:quality(80)/p7i.vogel.de/wcms/3b/6d/3b6de5d5ee985e4d83860aa710a88d64/0108679613.jpeg "Der zentrale Überblick mittels des Multi-Cloud-Managements sorgt für Kostentransparenz; Reports und intelligente Analysen zeigen Optimierungspotenzial auf und ermöglichen Vergleiche der Konditionen verschiedener Anbieter. (Bild: dell - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/aa/66aa92e9e5f3707c120969f3a9dc2dc5/0108541020.jpeg "Vor allem Lösungen für ERP und CRM sind Treiber des konstanten Wachstums im SaaS-Markt und des voranschreitenden Trends zur Digitalisierung und Automatisierung. (Bild: gemeinfrei Ronald Carreno)")
:quality(80)/p7i.vogel.de/wcms/9b/68/9b681c20a7f5797bd1a81726aa5ad997/0108274887.jpeg "Kernfunktion aktueller Cloud-Content-Management-Lösungen ist es, Anwendern den ortsunabhängigen Zugriff auf für sie relevante Geschäftsdaten zu ermöglichen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/52/80/528027b69c7908d3e3bcf1cb66143759/0114011919.jpeg "Unter IT-Fachkräften ist die Wechselbereitschaft in einen neuen Job insgesamt hoch.
(Bild: stockphoto-graf - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/17/0c/170c447f374fd98bc908de7baac519bd/0113797181.jpeg "AWS fördert Startups mit speziellen Programmen, die Tools, Ressourcen, Know-how-Vermittlung und Expertenunterstützung beinhalten. (Bild: Gajus - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/71/51719888231fa107f7e5d63f6b0c1a78/0113156400.jpeg "Azure Database for PostgreSQL ist ein relationaler Datenbank-Service, der in der Microsoft-Cloud Azure für die auf Open Source basierenden PostgreSQL-Datenbanken zur Verfügung steht. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/3d/61/3d617a1765d03255ed243920acb35c7a/0114182982.jpeg "Das nächste jährliche Update für Microsoft Windows 11 steht an: Der Anbieter setzt einige Wünsche der Nutzer um und integriert KI-Funktionen. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/e3/f4e3bc67bba6beb2b76d706c3b945f14/0113892959.jpeg "Laut ISG-Studien sind Microsoft-Lösungen und die Public weiterhin im Trend. (Bild: Ronald Carreño)")
:quality(80)/p7i.vogel.de/wcms/72/26/72266259adace20cc0461c2a74c87844/0114119093.jpeg "„Jetzt ist jeder ein Einstein“: Salesforce-CEO Mark Benioff stellt auf der Dreamforce 2023 die Einstein 1 Plattform vor, Grundlage für die nächste Generation aller Salesforce CRM-Anwendungen. (Bild: © 2023 by Jakub Mosur Photography)")
:quality(80)/p7i.vogel.de/wcms/ad/19/ad19800c257e30990b8187eb5584bf59/0114075814.jpeg "Satya Nadella, Chairman und CEO von Microsoft, und Larry Ellison, Chairman und CTO von Oracle, kündigten im Vorfeld der Cloud World die Oracle Database@Azure an. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/c2/4c/c24c2e6f72fe947e845defbd19dce1a7/0114014847.jpeg "Rumänische Dienstleister helfen remote andernorts bei Fachkräftemangel aus. (Bild: suns07butterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/2a/ea2a21a28b29e74e23aa60c362e1e856/0114106074.jpeg "Angreifer nutzen Anmeldedaten mit überprivilegiertem Zugriff, die häufig im Klartext auf Endpunkten offengelegt werden, um tiefer in die Umgebung vorzudringen oder auf sensible Informationen zuzugreifen. (Bild: kentoh - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/3f/843f5d880de993c558fd8c2d6142f35a/0113950862.jpeg "IT-Beschaffung als Marathon begreifen: Über die richtige Auswahl der Software können Unternehmen ihre digitale Transformation effizient und vor allem nachhaltig vorantreiben. (Bild: frei lizenziert Aurora - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2b/79/2b79ceb9e6a2d9f7a82a8347ab28216e/0114014631.jpeg "Die EU-Kommission hat Bedenken wegen der Kopplung von Teams an Microsoft 365 – der Tech-Konzern reagiert mit einer Entkopplung der Produkte. (Bild: yavdat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/37/25/37252492f772099491a4124027e9ae77/0114050426.jpeg "Führungskräfte haben erkannt, dass die Cloud nicht nur eine Infrastrukturlösung ist, sondern eine transformative Geschäftsplattform – trotzdem nutzen viele Unternehmen ihr Potenzial noch nicht vollständig aus. (Bild: peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/bf/bdbf004fccb4708e822ae34f79f2c13f/0114014435.jpeg "Der Rückzug aus der öffentlichen Cloud bringt Unternehmen zu einer praktikablen Strategie für weiteres Wachstum. (Bild: Romolo Tavani - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/29/6429d876903f25a8a83823a9fa0d1382/0114011600.jpeg "Die Distributed-Multi-Cloud schafft Zusammenhänge und sorgt dafür, dass dezentrale Cloud-Anwendungen abgebildet und überwacht werden können. