundschutz-Kompendium und die BSI-Empfehlungen zur Windows-10-Härtung. Ein Bestandteil ist die Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10, kurz SiSyPHuS.

Zu den Aufgaben des BSI gehören weiterhin:

    • Prüfung, Zertifizierung und Akkreditierung von IT-Produkten und -Dienstleistungen
    • Warnung vor Schadprogrammen oder Sicherheitslücken in IT-Produkten und -Dienstleistungen
    • IT-Sicherheitsberatung für die Bundesverwaltung und andere Zielgruppen
    • Information und Sensibilisierung der Bürger für das Thema IT-Security und Internet-Sicherheit
    • Konzeption einheitlicher und verbindlicher IT-Sicherheitsstandards
    • Entwicklung von Kryptosystemen für die IT des Bundes
    • Funktion als zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes und für kritische Infrastrukturen (KRITIS)

DISA

Das Akronym DISA steht für Defense Information Systems Agency. Das ist die Bezeichnung einer US-amerikanischen Behörde, welche dem Verteidigungsministerium unterstellt wurde. 1960 war das Gründungsjahr der Defense Information Systems Agency, die bis 1991 Defense Communications Agency hieß. Rund 7.000 zivile und militärische Mitarbeiter hat die DISA, der Hauptsitz befindet sich in Fort Meade bei Washington D.C.

DISA Organisationsstruktur (Bild: DISA/Wikimedia)

Die DISA beschäftigt sich mit zahlreichen militärische Angelegenheiten. Dazu gehört beispielsweise der Aufbau von Kommunikationsnetzen in Krisen- und Kriegsgebieten.

Ein Bereich der DISA betreut das Gebiet “Cyber Security”. In diesem Rahmen veröffentlicht die Defense Information Systems Agency unter anderem die DISA STIGs – die Security Technical Implementation Guides. Mit diesen können Sie unter anderem eine professionelle Windows 10 Systemhärtung durchführen und somit ihre Systeme sicherer gegen Angriffe machen.

CIS

Die Abkürzung CIS steht für Center for Internet Security. Dahinter steckt keine Behörde und auch kein Unternehmen. Stattdessen ist das Center for Internet Security eine unabhängige Nonprofit-Organisation, der Personen und Firmen beitreten können. Auch die FB Pro gehört seit Jahren zu den Mitgliedern.

Das CIS wurde im Jahr 2000 gegründet und hat seinen Sitz in East Greenbush (USA). Die Mission der Organisation lautet: “Unser Ziel ist es, die vernetzte Welt sicherer zu machen, indem wir zeitgemäße Best-Practice-Lösungen entwickeln, validieren und fördern, die Menschen, Unternehmen und Regierungen dabei helfen, sich vor allgegenwärtigen Cyber-Bedrohungen zu schützen.”

Schaubild CIS Timeline (Bild: Center for Internet Security)

Das Center for Internet Security veröffentlicht unter anderem die CIS Benchmarks, das CIS-CAT Pro und die CIS Hardened Images. Mit diesen Vorgaben und Tools lassen sich unter anderem Systeme wie Windows Server härten.

ACSC

Auch in Australien gibt es eine IT-Sicherheitsbehörde, ACSC genannt. Das Australian Cyber Security Centre, so der ausgeschriebene Name, hat man 2014 als Nachfolger des Cyber Security Operations Centre gegründet. Es untersteht der Australian Security Intelligence Organisation (ASIO), dem “Geheimdienst”, und dem Minister for Defence, dem Verteidigungsministerium.

Das Australian Cyber Security Centre, das seinen Sitz in der australischen Hauptstadt Canberra hat, ist unter anderem für die Untersuchung von Cyber-Angriffen und deren Abwehr zuständig. Wie das BSI gibt das ACSC Ratschläge und Tipps für Unternehmen heraus, damit diese ihre Systeme und IT-Infrastrukturen besser absichern können. Dazu gehören auch Hardening Guidelines.

Warum sind die Behörden und Organisationen so wichtig?

Informationssicherheit gewinnt eminent an Bedeutung. Durch die fortschreitende Digitalisierung können Hacker und andere Cyberkriminelle im schlimmsten Fall  auf die Daten von Unternehmen und Bürger zugreifen. Das gilt es unbedingt zu verhindern!

BSI, DISA, ACSC, CIS und dergleichen stehen den Regierungen und den Unternehmen zur Seite, um Bedrohungen zu erkennen und Schäden zu minimieren. Eine Maßnahme von vielen ist die Härtung von IT-Infrastrukturen und einzelner Systeme.

Dabei gibt es nicht die eine, ultimative Lösung! Wir beschäftigen uns seit einigen Jahren intensiv mit dem Thema Systemhärtung und gewinnen dabei fortwährend neue Erkenntnisse.

Zum Beispiel haben wir uns die Härtungsempfehlungen des ACSC angeschaut und dabei interessante “Abweichungen” zu anderen Guidelines entdeckt. Welche das sind, erfahren Sie in unserem Beitrag “Blick nach Down Under: Wie sehen die Standards für Systemhärtung in Australien aus?

Wie führt man eine Systemhärtung gemäß den Empfehlungen durch?

Zuerst einmal müssen Sie den Status-Quo Ihrer Systeme ermitteln. Das heißt: Wie gut sind diese gemäß den Standards gehärtet?

Dieser Check ist, wenn Sie in manuell durchführen, extrem aufwändig! Deutlich schneller geht es mit dem kostenlosen AuditTAP. Innerhalb weniger Sekunden oder Minuten erhalten Sie einen Report, bei dem Ihre Applikationen (beispielsweise Browser und Office-Anwendungen) und Betriebssysteme gemäß den Vorgaben von BSI, CIS, DISA und ACSC geprüft werden.

FB Pro Audit TAP Windows 10 GDPR Report - Teaser

Wenn Sie wissen, wo es bei Ihrem System Hardening noch Verbesserungspotentiale gibt, sollten Sie diese schnellstmöglich anpacken. Auch diese Maßnahme kostet, besonders bei großen IT-Infrastrukturen, mit “Handarbeit” viel Zeit. Deshalb ist es ratsam, die Systemhärtung zu automatisieren – zum Beispiel mit der Enforce Suite.

Setzen Sie unsere Hardening-Tools für Unternehmen zum automatisierten Härten ein, entsteht derart ein “selbstheilendes System”: Absichtliche oder unabsichtliche Änderungen werden erkannt und von selbst wieder gemäß den Vorgaben zurück genommen.

Benötigen Sie Unterstützung?

Haben Sie Fragen zum Thema System Hardening? Oder benötigen Sie Hilfe bei der automatisierten Systemhärtung? Unsere Experten sind gerne für Sie da! Kontaktieren Sie uns ganz unverbindlich, wir melden uns umgehend bei Ihnen.

Kontakt aufnehmen

Bilder: Pixabay, BSI, DISA/Wikimedia, CIS