CIS Controls — 18 priorisierte Sicherheitskontrollen

Ein 80-Personen-Maschinenbauer wird Opfer eines Ransomware-Angriffs über eine ungepatchte VPN-Appliance. Nach dem Vorfall fragt der Geschäftsführer den IT-Leiter: „Welche zehn Maßnahmen hätten das verhindert — und welche davon haben wir nicht?” Der IT-Leiter zeigt eine Liste mit 56 konkreten Safeguards aus CIS Implementation Group 1, von denen 22 bisher fehlen. Innerhalb von neun Monaten sind sie alle umgesetzt. Wer eine konkrete Liste hat, kann konkret entscheiden. Die CIS Controls sind dort am stärksten, wo abstrakte Frameworks zu lange brauchen, um in der IT-Werkstatt anzukommen.

Die CIS Controls (vormals SANS Top 20) sind ein priorisierter Katalog von 18 Sicherheitskontrollen, herausgegeben vom US-amerikanischen Center for Internet Security. Die aktuelle Version 8.1 (Juni 2024) gliedert sich in 18 Controls mit insgesamt 153 Safeguards (Einzelmaßnahmen). Im Unterschied zu generischen Frameworks ist jede Safeguard konkret formuliert und unmittelbar umsetzbar.

Was umfasst der Standard?

Die 18 Controls sind nach Wirksamkeit gegen reale Angriffe geordnet — die ersten Controls verhindern die häufigsten Angriffsvektoren. Jedes Control besteht aus mehreren Safeguards und ist einer oder mehreren Implementation Groups zugeordnet.

Die 18 Controls (v8.1)

CIS 1 — Inventar und Steuerung von Hardware-Assets: Welche Geräte sind im Netz?
CIS 2 — Inventar und Steuerung von Software-Assets: Welche Software läuft, autorisiert und unautorisiert?
CIS 3 — Datenschutz: Klassifizierung, Verschlüsselung, Datenfluss-Überwachung.
CIS 4 — Sichere Konfiguration von Unternehmens-Assets und Software: Härtung statt Auslieferzustand.
CIS 5 — Account-Management: Zugangskonten verwalten, inaktive Konten deaktivieren.
CIS 6 — Zugriffsrechtemanagement: Privilegierte Zugriffe steuern, Multi-Faktor durchsetzen.
CIS 7 — Kontinuierliches Schwachstellenmanagement: Patchen, Scannen, Priorisieren.
CIS 8 — Audit-Log-Management: Logs sammeln, schützen, auswerten.
CIS 9 — E-Mail- und Webbrowser-Schutz: Filter, sichere Konfiguration, Awareness.
CIS 10 — Schutz vor Schadsoftware: EDR, Signatur- und Verhaltensanalyse.
CIS 11 — Datenwiederherstellung: Backups, regelmäßige Restore-Tests.
CIS 12 — Netzwerk-Infrastruktur-Management: Sichere Netzwerk-Architektur, Segmentierung.
CIS 13 — Netzwerk-Überwachung und -Verteidigung: IDS/IPS, Verhaltensanalyse.
CIS 14 — Awareness und Skill-Training: Schulung der Mitarbeitenden.
CIS 15 — Service-Provider-Management: Steuerung externer Dienstleister.
CIS 16 — Anwendungs-Sicherheit: Sichere Entwicklung, Code-Reviews, SAST/DAST.
CIS 17 — Incident-Response-Management: Vorfall-Management mit Rollen und Übungen.
CIS 18 — Penetrationstests: Regelmäßige offensive Sicherheits-Tests.

Implementation Groups

Group	Anzahl Safeguards	Zielgruppe
IG1	56	Kleine Organisationen, begrenzte IT-Ressourcen, primär Schutz gegen opportunistische Angriffe
IG2	130 (inkl. IG1)	Mittelständische Organisationen mit IT-Personal, vertrauliche Daten, mehrere Standorte
IG3	153 (inkl. IG1+IG2)	Große Organisationen mit Sicherheitsteam, gezielten Bedrohungen, regulatorischen Anforderungen

Jede Safeguard ist genau einer IG zugeordnet — entweder „IG1, IG2, IG3”, „IG2, IG3” oder nur „IG3”. Die Einordnung folgt der Logik: Welche Maßnahmen sind für welche Bedrohungslage angemessen?

Bewertungs- und Umsetzungspraxis

CIS CSAT (Controls Self Assessment Tool). Web-basiertes, kostenloses Werkzeug zum Self-Assessment pro Safeguard mit Reifegrad-Skala (Policy defined, Implemented, Automated, Reported). Ergebnisse als Heatmap und Roadmap exportierbar.

CIS RAM (Risk Assessment Method). Methodik, um die CIS-Controls-Umsetzung gegen die eigene Risikolage zu priorisieren. Hilfreich, um die für die eigenen Risiken wichtigsten Safeguards zuerst anzugehen statt pauschal alle gleich zu behandeln.

