In der heutigen digitalen Welt, in der Cyberangriffe immer raffinierter werden, ist die Einhaltung von Sicherheitsstandards für Unternehmen von zentraler Bedeutung. Zwei der bekanntesten Frameworks in diesem Bereich sind die CIS Benchmarks (Center for Internet Security) und die Microsoft Security Baselines.
Beide Sicherheitsstandards dienen dazu, Systeme und Netzwerke zu härten und Angriffspunkte zu minimieren. Sie unterscheiden sich jedoch in ihrem Ansatz, ihrer Zielgruppe und den Anwendungsfällen, für die sie entwickelt wurden. Während die CIS Benchmarks für eine Reihe von Betriebssystemen und Plattformen von Amazon Web Services bis Ubuntu Linux verfügbar sind, sind die Microsoft Security Baselines nachvollziehbarerweise ausschließlich auf Microsoft-Technologien und deren Ökosystem ausgerichtet. Wichtig: Die CIS Benchmarks gelten toetzdem auch für Microsoft und die Windows Betriebssysteme als Goldstandard für die Systemhärtung.
In diesem Blogbeitrag vergleichen wir die beiden Sicherheitsstandards, einschließlich ihrer Stärken, Schwächen und optimalen Einsatzgebiete.
Das Wichtigste in Kürze
- CIS Benchmarks und Microsoft Security Baselines sind Frameworks zur IT-Sicherheit, die Sicherheitslücken schließen – mit unterschiedlichen Ansätzen und Anwendungsbereichen.
- CIS Benchmarks: Für viele Plattformen verfügbar, flexibel und detailliert – gelten als der Goldstandard in der Systemhärtung für Windows und Microsoft 365, der für alle Unternehmen, die IT-Security ernst nehmen, die erste Wahl ist sein sollte.
- Microsoft Security Baselines: Einfach zu implementieren und ein guter Start für Unternehmen mit begrenzten Ressourcen, aber wenig flexibel und eingeschränkte Sicherheit.
SOFTTAILOR als Partner: SOFTTAILOR unterstützt Unternehmen mit maßgeschneiderten Lösungen zur Systemhärtung, um Sicherheitsanforderungen zu erfüllen und Cyberrisiken zu minimieren.
1. Was sind CIS Benchmarks?
1.1 Definition
Die CIS Benchmarks sind eine Reihe von Best Practices für die sichere Konfiguration von IT-Systemen, die sogenannte Systemhärtung, entwickelt vom Center for Internet Security (CIS). Diese Benchmarks sind darauf ausgelegt, Angriffsvektoren zu minimieren und die allgemeine Cybersecurity zu verbessern. Sie gelten als industrieunabhängig und decken eine Vielzahl von Plattformen ab, darunter Betriebssysteme, Cloud-Services, Webbrowser und mehr. Das Center for Internet Security ist eine Community-getriebene Non-Profit-Organisation, die Best Practices entwickelt und regelmäßig aktualisiert, um Organisationen weltweit bei der Verbesserung ihrer IT-Sicherheit zu unterstützen.
Laut CIS ist ihre Mission:
„Die Entwicklung und Förderung von Best-Practice-Lösungen für die Cyberabwehr.“
Mehr Informationen findet ihr hier auf der offiziellen Seite: cisecurity.org/cis-benchmarks
1.2 Aufbau und Struktur
CIS Benchmarks basieren auf einer modularen Struktur, die in zwei Level unterteilt ist:
- Level 1: Diese Konfigurationen bieten grundlegende Sicherheitsmaßnahmen, die eine minimale Auswirkung auf die Funktionalität haben.
- Level 2: Diese Einstellungen sind restriktiver und für Umgebungen gedacht, in denen ein höheres Sicherheitsniveau erforderlich ist, z. B. in stark regulierten Branchen.
Zusätzlich gibt es noch ein Level der CIS Benchmarkts, welches explizit die Anforderungen des Security Technical Implementation Guides (STIG) des US-amerikanischen Department of Defense (DOD) erfüllt. Dies ist für deutsche Unternehmen zu 99% nicht relevant, da die Guides nur vom DOD selber und Lieferanten des DOD erfüllt werden müssen.
Darüber hinaus bietet CIS sogenannte Hardened Images, vorgefertigte virtuelle Maschinen, die nach den Benchmarks gehärtet sind und in Cloud-Umgebungen wie Microsoft Azure oder AWS verfügbar sind.
1.3 Vorteile der Verwendung von CIS Benchmarks
Herstellerunabhängig
Die CIS Benchmarks bieten herstellerneutrale und unabhängig entwickelte Konfigurationsrichtlinien, die sich für zahlreiche Plattformen und Hersteller eignen.
