TL;DR

Die Essential Eight ist Australiens praktische Checkliste für die Cyberverteidigung - acht Kontrollen, die sich auf Prävention, Einschränkung und Wiederherstellung verteilen.

Denken Sie an: Patching, MFA, Anwendungshärtung, Backups und mehr.

Es handelt sich nicht um ein Mega-Framework, aber es ist für Regierungsbehörden obligatorisch und eine solide Grundlage für jeden.

Drei Reifegrade messen, wie resistent Sie gegen Angreifer sind - von Amateuren bis hin zu APTs.

Zusammenfassung der Essential Eight Scorecard:

• Entwickelnde Aufwand: Mäßig (umfasst das Patchen von Anwendungen, das Härten von Benutzeranwendungen, möglicherweise die Anwendungskontrolle, die Unterstützung von MFA und die Sicherstellung effektiver Backups).
• Tooling-Kosten: Mäßig (Erfordert Tools für Patching, Anwendungskontrolle/Whitelisting, möglicherweise Makrokontrolle, MFA-Lösungen, Backup-Systeme, Verwaltung von Administratorrechten).
• Auswirkungen auf den Markt: Hoch (obligatorische Grundvoraussetzung für die australische Regierung; gilt als Best Practice für australische Unternehmen; gute Sicherheitsgrundlage weltweit).
• Flexibilität: Hoch (konzentriert sich auf bestimmte Ergebnisse der Risikominderung; die Reifegrade ermöglichen eine schrittweise Umsetzung je nach Risiko).
• Intensität der Prüfung: Mäßig (oft Selbstbewertung anhand von Reifegraden, aber Audits/Bewertungen sind üblich, um compliance durch die Regierung oder durch Dritte zu gewährleisten).

Was sind die Essential Eight?

Die Essential Eight sind eine Reihe von grundlegenden Strategien zur Eindämmung von Cyberbedrohungen, die vom Australian Cyber Security Centre (ACSC) entwickelt und empfohlen wurden. Sie wurden entwickelt, um die Informationssysteme von Unternehmen gegen eine Reihe von Cyber-Bedrohungen zu schützen, indem sie sich auf praktische, hochwirksame Kontrollen konzentrieren. Sie gelten als Grundlage für die Verbesserung der Cyber-Resilienz.

Die Strategien der Essential Eight sind in drei Ziele unterteilt:

1. Verhindern Sie die Verbreitung und Ausführung von Malware:

* Anwendungskontrolle: Verhindern Sie die Ausführung von nicht zugelassenen/schädlichen Programmen (Whitelisting).

* Anwendungen patchen: Patches/Aktualisierungen von Anwendungen, um bekannte Sicherheitslücken zu schließen.

* Konfigurieren Sie die Microsoft Office-Makroeinstellungen: Makros aus dem Internet blockieren oder einschränken.

* Härtung von Benutzeranwendungen: Konfigurieren Sie Webbrowser und andere Anwendungen so, dass potenziell schädliche Inhalte (z. B. Flash, Werbung, Java) blockiert/eingeschränkt werden.

2. Begrenzung des Ausmaßes von Cybersecurity-Vorfällen:

* Administrative Rechte einschränken: Beschränken Sie den leistungsstarken Admin-Zugriff auf der Grundlage der Benutzeraufgaben; verwenden Sie separate privilegierte Konten.

* Patches für Betriebssysteme: Patches/Aktualisierungen für Betriebssysteme werden umgehend durchgeführt.

* Multi-Faktor-Authentifizierung (MFA): Implementieren Sie MFA für den Zugriff auf sensible Systeme/Daten, insbesondere für Fernzugriff und privilegierte Benutzer.

3. Wiederherstellung von Daten und Aufrechterhaltung der Verfügbarkeit:

* Regelmäßige Backups: Führen Sie täglich Backups von wichtigen Daten, Software und Konfigurationseinstellungen durch. Bewahren Sie die Backups sicher auf und testen Sie den Wiederherstellungsprozess regelmäßig.

Der ACSC definiert auch Reifegrade für die Umsetzung der Essential Eight (Level One, Level Two, Level Three), die für die zunehmende Fähigkeit stehen, gegnerische Techniken zu entschärfen.