CIS Benchmarks. Über 100 plattformspezifische Konfigurations-Hardening-Guides — Windows Server, RHEL, Ubuntu, Microsoft 365, AWS, Kubernetes, Docker und weitere. Benchmarks sind eng mit CIS Control 4 (Sichere Konfiguration) verknüpft.

CIS-Hardened Images. Vorgefertigte Cloud-Images (AWS, Azure, GCP) auf Basis der Benchmarks, kostenpflichtig.

Mapping zu anderen Standards

Standard	Verhältnis zu CIS Controls
ISO/IEC 27001 / 27002	CIS bietet offizielles Mapping; CIS-Safeguards konkretisieren viele ISO-Annex-A-Kontrollen
NIST CSF	Detailliertes Mapping CIS-Safeguards auf CSF-Subcategories verfügbar
NIST SP 800-53	CIS-Safeguards mappen auf SP-800-53-Controls als technische Umsetzung
PCI-DSS	Viele PCI-DSS-Anforderungen lassen sich direkt mit CIS-Safeguards belegen
TISAX / VDA ISA	CIS-Safeguards als technische Umsetzung von ISA-Controls
NIS2	Anhang-Maßnahmen aus NIS2 Art. 21 lassen sich gut über CIS-Safeguards strukturieren
HIPAA Security Rule	Mapping verfügbar für Gesundheitsorganisationen in den USA

Implementierungs-Aufwand

KMU (10–50 Personen, IG1): 3–9 Monate Aufbau, danach 0,1–0,3 FTE für Pflege. Viele Safeguards sind über bestehende Tools (M365, Standard-EDR, MDM) ohne Zusatzkosten umsetzbar.

Mittelstand (50–500 Personen, IG2): 9–18 Monate Aufbau, 0,5–2 FTE für Pflege. Investitionen in Schwachstellenscanner, SIEM, dediziertes EDR und Identity-Lösung typisch.

Großorganisation (>500 Personen, IG3): 18–36 Monate Aufbau, mehrere FTEs in einem Security-Operations-Team. Penetrationstests, Threat-Intelligence-Feeds, Incident-Response-Retainer und Red-Team-Übungen kommen dazu.

Wiederkehrende Kosten: Schwachstellenscanner-Lizenz, EDR/SIEM-Lizenzen, Penetrationstests (jährlich), Awareness-Plattform, Zeit für regelmäßige Restore-Tests, Patch-Zyklen und Konfigurations-Reviews.

Quellen

CIS Controls v8.1 — offizielle Seite mit Download
CIS Controls Self Assessment Tool (CSAT) — kostenloses Bewertungswerkzeug
CIS Benchmarks — plattformspezifische Konfigurations-Guides
CIS RAM v2.1 — Risikobewertungsmethode für die Priorisierung

Häufig gestellte Fragen

Welche Implementation Group passt zu meiner Organisation?

IG1 ist das Pflichtprogramm für jede Organisation: 56 Safeguards, die typische Cyberangriffe gegen kleine Unternehmen abwehren. IG2 (insgesamt 130 Safeguards) gilt für mittelständische Organisationen mit IT-Personal und vertraulichen Geschäftsdaten. IG3 (alle 153 Safeguards) zielt auf große Organisationen mit Sicherheitsexpertise und Bedrohungslagen, die gezielte Angriffe einschließen. Die Einordnung hängt von Ressourcen, Datensensibilität und Bedrohungsmodell ab — nicht allein von der Mitarbeiterzahl.

Sind die CIS Controls zertifizierbar?

Es gibt keine formale Zertifizierung gegen die CIS Controls selbst. Das Center for Internet Security bietet aber Self-Assessment-Tools (CIS CSAT) und für ausgewählte Plattformen die CIS Benchmarks mit konkreten Konfigurationsempfehlungen. Auditfirmen führen CIS-Controls-Reifegradbewertungen als Beratungsleistung durch. In der Praxis werden die CIS Controls häufig als technisches Beiwerk zu einem ISO-27001- oder NIST-CSF-Programm eingesetzt.

Was sind die CIS Benchmarks und wie passen sie dazu?

Die CIS Benchmarks sind detaillierte, plattformspezifische Konfigurationsempfehlungen — etwa für Windows, Linux, AWS, Microsoft 365 oder Kubernetes. Es gibt aktuell über 100 Benchmarks. Sie konkretisieren mehrere Controls (vor allem CIS Control 4: Sichere Konfiguration). Viele Hersteller-Tools können automatisch gegen Benchmarks scannen. Die Benchmarks sind kostenlos als PDF verfügbar, Tooling-Integration und maschinenlesbare Formate sind teilweise CIS-SecureSuite-Mitgliedern vorbehalten.