Angesichts einer wachsenden Zahl von Datenschutzverletzungen sind Unternehmen mehr denn je gefordert, durch entsprechende Sicherheitskontrollen den zuverlässigen Schutz ihrer Daten zu gewährleisten. Als Reaktion auf die zunehmenden Sicherheitsbedrohungen hat das SANS Institute in Zusammenarbeit mit dem Center for Internet Security (CIS) und anderen Organisationen wichtige Sicherheitskontrollen für eine effektive Cyberabwehr entwickelt: die sogenannten „20 Critical Security Controls (CSC) for Effective Cyber Defense“ (CIS CSC). Mit den CIS CSC verfügen IT-Experten über eine priorisierten, klar definierten Maßnahmenkatalog, der sie bei der Abwehr der gefährlichsten Cyberangriffe und der Gewährleistung der Datensicherheit unterstützt.
In diesem Blog-Artikel werden die 20 Kontrollen der CIS CSC und ihre Bedeutung erläutert. Anschließend werden fünf Schritte für eine praxisorientierte Implementierung der Kontrollen aufgezeigt.
Die vollständige Liste der CIS Critical Security Controls (Version 6.1)
Die CIS CSC beinhalten insgesamt 20 Kontrollen (mitunter auch als „SANS Top 20“ bezeichnet), die Unternehmen beim Schutz ihrer Systeme und Daten vor bekannten Angriffsvektoren unterstützen sollen. Unternehmen, die noch kein umfassendes Sicherheitsprogramm haben, bieten sie eine Orientierungshilfe. Die Kontrollen des CIS sind nicht als Ersatz für ein Compliance-Programm zu verstehen, orientieren sich jedoch an verschiedenen Compliance-Frameworks (z. B. dem Cybersicherheits-Framework des NIST) und Vorschriften (z. B. PCI DSS und HIPAA).
Die 20 Kontrollen, in die das Know-how forensischer Experten, die Ergebnisse von Penetrationstests und Erkenntnisse von US-Behörden eingeflossen sind, basieren auf aktuellen Informationen zu typischen Angriffen.
1. Inventarisierung autorisierter und nicht autorisierter Geräte
Unternehmen müssen alle Hardwaregeräte im Netzwerk aktiv verwalten, damit nur autorisierte Geräte Zugriff erhalten und nicht autorisierte Geräte schnell identifiziert und vom Netzwerk getrennt werden können, bevor sie Schaden anrichten können.
Warum ist diese Kontrolle wichtig? Angreifer scannen kontinuierlich den Adressbereich von Unternehmen und warten darauf, dass neue und ungeschützte Geräte an das Netzwerk angeschlossen werden. Diese Kontrolle ist besonders wichtig für Unternehmen, die eine BYOD-Strategie verfolgen, da Hacker vor allem nach Geräten Ausschau halten, die immer wieder on- und offline gehen.
2. Inventarisierung autorisierter und nicht autorisierter Software
Unternehmen müssen alle Softwareressourcen im Netzwerk aktiv verwalten, damit nur autorisierte Software installiert werden kann. Mithilfe von Sicherheitsmaßnahmen wie einer Whitelist bestimmter Anwendungen kann nicht autorisierte Software schnell gefunden und ihre Installation verhindert werden.
Warum ist diese Kontrolle wichtig? Angreifer suchen nach Softwareversionen mit Sicherheitslücken, die sich per Remotezugriff ausnutzen lassen. So können sie Webseiten mit Schadcode, Mediendateien und andere Inhalte einschleusen oder sich mit Zero-Day-Angriffen bislang unbekannte Schwachstellen zunutze machen. Zur Gewährleistung der Datensicherheit und des Datenschutzes sollten Sie deshalb genau wissen, welche Software in Ihrem Unternehmen bereitgestellt wurde.
3. Sichere Konfigurationen für Hardware und Software
Unternehmen müssen Sicherheitskonfigurationen für Laptops, Server und Workstations definieren, implementieren und verwalten. Dabei müssen sie ein striktes Konfigurationsmanagement befolgen und Prozesse für die Änderungskontrolle implementieren, um zu verhindern, dass Angreifer Sicherheitslücken von Diensten und Einstellungen ausnutzen.
Warum ist diese Kontrolle wichtig? Hersteller und Händler stellen Standardkonfigurationen für Betriebssysteme und Anwendungen bereit, die eine einfache Installation und Nutzung ermöglichen, jedoch nicht auf ein hohes Maß an Sicherheit ausgelegt sind. Offene Dienste und Ports sowie Standardkonten oder -kennwörter lassen sich für Angriffe nutzen. Es müssen deshalb Konfigurationseinstellungen festgelegt werden, die maximale Sicherheit gewährleisten.
