CIS-Kontrollen: Ein praktisches Sicherheits-Framework für IT-Teams und MSPs

April 27, 2026
George Rouse
GUS, Rahmenbedingungen / Standards, Einhaltung von Vorschriften

Laut dem „Kaseya State of the MSP Report 2026“ verzeichneten 71 % der MSPs im Bereich Cybersicherheit ein Umsatzwachstum gegenüber dem Vorjahr, doch fast die Hälfte nennt die Komplexität von Sicherheitsprodukten als größtes Hindernis für ihr Wachstum.

Wenn Unternehmen fragen: „Wo fangen wir mit der Cybersicherheit an?“, ist die Antwort selten eindeutig. Es gibt Dutzende von Rahmenwerken, Hunderte von Leitfäden und eine überwältigende Vielfalt an Sicherheitsmaßnahmen, die es zu berücksichtigen gilt. Die CIS Controls durchbrechen diese Komplexität mit einer bewusst praxisorientierten Antwort: Hier sind die 18 wichtigsten Sicherheitsmaßnahmen in der Reihenfolge ihrer Priorität, ergänzt durch konkrete Umsetzungshinweise für Unternehmen unterschiedlicher Größe.

Genau diese Priorisierung macht die CIS-Kontrollen so einzigartig. Anstatt einen umfassenden Katalog aller Maßnahmen zu bieten, die eine Organisation irgendwann umsetzen sollte, konzentrieren sich die Kontrollen auf die grundlegenden Maßnahmen, die die häufigsten Angriffsvektoren abdecken und pro Aufwandseinheit die größte Risikominderung bewirken.

CIS-Kontrollen mit Compliance Manager GRC implementieren und überwachen

Compliance Manager GRC speziell entwickelte Vorlagen für alle drei CIS v8.1-Implementierungsgruppen, mit denen sich die Umsetzung von Schutzmaßnahmen nachverfolgen, Lücken identifizieren und automatisch auditfähige Nachweisdokumente erstellen lassen.

Entdecken Sie Compliance Manager GRC

Was sind die CIS-Kontrollen?

Die CIS-Kontrollen sind eine nach Priorität geordnete Sammlung bewährter Verfahren für die Cybersicherheit, die vom Center for Internet Security, einer gemeinnützigen Organisation, entwickelt und gepflegt wird. Ursprünglich als „SANS Top 20“ veröffentlicht und später vom CIS übernommen und weiterentwickelt, stellen die Kontrollen einen Konsens darüber dar, welche Abwehrmaßnahmen gegen die häufigsten Angriffe am wirksamsten sind.

Das Rahmenwerk wird von Aufsichtsbehörden und Compliance-Standards häufig herangezogen. NIST, HIPAA, PCI DSS und viele Cybersicherheitsvorschriften auf Bundesstaatenebene beziehen sich auf die CIS-Kontrollen oder orientieren sich an diesen. Für Organisationen, die mehreren Compliance-Anforderungen unterliegen, bietet die Umsetzung der CIS-Kontrollen oft eine umfassende Abdeckung mehrerer Rahmenwerke gleichzeitig.

Die Controls sind kostenlos nutzbar und öffentlich zugänglich; dazu gehört auch begleitende Dokumentation mit Implementierungshinweisen, Zuordnungen zu anderen Frameworks sowie Benchmarks für bestimmte Technologien. Die CIS-Benchmarks bieten Leitlinien zur Absicherung von Betriebssystemen, Anwendungen und Cloud-Diensten.

CIS Controls v8.1: Das aktuelle Rahmenwerk

CIS Controls v8.1 ist die aktuelle Version des Frameworks. v8 wurde 2021 als bedeutendste Weiterentwicklung seit Jahren veröffentlicht, und v8.1 hat die Details der Sicherheitsmaßnahmen verfeinert und aktualisiert. Wesentliche Änderungen gegenüber v7:

Fokus auf Cloud und Mobilgeräte. v8 wurde neu konzipiert, um der Tatsache Rechnung zu tragen, dass IT-Umgebungen heute nicht mehr nur auf den traditionellen Unternehmensperimeter beschränkt sind, sondern sich über lokale Infrastrukturen, Cloud-Dienste, Mobilgeräte und Remote-Arbeit erstrecken.

