Compliance-Lexikon · Grundbegriff
Cyber Hygiene
[ˈsaɪbə haɪˈdʒiːn] · auch: IT-Grundhygiene, Basis-Sicherheitsmassnahmen
Cyber Hygiene bezeichnet die Summe der grundlegenden, routinemaessig durchgefuehrten Sicherheitspraktiken – Patch-Management, starke Authentifizierung, Datensicherung, Zugriffsrechtepflege, Mitarbeitersensibilisierung – die das Risiko der haeufigsten Cyberangriffe signifikant reduzieren.
Warum Cyber Hygiene die Grundlage jedes Sicherheitsprogramms ist
Die ueberwiegende Mehrzahl erfolgreicher Cyberangriffe nutzt keine Zero-Days oder ausgefeilten Techniken – sie nutzt fehlende Grundhygiene: ungepatchte Systeme, schwache Passwoerter, fehlende MFA, nicht getestete Backups. NIS-2 hat Cyber Hygiene explizit als regulatorische Anforderung festgeschrieben. Wer die Basics nicht nachweisen kann, hat ein Compliance-Problem – unabhaengig davon, wie ausgefeilte Sicherheitswerkzeuge sonst eingesetzt werden.
Wo Cyber Hygiene gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| NIS-2 / BSIG | § 30 Abs. 2 | Cyber-Hygiene-Praktiken und Schulungen explizit als Mindestmassnahme fuer wesentliche und wichtige Einrichtungen genannt. |
| CRA | Art. 13 | Cyber Resilience Act: Hersteller vernetzter Produkte muessen Cyber-Hygiene-Anforderungen in Entwicklung und Betrieb umsetzen. |
| ISO 27001:2022 | A.8.8 / A.8.19 | Patch-Management und Software-Installation: Regelmaessiges Patching und kontrollierte Software-Installation als Basismassnahmen. |
| BSI Cyber-Sicherheits-Empfehlungen | vollstaendig | BSI-Basismassnahmen: Patch-Management, MFA, Backup, verschluesselte Kommunikation als Mindeststandard. |
| ENISA | vollstaendig | ENISA Good Practices on Cyber Hygiene: Europaweite Empfehlungen fuer grundlegende Sicherheitspraktiken. |
BAM-Objektreferenz
Haeufige Audit-Fehler
- Kein dokumentiertes Patch-Management mit Fristen
- MFA fuer privilegierte Accounts nicht durchgaengig implementiert
- Backups vorhanden, aber nie getestet
- Zugriffsrechte werden bei Stellenwechsel nicht angepasst
Die sechs Kernelement guter Cyber Hygiene
Patch-Management: Sicherheitsupdates innerhalb definierter Fristen einspielen (kritisch: 24-72 Stunden, hoch: 7 Tage). Starke Authentifizierung: MFA fuer alle privilegierten und externen Zugaenge. Datensicherung: Regelmaessige, getestete Backups nach der 3-2-1-Regel (3 Kopien, 2 verschiedene Medien, 1 off-site). Zugriffsrechtepflege: Regelmaessige Pruefung und zeitnahe Anpassung bei Personalwechsel. Sicherheitssensibilisierung: Jaehrliche Schulungen und Phishing-Simulationen. Inventarisierung: Vollstaendiges Asset-Inventar als Grundlage aller anderen Massnahmen. Diese sechs Elemente decken die Ursachen von etwa 80 Prozent aller erfolgreichen Cyberangriffe ab.
Cyber Hygiene vs. fortgeschrittene Sicherheitsmassnahmen
Cyber Hygiene ist kein Ersatz fuer fortgeschrittene Sicherheitsmassnahmen wie SIEM, Threat Hunting oder Zero Trust – aber sie ist ihre Voraussetzung. Wer kein Patch-Management hat, profitiert wenig von einem ausgefeilten SIEM. Wer kein Asset-Inventar hat, kann keine Schwachstellenscans durchfuehren. Die richtige Reihenfolge: Basics zuerst, dann Fortgeschrittenes.
Naechste Ebene
Cyber Hygiene in der Praxis: Massnahmen, Nachweise und Evidence
Welche Basismassnahmen NIS-2 und ISO 27001 konkret erfordern und was Auditoren pruefen.