:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition CIS Top 20 Critical Security Controls Was sind CIS Top 20 Critical Security Controls?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/65/23/6523c9fd412d5/fortra-logo-forest-green.jpeg "fortra-logo-forest-green (https://www.fortra.com/)"){kind=logo}
Die CIS Top 20 Critical Security Controls bestehen aus konkreten Handlungsempfehlungen und Best Practices, mit denen sich die Cybersicherheit von Unternehmen verbessern lässt. Sie sind branchenneutral und universell für verschiedene Unternehmensgrößen einsetzbar. 2021 wurde mit der Version 8 der CIS Controls eine überarbeitete Version vorgestellt, die die Anzahl der Maßnahmenpakete von 20 auf 18 reduziert. Weiterentwickelt und gepflegt werden die CIS Controls vom Center for Internet Security.
Bei den CIS Top 20 Critical Security Controls, in der Kurzform CIS 20 Controls, handelt es sich um eine Sammlung konkreter Handlungsempfehlungen und Maßnahmenpakete zur Abwehr von Cyberangriffen und zur Verbesserung der IT-Sicherheit von Unternehmen. Hervorgegangen sind die CIS Top 20 Critical Security Controls aus den SANS Top 20 Critical Security Controls des SANS Institutes, einer 1989 gegründeten, gewinnorientierten, privaten Gesellschaft für Informationssicherheit, Sicherheitszertifikate und Cybersecurity-Schulungen. Die Entwicklung der Critical Security Controls reicht bis in das Jahr 2008 zurück. Seit 2015 werden die CIS Controls vom Center for Internet Security (CIS) weiterentwickelt und gepflegt.
Die Best Practices und Maßnahmenpakete der CIS 20 Controls sind priorisiert und universell in verschiedenen Branchen einsetzbar. Abhängig von den für die Cybersicherheit einsetzbaren Ressourcen und der Größe sowie dem vorhandenen Sicherheits-Know-how eines Unternehmens unterteilt die CIS die Controls in drei Implementierungsgruppen. Im Mai 2021 veröffentlichte die CIS mit den CIS Controls V8 eine überarbeitete und an moderne IT-Infrastrukturkonzepte wie Cloud-Computing angepasste Version der CIS Top 20 Critical Security Controls. Sie reduziert die Anzahl der CIS Controls von 20 auf 18. Die CIS Controls orientieren sich an verschiedenen Compliance- und Sicherheitsstandards wie dem NIST Cybersicherheits-Framework, PCI DSS (Payment Card Industry Data Security Standard), HIPAA (Health Insurance Portability and Accountability Act) oder FISMA (Federal Information Security Management Act) und sind in Teilen mit diesen kompatibel.
Aufbau und Inhalt der CIS Top 20 Critical Security Controls
Die CIS Controls definieren drei aufeinander aufbauende Implementation Groups (IG), die die Sicherheitsmaßnahmen priorisieren und verschiedene Sicherheitsbedürfnisse erfüllen. In der Implementation Group 1 sind die Maßnahmen für ein grundlegendes Sicherheitsniveau enthalten, die sich auch von kleinen und mittleren Unternehmen mit eingeschränkten Ressourcen und geringer Expertise umsetzen lassen. Die Implementierungsgruppen 2 und 3 umfassen Maßnahmen für größere Unternehmen mit mehr Expertise und Security-Fachpersonal, für komplexere, sensiblere Umgebungen und ein höheres Sicherheitsbedürfnis. Ihre Umsetzung erfordert mehr Ressourcen.
Die 20 CIS Controls sind:
- 1. Inventarisierung autorisierter und nicht autorisierter Geräte
- 2. Inventarisierung autorisierter und nicht autorisierter Software
- 3. Sichere Konfiguration der Hard- und Software
- 4. Kontinuierliche Einschätzung und Behebung von Schwachstellen
- 5. Kontrollierte Nutzung administrativer Rechte
- 6. Verwaltung, Überwachung und Analyse der Audit-Protokolle
- 7. Schutz der E-Mail-Systeme und Webbrowser
- 8. Schutz vor Schadsoftware
- 9. Beschränkung und Kontrolle von Netzwerkports, -protokollen und -diensten
- 10. Datenwiederherstellungsfähigkeiten
- 11. Sichere Konfigurationen von Netzwerkgeräten
- 12. Schutzmaßnahmen an den Netzwerkgrenzen
- 13. Datensicherheit
- 14. Zugriffskontrolle auf Basis tatsächlich benötigter Daten und Systeme
- 15. Kontrolle des drahtlosen Zugriffs
- 16. Überwachung und Kontrolle der Benutzerkonten
- 17. Einschätzung der Sicherheitskenntnisse und Schließen von Lücken durch Schulungen
- 18. Sicherheit der Anwendungssoftware
- 19. Reaktion auf Sicherheitsvorfälle und Management von Vorfällen
- 20. Penetrationstests und Red-Team-Übungen
(ID:49530897)
:quality(80)/p7i.vogel.de/wcms/fe/58/fe587e180fee0def7f236c4366d5a4aa/0112115017.jpeg "Die CIS Controls V8 enthalten konkrete Handlungsempfehlungen zur Abwehr von Cyberangriffen und zur Verbesserung der Cybersicherheit von Unternehmen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c9/d5/c9d515aa851a17889f391a0e8a6a87bb/0111189716.jpeg "Ein Reifegradmodell ist ein Modell zur objektiven Beurteilung und Einordnung des IT-Sicherheitsniveaus einer Organisation. Es gibt verschiedene Level an Reifegraden der IT-Sicherheit. (Bild: gemeinfrei)")