Die Anzahl der Kontrollmaßnahmen wurde von 20 auf 18 reduziert. Mehrere sich überschneidende Kontrollmaßnahmen wurden zusammengefasst, und das Rahmenwerk wurde neu strukturiert und in drei Implementierungsgruppen (IG1, IG2 und IG3) unterteilt, die es Organisationen ermöglichen, das Rahmenwerk entsprechend ihrer Größe und ihrem Risikoprofil anzupassen.

Das „Safeguards“-Modell. Mit Version 8 wurden „Safeguards“ als detaillierte Maßnahmen innerhalb jeder Kontrollmaßnahme eingeführt, wodurch die bisherige Bezeichnung „Sub-Controls“ ersetzt wurde. CIS Controls v8.1 umfasst 153 Safeguards, verteilt auf die 18 Kontrollmaßnahmen.

Implementierungsgruppen: Anpassung der Kontrollmechanismen an Ihre Organisation

Eine der praktischsten Funktionen von CIS Controls ist das Modell der Implementierungsgruppen, das es Organisationen ermöglicht, das Rahmenwerk an ihre Größe, ihre Ressourcen und ihr Risikoprofil anzupassen, anstatt die gesamten 153 Sicherheitsmaßnahmen als undifferenzierte Liste zu behandeln.

IG1, Grundlegende Cyberhygiene (56 Schutzmaßnahmen): Konzipiert für kleine Organisationen mit begrenztem IT- und Cybersicherheitspersonal. IG1 stellt die Grundvoraussetzung dar, die jede Organisation unabhängig von ihrer Größe erfüllen sollte, und umfasst Kontrollmaßnahmen, die den häufigsten, relativ einfachen Angriffen entgegenwirken, von denen die überwiegende Mehrheit der Organisationen betroffen ist. Selbst wenn eine Organisation keine weiteren Maßnahmen ergreift, verbessert die Umsetzung von IG1 ihre Sicherheitslage erheblich.

IG2 (130 Sicherheitsmaßnahmen, einschließlich aller Maßnahmen aus IG1): Geeignet für Organisationen, die sensible Daten verwalten und über eigenes IT- und Sicherheitspersonal verfügen. IG2 umfasst 74 zusätzliche Sicherheitsmaßnahmen für ausgefeiltere Bedrohungen, Compliance-Anforderungen und komplexere Umgebungen. Einige Sicherheitsmaßnahmen dieser Stufe erfordern Technologie auf Unternehmensniveau und spezialisiertes Fachwissen.

IG3 (alle 153 Sicherheitsmaßnahmen, einschließlich IG1 und IG2): Geeignet für große Organisationen oder solche mit erfahrenen Sicherheitsteams, die hochwertige Ressourcen oder kritische Infrastruktur verwalten. IG3 umfasst 23 zusätzliche Sicherheitsmaßnahmen zur Abwehr komplexer Bedrohungen und erfordert für die vollständige Umsetzung spezielles Sicherheitsfachwissen.

Für die meisten KMU und die Kunden von MSPs sind IG1 und IG2 die relevanten Zielstufen. Eine vollständige Einhaltung von IG1 deckt die überwiegende Mehrheit der realen Angriffsvektoren ab, denen KMU ausgesetzt sind.

Compliance Manager GRC enthält separate Vorlagen für jede Implementierungsgruppe und lädt automatisch die für die ausgewählte Stufe erforderlichen spezifischen Sicherheitsvorkehrungen.

Die 18 CIS-Kontrollen

Maßnahme 1: Bestandsaufnahme und Kontrolle der Unternehmensressourcen. Sie müssen jedes Gerät in der Umgebung kennen. Was Sie nicht kennen, können Sie nicht schützen.

Maßnahme 2: Bestandsaufnahme und Kontrolle von Software-Assets. Erfassen Sie die gesamte Software und lassen Sie nur autorisierte Software zu. Nicht autorisierte Software ist ein Hauptzugangspunkt für Malware.

Kontrollmaßnahme 3: Datenschutz. Entwicklung von Prozessen und technischen Kontrollmaßnahmen zur Identifizierung, Klassifizierung, Sicherung, Aufbewahrung und Entsorgung von Daten. Dazu gehören Verschlüsselung und Maßnahmen zur Verhinderung von Datenverlusten.

