Härtung von IT mittels Standards wird zunehmend besser und handhabbarer

PrintMailRate-it

​veröffentlicht am 20. Januar 2022


Von Härtung spricht man, wenn Hard- oder Software im Rahmen der Inbetriebnahme, über den „Werkszustand” hinaus, individuell abgesichert und somit noch besser geschützt wird. Oft sind die ausgelieferten Neusysteme werksseitig so eingerichtet, dass ein problemloser Betrieb gewährleistet wird. Von einem sicheren Betrieb ist hier aber oftmals kaum eine Rede (erinnere: Standard-Admin-Logins mit Standardpasswörtern).


Für diesen Härtungsprozess mussten sich vor nicht allzu langer Zeit Administratoren noch umfassend in die Materie einarbeiten. Immer mit der Gefahr verbunden, Lücken zu übersehen oder nicht auf dem Stand der Entwicklung zu sein.


Dankenswerter Weise hat sich hier eine für alle Akteure (Administratoren, Prüfer, Qualitätssicherer, Revisoren etc.) bedeutende Organisation entwickelt und in verschiedenen Bereichen Pionierarbeit geleistet. Das Center for Internet Security (CIS) ist eine gemeinnützige Organisation, welche es sich zum Ziel gesetzt hat, im Sinne von Benchmarks bewährte Lösungen zum Schutz vor Cyberbedrohungen zu bieten.


Die Organisation greift dabei auf das Know-how von IT-Fachleuten aus Regierungen, Unternehmen sowie aus Bildung und Forschung zurück, um Bedrohungen sowie Lösungen zu identifizieren, zu entwickeln und zu fördern.


Die dabei entstehenden CIS-Benchmarks sind Checklisten, welche helfen, eine Basis-Konfiguration für den sicheren Betrieb zu gewährleisten. Dabei entsprechen die Checklisten zahlreichen etablierten Normen und aufsichtsrechtlichen Rahmenbedingungen und sind hierdurch enorm hilfreich.


Für folgende Systemarten gibt es derzeit schon entsprechende Checklisten:

  • Betriebssysteme
  • Serversysteme
  • Cloud Provider
  • Mobiles
  • Network Devices
  • Desktop Software
  • Multifunktionale Drucker


Besonders hervorzuheben ist, dass sich Microsoft u. a. für Azure und M365 bei CIS engagiert und an der Härtung der Cloud-Umgebung somit wesentlich mitwirkt. Gerade in Verbindung mit dem Microsoft Compliance-Manager macht das einen besonderen Vorteil aus.


Sollte in einem Unternehmen ein Informationssicherheitsmanagementsystem (ISMS) installiert sein oder steht das Unternehmen vor der Fragestellung, ob ein ISMS Sinn macht, dann gewinnt diese durch die Integration der CIS-Benchmarks deutlich an Wert.


Vor diesem Hintergrund stellen sich folgende Fragen insbesondere für die Geschäftsleitung und somit für den IT-Betrieb Verantwortliche:

  1. Wie können die CIS-Benchmarks in den laufenden Betrieb (Wartung, Vorfallbehandlung) sowie im Rahmen von Neu- und Ersatzbeschaffung von Hard- und Software so integriert werden, dass ein höheres Schutzniveau erreicht wird?
  2. Können die Ergebnisse von CIS-Benchmarks für ein Compliance-System bzw. für ein internes Kontrollsystem genutzt werden und wie kann hier ein Reporting aussehen?
  3. Kann die Nutzung der CIS-Benchmarks auch für eine positive Kommunikation zu Kunden und Geschäftspartnern verwendet werden und wie?

Sollten Sie Interesse an einer Nutzung der CIS-Benchmarks haben, stehen wir Ihnen gerne zur Verfügung.

Anrede
Titel
Vorname
Nachname
Branche
Firma
Straße/Hausnummer
PLZ
Ort
Land
Telefon
E-Mail *
Frage *
Datenschutzerklärung *

Einwilligung

Helfen Sie uns, Spam zu bekämpfen.


Captcha image
Show another codeAnderen Code generieren



Kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Wir beraten Sie gern!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu