CIS Controls v8 für KMU: 18 Sicherheitsmaßnahmen, die wirklich schützen

Das Center for Internet Security (CIS) hat die CIS Critical Security Controls entwickelt - eine priorisierte, praxisorientierte Liste von 18 Sicherheitsmaßnahmen, die den größten Teil der bekannten Angriffe abwehren. Der entscheidende Vorteil gegenüber ISO 27001 oder BSI IT-Grundschutz: Die Controls sind nach Wirksamkeit priorisiert. Kein Unternehmen muss mit der häufigsten Schwachstelle erst am Ende anfangen.

Warum CIS Controls?

CIS Controls - Entstehung und Prinzip:

Entstehung:
  → NSA, DISA, FBI: "Welche Maßnahmen hätten die meisten Angriffe verhindert?"
  → Analyse realer Angriffe: welche Kontrollen wären wirksam gewesen?
  → Ergebnis: 18 Controls, priorisiert nach Wirksamkeit

Aktuelle Version: CIS Controls v8 (Mai 2021):
  → 18 Control Groups
  → 153 Safeguards (konkrete Einzelmaßnahmen)
  → Implementation Groups 1-3 nach Unternehmensgröße

Vorteil gegenüber anderen Frameworks:
  → ISO 27001: 93 Controls, abstrakt, zertifizierungsfokussiert
  → BSI IT-Grundschutz: 100+ Bausteine, sehr detailliert
  → CIS Controls: 18 Gruppen, priorisiert, technisch konkret
  → Kostenlos: cisecurity.org/controls

Was CIS Controls schützen vor:
  → 93% aller bekannten Angriffe werden durch Implementation Group 1 abgedeckt
    (Center for Internet Security, 2021)
  → IG 1: die 56 grundlegendsten Maßnahmen
  → IG 2: +74 weitere für mittelgroße Organisationen
  → IG 3: +23 für reife Sicherheitsorganisationen

Implementation Groups - Für wen was gilt

CIS Implementation Groups (IG):

Implementation Group 1 (IG 1) - Grundlegende Cyber Hygiene:
  Zielgruppe: Alle Unternehmen, auch kleinste KMU
  Ressourcen: begrenzt, keine dedizierten Sicherheitsmitarbeiter
  56 Safeguards aus allen 18 Control Groups
  Schutz vor: Opportunistischen Angriffen, Ransomware, Phishing
  Zeitaufwand: 3-6 Monate für vollständige Umsetzung

Implementation Group 2 (IG 2) - Mittelstufe:
  Zielgruppe: KMU bis Mittelstand mit IT-Abteilung
  Ressourcen: dedizierte IT, teilweise Sicherheitskenntnisse
  130 Safeguards (IG1 + 74 weitere)
  Schutz vor: Gezielteren Angriffen, Insider Threats
  Zeitaufwand: 6-18 Monate

Implementation Group 3 (IG 3) - Reife Sicherheitsorganisation:
  Zielgruppe: Unternehmen mit dedizierten SOC-Teams
  Ressourcen: Sicherheitsspezialisten, SIEM, Threat Hunting
  153 Safeguards (alle)
  Schutz vor: APT-Angriffen, Nation-State-Akteuren
  Zeitaufwand: laufender Prozess

Für die meisten KMU gilt: IG 1 vollständig umsetzen!
→ Das schützt vor dem überwältigenden Teil aller realen Angriffe
→ Opportunistische Ransomware, Phishing, Credential Stuffing
→ Angreifer suchen leichte Ziele - IG 1 macht Sie kein leichtes Ziel mehr

Die 18 CIS Controls - Übersicht und Priorität

CIS Controls v8 - alle 18 mit IG1-Anteil:

Gruppe 1: Inventarisierung und Kontrolle von Enterprise-Assets
  IG1-Maßnahmen: Alle Geräte im Inventar; nur autorisierte Geräte im Netz
  Warum kritisch: Angreifer suchen vergessene, ungepatchte Geräte

Gruppe 2: Inventarisierung und Kontrolle von Software-Assets
  IG1-Maßnahmen: Software-Inventar; nur genehmigte Software erlaubt
  Warum kritisch: Ungepatchte Anwendungen = Einfallstor