Maßnahme 4: Sichere Konfiguration von Unternehmensressourcen und Software. Richten Sie sichere Konfigurationen für die gesamte Hardware und Software ein und halten Sie diese aufrecht. Standardkonfigurationen sind häufig unsicher.

Kontrollmaßnahme 5: Kontoverwaltung. Setzen Sie Prozesse und Tools ein, um Anmeldedaten für alle Konten – einschließlich Administrator-, Dienst- und Anwendungskonten – unter Beachtung des Prinzips der geringsten Berechtigungen zuzuweisen und zu verwalten.

Kontrollmaßnahme 6: Verwaltung der Zugriffskontrolle. Erstellen und verwalten Sie Zugangsdaten nach den Grundsätzen „Need-to-know“ und „Need-to-use“. Dies umfasst die Durchsetzung der Multi-Faktor-Authentifizierung (MFA), die Verwaltung von Zugriffsrechten und die Überprüfung von Zugriffen.

Kontrollmaßnahme 7: Kontinuierliches Schwachstellenmanagement. Erfassen, bewerten und reagieren Sie kontinuierlich auf neue Informationen zu Bedrohungen und Schwachstellen, um diese zu identifizieren, zu beheben und das Zeitfenster für Angreifer zu minimieren.

Kontrollmaßnahme 8: Verwaltung von Prüfprotokollen. Erfassen, melden, überprüfen und archivieren Sie Prüfprotokolle, um die Erkennung von Vorfällen und die forensische Analyse nach einem Vorfall zu unterstützen.

Maßnahme 9: Schutzmaßnahmen für E-Mail und Webbrowser. Verbessern Sie den Schutz vor Bedrohungen, die über E-Mail und Webbrowser übertragen werden – die beiden häufigsten Einfallstore für Angreifer.

Maßnahme 10: Schutz vor Malware. Setzen Sie automatisierte Tools ein, um die Installation und Ausführung von Schadcode auf Endgeräten zu verhindern oder zu kontrollieren.

Kontrollmaßnahme 11: Datenwiederherstellung. Einführung und Aufrechterhaltung von Verfahren zur Datenwiederherstellung, die ausreichen, um die betroffenen Daten innerhalb der festgelegten RTO- und RPO-Ziele in den Zustand vor dem Vorfall zurückzuführen.

Maßnahme 12: Verwaltung der Netzwerkinfrastruktur. Aufbau, Implementierung und Verwaltung der Netzwerkinfrastruktur, um zu verhindern, dass Angreifer Schwachstellen in Netzwerkdiensten und -konfigurationen ausnutzen.

Maßnahme 13: Netzwerküberwachung und -schutz. Überwachen Sie das Netzwerk auf ungewöhnliche oder böswillige Aktivitäten und setzen Sie Mechanismen ein, um diese Aktivitäten zu erkennen und darauf zu reagieren.

Maßnahme 14: Schulungen zur Sensibilisierung für Sicherheitsfragen und zum Erwerb von Sicherheitskompetenzen. Einrichtung und Pflege eines Programms zur Sensibilisierung für Sicherheitsfragen, das durch Schulungen und simulierte Phishing-Angriffe den Faktor Mensch als Risiko berücksichtigt.

Maßnahme 15: Verwaltung von Dienstleistern. Entwickeln Sie einen Prozess zur Bewertung und Verwaltung von Dienstleistern (einschließlich MSPs) auf der Grundlage des Risikos, das diese für die Daten und Systeme der Organisation darstellen.

Kontrollmaßnahme 16: Sicherheit von Anwendungssoftware. Verwalten Sie den Sicherheitslebenszyklus von intern entwickelter, gehosteter oder erworbener Software, um Sicherheitslücken zu verhindern, zu erkennen und zu beheben.

Maßnahme 17: Management der Reaktion auf Vorfälle. Richten Sie ein Programm ein, um die Fähigkeit zur Reaktion auf Vorfälle aufzubauen und aufrechtzuerhalten, einschließlich festgelegter Vorgehensanleitungen und erprobter Verfahren.

Maßnahme 18: Penetrationstests. Überprüfen Sie die Wirksamkeit der Abwehrmaßnahmen durch kontrollierte simulierte Angriffe, um ausnutzbare Schwachstellen zu identifizieren, bevor Angreifer dies tun.

