Benchmarks des Center for Internet Security (CIS)Center for Internet Security (CIS) Benchmarks

Informationen zu CIS-BenchmarksAbout CIS Benchmarks

Das Center for Internet Security ist eine gemeinnützige Organisation, die es sich zum Ziel gesetzt hat, „Bewährte Lösungsmethoden zum Schutz vor Cyberbedrohungen zu identifizieren, zu entwickeln, zu bewerten, zu fördern und zu unterstützen“.The Center for Internet Security is a nonprofit entity whose mission is to 'identify, develop, validate, promote, and sustain best practice solutions for cyberdefense.' Die Organisation macht sich dabei das Know-how zum Thema Internetsicherheit und das Wissen von IT-Experten aus Regierung, Unternehmen und Akademien auf der ganzen Welt zu Nutze.It draws on the expertise of cybersecurity and IT professionals from government, business, and academia from around the world. Zur Entwicklung von Standards und bewährten Methoden, einschließlich CIS-Benchmarks, Steuerungen und gehärteten Images, wird ein konsensbasiertes Entscheidungsmodell befolgt.To develop standards and best practices, including CIS benchmarks, controls, and hardened images, they follow a consensus decision-making model.

CIS-Benchmarks sind Basispläne für Konfiguration und bewährte Methoden zur sicheren Konfiguration eines Systems.CIS benchmarks are configuration baselines and best practices for securely configuring a system. Jede Empfehlung verweist auf eine oder mehrere CIS-Steuerungen, die entwickelt wurden, um Organisationen bei der Verbesserung ihrer Verteidigung gegen Cyberangriffe zu unterstützen.Each of the guidance recommendations references one or more CIS controls that were developed to help organizations improve their cyberdefense capabilities. Die CIS-Steuerungen entsprechen zahlreichen etablierten Normen und aufsichtsrechtlichen Rahmenbedingungen, einschließlich des NIST Cybersecurity Framework (CSF) und des NIST-SP 800-53, der ISO 27000-Reihe von Standards, PCI DSS, HIPAA und weiteren.CIS controls map to many established standards and regulatory frameworks, including the NIST Cybersecurity Framework (CSF) and NIST SP 800-53, the ISO 27000 series of standards, PCI DSS, HIPAA, and others.

Jeder Benchmark unterliegt zwei Phasen der konsensbasierten Überprüfung.Each benchmark undergoes two phases of consensus review. Die erste Phase erfolgt während der anfänglichen Entwicklung, wenn sich Experten treffen, um Arbeitsentwürfe zu besprechen, zu erstellen und zu testen, bis sie eine Einigung über den Benchmark erzielen.The first occurs during initial development when experts convene to discuss, create, and test working drafts until they reach consensus on the benchmark. In der zweiten Phase, nach der Veröffentlichung des Benchmarks, überprüft das Team das Feedback der Internetcommunity im Hinblick auf die Einbindung in den Benchmark.During the second phase, after the benchmark has been published, the consensus team reviews the feedback from the internet community for incorporation into the benchmark.

CIS-Benchmarks bieten zwei Ebenen von Sicherheitseinstellungen:CIS benchmarks provide two levels of security settings:

  • Ebene 1 empfiehlt grundlegende Sicherheitsanforderungen, die in jedem System konfiguriert werden können und zu geringen oder gar keinen Dienstunterbrechungen oder eingeschränkter Funktionalität führen sollten.Level 1 recommends essential basic security requirements that can be configured on any system and should cause little or no interruption of service or reduced functionality.
  • Ebene 2 empfiehlt Sicherheitseinstellungen für Umgebungen, die mehr Sicherheit erfordern, was zu einer verringerten Funktionalität führen kann.Level 2 recommends security settings for environments requiring greater security that could result in some reduced functionality.

Gehärtete CIS-Images sind sicher konfigurierte Images von virtuellen Maschinen basierend auf CIS-Benchmarks, die auf einem CIS-Benchmarkprofil der Ebene 1 oder Ebene 2 gehärtet wurden.CIS Hardened Images are securely configured virtual machine images based on CIS Benchmarks hardened to either a Level 1 or Level 2 CIS benchmark profile. Das „Härten“ ist ein Prozess, der Schutz vor unbefugtem Zugriff, Denial-of-Service-Angriffen und anderen Cyberbedrohungen bietet, indem potenzielle Schwachstellen eingeschränkt werden, die für Cyberattacken anfällig sind.Hardening is a process that helps protect against unauthorized access, denial of service, and other cyberthreats by limiting potential weaknesses that make systems vulnerable to cyberattacks.

