CIS Benchmarks als Blaupause nutzen Best-Practice-„Wiki“ steigert Sicherheit in der Cloud

Ein Gastbeitrag von Jan Kahmen*

Bereits im ersten „Corona“-Jahr 2020 nahm laut einer Bitkom-Studie vom Juni 2021 die Nutzung von Diensten aus der Cloud überdurchschnittlich zu. Im Vorjahr griffen 76 Prozent der Unternehmen auf Services aus der „Daten-Wolke“ zu, 2020 waren es schon 82 Prozent. 2025 soll der Untersuchung zufolge bereits die Hälfte aller genutzten Anwendungen aus der Cloud kommen.

Anbieter zum Thema

Der besondere Clou der äußerst detaillierten und direkt einsetzbaren Benchmarks besteht in der effektiven Kombination aus Gemeinnützigkeit und Aktualität.
Der besondere Clou der äußerst detaillierten und direkt einsetzbaren Benchmarks besteht in der effektiven Kombination aus Gemeinnützigkeit und Aktualität.
(Bild: ipopba - stock.adobe.com)

Konzerne und Großunternehmen geben hier durchweg das Tempo vor. Kleine und mittelständische Betriebe stehen hingegen oft vor der Herausforderung, eigenverantwortlich fachlich fundierte und robuste Security-Vorgaben zu erarbeiten und umzusetzen. Hier versprechen die CIS Benchmarks professionelle – und erfreulicherweise auch komplett kostenlose – Hilfe.

Die Covid-19-bedingten Kontakt- und Mobilitätseinschränkungen führten weltweit in unterschiedlichsten Branchen und Wirtschaftsbereichen zu ungeahnten Digitalisierungs-Sprüngen. Neben der sprunghaften Zunahme von Homeoffice-Vereinbarungen und der Einbindung privater Endgeräte (Bring-Your-Own-Device - BYOD) spielte die bedarfsgerechte Nutzung von Applikationen, Speicherplatz und Rechenleistung über interne (Private Cloud) oder externe Datennetze (Public Cloud) eine Schlüsselrolle. Die von der KPMG AG beauftragte und von Bitkom Research ausgearbeitete Studie brachte ebenfalls zutage, dass die befragten Ansprechpartner aus 556 Unternehmen erwartungsgemäß besonderen Wert auf Leistungsfähigkeit und Zuverlässigkeit legen (89 Prozent), aber eben auch die Sicherheit und Compliance des Providers (86 Prozent) genau im Blick haben. Auf dem Spiel stehen nicht nur vertrauliche und existenzkritische Unternehmens- und Kundendaten, sondern auch die öffentliche Wahrnehmung, der „gute Ruf“ der Firma.

Global engagierte Konzerne und Unternehmensgruppen verfügen üblicherweise über eigene, gut ausgestattete IT- und Compliance-Abteilungen, die sich intensiv Gedanken über die sichere und gesetzeskonforme Einbindung von Cloud-Services machen. Kleine und mittelständische Betriebe sehen sich hier oft im Nachteil, obwohl sie die Cloud im erheblichen Maße und auch sehr zeitnah als echten Digitalisierungs-Booster nutzen könnten.

Eine Community für digitale Sicherheit

Diesen dringenden Bedarf kann das bereits im Oktober 2000 gegründete „Center for Internet Security“ (CIS) umfassend decken. Das erklärte Ziel der internationalen Community ausgewiesener Experten für digitale Sicherheit: Die Erarbeitung und Pflege von Best-Practice-Lösungen, um unkompliziert und zuverlässig höchste IT-Sicherheitsstandards implementieren zu können. Dabei beschränkt sich das Konsortium nicht auf bestimmte Devices, Anwendungen oder Betriebssysteme.

Die sogenannten „CIS Benchmarks“ beziehen sich auf sieben Kernkategorien und zwei Profilebenen, die sich auf die Sicherheitsanforderungen (Basiskonfiguration und Hochsicherheitsumgebung) beziehen. Für folgende Kernkategorien existieren CIS Benchmarks beider Ebenen:

Betriebssysteme
Abgedeckt werden die jeweils aktuellsten Versionen von Microsoft Windows, MacOS und Linux, die zusammen auf mehr als 92 Prozent der weltweit eingesetzten Desktop-Rechner laufen (Stand November 2021). Die Best-Practice-Vorgaben beinhalten sinnvolle und bewährte Zugriffs- und Rollenbeschränkungen und natürlich auch die sichere Konfiguration der jeweiligen Browser. Mit den verfügbaren Benchmarks lassen sich Strategien zum System Hardening und Database Hardening umsetzen – vorausgesetzt, die Konfigurationen stehen im Einklang mit bereits bestehenden IT-Compliance-Richtlinien. Diese Konformität sollte natürlich beim Einsatz aller CIS Benchmarks vorweg genau geprüft werden.

Cloud-Anbieter
Sämtliche populären Cloud Service Provider werden von den Best-Practice-Lösungen einbezogen. Insbesondere die Nutzung von Public-Cloud-Diensten stellt Anwender vor besondere Herausforderungen. Hier sorgt das „Center for Internet Security“ für eine unkomplizierte, leicht umsetzbare und hervorragend dokumentierte Möglichkeit, das Sicherheits-Niveau innerhalb kürzester Zeit spürbar zu erhöhen und zu halten.

Desktop-Software
Natürlich dürfen auch die lokal genutzten Applikationen nicht im Portfolio der CIS Benchmarks fehlen – unabhängig vom momentanen Cloud-Boom. Im Fokus dieser Kernkategorie stehen die meistgenutzten Browser – und natürlich der Datenschutz auf Desktop-Zugriffs-Level.

Mobile Devices
Mit der steigenden Nutzung von Public Cloud Services geht der zunehmende Zugriff über mobile Endgeräte einher. Die entsprechenden Best-Practice-Lösungen beziehen sich selbstverständlich sowohl auf Android und Apple iOS, die sich mittlerweile den Markt untereinander aufteilen (72,4 und 27,6 Prozent; Stand September 2021).

Netzwerktechnik
Als wichtige Bestandteile einer sicheren und performanten IT-Infrastruktur bleiben auch die unterschiedlichen Netzwerk-Geräte nicht außen vor.

Multifunktionsdrucker
Last but not least beschäftigen sich die IT-Security-Experten der CIS Community natürlich auch mit den modernen Multifunktionsdruckern, die sich allerorts sowohl in Privat- als auch in Firmennetzen finden, aber nicht selten als potenzielle Sicherheitslücken vernachlässigt werden. Die relevanten Aspekte werden in der dazugehörigen Best Practice Lösung abgedeckt.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Wie bereits erwähnt, sind die aufgeführten Kern-Kategorien in zwei Profilebenen verfügbar. Das Level-1-Benchmark entspricht der Basiskonfiguration, die in vielen Unternehmen anzutreffen ist. Die Umsetzung der Best Practice Lösung ist entsprechend unkompliziert und erfordert auch keine substanzielle Neuausrichtung des vorhandenen Systems. Das Level-2-Benchmark wurde hingegen speziell für anspruchsvolle Hochsicherheitsumgebungen entworfen – und benötigt für eine möglichst schnelle und störungsfreie Implementierung erheblich mehr Planungs- und Abstimmungsaufwand.

Effektive Kombination aus Gemeinnützigkeit und Aktualität

Der besondere Clou der erstaunlich detaillierten und direkt einsetzbaren Benchmarks besteht in der effektiven Kombination aus Gemeinnützigkeit und Aktualität der CIS-Gemeinschaft. Die dahinterstehende Open-Source-/Crowd-Source-Arbeitsweise kennt man bereits von Wikipedia & Co. Dank der vielen Mitglieder aus aller Welt, die sich in der CIS-Benchmarks- und der CIS-Controls-Community engagieren, werden relevante System- und Applikations-Updates zeitnah berücksichtigt, aktuelle Cyber Threats erkannt und in die kontinuierliche Weiterentwicklung einbezogen. Die Best-Practice-Lösungen stehen nach der Registrierung im weitverbreiteten PDF-Format zum freien Download bereit, alle User sind zudem aufgerufen, erkannte Fehler und Unstimmigkeiten direkt zu melden und auf diese Weise den Reifeprozess der Benchmarks aktiv voranzutreiben.

Jan Kahmen, Turingpoint GmbH.
Jan Kahmen, Turingpoint GmbH.
(Bild: Turingpoint)

* Der Autor Jan Kahmen hat als CEO von Turingpoint mehrere Jahre Erfahrung in der Gründung von Unternehmen und als Product Owner in einer Vielzahl von Projekten. Er arbeitet aktuell an der Application-Security-as-a-Service-Plattform turingsecure und an Turingpoints 50%-Tochter der Pulso Media GmbH.

(ID:48085140)