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/81/50/815057430b24fe7d32fe767d90be4b83/0114167648.jpeg "Einer der bekanntesten IT-Juristen in Deutschland, RA Wilfried Reiners, ist Gast der neuen Folge von CLOUD ON AIR. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/6f/b5/6fb564b2bc6e0c2e7ed55a9b1214507a/0113999855.jpeg "Die Herangehensweise der führenden Anbieter an die Sovereign Cloud ist so vielfältig wie das Verständnis der Menschen davon, was Sovereign Cloud überhaupt bedeutet. (Bild: peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/24/43/24433120f2753c86ed52c8fe7ddb136a/0113919770.jpeg "Unternehmen sehen sich bei Cyberversicherungen mit steigenden Prämien, niedrigeren Deckungssummen und strengeren Anforderungen an ihre IT-Sicherheit konfrontiert. (Bild: Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/83/6c8380a91e0ae5d95acdb3b96f76d3d2/0113164823.jpeg "Was treibt moderne Unternehmen dazu, Daten in die Cloud zu verlagern? (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/20/a120ed40dbee2737fec5998650f42917/0113952630.jpeg "OneDrive in Kombination mit Microsoft 365 synchronisiert lokale Daten mit der Cloud. (Bild: SweetBunFactory - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/5d/845daa19115186c701007caa4e86d719/0113997176.jpeg "Das Webhosting-Portfolio von OVHcloud bietet Anfängern bis hin zu technisch versierten Benutzern eine breite Pallette an Paketen für alle Anforderungen. (Bild: BullRun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/3d/d23ddc079e588bf557a30ffae15eefb5/0113867457.jpeg "Version 4.0 von ownCloud Infinite Scale bringt unter anderem eine verbesserte Volltextsuche mit. (Bild: ownCloud)")
:quality(80)/p7i.vogel.de/wcms/1e/db/1edb4e44f374c709808011200f05c6aa/0114251229.jpeg "Die Online-Teilnehmer folgten den Vorträgen der CCX 2023 im Livestream. (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/17/0b/170b8be128ba7eb2b683fbb71d9a897f/0114000732.jpeg "Mit dem Setzen extrinsischer Reize können Unternehmen dem Thema Nachhaltigkeit den nötigen Nachdruck verleihen und nicht nur Klima- und Umweltschutzziele vorgeben, sondern Nachhaltigkeit in der Unternehmensführung verankern. (Bild: Sidekick - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/45/18454ed29fad9a118842fe42bddcf893/0113965709.jpeg "Von künstlicher Intelligenz unterstützte Technik kann die Lebensqualität vieler Menschen verbessern und ihnen eine gleichberechtigte Teilhabe an der digitalen Welt ermöglichen. (Bild: Elena - stock.adobe.com)")
CIS Benchmarks als Blaupause nutzen Best-Practice-„Wiki“ steigert Sicherheit in der Cloud
Bereits im ersten „Corona“-Jahr 2020 nahm laut einer Bitkom-Studie vom Juni 2021 die Nutzung von Diensten aus der Cloud überdurchschnittlich zu. Im Vorjahr griffen 76 Prozent der Unternehmen auf Services aus der „Daten-Wolke“ zu, 2020 waren es schon 82 Prozent. 2025 soll der Untersuchung zufolge bereits die Hälfte aller genutzten Anwendungen aus der Cloud kommen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/14/64144695bcf74/logo-high-resolution.png "logo-high-resolution (Southern Tech)"){kind=logo}
Konzerne und Großunternehmen geben hier durchweg das Tempo vor. Kleine und mittelständische Betriebe stehen hingegen oft vor der Herausforderung, eigenverantwortlich fachlich fundierte und robuste Security-Vorgaben zu erarbeiten und umzusetzen. Hier versprechen die CIS Benchmarks professionelle – und erfreulicherweise auch komplett kostenlose – Hilfe.