4. Kontinuierliche Bewertung und Behebung von Schwachstellen
Unternehmen müssen kontinuierlich neue Informationen und Ressourcen (z. B. Software-Updates, Patches, Sicherheitshinweise und Berichte zu neuen Bedrohungen) abrufen, auswerten und entsprechende Maßnahmen ergreifen. So können sie Schwachstellen identifizieren und beheben, über die sich Angreifer Zugriff auf das Netzwerk verschaffen könnten.
Warum ist diese Kontrolle wichtig? Sobald neue Schwachstellen bekannt werden, beginnt ein Wettrennen zwischen allen relevanten Parteien: Hacker versuchen, die Schwachstelle für einen Angriff auszunutzen, Hersteller stellen Patches oder Updates bereit und Sicherheitsexperten führen Risikoanalysen oder Regressionstests durch. Da Angreifer Zugang zu denselben Informationen wie alle anderen haben, können sie den Zeitraum zwischen Bekanntwerden einer Sicherheitslücke und deren Behebung ausnutzen.
5. Kontrollierte Nutzung von Administratorrechten
Diese Kontrolle sieht vor, dass Unternehmen mithilfe von automatisierten Tools das Benutzerverhalten sowie die Erteilung und Nutzung von Administratorrechten überwachen, um den unerlaubten Zugriff auf kritische Systeme zu verhindern.
Warum ist diese Kontrolle wichtig? Häufig verschaffen sich Angreifer durch den Missbrauch von Administratorrechten Zugang zum Unternehmensnetzwerk. Um an die Administratoranmeldeinformationen zu gelangen, setzen Sie Phishing-Methoden ein, knacken oder erraten das Kennwort eines Benutzers mit Administratorrechten oder erweitern ein normales Benutzerkonto um Administratorrechte. Wenn Unternehmen nicht über die nötigen Ressourcen zur Überwachung der Aktivitäten in ihrer IT-Umgebung verfügen, haben Angreifer leichtes Spiel und können sich Kontrolle über die Systeme verschaffen.
6. Verwaltung, Überwachung und Analyse von Audit-Protokollen
Unternehmen müssen Ereignisprotokolle erfassen, verwalten und analysieren, um ungewöhnliche Aktivitäten zu erkennen und Sicherheitsvorfälle zu untersuchen.
Warum ist diese Kontrolle wichtig? Unzureichende Sicherheitsprotokolle und -analysen ermöglichen es Angreifern, ihren Aufenthaltsort und ihre Aktivitäten im Netzwerk zu verschleiern. Selbst wenn das betroffene Unternehmen weiß, welche Systeme kompromittiert wurden, lässt sich ohne vollständige Protokollierung nur schwer nachvollziehen, welche Schritte ein Angreifer bereits ausgeführt hat. Das erschwert auch die Reaktion auf den Sicherheitsvorfall.
7. Schutz für E-Mail-Systeme und Webbrowser
Zur Minimierung ihrer Angriffsfläche müssen Unternehmen sicherstellen, dass nur vollständig unterstützte Webbrowser und E-Mail-Clients eingesetzt werden.
Warum ist diese Kontrolle wichtig? Webbrowser und E-Mail-Clients werden aufgrund ihrer technischen Komplexität und Flexibilität von Hackern sehr häufig genutzt, um sich Zugriff auf das Netzwerk zu verschaffen. Mit gefälschten E-Mails und Webseiten können Angreifer Benutzer dazu verleiten, bestimmte Aktionen auszuführen, durch die Schadsoftware verbreitet wird und es zum Verlust wertvoller Daten kommen kann.
8. Maßnahmen zum Schutz vor Schadsoftware
Unternehmen müssen sicherstellen, dass sie die Installation und Ausführung von Schadsoftware an verschiedenen Punkten im Unternehmen verhindern können. Hierfür wird der Einsatz automatisierter Tools zur kontinuierlichen Überwachung von Workstations, Servern und Mobilgeräten mit Virenschutzprogrammen, Anti-Spyware, persönlichen Firewalls und hostbasierten IPS-Funktionen empfohlen.