Laut CIS sind sie:
„The only vendor-neutral, independently developed configuration guidance for both public and private industry offering a built-in, on-demand, and scalable secure computing environment.“
Obwohl für jede Plattform (z. B. Windows, Linux, macOS) spezifische Benchmarks benötigt werden, hebt die Unabhängigkeit von Herstellern und die Unterstützung für viele Plattformen die CIS Benchmarks von anderen Standards ab.
Sicherheit & Compliance
CIS Benchmarks gelten als sicherer und umfassender als viele andere Frameworks, einschließlich der Microsoft Security Baselines. Sie minimieren Angriffsvektoren und unterstützen Unternehmen dabei, Sicherheitsstandards und regulatorische Anforderungen wie GDPR oder HIPAA einzuhalten.
Die umfassenderen Sicherheitsrichtlinien und ihre höhere Granularität machen sie zu einer bevorzugten Wahl für Organisationen, die erweiterte Sicherheitsanforderungen haben oder streng regulierten Branchen angehören.
Flexibilität
CIS Benchmarks bieten anpassbare Richtlinien, die an die spezifischen Anforderungen eines Unternehmens angepasst werden können. Diese Flexibilität ist besonders hilfreich für Organisationen, die individuelle Sicherheitsstrategien entwickeln möchten.
Community-driven Entwicklung
Die Benchmarks werden regelmäßig von einer globalen Community aus Experten überprüft und aktualisiert. Dieser kollaborative Ansatz gewährleistet, dass die Richtlinien aktuell, relevant und unabhängig von kommerziellen Interessen bleiben.
1.4 Kritische Aspekte
Einige Herausforderungen bei der Implementierung der CIS Benchmarks werden in der Community diskutiert:
- Komplexität: Die Benchmarks können komplex sein und erfordern ein tiefes Verständnis der Systeme.
- Ressourcenintensiv: Die Umsetzung, insbesondere auf Level 2, erfordert erhebliche technische und personelle Ressourcen.
- Überregulierung: In einigen Fällen können die Einstellungen zu stark eingeschränkt sein und unerwartete Probleme verursachen, wie z. B. eine reduzierte Systemperformance. Hier hilft die individuelle Anpassung auf die Unternehmensanforderungen und umfassendes Testing.
- Keine offizielle Unterstützung: Im Gegensatz zu Microsoft gibt es keine dedizierte Supportstruktur.
1.5 Die wichtigsten CIS Benchmarks
Die CIS Benchmarks decken eine Vielzahl von Plattformen und Technologien ab. Besonders hervorzuheben sind jedoch die Benchmarks für Microsoft Intune und Microsoft 365, da diese häufig in modernen Unternehmensumgebungen zum Einsatz kommen. Sie bieten spezifische Leitlinien für die sichere Konfiguration dieser weit verbreiteten Technologien.
CIS Benchmark: Microsoft Intune for Microsoft Windows
Dieser Benchmark konzentriert sich auf die sichere Verwaltung von Windows-Geräten mit Microsoft Intune. Er enthält Best Practices, um Windows-Systeme so zu konfigurieren, dass sie sicher, effizient und compliant mit regulatorischen Vorgaben arbeiten. Die CIS Benchmarks für Microsoft Intune bieten detaillierte Richtlinien, wie Sicherheitsrichtlinien für Windows 10 und 11 konfiguriert werden sollten, um Angriffsvektoren zu minimieren.
CIS Benchmark: Microsoft 365
Der CIS Benchmark für Microsoft 365 stellt detaillierte Sicherheitsrichtlinien bereit, die speziell für die sichere Nutzung von Office-Anwendungen, Cloud-Diensten und der Microsoft 365-Infrastruktur entwickelt wurden. Er deckt Aspekte wie Authentifizierung, Zugriffskontrollen, Datenmanagement und Berechtigungen ab.
Ein wichtiger Vorteil dieses Benchmarks ist seine Aktualität: Er wird regelmäßig an neue Bedrohungen und Änderungen in der Microsoft 365-Architektur angepasst, was ihn besonders zuverlässig macht. Viele Experten, weisen darauf hin, dass die CIS Benchmarks als sicherer und zuverlässiger gelten als die Microsoft Security Baselines.
2. Was sind Microsoft Security Baselines?
2.1 Definition
Die Microsoft Security Baselines sind vordefinierte Sicherheitsrichtlinien, die speziell für Microsoft-Produkte und -Dienste entwickelt wurden. Sie bieten Administratoren eine konsistente Grundlage, um Systeme und Netzwerke zu härten und die Sicherheit innerhalb des Microsoft-Ökosystems zu gewährleisten.
2.2 Integration in das Microsoft-Ökosystem
Die Baselines können mit Microsoft Intune, Microsoft Configuration Manager (MECM/SCCM) oder Group Policies umgesetzt werden. Unter anderem sind diese Microsoft Security Baselines verfügbar.