Die Covid-19-bedingten Kontakt- und Mobilitätseinschränkungen führten weltweit in unterschiedlichsten Branchen und Wirtschaftsbereichen zu ungeahnten Digitalisierungs-Sprüngen. Neben der sprunghaften Zunahme von Homeoffice-Vereinbarungen und der Einbindung privater Endgeräte (Bring-Your-Own-Device - BYOD) spielte die bedarfsgerechte Nutzung von Applikationen, Speicherplatz und Rechenleistung über interne (Private Cloud) oder externe Datennetze (Public Cloud) eine Schlüsselrolle. Die von der KPMG AG beauftragte und von Bitkom Research ausgearbeitete Studie brachte ebenfalls zutage, dass die befragten Ansprechpartner aus 556 Unternehmen erwartungsgemäß besonderen Wert auf Leistungsfähigkeit und Zuverlässigkeit legen (89 Prozent), aber eben auch die Sicherheit und Compliance des Providers (86 Prozent) genau im Blick haben. Auf dem Spiel stehen nicht nur vertrauliche und existenzkritische Unternehmens- und Kundendaten, sondern auch die öffentliche Wahrnehmung, der „gute Ruf“ der Firma.
Global engagierte Konzerne und Unternehmensgruppen verfügen üblicherweise über eigene, gut ausgestattete IT- und Compliance-Abteilungen, die sich intensiv Gedanken über die sichere und gesetzeskonforme Einbindung von Cloud-Services machen. Kleine und mittelständische Betriebe sehen sich hier oft im Nachteil, obwohl sie die Cloud im erheblichen Maße und auch sehr zeitnah als echten Digitalisierungs-Booster nutzen könnten.
Eine Community für digitale Sicherheit
Diesen dringenden Bedarf kann das bereits im Oktober 2000 gegründete „Center for Internet Security“ (CIS) umfassend decken. Das erklärte Ziel der internationalen Community ausgewiesener Experten für digitale Sicherheit: Die Erarbeitung und Pflege von Best-Practice-Lösungen, um unkompliziert und zuverlässig höchste IT-Sicherheitsstandards implementieren zu können. Dabei beschränkt sich das Konsortium nicht auf bestimmte Devices, Anwendungen oder Betriebssysteme.
Die sogenannten „CIS Benchmarks“ beziehen sich auf sieben Kernkategorien und zwei Profilebenen, die sich auf die Sicherheitsanforderungen (Basiskonfiguration und Hochsicherheitsumgebung) beziehen. Für folgende Kernkategorien existieren CIS Benchmarks beider Ebenen:
Betriebssysteme
Abgedeckt werden die jeweils aktuellsten Versionen von Microsoft Windows, MacOS und Linux, die zusammen auf mehr als 92 Prozent der weltweit eingesetzten Desktop-Rechner laufen (Stand November 2021). Die Best-Practice-Vorgaben beinhalten sinnvolle und bewährte Zugriffs- und Rollenbeschränkungen und natürlich auch die sichere Konfiguration der jeweiligen Browser. Mit den verfügbaren Benchmarks lassen sich Strategien zum System Hardening und Database Hardening umsetzen – vorausgesetzt, die Konfigurationen stehen im Einklang mit bereits bestehenden IT-Compliance-Richtlinien. Diese Konformität sollte natürlich beim Einsatz aller CIS Benchmarks vorweg genau geprüft werden.