CIS-Kontrollen und andere Rahmenwerke

Die CIS-Kontrollen stehen nicht für sich allein. Sie stehen in direktem Zusammenhang mit anderen Rahmenwerken, die Organisationen einhalten müssen. Dies ist einer der Hauptgründe, warum sich die Umsetzung der CIS-Kontrollen auch für Organisationen lohnt, die nicht ausdrücklich zur Einhaltung der CIS-Vorgaben verpflichtet sind.

NIST CSF: Die CIS-Kontrollen lassen sich weitgehend den Funktionen des NIST CSF (Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen) zuordnen. Organisationen, die das NIST CSF nutzen, stellen fest, dass die CIS-Kontrollen die auf der Umsetzungsebene erforderlichen Details liefern, die die eher abstrakten Funktionen des CSF erfordern.

PCI DSS: Die Kontrollmaßnahmen 1 bis 7 und 10 bis 12 stimmen weitgehend mit den PCI-DSS-Anforderungen überein. Die Umsetzung der CIS-Kontrollmaßnahmen reduziert den Aufwand für die Vorbereitung auf PCI-DSS-Audits erheblich.

HIPAA: Die CIS-Kontrollen decken viele der Anforderungen der HIPAA-Sicherheitsvorschrift in Bezug auf administrative, physische und technische Sicherheitsmaßnahmen ab.

ISO 27001: Es besteht eine erhebliche Übereinstimmung zwischen den CIS-Kontrollen und den Kontrollen in Anhang A der ISO 27001. Organisationen, die eine Zertifizierung nach ISO 27001 anstreben, profitieren von der bestehenden Umsetzung der CIS-Kontrollen als Nachweis für den Reifegrad ihres Kontrollsystems.

Diese frameworkübergreifende Abdeckung ist der Grund, warum die CIS-Kontrollen für die meisten Organisationen einen praktischen Ausgangspunkt darstellen: Durch die Umsetzung der Kontrollen werden gleichzeitig Nachweise für die Einhaltung mehrerer Rahmenwerke geschaffen, wodurch sich der Aufwand für die separate Verwaltung jedes einzelnen Rahmenwerks verringert.

Implementierung der CIS-Kontrollen mit Kaseya

Die Kaseya-Plattform bietet direkten technischen Support für die Umsetzung der meisten CIS-Kontrollen in verwalteten Umgebungen:

Kontrollen 1 und 2 (Anlageninventar): Die automatisierte Geräteerkennung und Software-Bestandsaufnahme von VSA erstellt und pflegt die Anlagenverzeichnisse, die für die Kontrollen 1 und 2 erforderlich sind. IT Glue die Dokumentationsschicht für die Anlagenverfolgung und Konfigurationsdaten IT Glue .

Funktionen 4 und 5 (Sichere Konfiguration, Benutzerverwaltung): Das richtlinienbasierte Konfigurationsmanagement von VSA sorgt für die Einhaltung sicherer Konfigurationsstandards auf allen verwalteten Endgeräten. Kaseya 365 unterstützt die Durchsetzung der Multi-Faktor-Authentifizierung (MFA) sowie die Verwaltung privilegierter Zugriffe.

Funktion 7 (Schwachstellenmanagement): Die Schwachstellenprüfung und das automatisierte Patch-Management von Kaseya erfüllen direkt die Anforderungen an ein kontinuierliches Schwachstellenmanagement.

Kontrollen 9 und 10 (E-Mail- und Browserschutz, Malware-Abwehr): Inky (E-Mail-Sicherheit) und Datto EDR decken die Kontrollen für E-Mail-, Browser- und Malware-Abwehr ab.

Control 11 (Datenwiederherstellung): Datto BCDR bietet die von Control 11 benötigten Backup- und Wiederherstellungsfunktionen, einschließlich automatischer Überprüfung und unveränderlichem Cloud-Speicher.

Maßnahme 14 (Sicherheitsbewusstsein): BullPhish ID bietet Schulungen zur Sicherheitssensibilisierung und Phishing-Simulationen an.

Maßnahme 17 (Incident Response): Der MDR- Dienst von Kaseya bietet eine Überwachung und Reaktionsfähigkeit rund um die Uhr, die ein verwaltetes Programm zur Incident Response unterstützt.

