Sicherheitsanleitung für Unternehmen mit CIS

Heutzutage gehören Cyberattacken zu den größten Herausforderungen für Unternehmen. Mit dem Critical Security Controls werden hilfreiche Handlungsempfehlungen geliefert, welche Unternehmen eine große Unterstützung sein kann.

Die CIS Critical Security Controls bietet Unternehmen Empfehlungen und Maßnahmen um Cyberangriffe effektiv abzuwehren. Dabei decken sie eine Bandbreite an Themen von der Erfassung der verwendeten Hard- und Software hin zu gezielten Schutzmaßnahmen und den Umgang mit Sicherheitsvorfällen ab.

Bekannte Muster als Grundlage

Die in den Critical Security Controls empfohlenen Maßnahmen sind von den häufigsten Angriffsmustern abgeleitet. Basierend auf gesammelten Daten über Bedrohungen werden umsetzbare Anleitungen entwickelt, die Unternehmen helfen sollen die Gesamtsicherheit zu erhöhen. So können technische Maßnahmen geboten werden, mit denen Cyberangriffe effektiv bekämpft werden können. Zudem werden auf Grundlage von Beobachtungen und Erfahrungen die wirkungsvollen Verteidigunsmaßnahmen von Unternehmen identifiziert und nach Wichtigkeit priorisiert.

Schnelle Hilfe für Unternehmen

Die CIS-Kontrollen werden entsprechend nach den neusten Trends bei Cyberkriminalität angepasst. In der neuen Version wird der Fokus vor allem auf der einfacheren Implementierung sowie die Gruppierung und Priorisierung der Maßnahmen gelegt. So können Unternehmen schneller entscheiden, welche Maßnahmen sie bei begrenzten Ressourcen anwenden. „Wenn eine Organisation entscheiden muss, wo sie investieren soll, dann macht es Sinn, sich auf das Wesentliche zu konzentrieren, und nicht auf das, worüber in den Nachrichten am meisten gesprochen wird oder was in diesem Jahr im Trend liegt,“ so James Tarala, Senior Instructor beim SANS Institute.

Neuerungen in der aktuellen Version

In der neuen Version wird der Schwerpunkt für Unternehmen auf Application Whistelisting und Multi-Faktor-Authentifizierung gelegt. Mit dem Whitelisting erstellen Unternehmen eine Liste mit Binärdaten, denen sie vertrauen, wohingegen alle anderen blockiert werden. Ähnlich eliminiert die Multi-Faktor-Authentifizierung Angriffe, die auf Login-Daten und die Authentifizierung abzielen. Zwar sind diese Maßnahmen aufwändig umzusetzen, jedoch ist die Resonanz der Unternehmen die sich die Mühe gemacht haben sehr positiv.

Gap-Analyse finden Sicherheitslücken

Um sich einen besseren Überblick über die Umsetzung der Security Controls zu verschaffen, empfiehlt James Tarala eine Gap-Analyse im Hinblick auf die CIS-Kontrollen durchzuführen. So können Unternehmen anhand eines Fragenkatalogs identifizieren, welche Maßnahmen sie schon implementiert haben und wo noch Lücken im Sicherheitssystem zu finden sind. So können Unternehmen mithilfe der Critical Security Controls diese schließen und sich ideal auf Hackerangriffe und Cyberattacken vorbereiten.

Dieser Beitrag basiert auf einem Artikel von Search Security.

Das Wichtigste in Kürze

• Mit dem Critical Security Controls werden hilfreiche Handlungsempfehlungen geliefert, welche Unternehmen eine große Unterstützung sein kann.
• Die CIS Critical Security Controls bietet Unternehmen Empfehlungen und Maßnahmen um Cyberangriffe effektiv abzuwehren.
• Basierend auf gesammelten Daten über Bedrohungen werden umsetzbare Anleitungen entwickelt, die Unternehmen helfen sollen die Gesamtsicherheit zu erhöhen.
• Zudem werden auf Grundlage von Beobachtungen und Erfahrungen die wirkungsvollen Verteidigunsmaßnahmen von Unternehmen identifiziert und nach Wichtigkeit priorisiert.

Key Facts

Angriffsdauer: Im Durchschnitt bleiben Angreifer 204 Tage unentdeckt im Unternehmensnetzwerk.

Mittelstand im Visier: 43 Prozent aller Cyberangriffe richten sich gegen kleine und mittlere Unternehmen.

Häufige Fragen

Was sind die häufigsten Cyberbedrohungen für Unternehmen?

Laut BSI-Lagebericht sind Ransomware, Phishing, DDoS-Angriffe und Supply-Chain-Kompromittierungen die häufigsten Bedrohungen. Für deutsche Unternehmen kommen regulatorische Risiken (DSGVO, NIS2) hinzu.

Wie viel sollte ein Unternehmen in Cybersicherheit investieren?

Branchenexperten empfehlen 10 bis 15 Prozent des IT-Budgets für Cybersicherheit. Deutsche Unternehmen liegen laut Bitkom im Durchschnitt bei 14 Prozent. Entscheidend ist nicht nur die Höhe, sondern die strategische Verteilung auf Prävention, Erkennung und Reaktion.

Braucht jedes Unternehmen einen CISO?

Nicht jedes Unternehmen braucht einen Vollzeit-CISO, aber jedes braucht eine klare Verantwortlichkeit für IT-Sicherheit auf Geschäftsführungsebene. KMU können auf einen externen CISO (Virtual CISO) zurückgreifen. Mit NIS2 wird die Management-Verantwortung gesetzlich verankert.

Verwandte Artikel

• secIT by Heise 2026: Die Security-Roadshow für Admins und IT-Verantwortliche
• DsiN-Jahreskongress 2026: Digitale Sicherheit in der vernetzten Gesellschaft
• Cybersec Europe 2026: Brüssels Security-Konferenz im Herzen der EU-Regulierung

Mehr aus dem MBF Media Netzwerk

• IT-Strategien für Entscheider auf digital-chiefs.de
• Cloud & Infrastruktur-News auf cloudmagazin.com

Quelle Titelbild: iStock/ guvendemir

Fakt: Die Zahl der täglich neu entdeckten Malware-Varianten liegt laut AV-TEST bei über 450.000.

Fakt: Cyber-Versicherungsprämien stiegen laut Munich Re 2024 um durchschnittlich 15 Prozent.

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor Alec Chizhik