Microsoft und die CIS-BenchmarksMicrosoft and the CIS Benchmarks

Das Center for Internet Security (CIS) veröffentlicht Benchmarks für Microsoft-Produkte und -Dienste, einschließlich der Foundation-Benchmarks für Microsoft Azure und Microsoft 365, des Benchmarks für Windows 10 und des Benchmarks für Windows Server 2016.The Center for Internet Security (CIS) has published benchmarks for Microsoft products and services including the Microsoft Azure and Microsoft 365 Foundations Benchmarks, the Windows 10 Benchmark, and the Windows Server 2016 Benchmark.

CIS-Benchmarks werden international als Sicherheitsstandards für den Schutz von IT-Systemen und Daten vor Cyberangriffen anerkannt.CIS benchmarks are internationally recognized as security standards for defending IT systems and data against cyberattacks. Sie werden von Tausenden von Unternehmen verwendet und bieten verbindliche Anweisungen für die Einrichtung einer sicheren Basislinienkonfiguration.Used by thousands of businesses, they offer prescriptive guidance for establishing a secure baseline configuration. System- und Anwendungsadministratoren, Sicherheitsexperten und andere Personen, die Lösungen mithilfe von Microsoft-Produkten und -Diensten entwickeln, können diese bewährten Methoden verwenden, um die Sicherheit ihrer Anwendungen zu bewerten und zu verbessern.System and application administrators, security specialists, and others who develop solutions using Microsoft products and services can use these best practices to assess and improve the security of their applications.

Wie alle CIS-Benchmarks wurden auch die Microsoft-Benchmarks anhand eines konsensbasierten Überprüfungsprozesses basierend auf den Beiträgen von Sachverständigen mit unterschiedlichen Hintergründen im Hinblick auf Softwareentwicklung, Überwachung und Compliance, Sicherheitsforschung, Arbeitsabläufe, Behörden und Rechtsvorschriften entwickelt.Like all CIS benchmarks, the Microsoft benchmarks were created using a consensus review process based on input from subject matter experts with diverse backgrounds spanning software development, audit and compliance, security research, operations, government, and law. Bei diesen CIS-Bemühungen war Microsoft ein unentbehrlicher Partner.Microsoft was an integral partner in these CIS efforts. Office 365 wurde beispielsweise anhand der aufgeführten Dienste getestet, und die daraus resultierenden Benchmarks für Microsoft 365 decken ein breites Spektrum von Empfehlungen zum Einrichten geeigneter Sicherheitsrichtlinien ab, die sich auf Konten und Authentifizierung, Datenverwaltung, Anwendungsberechtigungen, Speicher und andere Bereiche von Sicherheitsrichtlinien beziehen.For example, Office 365 was tested against the listed services, and the resulting Microsoft 365 Foundations Benchmark covers a broad range of recommendations for setting appropriate security policies that cover account and authentication, data management, application permissions, storage, and other security policy areas.

Zusätzlich zu den Benchmarks für Microsoft-Produkte und -Dienste hat CIS auch gehärtete CIS-Images für die Verwendung auf virtuellen Azure-Computern veröffentlicht, die so konfiguriert wurden, dass sie den CIS-Benchmarks entsprechen.In addition to the benchmarks for Microsoft products and services, CIS has also published CIS Hardened Images for use on Azure virtual machines configured to meet CIS benchmarks. Dazu gehört das gehärtete CSI-Image für Microsoft Windows Server 2016, das für die Ausführung auf Azure zertifiziert wurde.These include the CIS Hardened Image for Microsoft Windows Server 2016 certified to run on Azure. CIS gibt an, dass „alle abgesicherten CIS-Abbildungen, die im Azure Marketplace verfügbar sind, für die Ausführung unter Azure zertifiziert wurden.CIS states that, 'All CIS hardened images that are available on the Azure Marketplace are certified to run on Azure. Diese wurden vorab auf deren Einsatzbereitschaft und Kompatibilität mit der öffentlichen Azure-Cloud, der Microsoft-Cloudplattform, die von den Dienstanbietern über das Netzwerk des Cloudbetriebssystems gehostet wird, und den von Kunden verwalteten Windows Server Hyper-V-Bereitstellungen der lokalen privaten Cloud getestet.“They have been pre-tested for readiness and compatibility with the Azure public cloud, the Microsoft Cloud Platform hosted by service providers through the Cloud OS Network, and on-premise private cloud Windows Server Hyper-V deployments managed by customers.'

