CIS
Die CIS Controls (Center for Internet Security Controls) sind ein praxisorientiertes, global anerkanntes Framework mit 18 priorisierten Sicherheitsanforderungen, das Organisationen hilft, sich gegen die häufigsten Cyberangriffe zu schützen. Sie basieren auf realen Angriffsdaten und sind technisch sehr konkret – ideal als Einstieg oder technische Basis für andere Standards wie ISO 27001 oder BSI C5.
Was sind die CIS Controls genau?
Aktuelle Version: CIS Controls v8.1 (Juni 2024), mit 153 Sub-Kontrollen, gegliedert in 3 Implementation Groups (IGs):
| Kategorie | Controls | IG1 (KMU) | IG2 (mittel) | IG3 (groß/hochreguliert) |
|---|---|---|---|---|
| Basic (1-6) | Asset/Software Inventory, Data Protection, Admin Privileges, Secure Config, Logging | 56 Safeguards | +25 | +14 |
| Foundational (7-16) | Malware, Vulnerability Mgmt, Access Control, Incident Response, etc. | - | 47 Safeguards | +32 |
| Organizational (17-18) | Incident Response Management, Penetration Testing | - | - | 16 Safeguards |
Beispiele konkreter Sub-Kontrollen (IG1):
1.1: Maintain detailed asset inventory (hardware + software)
3.1: Encrypt sensitive data at rest (AES-256)
4.1: Minimize admin accounts (least privilege)
5.1: Use CIS Benchmarks für Hardening
6.1: Collect logs von critical systems (min. 90 Tage)
Keine offizielle Zertifizierung – aber Assessments
CIS Controls sind keine zertifizierbare Norm, sondern ein Best-Practice-Katalog:
| Option | Anbieter | Inhalt | Gültigkeit |
|---|---|---|---|
| CIS-CAT Pro | CISecurity.org | Automatisierte Compliance-Scan (100+ Checks) | Laufend |
| CIS Assessment | Partner (Deloitte, KPMG, ..) | 3-Tage-Assessment mit Reifegrad-Bericht | 12 Monate |
| Third-Party | Drata, Vanta, Secureframe | Kontinuierliche Überwachung + Reporting | Laufend |
Mapping-Zertifizierungen (beliebt in DE):
CIS Controls → ISO 27001 Annex A (93 Kontrollen)
CIS Controls → BSI C5 (Mapping verfügbar)
CIS Controls → NIST CSF 2.0 (1:1 Abdeckung)
Warum CIS Controls in Deutschland relevant sind
Vorteile:
- Kosteneffizient: 80% Schutz mit 20% Aufwand (Pareto-Prinzip)
- Technisch konkret: "Patch critical CVEs < 7 Tage" statt abstrakter Prozesse
- Skalierbar: IG1 für KMU (10–50 Mitarbeiter), IG3 für DAX-Konzerne
- NIS2-ready: Deckt "state of the art" für mittlere Unternehmen ab
Marktposition:
DE-Verwendung (Stand 2025): 42% (vor allem Mittelstand + Cloud-MSPs)
International: 68% Fortune 1000
Top-3 in US FedRAMP, CMMC Level 2
Vergleich zu deutschen Standards
| Aspekt | CIS Controls | BSI IT-Grundschutz | C5 |
|---|---|---|---|
| Fokus | Technische Umsetzung | Best Practices | Dienstleisterbewertung |
| Tiefe | Sehr konkret | Mittel | Hoch (C0-C5) |
| Zertifizierung | Nein (Assessment) | Ja (fortlaufend) | Ja (24 Monate) |
| IG1=Grundschutz | ~95% Abdeckung | 100% | 60% Abdeckung |
Empfehlung: CIS Controls IG1 als technischer Start, dann BSI IT-Grundschutz für Prozesse, C5 für Cloud-Dienstleister, ISO 27001 für internationale Zertifizierung.
Download: Kostenlos unter cisecurity.org/controls.
