CIS Benchmarks Security Hardening Assessment
CIS-Benchmarks sind der Goldstandard für die Härtung von Sicherheitskonfigurationen und werden von PCI DSS, FedRAMP, HIPAA und praktisch allen wichtigen Sicherheits-Frameworks referenziert. KENSAI automatisiert die CIS-Benchmark-Bewertung Ihrer gesamten Infrastruktur – von Windows-Servern bis hin zu Kubernetes-Clustern – und priorisiert, was zuerst behoben werden muss.
Führen Sie die CIS-Bewertung durch → Siehe CIS-DashboardWas sind CIS-Benchmarks?
Das Center for Internet Security (CIS) veröffentlicht herstellerunabhängige Sicherheitskonfigurationsrichtlinien, die im Konsens mit Cybersicherheitsexperten weltweit entwickelt wurden. CIS-Benchmarks decken über 100 Technologien ab und definieren spezifische, testbare Konfigurationsempfehlungen, die die Angriffsfläche reduzieren.
CIS-Benchmarks sind in zwei Implementierungsebenen unterteilt:
- Stufe 1:Wesentliche Sicherheitskonfigurationen mit minimalen betrieblichen Auswirkungen. Dies sind „Muss“-Einstellungen, die jede Organisation implementieren sollte. Wenn die Prüfungen der Stufe 1 nicht bestehen, bedeutet dies, dass keine grundlegende Härtung angewendet wurde.
- Ebene 2:Umfassendere Sicherheitseinstellungen für Hochsicherheitsumgebungen. Einige Empfehlungen der Stufe 2 können sich auf die Funktionalität auswirken oder Workflow-Änderungen erfordern. Empfohlen für sensible oder regulierte Systeme.
💡 CIS-Kontrollen vs. CIS-Benchmarks:CIS Controls (ehemals Critical Security Controls) sind hochrangige Best Practices –Waszu tun. CIS-Benchmarks sind präskriptive Konfigurationsrichtlinien –Wieum es für bestimmte Technologien zu tun. Beide ergänzen sich. KENSAI unterstützt die Bewertung im Hinblick auf beides.
Abdeckung der wichtigsten CIS-Benchmarks
Kontorichtlinien, Überwachungsrichtlinien, Zuweisung von Benutzerrechten, Sicherheitsoptionen, Windows-Firewall, erweiterte Überwachungsrichtlinie – über 300 Einzelprüfungen.
Dateisystemkonfiguration, Software-Updates, Spezialdienste, Netzwerkkonfiguration, Protokollierung, Zugriffskontrolle, Systemwartung – mehr als 250 Prüfungen pro Distribution.
API-Serverkonfiguration, Controller-Manager, Scheduler usw., Worker-Knoten, RBAC-Richtlinien, Netzwerkrichtlinien – entscheidend für die Cloud-native Sicherheit.
Host-Konfiguration, Daemon-Konfiguration, Docker-Daemon-Dateien, Container-Images, Container-Laufzeit – sichert den gesamten Container-Stack.
IAM-Konfiguration, Protokollierung und Überwachung, Netzwerk, Speicher – die Cloud-spezifischen Benchmarks, die jede Cloud-Bereitstellung bestehen sollte.
Serverkonfiguration, SSL/TLS-Einstellungen, HTTP-Header, Zugriffskontrollen, Protokollierung – reduziert die Angriffsfläche des Webservers erheblich.
Authentifizierung, Zugriffskontrolle, Prüfung, Netzwerkkonfiguration, Verschlüsselung – schützt Ihre wertvollsten Datenbestände.