- Security Baseline for Windows 10 und Windows 11
- Microsoft Defender for Endpoint Security Baseline
- Microsoft 365 Apps for Enterprise Security Baseline
- Security Baseline for Microsoft Edge
2.3 Vorteile der Verwendung von Microsoft Security Baselines
- Automatisierung: Mit Tools wie Intune können Administratoren die Richtlinien automatisch auf eine Vielzahl von Geräten anwenden.
- Produktintegration: Die Baselines sind speziell auf die Kompatibilität mit Microsoft-Technologien abgestimmt.
- Regelmäßige Updates: Microsoft aktualisiert die Baselines regelmäßig, um neue Bedrohungen und Technologien zu berücksichtigen.
2.4 Kritische Aspekte von Microsoft Security Baselines
Vendor Lock-in
Die Microsoft Security Baselines sind ausschließlich für Microsoft-Produkte konzipiert. Dies kann in heterogenen IT-Umgebungen problematisch sein, da sie weniger flexibel auf Nicht-Microsoft-Plattformen angewendet werden können.
Weniger granular und sicher
Im Vergleich zu den CIS Benchmarks werden die Microsoft Security Baselines oft als weniger sicher angesehen. Der Grund liegt unter anderem darin, dass Microsoft versucht, eine größtmögliche Kompatibilität seiner Produkte zu gewährleisten – selbst in einem One-size-fit-all-Ansatz. Dies geht mit einer geringeren Granularität und Flexibilität einher, da einige sicherheitsrelevante Einstellungen bewusst nicht zu restriktiv gestaltet werden, um Funktionalität und Kompatibilität nicht zu beeinträchtigen.
Risiko durch automatische Aktivierung von Sicherheitsrichtlinien
Ein potenzielles Problem bei den Microsoft Security Baselines ist die einfache und teilweise automatische Aktivierung von Einstellungen, die später nicht ohne Weiteres rückgängig gemacht werden können – ein Phänomen, das als "Tattooing bekannt ist. Wie ein Tattoo auf der Haut bleiben diese Konfigurationen bestehen und können selbst nach Änderungen an den Baselines nicht vollständig entfernt werden.
Dieses Risiko besteht zwar auch bei den CIS Benchmarks, wird dort jedoch bewusster wahrgenommen, da alle Konfigurationen dokumentiert und manuell eingerichtet werden. Bei den Microsoft Security Baselines kann es hingegen schneller versehentlich geschehen, da einige Einstellungen ohne tiefgehende Kontrolle übernommen werden. Dies kann insbesondere dann problematisch sein, wenn Organisationen ihre Sicherheitsstrategie später anpassen oder eine vollständige Entfernung der Baselines wünschen.
Berichten zufolge arbeitet Microsoft an einer Lösung für dieses Problem, um in Zukunft eine flexiblere Handhabung der Baselines zu ermöglichen. Aktuell fehlt jedoch eine umfassende Dokumentation darüber, welche Richtlinien betroffen sind und wie sich die Änderungen konkret auswirken.
3.Vergleich: CIS Benchmarks vs. Microsoft Security Baselines
Die CIS Benchmarks und die Microsoft Security Baselines verfolgen unterschiedliche Ansätze, um Sicherheitsstandards zu definieren. Beide Frameworks sind jedoch darauf ausgelegt, Organisationen bei der Sicherung ihrer IT-Systeme zu unterstützen, unterscheiden sich aber in ihrem Fokus und ihrer Anwendung.
4. Anwendungsfälle und Empfehlungen
Die Wahl zwischen CIS Benchmarks und Microsoft Security Baselines hängt von den spezifischen Anforderungen eines Unternehmens, der vorhandenen IT-Infrastruktur sowie den verfügbaren Ressourcen ab. Es gibt jedoch klare Szenarien, in denen eines der beiden Frameworks bevorzugt wird oder eine Kombination sinnvoll ist.
4.1 Wann CIS Benchmarks bevorzugt werden sollten
Heterogene IT-Umgebungen
Unternehmen, die mehrere Betriebssysteme und Plattformen verwenden (z. B. Windows, Linux, macOS, Cloud-Dienste wie AWS oder Google Cloud), profitieren von der plattformübergreifenden Natur der CIS Benchmarks. Diese können unabhängig von einer bestimmten Technologie implementiert werden.
Regulatorische Anforderungen
Branchen mit strengen regulatorischen Anforderungen, wie z. B. Banken, Gesundheitswesen oder öffentliche Verwaltungen, können von den CIS Benchmarks profitieren. Sie bieten umfassende Sicherheitsrichtlinien, die sich an Standards wie PCI DSS, HIPAA, ISO 27001 oder NIST CSF orientieren.
