Beiträge

Apache, IIS, NGINX, MongoDB, Oracle, PostgreSQL, Windows, Linux: Ein Jahr nach Einführung bringt Greenbone zahlreiche neue Compliance-Richtlinien für CIS Benchmarks in seinen Produkten. CIS Benchmarks werden von Unternehmen, Organisationen oder Behörden genutzt, um zu prüfen, ob alle verwendeten Softwareprodukte, Anwendungen, Betriebssysteme und andere Komponenten sichere Vorgaben erfüllen. Ähnlich dem IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) stellt das Center for Internet Security (CIS), eine im Jahr 2000 gegründete Non-Profit-Organisation, umfangreiche Best Practices für die IT-Sicherheit von Regierungen, Industrie und Wissenschaft bereit. Schon 2021 entwickelte Greenbone erste Compliance-Richtlinien für CIS Benchmarks. Nun kommen 18 weitere Compliance-Richtlinien hinzu.

Compliance-Richtlinien für CIS Benchmarks

Benchmarks für die Unternehmenssicherheit

Die CIS Benchmarks bilden Richtlinien von Unternehmen und Behörden ab, die als Messlatte (Benchmark) für das Einhalten von Anforderungen dienen. Ausführlich beschreiben die Benchmarks Konfigurationen, Bedingungen, Audits und Tests für diverse Setups und Systeme. Nach erfolgreichem Scan erhalten IT-Admins einen umfangreichen Bericht mit einer Prozentzahl, die Aufschluss über die Compliance der Systeme, aber auch gleich Empfehlungen für weitere Härtungsmaßnamen liefert.

Im Vergleich zu den Vorgaben des IT-Grundschutz erweisen sich CIS Benchmarks häufig als deutlich detaillierter, damit aber auch als umfangreicher. Anders als die vielen Tests im Greenbone Enterprise Feed, die Sicherheitslücken und Schwachstellen suchen, um bei der Abwehr von Angriffen zu helfen, dienen die CIS Benchmarks dem Nachweis, dass ein Unternehmen oder eine Behörde die geltenden Compliance-Vorschriften zu jedem Zeitpunkt einhält und stets eingehalten hat.

CIS Benchmarks bei Greenbone

Bereits seit 2021 integriert Greenbone zahlreiche Compliance-Richtlinien für CIS Benchmarks. Bei diesen Richtlinien handelt es sich um Zusammenstellungen an Tests, die eine Greenbone-Lösung auf einem Zielsystem ausführt. Vereinfacht gesagt wird dabei für jede einzelne Anforderung oder Empfehlung aus einer CIS Benchmark ein Schwachstellentest entwickelt, der die Erfüllung jener Anforderung oder Empfehlung prüft. Alle Tests werden von Greenbone zu Scan-Konfigurationen zusammengefasst und zum Greenbone Enterprise Feed hinzugefügt. Da die Scan-Konfigurationen in diesem Fall Richtlinien von Unternehmen oder Behörden abbilden, werden sie als „Compliance-Richtlinien“ bezeichnet.

2022 baut Greenbone den Satz an CIS-Compliance-Richtlinien, der im Greenbone Enterprise Feed enthalten ist, deutlich aus. 18 weitere Compliance-Richtlinien für CIS Benchmarks für diverse Produktfamilien wurden hinzugefügt. Neben einer Compliance-Richtlinie für Docker-Container stehen jetzt auch Tests für Windows 10 Enterprise, Windows 2019 Server, Centos und distributionsunabhängige Linux-Benchmarks zur Verfügung. Außerdem können jetzt auch Webmaster mit Servern wie Apache (2.2 und 2.4), NGINX, Tomcat und Microsoft IIS 10 sowie Datenbankadministrationen (MongoDB 3.2 und 3.6, Oracle Community Server 5.6 und 5.7 sowie PostgreSQL 9.6, 10, 11 und 12) auf Compliance-Richtlinien für CIS Benchmarks zurückgreifen.