• Reifegrad Eins: Konzentriert sich auf die Eindämmung von Angreifern, die in erster Linie gängige Tools und Techniken verwenden, um sich Zugang und Kontrolle zu verschaffen.
• Reifegrad zwei: Konzentriert sich auf die Eindämmung von Angreifern mit fortgeschritteneren Techniken, die aktiv versuchen, Kontrollen zu umgehen und ihre Spuren zu verwischen.
• Reifegrad 3: Konzentriert sich auf die Abwehr hochentwickelter Angreifer, einschließlich staatlich unterstützter Akteure, die gezielter, hartnäckiger und anpassungsfähiger sind.

Jede Reifegradstufe hat spezifische Umsetzungsanforderungen für jede der acht Strategien.

Warum ist sie wichtig?

Die Essential Eight sind von entscheidender Bedeutung, insbesondere im australischen Kontext:

• Effektive Basisverteidigung: Bietet eine bewährte, nach Prioritäten geordnete Reihe von Kontrollen, die die häufigsten Cyber-Angriffsvektoren (wie Malware, Phishing, Diebstahl von Anmeldedaten) erheblich eindämmen.
• Auftrag der australischen Regierung: Die Umsetzung (oft bis zur Reifegradstufe zwei oder höher) ist für australische Bundesbehörden im Rahmen des Protective Security Policy Framework (PSPF) verpflichtend.
• Bewährte Branchenpraxis (Australien): Weithin angenommen und als Basisstandard für australische Unternehmen zur Verbesserung ihrer Cyber-Resilienz empfohlen.
• Praktisch und umsetzbar: Der Schwerpunkt liegt auf konkreten technischen Kontrollen und nicht auf komplexen Managementsystemen, so dass sie relativ einfach zu verstehen und umzusetzen sind.
• Kosteneffiziente Schadensbegrenzung: Die Implementierung dieser Kernkontrollen ist oft kosteneffizienter bei der Verhinderung von Sicherheitsverletzungen als bei der Bewältigung der Folgen.
• Erwartungen an die Lieferkette: Immer mehr (staatliche und private) Organisationen erwarten von ihren Zulieferern die Einhaltung der Essential Eight.
• Verbesserte Cyber-Resilienz: Die Systeme sind grundsätzlich schwerer zu kompromittieren und leichter wiederherzustellen, wenn es doch zu einem Zwischenfall kommt.

Auch außerhalb Australiens bilden die Essential Eight eine solide Grundlage für die Cybersicherheitshygiene.

Was und wie umsetzen (technisch und politisch)

Die Umsetzung der "Essential Eight " beinhaltet die Einführung technischer Kontrollen und unterstützender Richtlinien für jede Strategie, die auf eine bestimmte Reifegradstufe abzielt:

1. Kontrolle der Anwendung:
   
   • Verwenden Sie Tools (wie Microsoft AppLocker oder Lösungen von Drittanbietern), um Listen der zugelassenen Anwendungen (ausführbare Dateien, Skripte, Installationsprogramme) zu definieren und durchzusetzen, die ausgeführt werden dürfen. Blockieren Sie alles andere. Erfordert eine sorgfältige Erstellung von Baselines und eine kontinuierliche Verwaltung.
2. Patch-Anwendungen:
   
   • Implementieren Sie ein robustes Patch-Management-Verfahren. Verwenden Sie automatische Tools, um nach fehlenden Patches für Anwendungen (Webbrowser, Office, PDF-Viewer, Java, Flash usw.) zu suchen. Anwendung von kritischen/hohen Patches innerhalb festgelegter Fristen (z. B. 48 Stunden für ML2/3 für Anwendungen mit Internetanschluss).
3. Konfigurieren Sie die Microsoft Office Makroeinstellungen:
   
   • Verwenden Sie Gruppenrichtlinienobjekte (GPOs) oder MDM-Einstellungen, um Makros aus nicht vertrauenswürdigen Quellen (Internet, E-Mail-Anhänge) zu blockieren. Erlauben Sie Makros nur aus vertrauenswürdigen, signierten Quellen, wenn sie für die Geschäftsfunktion erforderlich sind. Prüfen Sie Ausnahmen rigoros.
4. Härtung von Benutzeranwendungen:
   
   • Konfigurieren Sie Webbrowser so, dass sie risikoreiche Inhalte (z. B. Flash, Webanzeigen, Java-Applets) blockieren oder deaktivieren. Verhindern Sie, dass Benutzer diese Einstellungen einfach außer Kraft setzen können. Verwenden Sie die Filterung von Webinhalten. Konfigurieren Sie Office, PDF-Viewer usw. so, dass die Ausführung von Objektverknüpfungen/Einbettungen oder die Ausführung von Skripten nach Möglichkeit verhindert wird.
5. Administrative Rechte einschränken:
   