Warum ist diese Kontrolle wichtig? Moderne Schadsoftware kann sich schnell ausbreiten und neue Sicherheitslücken ausnutzen. Sie kann über mehrere Punkte in das Netzwerk eingeschleust werden. Maßnahmen zum Schutz vor Schadsoftware müssen daher in der Lage sein, mit diesen dynamischen Anforderungen Schritt zu halten, beispielsweise durch umfassende Automatisierung, Aktualisierung und Integration in Prozesse wie die Reaktion auf Sicherheitsvorfälle.
9. Beschränkung und Kontrolle von Ports, Protokollen und Diensten im Netzwerk
Unternehmen müssen die Verwendung von Ports, Protokollen und Diensten auf Netzwerkgeräten überwachen und verwalten, um die Angriffsfläche zu minimieren.
Warum ist diese Kontrolle wichtig? Angreifer suchen gezielt nach Netzwerkdiensten, die sie per Remotezugriff aufrufen und ausnutzen können. Typische Beispiele sind unzureichend konfigurierte Webserver, E-Mail-Server, Datei- und Druckdienste sowie DNS-Server, die auf einer Vielzahl von Geräten standardmäßig installiert sind. Daher muss sichergestellt werden, dass auf den einzelnen Systemen nur Ports, Protokolle und Dienste ausgeführt werden, die tatsächlich für geschäftliche Zwecke benötigt werden.
10. Möglichkeit der Datenwiederherstellung
Unternehmen müssen dafür sorgen, dass kritische Systeme und Daten mindestens einmal wöchentlich gesichert werden. Sie benötigen außerdem eine bewährte Methode für die schnelle Wiederherstellung von Daten.
Warum ist diese Kontrolle wichtig? Angreifer nehmen häufig umfangreiche Änderungen an Daten, Konfigurationen und Software vor. Ohne eine zuverlässige Sicherung und Wiederherstellung ist es schwierig, nach einem Angriff den Systembetrieb wiederaufzunehmen.
11. Sichere Konfigurationen für Netzwerkgeräte
Unternehmen müssen die Sicherheitskonfiguration von Netzwerkinfrastrukturgeräten wie Routern, Firewalls und Switches festlegen, implementieren und aktiv verwalten.
Warum ist diese Kontrolle wichtig? Wie bei Betriebssystemen und Anwendungen (siehe Kontrolle 3) sind die Standardkonfigurationen von Netzwerkinfrastrukturgeräten auf eine einfache Bereitstellung ausgelegt, nicht jedoch auf ein hohes Maß an Sicherheit. Außerdem nimmt die Sicherheit der Konfiguration von Netzwerkgeräten im Lauf der Zeit häufig ab. Angreifer machen sich diese Schwachstellen in der Konfiguration zunutze, um sich Zugriff auf Netzwerke zu verschaffen oder ein kompromittiertes System so nutzen, dass es wie ein vertrauenswürdiges System wirkt.
12. Sicherheitsvorkehrungen an den Netzwerkgrenzen
Unternehmen müssen den Informationsfluss zwischen Netzwerken mit unterschiedlichen Vertrauensstufen erkennen und bei Bedarf umleiten. Besonderes Augenmerk gilt dabei Daten, die die Sicherheit gefährden könnten. Die beste Abwehrmethode sind Technologien, die umfassende Transparenz und Kontrolle über den Datenfluss in der gesamten Umgebung bieten, beispielsweise Systeme zur Erkennung und Abwehr von Eindringversuchen.
Warum ist diese Kontrolle wichtig? Angreifer nutzen häufig Schwachstellen in der Konfiguration und Architektur von Perimetersystemen, Netzwerkgeräten und Client-Systemen mit Internetzugriff aus, um sich erstmalig Zugriff auf das Netzwerk eines Unternehmens zu verschaffen.
13. Datensicherheit
Mit geeigneten Prozessen und Tools müssen Unternehmen das Risiko von Datenexfiltration eindämmen und die Integrität sensibler Informationen gewährleisten. Eine hohe Datensicherheit lässt sich am besten durch eine Kombination aus Verfahren für die Verschlüsselung, den Schutz der Integrität und die Vermeidung von Datenverlust erreichen.
Warum ist diese Kontrolle wichtig? Bei vielen Datenlecks handelt es sich zwar um vorsätzlichen Datendiebstahl, doch können auch unzureichende Sicherheitsvorkehrungen oder menschliches Versagen den Verlust oder die Beschädigung von Daten zur Folge haben. Um diese Risiken zu minimieren, müssen Unternehmen Lösungen implementieren, mit denen sich Datenexfiltrationsversuche aufdecken und die Auswirkungen einer Datenkompromittierung mindern lassen.