CIS Benchmarks: Level 1, 2 und STIG

Die CIS Benchmarks gliedern sich in mehrere Level (Level 1, 2 und STIG) und umfassen meist mehrere zu testende Konfigurationsprofile. Level 1 gibt grundlegende Empfehlungen zur Verringerung der Angriffsfläche eines Unternehmens, Level 2 adressiert Nutzende mit besonderen Sicherheitsbedürfnissen. STIG – das ehemalige Level 3 – kommt dagegen vor allem im militärischen oder behördlichen Umfeld zum Einsatz. STIG steht für Security Technical Implementation Guide. Das US-amerikanische Verteidigungsministerium pflegt hierzu eine Webseite mit allen Details. Die dort beschriebenen DISA STIGs (Defense Information Systems Agency Security Technical Implementation Guides) sind eine Anforderung des US-Verteidigungsministeriums.

Zertifiziert von CIS

Greenbone ist Mitglied des CIS-Konsortiums und erweitert seine CIS-Benchmark-Scan-Konfigurationen fortlaufend. Wie alle von Greenbone auf Basis von CIS Benchmarks entwickelten Compliance-Richtlinien sind auch die neuesten von CIS zertifiziert – das bedeutet maximale Sicherheit, wenn es darum geht, ein System gemäß den Härtungsempfehlungen von CIS zu prüfen. Das vereinfacht nicht nur die Vorbereitung von Audits, wichtige Kriterien lassen sich schon vorab mit einem Scan durch eine Greenbone-Lösung prüfen und gegebenenfalls gefundene Schwachstellen beheben, bevor Probleme auftauchen.

SiSyPHuS Win10 ist ein Projekt des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Auf Basis einer Analyse der sicherheitskritischen Funktionen im Betriebssystem Microsoft Windows 10, wurden Handlungsempfehlungen zu dessen Härtung entwickelt. Diese Empfehlungen sind jetzt auch in Form einer Compliance-Richtlinie Bestandteil des Greenbone Security Feeds und können für Greenbone-Kunden komfortabel direkt mit den Greenbone-Appliances geprüft werden.

Die Maßnahmen beinhalten unter Anderem Konfigurationsempfehlungen, Kennwortrichtlinien, Verschlüsselungsvorgaben und natürlich Aktualisierungen. Sie helfen dabei, Windows-10-Systeme deutlich sicherer zu machen. Durch die Integration der Compliance-Richtlinie in den Greenbone Security Feed, sind die Maßnahmen einfach in die Prüfroutinen des Greenbone-Schwachstellenmanagements integrierbar.

Weitere Informationen finden Sie hier.

Compliance-Richtlinien werden von Unternehmen, Organisationen oder Behörden genutzt, um zu prüfen, ob alle verwendeten Produkte, Anwendungen, Betriebssysteme und andere Komponenten bestimmte Vorgaben erfüllen. Das Center for Internet Security (CIS) stellt dafür sogenannte CIS Benchmarks bereit. Auch die Greenbone-Lösungen bieten seit März 2021 die Möglichkeit, die Erfüllung von CIS Benchmarks zu prüfen – mithilfe von neuen Compliance-Richtlinien.

Was versteht man aber überhaupt unter einer Compliance-Richtlinie?

Zusätzlich zu gesetzlichen Vorgaben unterliegen Unternehmen, Organisationen und Behörden oft auch anderen Anforderungen, die für die sichere Konfiguration eines Systems erfüllt werden müssen. Solche Anforderungen können beispielsweise von einem Software- oder Anwendungshersteller für die eigenen Produkte formuliert werden, aber auch von IT-Sicherheits-Organisationen.

Ziel dabei ist es, für die Informations- und Datensicherheit eines Unternehmens oder einer Behörde zu sorgen, indem die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Authentizität von Informationen sichergestellt wird.

Alle Vorgaben und Richtlinien, aber auch Empfehlungen, die dafür zu erfüllen sind, werden in einer Richtlinie in schriftlicher Form gebündelt.

Diese Richtlinien bilden die Grundlage für von Greenbone Networks entwickelte Compliance-Richtlinien, also für die Zusammenstellung an Tests, die eine Greenbone-Lösung auf einem Zielsystem ausführt. Dabei wird für jede einzelne Anforderung oder Empfehlung ein Schwachstellentest entwickelt, der die Erfüllung jener Anforderung oder Empfehlung prüft. Alle Tests werden von Greenbone Networks zu Scan-Konfigurationen zusammengefasst und zum Greenbone Security Feed hinzugefügt.