   • Setzen Sie das Prinzip der geringsten Privilegien um. Vergeben Sie Admin-Rechte nur dort, wo es notwendig ist. Verwenden Sie getrennte Konten für privilegierte Aufgaben und tägliche Aktivitäten (E-Mail, Browsing). Sichere Verwaltung privilegierter Konten (starke Passwörter/Passphrasen, MFA). Protokollieren und überwachen Sie privilegierte Vorgänge.
6. Patch-Betriebssysteme:
   
   • Ähnlich wie beim Anwendungs-Patching sollten Sie einen Prozess und Tools implementieren, um nach Sicherheits-Patches für Betriebssysteme zu suchen und diese zeitnah anzuwenden, insbesondere kritische Patches (z. B. innerhalb von 48 Stunden für ML2/3 für Systeme mit Internet-Anschluss).
7. Multi-Faktor-Authentifizierung (MFA):
   
   • Implementieren Sie MFA für alle privilegierten Zugriffe, Fernzugriffe (VPNs, RDP, Webmail) und den Zugriff auf wichtige Datenbestände. Verwenden Sie starke Authentifizierungsmethoden (z. B. Authenticator-Apps, FIDO2-Schlüssel, Smartcards). Vermeiden Sie leicht zu fälschende Methoden wie SMS, wenn möglich für höhere Ebenen.
8. Tägliche Backups:
   
   • Implementierung automatischer täglicher Backups von kritischen Daten, Konfigurationen und Systemabbildern. Sicherstellen, dass die Backups sicher gespeichert werden (offline, extern, verschlüsselt). Testen Sie den Wiederherstellungsprozess regelmäßig (mindestens jährlich, auf höheren Ebenen vorzugsweise vierteljährlich), um die Vollständigkeit und Zuverlässigkeit zu überprüfen.

Das Erreichen höherer Reifegrade erfordert in der Regel mehr Automatisierung, schnellere Patching-Zeiten, umfassendere Protokollierung/Überwachung, strengere Kontrollen (z. B. stärkere MFA) und häufigere Tests (z. B. Wiederherstellung von Backups).

Häufig zu vermeidende Fehler

Zu den häufigen Fehlern bei der Umsetzung der "Essential Eight" gehören:

1. Sie nur als Checkliste zu behandeln: Die technische Implementierung von Kontrollen ohne die unterstützenden Strategien, Verfahren und Schulungen, um sie langfristig wirksam zu machen.
2. Schlechte Implementierung: Falsche oder unvollständige Einrichtung von Kontrollen (z. B. Anwendungskontrolle oder MFA), die Lücken hinterlassen oder zu große Reibungsverluste für die Benutzer verursachen.
3. Inkonsistente Anwendung: Anwendung von Kontrollen auf einige Systeme, aber nicht auf andere innerhalb des festgelegten Anwendungsbereichs.
4. Vernachlässigung der Patching-Kadenz: Nichteinhaltung des erforderlichen Zeitrahmens für das Patchen von Anwendungen und Betriebssystemen, insbesondere kritischer Schwachstellen.
5. Schwache Kontrolle der Verwaltungsrechte: Erteilung übermäßiger Verwaltungsrechte oder unzureichende Nutzung getrennter privilegierter Konten.
6. MFA-Lücken: Implementierung von MFA, aber fehlende Schlüsselbereiche wie Fernzugriff oder Zugriff auf sensible Cloud-Dienste.
7. Ungetestete Backups: Sie führen Backups durch, testen aber nie den Wiederherstellungsprozess und stellen erst bei einem echten Vorfall fest, dass sie nicht funktionieren.
8. Ignorieren der Reifegradstufen: Anstreben einer bestimmten Stufe, ohne alle Anforderungen für diese Stufe über alle acht Strategien hinweg vollständig zu verstehen oder zu erfüllen. Sie sind nur so reif wie Ihre schwächste Kontrolle.

