Härtung von IT mittels Standards wird zunehmend besser und handhabbarer

veröffentlicht am 20. Januar 2022

Von Härtung spricht man, wenn Hard- oder Software im Rahmen der Inbetriebnahme, über den „Werkszustand” hinaus, individuell abgesichert und somit noch besser geschützt wird. Oft sind die ausgelieferten Neusysteme werksseitig so eingerichtet, dass ein problemloser Betrieb gewährleistet wird. Von einem sicheren Betrieb ist hier aber oftmals kaum eine Rede (erinnere: Standard-Admin-Logins mit Standardpasswörtern).

Für diesen Härtungsprozess mussten sich vor nicht allzu langer Zeit Administratoren noch umfassend in die Materie einarbeiten. Immer mit der Gefahr verbunden, Lücken zu übersehen oder nicht auf dem Stand der Entwicklung zu sein.

Dankenswerter Weise hat sich hier eine für alle Akteure (Administratoren, Prüfer, Qualitätssicherer, Revisoren etc.) bedeutende Organisation entwickelt und in verschiedenen Bereichen Pionierarbeit geleistet. Das Center for Internet Security (CIS) ist eine gemeinnützige Organisation, welche es sich zum Ziel gesetzt hat, im Sinne von Benchmarks bewährte Lösungen zum Schutz vor Cyberbedrohungen zu bieten.

Die Organisation greift dabei auf das Know-how von IT-Fachleuten aus Regierungen, Unternehmen sowie aus Bildung und Forschung zurück, um Bedrohungen sowie Lösungen zu identifizieren, zu entwickeln und zu fördern.

Die dabei entstehenden CIS-Benchmarks sind Checklisten, welche helfen, eine Basis-Konfiguration für den sicheren Betrieb zu gewährleisten. Dabei entsprechen die Checklisten zahlreichen etablierten Normen und aufsichtsrechtlichen Rahmenbedingungen und sind hierdurch enorm hilfreich.

Für folgende Systemarten gibt es derzeit schon entsprechende Checklisten:

Betriebssysteme
Serversysteme
Cloud Provider
Mobiles
Network Devices
Desktop Software
Multifunktionale Drucker

Besonders hervorzuheben ist, dass sich Microsoft u. a. für Azure und M365 bei CIS engagiert und an der Härtung der Cloud-Umgebung somit wesentlich mitwirkt. Gerade in Verbindung mit dem Microsoft Compliance-Manager macht das einen besonderen Vorteil aus.

Sollte in einem Unternehmen ein Informationssicherheitsmanagementsystem (ISMS) installiert sein oder steht das Unternehmen vor der Fragestellung, ob ein ISMS Sinn macht, dann gewinnt diese durch die Integration der CIS-Benchmarks deutlich an Wert.

Vor diesem Hintergrund stellen sich folgende Fragen insbesondere für die Geschäftsleitung und somit für den IT-Betrieb Verantwortliche:

Wie können die CIS-Benchmarks in den laufenden Betrieb (Wartung, Vorfallbehandlung) sowie im Rahmen von Neu- und Ersatzbeschaffung von Hard- und Software so integriert werden, dass ein höheres Schutzniveau erreicht wird?
Können die Ergebnisse von CIS-Benchmarks für ein Compliance-System bzw. für ein internes Kontrollsystem genutzt werden und wie kann hier ein Reporting aussehen?
Kann die Nutzung der CIS-Benchmarks auch für eine positive Kommunikation zu Kunden und Geschäftspartnern verwendet werden und wie?

Sollten Sie Interesse an einer Nutzung der CIS-Benchmarks haben, stehen wir Ihnen gerne zur Verfügung.

Anrede
Titel
Vorname
Nachname
Branche
Firma
Straße/Hausnummer
PLZ
Ort
Land
Telefon
E-Mail *	**
Frage *	*

Datenschutzerklärung *

Ich stimme der Nutzung meiner personenbezogenen Daten im Rahmen der Datenschutzerklärung ausdrücklich zu.

*
Einwilligung

Ja, ich möchte von Rödl & Partner* per E-Mail über weitere Neuigkeiten und Veranstaltungen rund um das Thema Digital GRC informiert werden.

Ja, ich möchte von Rödl & Partner* per E-Mail außerdem darüber hinaus über Neuigkeiten und Veranstaltungen rund um die Themen Recht, Steuern und Wirtschaft informiert werden.

Helfen Sie uns, Spam zu bekämpfen.