Gruppe 3: Datenschutz
  IG1-Maßnahmen: Sensitive Daten identifizieren, sicher speichern, verschlüsseln
  Warum kritisch: DSGVO + Ransomware-Schutz für kritische Daten

Gruppe 4: Sichere Konfiguration von Enterprise-Assets
  IG1-Maßnahmen: Secure Baseline für alle Endgeräte; Standardpasswörter ändern
  Warum kritisch: Default-Credentials sind Angreiferfavorit #1

Gruppe 5: Konto-Management
  IG1-Maßnahmen: Inventar aller Konten; Admin-Konten einschränken
  Warum kritisch: Credential-Angriffe nutzen inaktive/überprivilegierte Konten

Gruppe 6: Zugangsverwaltung
  IG1-Maßnahmen: MFA für alle Admin-Zugänge; Least Privilege
  Warum kritisch: MFA verhindert 99% der automatisierten Angriffe (Microsoft)

Gruppe 7: Kontinuierliches Vulnerability-Management
  IG1-Maßnahmen: Automatische Updates; monatlicher Scan bekannter Schwachstellen
  Warum kritisch: EternalBlue (2017) noch heute in Angriffen genutzt!

Gruppe 8: Audit-Log-Management
  IG1-Maßnahmen: Logs auf zentralem System; Retention 90+ Tage
  Warum kritisch: Ohne Logs: kein Incident-Response möglich

Gruppe 9: E-Mail- und Webbrowser-Schutz
  IG1-Maßnahmen: DNS-Filterung; E-Mail-Schutz (Anti-Phishing)
  Warum kritisch: 90% aller Angriffe starten mit E-Mail oder Browser

Gruppe 10: Malware-Abwehr
  IG1-Maßnahmen: Anti-Malware auf allen Endgeräten; zentrales Management
  Warum kritisch: Basis-Schutz für bekannte Schadsoftware

Gruppe 11: Datenwiederherstellung
  IG1-Maßnahmen: Backups aller kritischen Daten; regelmäßige Tests
  Warum kritisch: Ohne Backup: Ransomware-Zahlung als einzige Option

Gruppe 12: Netzwerkinfrastruktur-Management
  IG1-Maßnahmen: Netzwerktopologie dokumentieren; sichere Konfiguration
  Warum kritisch: Fehlkonfigurierte Router/Switches = Einfallstor

Gruppe 13: Netzwerküberwachung und -schutz
  IG1-Maßnahmen: DNS-Monitoring; Anomalie-Erkennung
  Warum kritisch: C2-Kommunikation läuft oft über DNS

Gruppe 14: Security Awareness Training
  IG1-Maßnahmen: Security Awareness Training für alle; Phishing-Simulationen
  Warum kritisch: Mensch als häufigstes Angriffsziel

Gruppe 15: Service Provider Management
  IG1-Maßnahmen: Lieferantenrisiken inventarisieren
  Warum kritisch: Supply-Chain-Angriffe (SolarWinds, etc.)

Gruppe 16: Application Software Security
  IG1: Nur noch in IG2/IG3 relevant für Software-Entwickler

Gruppe 17: Incident Response Management
  IG1-Maßnahmen: Incident-Response-Plan erstellen; Kontakte dokumentieren
  Warum kritisch: Ohne Plan: chaotische Reaktion kostet Zeit und Geld

Gruppe 18: Penetration Testing
  IG1: Kein formaler Pentest; erst ab IG2
  IG2-Maßnahmen: Jährlicher externer Penetrationstest

IG1 Checkliste - 56 Maßnahmen für alle KMU

CIS IG1 - die 56 Safeguards als priorisierte Checkliste:

SOFORT (diese Woche):

Asset Management:
  □ Inventar aller Geräte (Excel reicht!) → Laptop, Server, Handy
  □ Inventar aller installierten Software auf Unternehmensgeräten
  □ Alle Geräte ohne aktuellen Sicherheitspatch identifizieren

Konten und Zugänge:
  □ Alle Admin-Konten inventarisieren
  □ MFA für alle Admin-Konten aktivieren (sofort!)
  □ MFA für alle Cloud-Dienste (M365, Google Workspace) aktivieren
  □ Standard-/Default-Passwörter auf ALLEN Geräten ändern
  □ Inaktive Konten (> 90 Tage kein Login) sperren

Konfiguration:
  □ Automatische Updates auf allen Endgeräten aktivieren
  □ Windows-Firewall auf allen Rechnern: an!
  □ Anti-Malware auf allen Endgeräten installiert und aktuell?

