Es fängt – wie vieles in der Informationssicherheit – nicht mit einem großen Plan an, sondern mit Frust. Frust darüber, dass Unternehmen immer wieder an denselben Stellen getroffen werden. Frust darüber, dass dicke Ordner voller Richtlinien kaum helfen, wenn ein Angreifer mit banalen Mitteln durch eine unentdeckte Fernwartungsschnittstelle spaziert. Frust darüber, dass jede Organisation aufwendig eigene Kataloge schreibt, während die Kriminellen längst arbeitsteilig, wiederholbar und effizient vorgehen. Aus diesem Frust entsteht eine Idee, die zunächst beinahe unverschämt schlicht wirkt: Statt noch ein Rahmenwerk, noch eine Norm, noch eine Auslegungshilfe zu veröffentlichen, bündeln wir das, was wirklich wirkt, und bringen es in eine priorisierte Reihenfolge. Keine Theorielehre, sondern ein Programm. Kein schönes Plakat, sondern eine Handlungsanweisung. Aus dieser Idee wurden erst die „Top 20 Critical Security Controls“ – und im nächsten Schritt das, was wir heute als CIS Controls kennen.

Die Ausgangslage: Zu viel Theorie, zu wenig Wirkung

Die frühen 2000er-Jahre sind eine Zeit des Aufbruchs – und der Ernüchterung. Die Sicherheitsgemeinde verfügt über Rahmenwerke en masse: ISO/IEC 27001 mit seinem Managementansatz, NIST SP 800-53 mit seinem umfassenden Kontrollkatalog, COBIT für Governance, ITIL für Serviceprozesse. All das ist wertvoll. Doch im Maschinenraum der Unternehmen bleiben immer wieder dieselben Lücken offen: nicht inventarisierte Systeme, veraltete Software, grob fahrlässige Standardkonfigurationen, allzu großzügige Administratorrechte, schwache Protokollierung, zu seltene Auswertung. Wer ein Incident-Response-Team begleitet, erkennt Muster. Wer viele Reaktionen begleitet, erkennt immer dieselben Muster.