Spezialisierte Sicherheitsressourcen
Organisationen, die über dedizierte IT- und Cybersicherheitsressourcen verfügen, können die Granularität und Anpassungsfähigkeit der CIS Benchmarks optimal nutzen. Mit erfahrenen Teams lassen sich die Benchmarks an die spezifischen Bedürfnisse des Unternehmens anpassen.
Erweiterte Sicherheitsanforderungen
Unternehmen, die eine detaillierte Sicherheitsstrategie benötigen, finden in den CIS Benchmarks die nötige Tiefe und Präzision. Sie bieten Konfigurationsrichtlinien, die weit über die standardmäßigen Sicherheitsanforderungen hinausgehen.
4.2 Wann Microsoft Security Baselines die bessere Wahl sind
Microsoft-zentrierte IT-Umgebungen
Organisationen, die überwiegend auf Microsoft-Produkte wie Windows 10/11, Office 365 oder Azure setzen, profitieren von der spezifischen Ausrichtung der Microsoft Security Baselines. Diese sind vollständig in das Microsoft-Ökosystem integriert und bieten nahtlose Unterstützung.
Begrenzte IT-Ressourcen
Für Unternehmen mit kleineren IT-Teams oder weniger technischer Expertise sind die vorgefertigten Richtlinien der Microsoft Security Baselines eine ideale Wahl. Sie sind einfacher zu implementieren und erfordern weniger Anpassungen.
Schnelle Implementierung
Wenn eine schnelle Sicherheitslösung benötigt wird, bieten die Microsoft Security Baselines eine effiziente Möglichkeit, grundlegende Sicherheitsrichtlinien in kürzester Zeit umzusetzen.
4.3 Kombinierte Nutzung: Ist das sinnvoll?
Die Kombination von CIS Benchmarks und Microsoft Security Baselines ist nicht die Regel, sondern eher die Ausnahme. In bestimmten Szenarien kann es jedoch sinnvoll sein, beide Frameworks parallel einzusetzen, um spezifische Anforderungen abzudecken.
Einsatz in hybriden Umgebungen
Die CIS Benchmarks bieten detaillierte Sicherheitsrichtlinien für verschiedene Plattformen und Umgebungen. In Unternehmen, die sowohl Microsoft-Technologien als auch andere Systeme nutzen, können sie als übergeordnete Sicherheitsrichtlinie dienen und zusätzliche Schutzmaßnahmen bieten, die über die standardmäßigen Microsoft-Einstellungen hinausgehen.
Quick Fix und Staged Härtung
Microsoft Security Baselines ermöglichen eine schnelle Implementierung und Automatisierung, während die CIS Benchmarks langfristige Optimierung und Anpassung der Sicherheitsstrategie an wachsende Anforderungen unterstützen.
5. Fazit
Die CIS Benchmarks sind die bevorzugte Wahl für Unternehmen, die eine detaillierte und herstellerunabhängige Sicherheitsstrategie verfolgen und hohe Sicherheitsanforderungen erfüllen möchten. Sie bieten eine umfassende Grundlage für Systemhärtungen und unterstützen die Einhaltung regulatorischer Vorgaben und branchenspezifischer Standards. Besonders in komplexen und hochregulierten Umgebungen stellen sie den Goldstandard dar.
Die Microsoft Security Baselines bieten eine schnelle, einfachere Lösung für Organisationen, die auf Microsoft-Produkte angewiesen sind. Sie sind ideal für Unternehmen mit begrenzten IT-Ressourcen, bieten jedoch weniger Flexibilität und Sicherheit im Vergleich zu den CIS Benchmarks.
Unser Fazit: Die CIS Benchmarks bieten eine tiefere, umfassendere Sicherheitslösung, die für Unternehmen mit komplexen Anforderungen und langfristigen Sicherheitsstrategien die bessere Wahl darstellt.
SOFTTAILOR als Partner: Mit unserem Service „Managed Systemhärtung“ unterstützen wir euch dabei, eure Systeme effektiv zu härten und eine robuste IT-Sicherheitsstrategie umzusetzen. Mehr dazu auf unserer Endpoint Management as a Service-Seite oder bucht direkt einen kostenfreien Erstberatungstermin hier.
Thore beschäftigt sich seit 2011 ausschließlich mit Endpoint Management und Endpoint Security Themen. Anfangs fokussiert auf Softwarepaketierung und Softwareverteilung mit Microsoft MECM/SCCM und Ivanti DSM ist er heute gefragter Gesprächspartner, wenn es um Unified Endpoint Management, Systemhärtung, Patch Management und Endpoint Protection geht. Im Fokus stehen dabei insbesondere die Microsoft Technologien Intune, Configuration Manager, Entra und Defender. Thore ist Mitgründer des Expertenzirkels "Endpoint Management" im IAMCP e.V.