14. Kontrollierter Zugriff ausschließlich auf tatsächlich benötigte Daten und Systeme
Unternehmen müssen in der Lage sein, den Zugriff auf ihre kritischen Ressourcen zu überwachen, zu kontrollieren und zu sichern. Es muss außerdem einfach feststellbar sein, welche Personen, Computer oder Anwendungen Zugriffsrechte für diese Ressourcen besitzen.
Warum ist diese Kontrolle wichtig? Manche Unternehmen versäumen es, ihre kritischen Ressourcen sorgfältig zu identifizieren und von weniger sensiblen Daten zu trennen. Dadurch haben Benutzer Zugriff auf mehr sensible Daten, als sie für ihre Arbeit eigentlich benötigen. Somit können Insider mit böswilliger Absicht, Angreifer oder Schadprogramme, die die Kontrolle über ein Benutzerkonto übernehmen, einfacher wichtige Informationen abgreifen oder den Systembetrieb beeinträchtigen.
15. Steuerung des drahtlosen Zugriffs
Unternehmen benötigen Prozesse und Tools, mit denen sie die Nutzung von Funknetzwerken (LANs), Zugriffspunkten und drahtlosen Client-Systemen überwachen und steuern können. Sie müssen das Netzwerk auf Schwachstellen durchsuchen und sicherstellen, dass alle mit dem Netzwerk verbundenen drahtlosen Geräte einem autorisierten Konfigurations- und Sicherheitsprofil entsprechen.
Warum ist diese Kontrolle wichtig? Drahtlose Geräte sind für Angreifer ein praktisches Mittel, um sich langfristigen Zugriff auf die IT-Umgebung zu verschaffen, da keine direkte physische Verbindung erforderlich ist. So kommt es beispielsweise häufig zu einer Infektion drahtloser Clients, die von Mitarbeitern unterwegs genutzt werden und Angreifern später durch die Hintertür den Zugriff ermöglichen, sobald sie wieder mit dem Unternehmensnetzwerk verbunden werden.
16. Überwachung und Kontrolle von Benutzerkonten
Unternehmen müssen den Lebenszyklus von Benutzerkonten (Erstellung, Verwendung und Löschung) aktiv verwalten, damit sie von Angreifern nicht ausgenutzt werden können. Alle Systemkonten müssen regelmäßig überprüft werden und Konten ehemaliger Mitarbeiter und Auftragsnehmer sollten deaktiviert werden, sobald die Person das Unternehmen verlässt.
Warum ist diese Kontrolle wichtig? Angreifer nutzen häufig inaktive Benutzerkonten, um sich rechtmäßigen Zugriff auf die Systeme und Daten eines Unternehmens zu verschaffen. Dadurch ist es schwierig, solche Angriffe überhaupt erst zu erkennen.
17. Bewertung der Kenntnisse im Bereich Sicherheit und Schließen von Wissenslücken durch geeignete Schulungen
Unternehmen müssen definieren, welche Kenntnisse und Fähigkeiten sie benötigen, um die Sicherheit zu verbessern. Hierzu gehört die Entwicklung und Umsetzung eines Plans, mit dem sich Lücken identifizieren und durch geeignete Richtlinien, Planung und Schulungsprogramme schließen lassen.
Warum ist diese Kontrolle wichtig? Die Versuchung liegt nahe, die Abwehr von Cyberangriffen lediglich als technische Herausforderung zu betrachten. Für den Erfolg eines Sicherheitsprogramms ist jedoch das Handeln der Mitarbeiter ebenso entscheidend. Hacker machen sich oft das menschliche Verhalten zunutze, wenn sie Angriffe planen, beispielsweise indem sie Phishing-Nachrichten wie normale E-Mails aussehen lassen oder das Zeitfenster für das Einspielen von Patches oder Überprüfen von Protokollen ausnutzen.
18. Sicherheit von Anwendungssoftware
Unternehmen müssen den Sicherheitslebenszyklus aller verwendeten Softwareprogramme verwalten, um Sicherheitslücken rechtzeitig zu erkennen und zu beheben. Insbesondere müssen sie regelmäßig überprüfen, dass ausschließlich die jeweils neueste Version einer Anwendung zum Einsatz kommt und relevante Patches umgehend installiert werden.
Warum ist diese Kontrolle wichtig? Angreifer nutzen oft Schwachstellen in webbasierten Anwendungen und anderen Softwareprogrammen aus. Sie können darüber beispielsweise Pufferüberläufe auslösen, SQL-Befehle einschleusen oder durch Cross-Site-Scripting und Clickjacking von Code die Kontrolle über Systeme mit Sicherheitslücken erlangen.
