Bereits im ersten „Corona“-Jahr 2020 nahm laut einer Bitkom-Studie vom Juni 2021 die Nutzung von Diensten aus der Cloud überdurchschnittlich zu. Im Vorjahr griffen 76 Prozent der Unternehmen auf Services aus der „Daten-Wolke“ zu, 2020 waren es schon 82 Prozent. 2025 soll der Untersuchung zufolge bereits die Hälfte aller genutzten Anwendungen aus der Cloud kommen.
Der besondere Clou der äußerst detaillierten und direkt einsetzbaren Benchmarks besteht in der effektiven Kombination aus Gemeinnützigkeit und Aktualität.
(Bild: ipopba - stock.adobe.com)
Konzerne und Großunternehmen geben hier durchweg das Tempo vor. Kleine und mittelständische Betriebe stehen hingegen oft vor der Herausforderung, eigenverantwortlich fachlich fundierte und robuste Security-Vorgaben zu erarbeiten und umzusetzen. Hier versprechen die CIS Benchmarks professionelle – und erfreulicherweise auch komplett kostenlose – Hilfe.
Die Covid-19-bedingten Kontakt- und Mobilitätseinschränkungen führten weltweit in unterschiedlichsten Branchen und Wirtschaftsbereichen zu ungeahnten Digitalisierungs-Sprüngen. Neben der sprunghaften Zunahme von Homeoffice-Vereinbarungen und der Einbindung privater Endgeräte (Bring-Your-Own-Device - BYOD) spielte die bedarfsgerechte Nutzung von Applikationen, Speicherplatz und Rechenleistung über interne (Private Cloud) oder externe Datennetze (Public Cloud) eine Schlüsselrolle. Die von der KPMG AG beauftragte und von Bitkom Research ausgearbeitete Studie brachte ebenfalls zutage, dass die befragten Ansprechpartner aus 556 Unternehmen erwartungsgemäß besonderen Wert auf Leistungsfähigkeit und Zuverlässigkeit legen (89 Prozent), aber eben auch die Sicherheit und Compliance des Providers (86 Prozent) genau im Blick haben. Auf dem Spiel stehen nicht nur vertrauliche und existenzkritische Unternehmens- und Kundendaten, sondern auch die öffentliche Wahrnehmung, der „gute Ruf“ der Firma.
Global engagierte Konzerne und Unternehmensgruppen verfügen üblicherweise über eigene, gut ausgestattete IT- und Compliance-Abteilungen, die sich intensiv Gedanken über die sichere und gesetzeskonforme Einbindung von Cloud-Services machen. Kleine und mittelständische Betriebe sehen sich hier oft im Nachteil, obwohl sie die Cloud im erheblichen Maße und auch sehr zeitnah als echten Digitalisierungs-Booster nutzen könnten.
Eine Community für digitale Sicherheit
Diesen dringenden Bedarf kann das bereits im Oktober 2000 gegründete „Center for Internet Security“ (CIS) umfassend decken. Das erklärte Ziel der internationalen Community ausgewiesener Experten für digitale Sicherheit: Die Erarbeitung und Pflege von Best-Practice-Lösungen, um unkompliziert und zuverlässig höchste IT-Sicherheitsstandards implementieren zu können. Dabei beschränkt sich das Konsortium nicht auf bestimmte Devices, Anwendungen oder Betriebssysteme.
Die sogenannten „CIS Benchmarks“ beziehen sich auf sieben Kernkategorien und zwei Profilebenen, die sich auf die Sicherheitsanforderungen (Basiskonfiguration und Hochsicherheitsumgebung) beziehen. Für folgende Kernkategorien existieren CIS Benchmarks beider Ebenen:
Betriebssysteme Abgedeckt werden die jeweils aktuellsten Versionen von Microsoft Windows, MacOS und Linux, die zusammen auf mehr als 92 Prozent der weltweit eingesetzten Desktop-Rechner laufen (Stand November 2021). Die Best-Practice-Vorgaben beinhalten sinnvolle und bewährte Zugriffs- und Rollenbeschränkungen und natürlich auch die sichere Konfiguration der jeweiligen Browser. Mit den verfügbaren Benchmarks lassen sich Strategien zum System Hardening und Database Hardening umsetzen – vorausgesetzt, die Konfigurationen stehen im Einklang mit bereits bestehenden IT-Compliance-Richtlinien. Diese Konformität sollte natürlich beim Einsatz aller CIS Benchmarks vorweg genau geprüft werden.
