CIS Benchmarks
International anerkannte Best-Practice-Konfigurationsrichtlinien des Center for Internet Security für die Härtung von IT-Systemen.
CIS Benchmarks sind detaillierte, konsensbasierte Konfigurationsempfehlungen für die Härtung von Betriebssystemen, Anwendungen, Netzwerkgeräten und Cloud-Plattformen. Sie werden vom Center for Internet Security (CIS) entwickelt und regelmäßig aktualisiert. Die Benchmarks sind in zwei Profile unterteilt: Level 1 (grundlegende Härtung, minimaler Einfluss auf Funktionalität) und Level 2 (erweiterte Härtung für Hochsicherheitsumgebungen).
Wie CIS Benchmarks aufgebaut sind
Jeder CIS Benchmark folgt einer einheitlichen Struktur. Für jede Konfigurationsempfehlung gibt es eine Beschreibung der Einstellung, eine Begründung (Rationale), die möglichen Auswirkungen auf den Betrieb (Impact), ein Prüfverfahren (Audit) und eine Anleitung zur Umsetzung (Remediation). Diese Detailtiefe unterscheidet CIS Benchmarks von allgemeineren Sicherheitsframeworks — sie liefern nicht nur das 'Was', sondern auch das 'Wie'.
Die Unterteilung in Level 1 und Level 2 ist dabei entscheidend für die praktische Anwendbarkeit. Level 1 enthält Empfehlungen, die auf nahezu jedem System ohne Funktionseinbußen umgesetzt werden können — etwa die Deaktivierung ungenutzter Dienste oder die Konfiguration von Passwortrichtlinien. Level 2 geht weiter und kann die Funktionalität oder Performance beeinflussen, bietet aber einen höheren Schutz für besonders kritische Systeme.
Anwendungsbereiche
CIS Benchmarks existieren für Windows Server, Windows Desktop, Linux (RHEL, Ubuntu, SUSE), macOS, AWS, Azure, Google Cloud, Kubernetes, Docker, Microsoft 365 und viele weitere Plattformen. Jeder Benchmark enthält hunderte einzelne Konfigurationsempfehlungen. Die relevantesten Benchmarks für den deutschen Mittelstand sind typischerweise Windows Server, Windows Desktop, Microsoft 365 und — bei Cloud-Nutzung — die Benchmarks für Azure oder AWS.
CIS Benchmarks in der Systemhärtung
Die Umsetzung von CIS Benchmarks ist der Kern jeder systematischen Systemhärtung. Statt Systeme mit Standardkonfigurationen in Produktion zu nehmen und auf bekannte Schwachstellen zu hoffen, definieren CIS Benchmarks einen sicheren Ausgangszustand. In der Praxis zeigt sich, dass Standardinstallationen von Windows Server oder Linux-Distributionen zahlreiche unnötig aktivierte Dienste, unsichere Protokolle und zu permissive Einstellungen mitbringen. CIS Benchmarks adressieren genau diese Schwachstellen systematisch.
Die Automatisierung der Härtung über Gruppenrichtlinien (GPOs) in Active Directory, Ansible Playbooks oder Desired State Configuration (DSC) ist dabei unverzichtbar. Manuelle Umsetzung auf jedem einzelnen System skaliert nicht und führt unweigerlich zu Konfigurationsdrift.
CIS vs. BSI vs. Microsoft Baselines
| Framework | Herkunft | Fokus | Stärke |
|---|---|---|---|
| CIS Benchmarks | Center for Internet Security (USA) | Technische Konfiguration | Herstellerunabhängig, hochdetailliert |
| BSI IT-Grundschutz | BSI (Deutschland) | Organisatorisch + technisch | Deutsche Regulatorik, ganzheitlicher Ansatz |
| Microsoft Security Baselines | Microsoft | Windows-Ökosystem | Nativ in GPOs integriert |
| DISA STIGs | US-Verteidigungsministerium | Hochsicherheit | Strengste Vorgaben, oft als Referenz |
In der Praxis kombiniert man diese Frameworks für eine umfassende Härtung. CIS Benchmarks liefern die technische Detailtiefe, BSI-Grundschutz den organisatorischen Rahmen und Microsoft Baselines die nahtlose Integration in Windows-Umgebungen. Die Überlappungen sind gewollt — wo sich alle drei einig sind, handelt es sich um absolute Mindeststandards.
CIS Controls und Benchmarks
Neben den Benchmarks veröffentlicht CIS auch die CIS Controls — eine priorisierte Liste von Sicherheitsmaßnahmen, die als strategischer Rahmen dienen. Während die Controls das 'Was' definieren (z. B. 'Inventarisierung aller Geräte'), liefern die Benchmarks das 'Wie' auf technischer Ebene. Die Kombination beider Instrumente ermöglicht eine strukturierte, priorisierte Härtung der gesamten IT-Infrastruktur.
Relevanz für KMUs
CIS Benchmarks sind frei verfügbar und damit auch für mittelständische Unternehmen ohne dediziertes Security-Team zugänglich. Der pragmatische Einstieg ist die Umsetzung des Level-1-Profils für Windows Server und Clients über Gruppenrichtlinien. Bereits dieser Schritt schließt eine Vielzahl von Konfigurationsschwächen, die Angreifer in der Praxis routinemäßig ausnutzen. Für Unternehmen, die eine ISO 27001-Zertifizierung anstreben, liefern CIS Benchmarks zudem einen nachvollziehbaren Nachweis für die technische Umsetzung von Sicherheitskontrollen.