Was Prüfer/Beurteiler fragen könntenEntwickelnde Focus)

Während sich Essential Eight-Bewertungen häufig auf die Systemverwaltung und die Infrastruktur konzentrieren, können auch Entwickler einbezogen werden, insbesondere im Hinblick auf Anwendungspatches, Härtung und sichere Konfigurationen:

• (Patch Applications) "Wie werden Schwachstellen in den Bibliotheken von Drittanbietern, die von Ihren Anwendungen verwendet werden, identifiziert und gepatcht?" (Bezogen auf SCA)
• (User Application Hardening) "Wie werden die Sicherheitseinstellungen für Webkomponenten oder Frameworks konfiguriert, die innerhalb der Anwendung verwendet werden, um häufige clientseitige Angriffe zu verhindern?"
• (Admin-Rechte einschränken) "Setzt die Anwendung selbst die geringsten Rechte für verschiedene Benutzerrollen durch? Wie sind die administrativen Funktionen auf Anwendungsebene geschützt?"
• (Patching von Betriebssystemen) "Wie stellen Sie sicher, dass die Betriebssysteme und Laufzeitumgebungen, in denen Ihre Anwendung eingesetzt wird, gemäß den Richtlinien gepatcht werden?" (Interaktion mit Ops/Plattform-Teams)
• (MFA) "Unterstützt oder erzwingt die Anwendung MFA für die Benutzeranmeldung, insbesondere für sensible Funktionen?"

Die Prüfer werden nach Nachweisen für Patching-Prozesse, sichere Konfigurationen (sowohl serverseitig als auch möglicherweise clientseitig im Zusammenhang mit der Anwendungshärtung) und die Integration von Anwendungen in umfassendere Kontrollen wie MFA und Protokollierung suchen.

Quick Wins für Entwicklungsteams

Entwicklungsteams können die Ziele von Essential Eight direkt unterstützen:

1. Priorisierung von Dependency Patching: Integration von SCA-Tools und Einrichtung eines Prozesses zur raschen Aktualisierung von Bibliotheken mit bekannten kritischen/hohen Sicherheitslücken. (Unterstützt Patch-Anwendungen)
2. Sichere Anwendungskonfiguration: Stellen Sie sicher, dass Anwendungen mit sicheren Standardeinstellungen ausgeliefert und Abhängigkeiten sicher konfiguriert werden. (Unterstützt User Application Hardening, Patch Applications)
3. Anwendungsrechte einschränken: Entwerfen Sie Anwendungen so, dass sie nur mit den minimal erforderlichen Betriebssystem- oder Dienstberechtigungen ausgeführt werden. (Unterstützt "Admin-Rechte einschränken")
4. Unterstützung der MFA-Integration: Stellen Sie sicher, dass Anwendungen korrekt mit Standard-MFA-Lösungen für die Benutzerauthentifizierung integriert werden können. (Unterstützt MFA)
5. Sichere Builds erstellen: Sicherstellen, dass der Build-Prozess selbst keine Schwachstellen einführt und die Artefakte sicher gespeichert werden. (Unterstützt indirekt mehrere Strategien)
6. Bereitstellung von Logging Hooks: Erstellen Sie Anwendungen mit klaren Protokollierungsfunktionen für sicherheitsrelevante Ereignisse, um Überwachungsanforderungen zu unterstützen. (Unterstützt indirekt Backups und breitere Sicherheit)

Ignorieren Sie dies und... (Folgen der Compliance)

Für australische Regierungsbehörden stellt die Nichterfüllung der vom PSPF vorgeschriebenen Essential Eight-Anforderungen einecompliance Regierungspolitik dar, was zu Prüfungsfeststellungen und erforderlichen Abhilfemaßnahmen führen kann. Für Unternehmen:

• Erhöhtes Risiko für gängige Angriffe: Wenn diese Strategien ignoriert werden, sind Unternehmen sehr anfällig für Ransomware, Phishing, Malware-Infektionen und den Diebstahl von Anmeldedaten - das A und O der meisten Cyberangriffe.
• Höhere Auswirkungen von Vorfällen: Das Fehlen von Kontrollmechanismen wie Patches, Admin-Beschränkungen und Backups bedeutet, dass sich Vorfälle wahrscheinlich weiter ausbreiten, mehr Schaden anrichten und schwieriger zu beheben sind.
• Unfähigkeit, die Anforderungen der Regierung/Partner zu erfüllen: Bei Ausschreibungen und Verträgen (insbesondere im Zusammenhang mit der Regierung) wird zunehmend der Nachweis der Übereinstimmung mit den Essential Eight verlangt. Die compliance dieser Anforderungen blockiert Chancen.
• Schädigung des Rufs: Eine Sicherheitsverletzung aufgrund der Nichtumsetzung grundlegender, allgemein empfohlener Kontrollen wie der "Essential Eight" kann zu einem erheblichen Imageschaden führen.
• Potenzielle regulatorische/gesetzliche Fragen: Auch wenn es sich nicht um direkte Rechtsvorschriften handelt (außerhalb des PSPF), könnte die Nichtumsetzung anerkannter bewährter Praktiken wie der Essential Eight im Falle eines Verstoßes gegen personenbezogene Daten (Privacy Act) oder einer Beeinträchtigung kritischer Infrastrukturen als Nachlässigkeit angesehen werden.