Cloud-Anbieter Sämtliche populären Cloud Service Provider werden von den Best-Practice-Lösungen einbezogen. Insbesondere die Nutzung von Public-Cloud-Diensten stellt Anwender vor besondere Herausforderungen. Hier sorgt das „Center for Internet Security“ für eine unkomplizierte, leicht umsetzbare und hervorragend dokumentierte Möglichkeit, das Sicherheits-Niveau innerhalb kürzester Zeit spürbar zu erhöhen und zu halten.
Desktop-Software Natürlich dürfen auch die lokal genutzten Applikationen nicht im Portfolio der CIS Benchmarks fehlen – unabhängig vom momentanen Cloud-Boom. Im Fokus dieser Kernkategorie stehen die meistgenutzten Browser – und natürlich der Datenschutz auf Desktop-Zugriffs-Level.
Mobile Devices Mit der steigenden Nutzung von Public Cloud Services geht der zunehmende Zugriff über mobile Endgeräte einher. Die entsprechenden Best-Practice-Lösungen beziehen sich selbstverständlich sowohl auf Android und Apple iOS, die sich mittlerweile den Markt untereinander aufteilen (72,4 und 27,6 Prozent; Stand September 2021).
Netzwerktechnik Als wichtige Bestandteile einer sicheren und performanten IT-Infrastruktur bleiben auch die unterschiedlichen Netzwerk-Geräte nicht außen vor.
Multifunktionsdrucker Last but not least beschäftigen sich die IT-Security-Experten der CIS Community natürlich auch mit den modernen Multifunktionsdruckern, die sich allerorts sowohl in Privat- als auch in Firmennetzen finden, aber nicht selten als potenzielle Sicherheitslücken vernachlässigt werden. Die relevanten Aspekte werden in der dazugehörigen Best Practice Lösung abgedeckt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Wie bereits erwähnt, sind die aufgeführten Kern-Kategorien in zwei Profilebenen verfügbar. Das Level-1-Benchmark entspricht der Basiskonfiguration, die in vielen Unternehmen anzutreffen ist. Die Umsetzung der Best Practice Lösung ist entsprechend unkompliziert und erfordert auch keine substanzielle Neuausrichtung des vorhandenen Systems. Das Level-2-Benchmark wurde hingegen speziell für anspruchsvolle Hochsicherheitsumgebungen entworfen – und benötigt für eine möglichst schnelle und störungsfreie Implementierung erheblich mehr Planungs- und Abstimmungsaufwand.
Effektive Kombination aus Gemeinnützigkeit und Aktualität
Der besondere Clou der erstaunlich detaillierten und direkt einsetzbaren Benchmarks besteht in der effektiven Kombination aus Gemeinnützigkeit und Aktualität der CIS-Gemeinschaft. Die dahinterstehende Open-Source-/Crowd-Source-Arbeitsweise kennt man bereits von Wikipedia & Co. Dank der vielen Mitglieder aus aller Welt, die sich in der CIS-Benchmarks- und der CIS-Controls-Community engagieren, werden relevante System- und Applikations-Updates zeitnah berücksichtigt, aktuelle Cyber Threats erkannt und in die kontinuierliche Weiterentwicklung einbezogen. Die Best-Practice-Lösungen stehen nach der Registrierung im weitverbreiteten PDF-Format zum freien Download bereit, alle User sind zudem aufgerufen, erkannte Fehler und Unstimmigkeiten direkt zu melden und auf diese Weise den Reifeprozess der Benchmarks aktiv voranzutreiben.
Jan Kahmen, Turingpoint GmbH.