Compliance Manager GRC ist der Ort, an dem all dies zu Compliance-Zwecken zusammenläuft. Es umfasst speziell entwickelte CIS Controls v8.1-Vorlagen für alle drei Implementierungsgruppen, die automatisch die für die ausgewählte IG-Stufe erforderlichen spezifischen Sicherheitsmaßnahmen laden. Die Plattform verfolgt den Implementierungsfortschritt bei allen 153 Sicherheitsmaßnahmen, identifiziert Lücken und generiert automatisch die Compliance-Handbücher, Nachweisdokumente und Audit-Unterlagen, die Kunden, Auditoren und Cyber-Versicherern die Einhaltung der CIS Controls belegen.

Für MSPs verwandeln sich die CIS Controls dadurch von einem Rahmenwerk zur Überprüfung in einen verwalteten Compliance-Service, der bereitgestellt werden kann. Entdecken Sie Compliance Manager GRC.

Das Wichtigste in Kürze

  • CIS Controls v8.1 bietet 18 priorisierte Sicherheitsmaßnahmen, die in Implementierungsgruppen zusammengefasst sind, die sich an die Größe der Organisation anpassen lassen. IG1 (56 Sicherheitsmaßnahmen) bildet die unverzichtbare Grundausstattung, die jede Organisation erfüllen sollte.
  • Das Modell der Implementierungsgruppen macht die CIS-Kontrollen für Organisationen jeder Größe praktikabel: KMU richten sich an IG1 und IG2, Großunternehmen an IG3.
  • Die CIS-Kontrollen entsprechen den Anforderungen von NIST CSF, PCI DSS, HIPAA und ISO 27001, sodass ihre Umsetzung gleichzeitig als Nachweis für die Einhaltung mehrerer Rahmenwerke dient.
  • Die Kaseya-Plattform setzt den Großteil der CIS-Kontrollen direkt über VSA, Datto EDR, IT Glue, Inky, BullPhish ID und Datto BCDR um.
  • Compliance Manager GRC speziell entwickelte CIS v8.1-Vorlagen für alle drei Implementierungsgruppen, verfolgt die Umsetzung der Schutzmaßnahmen und erstellt automatisch auditfähige Nachweisdokumente.

Eine umfassende Plattform für IT- und Security

Kaseya 365 die Komplettlösung für die Verwaltung, Absicherung und Automatisierung der IT. Durch die nahtlose Integration wichtiger IT-Funktionen vereinfacht sie den Betrieb, erhöht die Sicherheit und steigert die Effizienz.

Eine Demo erhalten Entdecken Sie Kaseya 365

Eine Plattform. Alles IT.

Kaseya 365 profitieren von den Vorteilen der besten IT-Management- und Sicherheitstools in einer einzigen Lösung.

Entdecken Sie Kaseya 365

Ihr Erfolg ist unsere Priorität Nr. 1

Partner First ist eine Verpflichtung zu flexiblen Konditionen, geteiltem Risiko und engagierter Unterstützung für Ihr Unternehmen.

Entdecken Sie Partner First Pledge

Globaler MSP -Bericht 2025

Der Global MSP Report 2025 von Kaseya ist Ihre erste Anlaufstelle, um zu verstehen, wohin sich die Branche entwickelt.

Jetzt herunterladen

Kategorien entdecken

Änderungen der HIPAA-Richtlinie

Alles, was Sie über HIPAA wissen, ändert sich: Ein erster Blick darauf, wie Sie Ihren MSP vorbereiten können

Am 27. Dezember 2024 hat das Büro für Bürgerrechte (OCR) des US-Gesundheitsministeriums (HHS)Mehr lesen

Blogbeitrag lesen

Was bedeutet NIST-Konformität? Ein Leitfaden zu NIST-Normen, -Rahmenwerk und -Kontrollen

Datenschutz ist für große und kleine Unternehmen gleichermaßen ein wichtiges Thema, und genau hier kommt das NIST ins Spiel. Das NIST, oderMehr lesen

Blogbeitrag lesen

IT-Einhaltung: Verstehen von Zweck und Nutzen

IT-Compliance bezieht sich auf eine Reihe von gesetzlichen Vorschriften und Bestimmungen, die Unternehmen befolgen müssen, um die Gefahr vonMehr lesen

Blogbeitrag lesen