Logging:
  □ Zentrale Log-Sammlung für Server (Windows Event Log, Syslog)
  □ Log-Retention: mindestens 90 Tage

DIESEN MONAT:

Datensicherung:
  □ 3-2-1 Backup-Konzept dokumentieren
  □ Backup-Restore testen (nicht nur backup, auch restore!)
  □ Offline-Backup oder Cloud-Backup außerhalb des Firmennetzwerks

E-Mail-Sicherheit:
  □ SPF-Record für alle E-Mail-Domains konfiguriert?
  □ DMARC-Policy eingerichtet (zumindest p=none)?
  □ Anti-Phishing-Schutz im E-Mail-Gateway aktiv?
  □ Makros in Office-Dokumenten aus E-Mails standardmäßig deaktiviert

Netzwerk:
  □ WLAN-Passwort: min. 15 Zeichen, kein Standard-Passwort
  □ Gast-WLAN getrennt vom Produktionsnetz
  □ Firmware auf Routern und Switches aktuell?

DIESES QUARTAL:

Awareness und Incident Response:
  □ Awareness-Training für alle Mitarbeiter (Phishing, Passwörter)
  □ Incident-Response-Kontaktliste: wer wird wann angerufen?
  □ Notfallplan: was tun wenn Ransomware? (vor dem Angriff!)
  □ Lieferanten-/Dienstleister-Liste: welche haben Netzwerkzugang?

Vulnerability Management:
  □ Vulnerability-Scan intern (kostenlos: OpenVAS/Nessus Essentials)
  □ Bekannte CVEs auf exponierten Systemen behoben?
  □ Patch-Prozess dokumentiert und gelebt?

CIS Controls und NIS2 / ISO 27001

CIS Controls als Vorbereitung für NIS2:

NIS2 Maßnahmen (Art. 21) → CIS Control Mapping:

NIS2: Risikomanagement und Risikoanalyse
  → CIS: Implizit in allen Controls (Risk-based Priorisierung)

NIS2: Incident Handling
  → CIS Control 17: Incident Response Management

NIS2: Backup, Krisenmanagement, Business Continuity
  → CIS Control 11: Datenwiederherstellung

NIS2: Sicherheit der Lieferkette
  → CIS Control 15: Service Provider Management

NIS2: Sicherheit bei der Entwicklung
  → CIS Control 16: Application Software Security

NIS2: Schulungen und Awareness
  → CIS Control 14: Security Awareness Training

NIS2: MFA und Kryptographie
  → CIS Control 6 (MFA) + CIS Control 3 (Datenverschlüsselung)

Fazit: IG1 + IG2 deckt die wesentlichen NIS2-technischen Anforderungen ab!
→ CIS Controls zuerst → NIS2-Compliance als Ergebnis

CIS Controls → ISO 27001:
  → CIS Controls sind technikfokussiert (WAS tun)
  → ISO 27001 ist management-fokussiert (WIE managen)
  → Kombination optimal: CIS für operative Controls,
    ISO 27001 für ISMS-Prozesse und Zertifizierung
  → Mapping-Dokument: cisecurity.org/insights/white-papers/
    "CIS Controls v8 Mapping to ISO/IEC 27001"

Empfehlung für KMU:
  Jahr 1: CIS IG1 vollständig umsetzen
  Jahr 2: CIS IG2 + ISMS-Prozesse (Richtung ISO 27001)
  Jahr 3: ISO 27001 Zertifizierung oder NIS2-Nachweis

CIS Controls bieten den klarsten, priorisierten Einstieg in systematische Cybersicherheit. AWARE7 begleitet KMU von der IG1-Umsetzung bis zur ISO-27001-Zertifizierung - pragmatisch, schrittweise, messbar.

Sicherheitsberatung anfragen | ISO 27001 Beratung