19. Management von Sicherheitsvorfällen und Ergreifen von Gegenmaßnahmen
Unternehmen müssen geeignete Maßnahmen zur Reaktion auf Sicherheitsvorfälle entwickeln und implementieren. Hierzu gehören Pläne, definierte Rollen, Schulungen, Kontrolle durch die Geschäftsführung und andere Maßnahmen, um Angriffe aufzudecken und Schäden möglichst wirksam einzugrenzen.
Warum ist diese Kontrolle wichtig? Sicherheitsvorfälle sind in kleinen und großen Unternehmen längst Alltag. Selbst mit ausreichendem Budget ist es schwierig, mit der Entwicklung immer neuer Cyberbedrohungen Schritt zu halten. Leider lautet in den meisten Fällen die Frage nicht, ob ein Cyberangriff erfolgreich sein wird, sondern allenfalls wann. Ohne genau definierte Maßnahmen zur Reaktion auf Sicherheitsvorfälle wird ein Angriff möglicherweise erst dann entdeckt, wenn er bereits schwere Schäden angerichtet hat, oder es ist nicht möglich, den Angreifer vollständig zu isolieren und damit die Integrität des Netzwerks und der Systeme wiederherzustellen.
20. Penetrationstests und Red-Team-Übungen
Die letzte Kontrolle beinhaltet die Bewertung der allgemeinen Leistungsfähigkeit der Abwehrmaßnahmen (Technologie, Prozesse und Mitarbeiter). Hierzu werden regelmäßig externe und interne Penetrationstests durchgeführt. So lassen sich Schwachstellen und Angriffsmethoden identifizieren, die den unerlaubten Zugriff auf Systeme ermöglichen.
Warum ist diese Kontrolle wichtig? Angreifer können die Lücke zwischen der sorgfältigen Planung von Abwehrmaßnahmen und deren Umsetzung ausnutzen, beispielsweise das Zeitfenster zwischen der Bekanntgabe einer Schwachstelle, der Verfügbarkeit eines Hersteller-Patches und der Installation des Patches. In einer komplexen Umgebung, in der die eingesetzten Technologien laufend weiterentwickelt werden, sollten Unternehmen ihre Abwehrmaßnahmen regelmäßig testen, um Lücken aufzudecken und zu beheben, bevor es zu einem Angriff kommt.
Implementierung der Kontrollen: ein pragmatischer Ansatz
Um von den Critical Security Controls des CIS zu profitieren, müssen Sie nicht zwangsläufig alle 20 Kontrollen auf einmal implementieren. Für eine gleichzeitige Umsetzung haben nur wenige Unternehmen das nötige Budget, das Personal und die Zeit. Ein pragmatischeres Vorgehen beinhaltet die folgenden Schritte:
- Identifizieren Sie Ihre Informationsressourcen und stellen Sie eine Schätzung an, wie wertvoll diese Ressourcen für Ihr Unternehmen sind. Führen Sie eine Risikobewertung durch und überlegen Sie, wie potenzielle Angriffe auf Ihre Systeme und Daten (einschließlich Einstiegspunkte, Ausbreitung und Folgeschäden) ablaufen könnten. Priorisieren Sie die Kontrollen des CIS, indem Sie den Schwerpunkt auf die Ressourcen mit dem größten Risiko legen.
- Vergleichen Sie Ihre derzeitigen Sicherheitskontrollen mit den Kontrollen des CIS. Notieren Sie sich die Bereiche, in denen keine Sicherheitsvorkehrungen vorhanden oder zusätzliche Maßnahmen erforderlich sind.
- Entwickeln Sie einen Plan für die Einführung neuer Sicherheitskontrollen, von denen Ihr Unternehmen besonders profitiert, und für die Verbesserung der Wirksamkeit Ihrer bestehenden Kontrollen.
- Sichern Sie sich die Unterstützung der Geschäftsführung für den Plan und holen Sie die Zusagen der einzelnen Geschäftsbereiche ein, das notwendige Budget und das erforderliche Personal bereitzustellen.
- Implementieren Sie die Kontrollen. Behalten Sie auch Trends im Blick, durch die neue Risiken für Ihr Unternehmen entstehen könnten. Analysieren Sie den Erfolg und das Ausmaß der Risikominderung und kommunizieren Sie diese Ergebnisse.
Möchten Sie mehr über über die 20 Sicherheitskontrollen des CIS erfahren? Besuchen Sie die offizielle Website des Center for Internet Security unter https://www.cisecurity.org/controls/.