CIS-Benchmark-Scores: Wie gut aussieht
Durchschnittliche CIS-Compliance-Bewertung der Stufe 1 für neu aufgenommene Organisationen
Branchendurchschnitt – erhebliches Verbesserungspotenzial bei der Grundhärtung
| CIS-Score-Bereich | Reifegrad | Typischer Staat |
|---|---|---|
| 90–100% | Exzellent | Ausgereiftes Härteprogramm, kontinuierliche Überwachung |
| 75–89% | Gut | Aktive Härtungsbemühungen, einige technische Schulden |
| 50–74% | Gerecht | Ad-hoc-Härtung, inkonsistentes Konfigurationsmanagement |
| <50 % | Arm | Vorherrschende Standardkonfigurationen, erhebliche Angriffsfläche |
CIS-Benchmarks und Einhaltung gesetzlicher Vorschriften
CIS-Benchmarks werden in praktisch allen wichtigen Compliance-Rahmenwerken referenziert oder von diesen akzeptiert:
| Rahmen | CIS-Benchmark-Referenz |
|---|---|
| PCI DSS v4.0 | Anforderung 2.2: Anwenden branchenüblicher Härtungsstandards (CIS ist explizit aufgeführt) |
| FedRAMP | CM-6: USGCB- oder CIS-Benchmarks für alle Komponenten erforderlich |
| HIPAA | Technische Sicherheitsvorkehrungen – CIS-Benchmarks erfüllen die Anforderungen des Konfigurationsmanagements |
| SOC 2 | CC6.1: Logische Zugriffskontrollen – CIS-Härtung ist ein starker Beweis |
| ISO 27001:2022 | Anhang A 8.9: Konfigurationsmanagement – CIS-Benchmarks werden als Implementierung akzeptiert |
| NIST-CSF | PR.IP-1: Basiskonfiguration – CIS-Benchmarks sind der Standard |
Häufige CIS-Benchmark-Fehler
- Passwortrichtlinien nicht erzwungen:Maximales Alter, Komplexität und Sperreinstellungen werden auf den Standardwerten belassen
- Nicht benötigte Dienste werden ausgeführt:FTP, Telnet, RSH, NFS aktiviert, wenn nicht erforderlich
- Audit-Protokollierung deaktiviert:Systemereignisse, Anmeldeereignisse und die Nutzung von Berechtigungen werden nicht aufgezeichnet
- Weltweit beschreibbare Dateien:Dateien mit übermäßigen Berechtigungen, die es jedem Benutzer ermöglichen, kritische Systemdateien zu ändern
- Aktive Standardkonten:Gastkonten, Standarddatenbankbenutzer nicht deaktiviert
- Veraltete TLS-Konfiguration:TLS 1.0/1.1 und schwache Verschlüsselungssammlungen sind weiterhin aktiviert
- Fehlende Sicherheitsheader:HSTS, X-Frame-Optionen, CSP nicht auf Webservern konfiguriert
- Als Root ausgeführter Container:Docker-Container werden mit Root-Rechten ausgeführt
- Kubernetes RBAC zu freizügig:Standardmäßige Dienstkontoberechtigungen sind nicht eingeschränkt
- Öffentlicher Zugriff auf den Cloud-Speicher:In S3/GCS-Buckets fehlen Einstellungen zum Blockieren des öffentlichen Zugriffs
Wie KENSAI CIS-Benchmark-Bewertungen liefert
✓ Über 100 Technologieabdeckungen
Bewerten Sie Windows, Linux, macOS, wichtige Datenbanken, Webserver, Kubernetes, Docker und alle drei wichtigen Cloud-Plattformen anhand aktueller CIS-Benchmarks.
✓ Agentenlos und agentenbasiert
Netzwerkbasierte CIS-Bewertung für schnelle Abdeckung ohne Agenteneinsatz. Agentenbasiert für tiefergehende Prüfungen auf Betriebssystem- und Anwendungsebene.
✓ Priorisierte Sanierung
Nicht alle CIS-Fehler sind gleich. KENSAI priorisiert Erkenntnisse nach Ausnutzbarkeit, regulatorischer Auswirkung und Behebungsaufwand, um den Sicherheits-ROI zu maximieren.
✓ Basisliniendrift-Erkennung
Warnt, wenn Systeme von ihrer gehärteten Grundlinie abweichen – entscheidend für die Erkennung unbefugter Konfigurationsänderungen oder neuer Systeme, die ohne Härtung bereitgestellt werden.
✓ CIS-Score-Trending
Verfolgen Sie Ihren CIS-Compliance-Score im Laufe der Zeit. Demonstrieren Sie den Auditoren kontinuierliche Verbesserungen und demonstrieren Sie den Wert Ihres Härtungsprogramms.
✓ Compliance-Mapping
Jedes CIS-Ergebnis wird den darauf verweisenden Compliance-Frameworks zugeordnet – eine Bewertung liefert Beweise für PCI DSS, FedRAMP, SOC 2 und mehr gleichzeitig.
Erste Schritte mit der CIS-Härtung
- Ist-Zustand beurteilen:Führen Sie die CIS-Bewertung von KENSAI durch, um Ihren Basiswert zu ermitteln und Lücken mit den größten Auswirkungen zu identifizieren
- Priorisieren Sie nach Risiko:Konzentrieren Sie sich zunächst auf Fehler der Stufe 1, insbesondere auf mit dem Internet verbundene und datentragende Systeme
- Systematisch beheben:Verwenden Sie Infrastructure-as-Code (Ansible, Chef, Puppet, Terraform), um Härtung im großen Maßstab anzuwenden
- Änderungen validieren:Nach der Behebung erneut scannen, um zu bestätigen, dass die Konfigurationen wirksam wurden
- Drifterkennung implementieren:Überwachen Sie auf Konfigurationsänderungen, die die Härtung rückgängig machen
- Regelmäßig wiederholen:Neue Systeme, neue Benchmarks und Systemänderungen erfordern eine fortlaufende Bewertung
Kennen Sie Ihren CIS-Benchmark-Score für Ihre gesamte Infrastruktur
KENSAI scannt Ihre Server, Container, Cloud-Konten und Datenbanken anhand aktueller CIS-Benchmarks – und liefert Ihnen eine einzige Bewertung, priorisierte Ergebnisse und den Korrekturnachweis, den Ihre Compliance-Programme benötigen.
Führen Sie die CIS-Bewertung durch → Sprechen Sie mit einem Härterexperten