Cloud-Anbieter
Sämtliche populären Cloud Service Provider werden von den Best-Practice-Lösungen einbezogen. Insbesondere die Nutzung von Public-Cloud-Diensten stellt Anwender vor besondere Herausforderungen. Hier sorgt das „Center for Internet Security“ für eine unkomplizierte, leicht umsetzbare und hervorragend dokumentierte Möglichkeit, das Sicherheits-Niveau innerhalb kürzester Zeit spürbar zu erhöhen und zu halten.
Desktop-Software
Natürlich dürfen auch die lokal genutzten Applikationen nicht im Portfolio der CIS Benchmarks fehlen – unabhängig vom momentanen Cloud-Boom. Im Fokus dieser Kernkategorie stehen die meistgenutzten Browser – und natürlich der Datenschutz auf Desktop-Zugriffs-Level.
Mobile Devices
Mit der steigenden Nutzung von Public Cloud Services geht der zunehmende Zugriff über mobile Endgeräte einher. Die entsprechenden Best-Practice-Lösungen beziehen sich selbstverständlich sowohl auf Android und Apple iOS, die sich mittlerweile den Markt untereinander aufteilen (72,4 und 27,6 Prozent; Stand September 2021).
Netzwerktechnik
Als wichtige Bestandteile einer sicheren und performanten IT-Infrastruktur bleiben auch die unterschiedlichen Netzwerk-Geräte nicht außen vor.
Multifunktionsdrucker
Last but not least beschäftigen sich die IT-Security-Experten der CIS Community natürlich auch mit den modernen Multifunktionsdruckern, die sich allerorts sowohl in Privat- als auch in Firmennetzen finden, aber nicht selten als potenzielle Sicherheitslücken vernachlässigt werden. Die relevanten Aspekte werden in der dazugehörigen Best Practice Lösung abgedeckt.
Wie bereits erwähnt, sind die aufgeführten Kern-Kategorien in zwei Profilebenen verfügbar. Das Level-1-Benchmark entspricht der Basiskonfiguration, die in vielen Unternehmen anzutreffen ist. Die Umsetzung der Best Practice Lösung ist entsprechend unkompliziert und erfordert auch keine substanzielle Neuausrichtung des vorhandenen Systems. Das Level-2-Benchmark wurde hingegen speziell für anspruchsvolle Hochsicherheitsumgebungen entworfen – und benötigt für eine möglichst schnelle und störungsfreie Implementierung erheblich mehr Planungs- und Abstimmungsaufwand.
Effektive Kombination aus Gemeinnützigkeit und Aktualität
Der besondere Clou der erstaunlich detaillierten und direkt einsetzbaren Benchmarks besteht in der effektiven Kombination aus Gemeinnützigkeit und Aktualität der CIS-Gemeinschaft. Die dahinterstehende Open-Source-/Crowd-Source-Arbeitsweise kennt man bereits von Wikipedia & Co. Dank der vielen Mitglieder aus aller Welt, die sich in der CIS-Benchmarks- und der CIS-Controls-Community engagieren, werden relevante System- und Applikations-Updates zeitnah berücksichtigt, aktuelle Cyber Threats erkannt und in die kontinuierliche Weiterentwicklung einbezogen. Die Best-Practice-Lösungen stehen nach der Registrierung im weitverbreiteten PDF-Format zum freien Download bereit, alle User sind zudem aufgerufen, erkannte Fehler und Unstimmigkeiten direkt zu melden und auf diese Weise den Reifeprozess der Benchmarks aktiv voranzutreiben.
* Der Autor Jan Kahmen hat als CEO von Turingpoint mehrere Jahre Erfahrung in der Gründung von Unternehmen und als Product Owner in einer Vielzahl von Projekten. Er arbeitet aktuell an der Application-Security-as-a-Service-Plattform turingsecure und an Turingpoints 50%-Tochter der Pulso Media GmbH.
(ID:48085140)
:quality(80)/p7i.vogel.de/wcms/28/ef/28ef7d189b3b8fc23dedc50fe85df30b/0111078056.jpeg "Viele Cloud-Sicherheitslösungen am Markt konzentrieren sich auf Sicherheitsherausforderungen in der Cloud und können mit dem Tempo der Cloud-Angriffe nicht mithalten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1947900/1947973/original.jpg "Das CloudFest 2022 fand vom 22. bis 24. März im Europa-Park Rust statt. (Oliver Schonschek, Insider Research)")