Bestimmt kennen Sie einen Standard oder ein Framework. Besonders oft wird die ISO 27000-Reihe genannt.
Ich gebe es zu, ich bin kein Papiertiger... Ich bin Techniker und Generalist. Mir wird beim Gedanken mehrere hundert Seiten Text lesen zu müssen und riesige Excel-Tabellen ausfüllen zu müssen noch immer unwohl. Allen Unternehmer:innen die ihre IT-Sicherheit stärken wollen, aber nicht wissen wo sie anfangen sollen, wohl auch!
Ich halte die CIS Controls daher für das beste Framework für KMUs und hier ist warum.
CIS Controls?
Von einer Expertencommunity entwickelt und vom amerikanischen Center for Internet Security herausgegeben, befassen sich die "CIS Critical Security Controls" mit wichtigen Sicherheitsmaßnahmen für Unternehmen.
Vorteil 1: Die CIS Controls überfordern nicht
In der aktuellen Version (v8) sind 18 Controls (Bereiche) und 153 Safeguards (Maßnahmen) definiert.
Das klingt auf den ersten Blick nach viel, ist es aber nicht. In sogenannten Implementation Groups wird je nach Unternehmen ein Teil ausgeklammert.
Implementation Group 1
Definiert essentielle Cyber-Hygiene. Ideal für Unternehmen, die nur begrenztes Know-How und Budget haben. Hilft gegen die häufigsten (ungezielten) Angriffe.
56 Safeguards
Implementation Group 2
Unterstützt Unternehmen mit mehreren Abteilungen und unterschiedlichen Riskioprofilen diese Komplexität zu bewältigen.
74 Safeguards
Implementation Group 3
Unterstützt Unternehmen mit eigenen IT-Sicherheitsexpert:innen selbst die raffiniertesten Angriffe zu verhindern oder zumindestens abzuschwächen.
23 Safeguards
Vorteil 2: Die CIS Controls sind prägnant aufbereitet
In dem Beispiel rechts sieht man auf einen Blick den Namen der Safeguard, einen Beschreibungstext, welche Assets betroffen sind, welche Funktion diese Safeguard erfüllt und welche Implementation Groups betroffen sind.
Erhältlich hier: https://www.cisecurity.org/controls
Wenn es doch nur immer so einfach wäre...
Vorteil 3: Die CIS bietet viele Ressourcen kostenlos an
Kostenlos sind nicht nur die CIS Controls selbst, sondern auch nützliche Tools.
CSAT (Controls Self-Assessment Test)
Hier bekommt man ein Dashboard über die Erfüllung und Entwicklung aller Controls und Safeguards. Man kann Benutzer anlegen und so die Umsetzung und/oder Überprüfung deligieren.
In der Bezahl-Version, kann man drei oder mehr Unternehmen verwalten und so seine Kunden bei der Umsetzung und Überprüfung unterstützen.
Erstellen Sie sich einen kostenlosen Account: https://csat.cisecurity.org/
CIS-CAT-Lite
CIS-CAT-Lite ist ein Scanner, mit dem man die Konfiguration der eigenen System überprüfen kann. Ähnlich einem Schwachstellenscanner, werden die gesetzten Einstellungen anhand der CIS Benchmarks ausgewertet. So kann zielgerichtet eine sichere Konfiguration vorgenommen werden.
Weitere Informationen: https://learn.cisecurity.org/cis-cat-lite
Fazit
Ich habe nichts gegen ISO 27000, BSI-Grundschutz, etc. halte sie jedoch gerade für die erste IT-Sicherheitsinitiative als zu komplex und abschreckend.
Mit den Critical Security Controls und den unterstützenden Tools bietet CIS die idealen Voraussetzungen zum ersten Verbessern der eigenen Sicherheit.