FAQ

Ist die Essential Eight in Australien obligatorisch?

Für australische Regierungsstellen ist es im Rahmen des Protective Security Policy Framework (PSPF) obligatorisch. Für private Unternehmen gilt es als bewährte Praxis und wird zunehmend erwartet, insbesondere für diejenigen, die mit der Regierung zusammenarbeiten oder in kritischen Sektoren tätig sind, ist aber (noch) nicht allgemein gesetzlich vorgeschrieben.

Was sind die acht wesentlichen Reifegrade?

Es gibt drei Reifegrade (eins, zwei, drei), die vom ACSC definiert wurden. Jede Stufe steht für eine zunehmende Fähigkeit, sich gegen raffiniertere Angreifer zu verteidigen, indem sie eine striktere Umsetzung der acht Abschwächungsstrategien erfordert. Eine Organisation muss alle Anforderungen für eine bestimmte Stufe in allen acht Strategien erfüllen, um diese Reifegradstufe insgesamt zu erreichen.

Welche Reifegradstufe sollte meine Organisation anstreben?

Der ACSC rät Organisationen, einen Reifegrad anzustreben, der sich an ihrem Risikoprofil orientiert - unter Berücksichtigung der Wahrscheinlichkeit, Ziel eines Angriffs zu werden, und der potenziellen Folgen einer Kompromittierung. Australische Regierungsstellen streben häufig Stufe zwei oder höher an. Unternehmen sollten eine Risikobewertung durchführen, um ein geeignetes Ziel zu bestimmen.

Wie verhalten sich die Essential Eight zu ISO 27001 oder NIST CSF?

Die Essential Eight konzentrieren sich auf eine spezifische, priorisierte Reihe von technischen Abhilfestrategien. ISO 27001 ist ein umfassenderer ISMS-Standard (Information Security Management System), der Governance, Risikomanagement und ein breiteres Spektrum an Kontrollen (einschließlich vieler technischer Kontrollen, die mit den E8 übereinstimmen) umfasst. NIST CSF ist ein übergeordneter Rahmen für die Organisation von Cybersicherheitsaktivitäten. Die Umsetzung der Essential Eight hilft bei der Erfüllung vieler technischer Kontrollanforderungen innerhalb von ISO 27001 und stimmt mit den Schutz- und Wiederherstellungsfunktionen des NIST CSF überein.

Ist das Essential Eight nur für Windows-Umgebungen geeignet?

Ursprünglich wurden die Essential Eight zwar in erster Linie für Microsoft Windows-Systeme entwickelt (was sich in Steuerelementen wie den Office-Makro-Einstellungen widerspiegelt), doch sind die Grundsätze hinter den Essential Eight (Patching, Anwendungskontrolle, MFA, Backups usw.) auch auf andere Betriebssysteme (Linux, macOS) und Cloud-Umgebungen anwendbar und anpassbar, auch wenn sich die spezifischen Implementierungsmethoden unterscheiden.

Wie wird die compliance Essential Eight bewertet?

Die Bewertung umfasst häufig eine Selbsteinschätzung anhand der Spezifikationen des ACSC-Reifegradmodells. Für die compliance behördlicher compliance oder zur Absicherung durch Dritte können formelle Audits oder Bewertungen durch unabhängige Parteien durchgeführt werden, bei denen technische Konfigurationen, Richtlinien, Verfahren und Umsetzungsnachweise für jede Strategie auf dem angestrebten Reifegrad geprüft werden. Tools wie Introspectus Assessor können Teile der technischen Prüfung automatisieren.

Wo finde ich den offiziellen Leitfaden der Essential Eight?

Die Website des Australian Cyber Security Centre (ACSC) (cyber.gov.au) ist die offizielle Quelle für die Essential Eight Mitigation Strategies und die detaillierten Spezifikationen des Maturity Model.