:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition CIS Controls V8 Was sind CIS Controls V8?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die CIS Controls V8 sind eine im Jahr 2021 veröffentlichte, aktualisierte Version der CIS Top 20 Critical Security Controls. Die Version 8 enthält konkrete Handlungsempfehlungen und Best Practices zur Verbesserung der Cybersicherheit von Unternehmen. Im Vergleich zu den CIS Top 20 Controls wurden die Maßnahmenpakete auf 18 konsolidiert. Unter anderem wurden Anpassungen für das Cloud-Computing vorgenommen.
Bei den CIS Controls V8 handelt es sich um die achte Version der CIS Critical Security Controls. Sie sind der Nachfolger der CIS Top 20 Critical Security Controls und wurden im Mai 2021 veröffentlicht. Die CIS Security Controls sind aus den SANS Top 20 Critical Security Controls des SANS Institutes entstanden. Ihre Entwicklung reicht bis in das Jahr 2008 zurück. Das SANS Institut ist eine 1989 gegründete, gewinnorientierte, private Gesellschaft und beschäftigt sich mit Informationssicherheit, Sicherheitszertifikate und Cybersecurity-Schulungen. Seit dem Jahr 2015 ist das Center for Internet Security (CIS), eine Non-Profit NGO (Nichtregierungsorganisation - Non-Governmental Organization), für die Weiterentwicklung und Pflege der Security Controls verantwortlich.
Die CIS Controls V8 enthalten konkrete Handlungsempfehlungen zur Abwehr von Cyberangriffen und zur Verbesserung der Cybersicherheit von Unternehmen. Die genannten Schutzmaßnahmen sind priorisiert. Sie sind universell für verschiedene Unternehmensgrößen und in unterschiedlichen Branchen einsetzbar. Im Vergleich zur Vorgängerversion, den CIS Top 20 Controls, wurden die Controls auf 18 reduziert. Unter anderem wurden Anpassungen für das Cloud-Computing, die zunehmende Mobilität, die Telearbeit und das Homeoffice vorgenommen. Im Zuge der Aktualisierung erfolgte mit "CIS Controls" eine Vereinfachung der Bezeichnung. Die CIS Controls V8 sind abwärtskompatibel mit den Vorgängerversionen und liefern für Anwender der Vorgängerversionen Migrationspfade. Inhalte der CIS Controls V8 orientieren sich an verschiedenen anderen Compliance- und Sicherheitsstandards wie dem NIST Cybersicherheits-Framework, PCI DSS (Payment Card Industry Data Security Standard), HIPAA (Health Insurance Portability and Accountability Act) oder FISMA (Federal Information Security Management Act) und sind in Teilen mit diesen kompatibel.
Aufbau und Inhalt der CIS Controls V8
Die CIS Controls V8 enthalten 18 Maßnahmenpakete mit insgesamt 153 einzelnen Maßnahmen. Abhängig von der Unternehmensgröße, den zur Verfügung stehenden Ressourcen und dem Know-how sowie dem Schutzbedürfnis sind die Maßnahmen in drei aufeinander aufbauende Prioritätsgruppen beziehungsweise Implementierungsgruppen (Implementation Groups - IG) eingeteilt. IG1 enthält 56 Einzelmaßnahmen und ist eine Art Cyber-Hygiene-Mindeststandard. Die zusammen mit IG1 130 Einzelmaßnahmen der IG2 sind für Unternehmen vorgesehen, die eigene Sicherheitsteams beschäftigen und eine höhere betriebliche Komplexität haben. Die Umsetzung der Maßnahmen erfordern fortgeschrittene Sicherheitstechnologien und spezielles Know-how. IG3 hat zusammen mit IG1 und IG2 153 Einzelmaßnahmen. Sie sind für größere Unternehmen vorgesehen, die über eigene IT-Sicherheitsexperten verfügen, sensible Daten verarbeiten, Dienste mit hoher Verfügbarkeit betreiben und zum Beispiel regulatorischen Vorgaben unterworfen sind. Die Maßnahmen bieten auch Schutz gegenüber hoch entwickelten Angriffen.
Die 18 CIS Controls der Version 8 sind:
- 1. Inventarisierung und Management der Hardware
- 2. Inventarisierung und Management der Software
- 3. Datensicherheit und Datenschutz
- 4. Sichere Konfiguration der Unternehmens-IT und der eingesetzten Software
- 5. Verwaltung der Benutzer (Account Management)
- 6. Verwaltung der Zugriffsrechte (Access Control Management)
- 7. Management von Schwachstellen
- 8. Management von Audit-Protokollen
- 9. E-Mail- und Webbrowserschutz
- 10. Schutz vor Schadsoftware
- 11. Datenwiederherstellung
- 12. Management der Netzwerkinfrastruktur
- 13. Überwachung und Schutz des Netzwerks
- 14. Training des Sicherheitsbewusstseins und der Security-Fähigkeiten
- 15. Management der Dienstleister
- 16. Sicherheit der eingesetzten Anwendungssoftware
- 17. Reaktion auf Sicherheitsvorfälle (Incident Response Management)
Abgrenzung zu den CIS Top 20 Critical Security Controls
CIS Top 20 Critical Security Controls ist die Vorgängerversion der CIS Controls V8. Sie umfasst insgesamt 20 Maßnahmenpakete mit 171 Einzelmaßnahmen. Mit der Veröffentlichung der Version 8 wurden die CIS Top 20 Critical Security Controls überarbeitet und konsolidiert und auf 18 Maßnahmenpakete mit insgesamt 153 Einzelmaßnahmen reduziert. Die Anpassung erfolgte, um mit modernen Infrastrukturen, Technologien und Anwendungen Schritt zu halten. Unter anderem wurden das Cloud-Computing, die zunehmende Mobilität, Outsourcing, Arbeitsmodelle wie Homeoffice und Telearbeit und neue, fortgeschrittene Angriffstechniken besser berücksichtigt. Die Maßnahmen passen nun auch zu komplett cloudbasierten und hybriden Umgebungen.
(ID:49530913)
:quality(80)/p7i.vogel.de/wcms/f1/ee/f1ee65fa4f3e07627cc429f4484a3a81/0112115015.jpeg "Die CIS Top 20 Critical Security Controls sind universell einsetzbare, konkrete Handlungsempfehlungen zur Verbesserung der Cybersicherheit. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c9/d5/c9d515aa851a17889f391a0e8a6a87bb/0111189716.jpeg "Ein Reifegradmodell ist ein Modell zur objektiven Beurteilung und Einordnung des IT-Sicherheitsniveaus einer Organisation. Es gibt verschiedene Level an Reifegraden der IT-Sicherheit. (Bild: gemeinfrei)")