Microsoft-Clouddienste im LeistungsumfangMicrosoft in-scope cloud services

Prüfungen, Berichte und ZertifikateAudits, reports, and certificates

Rufen Sie eine vollständige Liste von CIS-Benchmarks für Microsoft-Produkte und -Dienste ab.Get a complete list of CIS benchmarks for Microsoft products and services.

ImplementierungHow to implement

Häufig gestellte FragenFrequently asked questions

Wird durch eine Einhaltung der CIS-Benchmarkeinstellungen die Sicherheit meiner Anwendungen gewährleistet?Will following CIS Benchmark settings ensure the security of my applications?

CIS-Benchmarks legen das grundlegende Maß an Sicherheit für alle Personen fest, die Microsoft-Produkte und -Dienste einführen.CIS benchmarks establish the basic level of security for anyone adopting in-scope Microsoft products and services. Diese Benchmarks sollten jedoch nicht als umfassende Liste aller möglichen Sicherheitskonfigurationen und -architekturen, sondern eher als Ausgangspunkt betrachtet werden.However, they should not be considered as an exhaustive list of all possible security configurations and architecture but as a starting point. Jede Organisation muss weiterhin ihre spezifische Situation, Arbeitslast und Complianceanforderungen auswerten und ihre Umgebung entsprechend anpassen.Each organization must still evaluate its specific situation, workloads, and compliance requirements and tailor its environment accordingly.

Wie oft werden CIS-Benchmarks aktualisiert?How often are CIS Benchmarks updated?

Die Veröffentlichung überprüfter CSI-Benchmarks ändert sich in Abhängigkeit von der Community von IT-Experten, die den Benchmark entwickelt haben, und in Abhängigkeit vom Veröffentlichungsplan der Technologie, die der Benchmark unterstützt.The release of revised CIS Benchmarks changes depending on the community of IT professionals who developed it and on the release schedule of the technology the benchmark supports. CIS veröffentlicht monatliche Berichte, in denen neue Benchmarks und Aktualisierungen an vorhandenen Benchmarks angekündigt werden.CIS distributes monthly reports that announce new benchmarks and updates to existing benchmarks. Um diese zu erhalten, registrieren Sie sich für die CIS Workbench (kostenlos), und aktivieren Sie die entsprechende Option in Ihrem Profil, um den Newsletter zu erhalten.To receive these, register for the CIS Workbench (it's free) and check Receive newsletter in your profile.

Wer hat zur Entwicklung von Microsoft-CIS-Benchmarks beigetragen?Who contributed to the development of Microsoft CIS Benchmarks?

CIS betont, dass seine „Benchmarks mithilfe der großzügigen Freiwilligenarbeit von Sachverständigen, Technologieanbietern, öffentlichen und privaten Mitgliedern der CIS-Community sowie des CIS-Benchmark-Entwicklungsteams entwickelt werden“.CIS notes that its 'Benchmarks are developed through the generous volunteer efforts of subject matter experts, technology vendors, public and private CIS Benchmark community members, and the CIS Benchmark Development team.' Unter CIS Microsoft Azure Foundations Benchmark v1.0.0 Now Available finden Sie beispielsweise eine Liste der Personen, die an Azure mitgewirkt haben.For example, you'll find a list of Azure contributors on CIS Microsoft Azure Foundations Benchmark v1.0.0 Now Available.

Verwenden von Microsoft Compliance-Manager zur Einschätzung des RisikosUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance-Manager ist ein Feature im Microsoft 365 Compliance Center, das Ihnen dabei hilft, den Compliance-Status Ihrer Organisation zu ermitteln und Maßnahmen zur Senkung von Risiken zu ergreifen.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance-Manager bietet eine sehr hilfreiche Vorlage für die Erstellung einer Bewertung für diese Verordnung.Compliance Manager offers a premium template for building an assessment for this regulation. Die Vorlage finden Sie auf der Seite Bewertungsvorlagen in Compliance-Manager.Find the template in the assessment templates page in Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.Learn how to build assessments in Compliance Manager.

RessourcenResources