Das beliebte britische System Cyber Essentials soll im April nächsten Jahres aktualisiert werden. Neue Leitlinien in einer Reihe von Bereichen sollen die Anforderungen klären und sicherstellen, dass sie mit der aktuellen Technologielandschaft übereinstimmen.
Cyber Essentials bietet eine relativ einfache Reihe von Schritten, für die sich Unternehmen zertifizieren lassen können, um die häufigsten Cyber-Bedrohungen zu verhindern. Während die Basisversion nur eine Selbstbewertung erfordert, verlangt das Cyber Essentials Plus Schema eine praktische technische Überprüfung durch eine akkreditierte Drittpartei.
Die technischen Kontrollen des Systems wurden im Januar 2022 umfassend aktualisiert. Nach Angaben des National Cyber Security Centre (NCSC) wird die Aktualisierung vom April 2023 jedoch in bestimmten Bereichen mehr Klarheit bringen. Dazu gehören:
- Firmware – nur Router- und Firewall-Firmware muss auf dem neuesten Stand gehalten und unterstützt werden
- Geräte von Drittanbietern – es wird mehr Leitlinien dazu geben, wie externe Geräte, z. B. solche von Auftragnehmern oder Studenten, zu behandeln sind.
- Entsperrung von Geräten – bei Geräten, die nicht konfiguriert werden können, ist es akzeptabel, wenn die Antragsteller Standardeinstellungen verwenden.
- Schutz vor Schadsoftware – der Schutz vor Schadsoftware muss nicht mehr auf Signaturen beruhen, und es wird eine Anleitung dazu geben, welche Typen für verschiedene Geräte geeignet sind
- Zero Trust – es wird mehr Anleitungen dazu geben, wie dies im Rahmen der Cyber Essentials und der Vermögensverwaltung umgesetzt werden kann
Die Anforderungen werden im Januar 2023 vollständig aufgelistet, bevor sie im April in Kraft treten, so die NCSC.
Die Agentur kündigte auch eine Verlängerung der Frist für die Einhaltung mehrerer aktualisierter technischer Kontrollen an, die im Januar 2022 veröffentlicht werden.
Ursprünglich war diese Frist auf 12 Monate bis Januar 2023 angesetzt. Die NCSC verlängert sie jedoch bis April 2023, um sie mit der Einführung der neuen Klarstellungen zusammenfallen zu lassen.
Die drei relevanten Kontrollen sind:
- Alle Thin-Clients im Geltungsbereich müssen unterstützt werden und Sicherheitsupdates erhalten
- Alle nicht unterstützte Software muss entfernt oder über eine Untergruppe aus dem Geltungsbereich ausgegliedert werden.
- Alle Cloud-basierten Benutzerkonten müssen durch Multi-Faktor-Authentifizierung (MFA) geschützt sein.
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com