Da die Scan-Konfigurationen in diesem Fall Richtlinien von Unternehmen oder Behörden abbilden, werden sie als „Compliance-Richtlinien“ bezeichnet.


Beispiel: Ein Unternehmen bringt eine Richtlinie mit den folgenden Anforderungen heraus:

  • Version 2 der Software A ist auf dem Zielsystem installiert
  • SSH ist auf dem Zielsystem aktiviert
  • Software B ist nicht auf dem Zielsystem installiert

Greenbone Networks entwickelt für jede der Anforderungen jeweils einen Schwachstellentest, der abfragt, ob die jeweilige Bedingung erfüllt ist.

Die drei Tests werden dann zu einer Compliance-Richtlinie zusammengefasst, die ein Nutzer der Greenbone-Lösungen zum Ausführen eines Schwachstellenscans wählen kann. Während des Scans wird dann geprüft, ob die oben genannten Bedingungen auf dem Zielsystem erfüllt werden.


CIS Benchmarks als maßgebende Security-Richtlinien

Auch das Center for Internet Security (CIS) veröffentlich solche Security-Richtlinien: die sogenannten CIS Benchmarks. CIS ist eine im Jahr 2000 gegründete Non-Profit-Organisation, die Best Practices für die IT-Sicherheit bereitstellen, die von Regierungen, der Industrie und der Wissenschaft genutzt werden.

Mit eines der größten Tätigkeitsfelder der Organisation sind die sogenannten CIS Benchmarks. Dabei handelt es sich um Handlungs- und Konfigurationsempfehlungen für zahlreiche Produkte aus den unterschiedlichsten Produktfamilien. So gibt es beispielweise CIS Benchmarks für Webbrowser wie Mozilla Firefox oder Google Chrome, für Betriebssysteme wie Microsoft Windows oder unterschiedliche Linux-Distributionen, aber auch für die Microsoft-Office-Produkte.

Im Gegensatz zu vielen anderen Security-Standards, die nur grundsätzliche Vorgaben bezüglich der IT-Sicherheit machen – beispielsweise, dass es ein Schwachstellenmanagement geben muss – sind die CIS Benchmarks sehr detailliert. Sie stellen Anforderungen bereit, die erfüllt werden müssen, um ein System zu härten, sprich sicherer zu machen und vor Angriffen zu schützen. Dazu können unter anderem Kriterien für Passwörter, aber auch Vorgaben für bestimmte installierte Software-Versionen gehören.

Die CIS Benchmarks werden von CIS kostenlos als PDF zur Verfügung gestellt und ständig erweitert. Für CIS SecureSuite Member – so wie Greenbone Networks es seit 2021 ist – sind die CIS Benchmarks aber auch über die CIS Workbench in anderen Formaten, zum Beispiel für Microsoft Word oder Excel, verfügbar.

CIS-zertifizierte Compliance-Richtlinien bei Greenbone Networks

Wie auch bei den Security-Richtlinien anderer Unternehmen, Organisationen oder Behörden hat Greenbone Networks nun basierend auf den CIS Benchmarks eigene Compliance-Richtlinien entwickelt. Diese ermöglichen es Nutzern einer Greenbone-Lösung, ihre Netzwerke, Systeme und Anwendungen auf die Anforderungen aus den CIS Benchmarks zu überprüfen. Seit März 2021 sind mehrere Compliance-Richtlinien, die CIS Benchmarks abbilden, im Greenbone Security Feed enthalten.

Und das Besondere daran: Die von Greenbone Networks entwickelten Compliance-Richtlinien sind von CIS zertifiziert! Das bedeutet, dass Nutzer sicher gehen können, dass ihr System gemäß den Härtungsempfehlungen von CIS geprüft wird.

Nutzer können nun also ihre Systeme daraufhin prüfen, ob die Vorgaben von CIS erfüllt werden. Das vereinfacht auch die Vorbereitung von Audits. Wichtige Kriterien können bereits vorab mit einem Scan durch eine Greenbone-Lösung geprüft und gegebenenfalls gefundene Schwachstellen behoben werden.

Doch bei diesen CIS-zertifizierten Compliance-Richtlinien wird es nicht bleiben. Viele weitere Compliance-Richtlinien, die CIS Benchmarks abbilden, sind bei Greenbone Networks in der Planung oder sogar bereits in der Entwicklung.