(Bild: Turingpoint)
* Der Autor Jan Kahmen hat als CEO von Turingpoint mehrere Jahre Erfahrung in der Gründung von Unternehmen und als Product Owner in einer Vielzahl von Projekten. Er arbeitet aktuell an der Application-Security-as-a-Service-Plattform turingsecure und an Turingpoints 50%-Tochter der Pulso Media GmbH.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/56/a6/56a6cbd330270db46b739e8e67a3bae9/0127223376v1.jpeg "Nur ein DSGVO-konformes, transparentes und von Multi-Cloud-kompatibles europäisches Cloud-Angebot kann eine zukunftssichere und unabhängige IT sicherstellen. (Bild: T-Systems)")
:quality(80)/p7i.vogel.de/wcms/8d/ab/8dab258e0eb14a71b53298faffd4aaba/0128585584v2.jpeg "Windows Backup for Organizations sichert Einstellungen und Store-Apps cloudbasiert und bietet die Wiederherstellung bereits im OOBE an. Es ersetzt jedoch kein klassisches Backup. (Bild: © Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/4b/184b80efa4e9d1d4d905806db297dd02/0128695221v1.jpeg "Island hat den Enterprise Browser entwickelt, ein Werkzeug für IT-Teams, das Phishing ausschließen, sicheren Umgang mit künstlicher Intelligenz fördern und die Produktivität steigern soll. (Bild: Island)")
:quality(80)/p7i.vogel.de/wcms/b7/ab/b7abb386791d088652b1f35a3a798f4a/0128763755v1.jpeg "Die mIT Cloud kombiniert eine an klassischen Rechenzentrumsstrukturen orientierte Bedienlogik mit der Skalierbarkeit moderner Cloud-Infrastrukturen und richtet sich an MSPs, IT-Systemhäuser und Softwarehersteller. (Bild: mitteldeutsche IT GmbH)")
:quality(80)/p7i.vogel.de/wcms/8b/35/8b351ea0325a2dd165c56d29062bccf2/0128355283v1.jpeg "Autor Thomas Joos schreibt über den hybriden SAP-Betrieb: on premises und in der Cloud. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ee/cb/eecb952ae6889ccdba1ea140958c93ce/0128434850v2.jpeg "Datensicherheit in Unternehmen: Ransomware, Phishing und Malware sollten lieber draußen bleiben. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2d/28/2d2879636a16ebf0af36abf0f874ad9e/0128472093v1.jpeg "Das BSI hat gängige Passwortmanager getestet mit dem Ergebnis: Auch wenn nicht alle perfekt sind, überwiegt ihr Nutzen bei weitem die Defizite. (Bild: © janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/87/4187221cff2be0b0bb5f87337c5f2f76/0128471490v1.jpeg "Virtuelle Bot-Armeen, gekaufte Likes und politische Einflussnahme: SIM-Karten vom Graumarkt manipulieren das Netz und steuern gezielt Trends. (Bild: © Moor Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/78/60/7860b4ca6dfb7e48c306fe3caca246e1/0128271912v1.jpeg "Arbeitgeber setzen zunehmend digitale Mittel ein, um ihre Mitarbeitenden zu kontrollieren. Doch nicht jede Überwachungsmaßnahme ist erlaubt. (Bild: © Tatiana Shepeleva - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/7b/4c7b3c364f1606ce3a140912b6ac6ffe/0128555714v1.jpeg "2026 werden Unternehmen KI-Technologien von Pilotprojekten zu konkreten Anwendungsfällen umsetzen. Die souveräne Cloud wird von einem vagen Konzept in eine konkrete Umsetzung übergehen. Auch werden Unternehmen werden die Notwendigkeit erkennen, alternative Hyperscaler zu nutzen, um Vendor-Lock-in zu vermeiden. (Bild: © Cre-AI-Tor - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/4b/e04bba72be4e36c58fc25224109181b5/0128919272v1.jpeg "Ein symbolischer Akt zur offiziellen Inbetriebnahme der AWS European Sovereign Cloud: (v.l.) Hester Somson (Botschafterin der Niederlande in Deutschland), Dr. Karsten Wildberger (Bundesminister für Digitales und Staatsmodernisierung), Stéphane Israël (Managing Director AWS European Sovereign Cloud and Digital Sovereignty), Matt Garman (CEO AWS), Madalena Fischer (Botschafterin von Portugal in Deutschland), Daniel Keller (Minister für Wirtschaft, Arbeit, Energie und Klimaschutz von Brandenburg), Claudia Plattner (Präsidentin des BSI) und Stefan Höchbauer (Managing Director AWS Deutschland und Central Europe). (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/12/7a/127a202f8791993f3f4a23a57290e808/0128531184v1.jpeg "Der Fachkräftemangel und steigende technische Anforderungen zwingen IT-Entscheider dazu, ihre Infrastrukturstrategien zu überdenken und Alternativen zu traditionellen Eigenbetrieben zu prüfen, wie zum Beispiel Managed Colocation. (Bild: © weerasak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/49/e9498aba37024db6b189a1d1feb7b4b3/0128720331v1.jpeg "Suse und Evroc schließen eine strategische Partnerschaft für souveräne europäische Cloud-Lösungen. (Bild: Suse / Evroc)")
:quality(80)/p7i.vogel.de/wcms/7b/43/7b4346180c4889f1b8e5f26af7125718/0128436273v2.jpeg "Das LG München sah eine Urheberrechtsverletzung, weil ChatGPT geschützte Liedtexte wörtlich ausgab. Was hat das Landgericht München in diesem Fall entschieden? (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/f1/3cf11e80cb5ef8a61266cf8fe4235118/0128725329v2.jpeg "Kommt der Wunsch nach einer Nachbesserung der DSGVO einer Aufweichung des Datenschutzes gleich? (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b8/f0/b8f0e9ee9aa10dd74db18c87c2de0842/0128527142v1.jpeg "Die WP3-Plattform der Dwpbank zeigt, wie sich Cloud-native Architekturen, Kubernetes und strenge regulatorische Anforderungen im Finanzumfeld vereinen lassen. (Bild: Michael Pasternack / Dwpbank)")
:quality(80)/p7i.vogel.de/wcms/47/c3/47c38f4359d38b21aa65391358de5fca/0128106074v1.jpeg "Daten sind wertvoll und auch in SaaS-Zeiten muss gesichert werden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/15/a3/15a312732340e5757952d9f4d3afe8ce/0128554930v1.jpeg "Google Drive verfügt über einen KI-basierten Schutz vor Mal- und Ransomware. (Bild: Joos / Google)")
:quality(80)/p7i.vogel.de/wcms/7c/ff/7cff410a07d9a7cbe9f5bb93d5f7f463/0128348762v1.jpeg "Im Gastbeitrag erläutert Uwe Kemmer von Western Digital, wie Architekturen für eine zukunftssichere Datenstrategie beschaffen sein sollten. (Bild: Western Digital Corporation )")
:quality(80)/p7i.vogel.de/wcms/5f/52/5f522be9df29a2344dee1cdb55de0e33/0128622890v1.jpeg "Effiziente, zuverlässige und digital vernetzte Kühllösungen sind entscheidend für zukunftsfähige Rechenzentren. (Bild: ebm‑papst)")
:quality(80)/p7i.vogel.de/wcms/4e/05/4e055dff3390e2d9145eb533b00dfe1e/0128408277v1.jpeg "Verantwortung statt Blindflug. Wer Zuständigkeiten klärt, sichert Sicherheit, Compliance und Performance – und gewinnt Sichtbarkeit. Professionelle Administration kann aus Websites belastbare, wachstumsfähige Infrastrukturen machen. (Bild: © InfiniteFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/e8/e0e80a1b19854c10504d5d4e16166864/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/78/dd/78dd424bbfd2833a8b65b7347ba4b2f3/0127731503v1.jpeg "Ein CEA-Framework bringt GRC von der Papier-Policy in Code, verankert Kontrollen in CI/CD und automatisiert Prüfungen sowie Remediation. Ergebnis: mehr Transparenz, weniger Fehlkonfigurationen, schnellere Audits und kürzere MTTR in Cloud-nativen Umgebungen. (Bild: © Sonya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/6b/c86b596954847d8fe6791747ad181b3a/0125229417v1.jpeg "Unternehmen setzen verstärkt auf Private Clouds und Managed Services, um den wachsenden Anforderungen an Datenschutz, Sicherheit und KI-Workloads gerecht zu werden. (Bild: © NAPHAT - stock.adobe.com)")