Was genau erfordert Cyber Essentials?
Cyber Essentials ist ein von der britischen Regierung unterstütztes Programm, das von IASME im Auftrag des National Cyber Security Centre (NCSC) verwaltet wird. Es definiert fünf technische Kontrollbereiche, die, wenn sie korrekt implementiert werden, etwa 80 % der häufigsten internetbasierten Cyberangriffe verhindern sollen. Cyber Essentials Hub Diese Seite erläutert das System im Überblick; diese Seite geht darauf ein, was das System konkret von Ihrer Umgebung verlangt.
Die Anforderungen sind bewusst praxisorientiert. Anstatt Sie zum Verfassen von Richtlinien aufzufordern, prüft das Programm, ob Ihre Firewalls, Geräte, Konten, Malware-Abwehrmaßnahmen und Software-Updates auf eine verteidigungsfähige Basiskonfiguration eingestellt sind. In jedem Zertifizierungszyklus wird Ihre ISMS.online Kunden und andere Antragsteller füllen einen Selbstbewertungsfragebogen (SAQ) aus, der bestätigt, dass die Kontrollmaßnahmen im gesamten Geltungsbereich implementiert sind. Bei Cyber Essentials Plus überprüft ein unabhängiger Gutachter dieselben Kontrollmaßnahmen durch praktische technische Tests – siehe unsere Anforderungen von Cyber Essentials Plus Eine detaillierte Anleitung zu den Tests finden Sie hier. Eine praktische, schrittweise Anleitung zur Umsetzung dieser Anforderungen finden Sie in unserer [Website/Dokumentation/etc.]. Checkliste Cyber Essentials.
Die fünf Kontrollbereiche umfassen Firewalls und Router, sichere Konfiguration, Benutzerzugriffskontrolle, Malware-Schutz und die Verwaltung von Sicherheitsupdates. Der aktuelle Fragenkatalog, der jährlich aktualisiert wird und 2026 strengere Anforderungen an Cloud-Computing und Multi-Faktor-Authentifizierung berücksichtigt, wendet dieselben fünf Kontrollmechanismen auf Laptops, Desktop-PCs, Server, Mobilgeräte, Netzwerkgeräte und Cloud-Dienste an, die in den Geltungsbereich fallen.
Welche Anforderungen müssen Firewalls und Router erfüllen?
Firewalls bilden die Grenze zwischen Ihrem vertrauenswürdigen internen Netzwerk und dem nicht vertrauenswürdigen Internet. Der Kontrollbereich erfordert, dass jedes Gerät, das sich mit dem Internet verbindet, sowie die Netzwerkgrenze selbst durch eine korrekt konfigurierte Firewall (oder ein gleichwertiges Netzwerkgerät) geschützt sind.
Das Programm sieht insbesondere Folgendes vor:
- Ändern Sie das Standard-Administratorpasswort auf jeder mit dem Internet verbundenen Firewall oder jedem Router in ein sicheres, individuelles Passwort.
- Nicht authentifizierte eingehende Verbindungen werden standardmäßig blockiert.
- Alle eingehenden Firewall-Regeln, die Dienste zulassen, müssen dokumentiert und genehmigt werden, inklusive eines entsprechenden Business Case.
- Nicht mehr benötigte eingehende Regeln entfernen oder deaktivieren.
- Verwenden Sie eine Software-Firewall auf Geräten, die außerhalb des Firmennetzwerks genutzt werden (Laptops zu Hause, im Hotel-WLAN oder in einem Café).
- Deaktivieren Sie den administrativen Fernzugriff auf die Firewall aus dem Internet, es sei denn, er ist durch Multi-Faktor-Authentifizierung (MFA) oder eine IP-Zulassungsliste geschützt und es besteht ein dokumentierter geschäftlicher Bedarf.
Die häufigsten Lücken, die die Gutachter hier feststellen, sind Heimarbeiter, deren vom Internetanbieter gelieferter Router noch das Standard-Administratorpasswort auf der Rückseite aufgedruckt hat, und SaaS-lastige Unternehmen, die davon ausgehen, dass sie keine Firewalls benötigen, obwohl tatsächlich auf jedem Mitarbeiterlaptop die hostbasierte Firewall aktiviert sein muss.
Zu den Nachweisen, die der Gutachter in der Regel verlangt, gehören ein Screenshot oder eine Bestätigung, die die Firewall-Version und die Änderung des Administratorpassworts belegt, eine Liste der eingehenden Regeln mit ihrer geschäftlichen Begründung sowie die Bestätigung, dass hostbasierte Firewalls auf allen Geräten aktiviert sind.
Was bedeutet sichere Konfiguration in der Praxis?
Eine sichere Konfiguration zielt darauf ab, die standardmäßig in Geräten und Software vorhandenen Sicherheitslücken zu beseitigen: Standardkonten, Beispielpasswörter, unnötige Dienste, Demoinhalte und zu freizügige Freigabeeinstellungen. Jedes Gerät, jeder Server und jeder Cloud-Dienst muss vor der Inbetriebnahme so konfiguriert werden, dass das Risiko minimiert wird.
Um diesen Kontrollbereich einzuhalten, müssen Sie:
- Entfernen oder deaktivieren Sie Benutzerkonten und Software, die Sie nicht benötigen (einschließlich vorinstallierter Bloatware, ungenutzter Benutzerkonten und standardmäßiger Administratorkonten, sofern möglich).
- Ändern Sie alle Standardpasswörter oder leicht zu erratende Passwörter auf Geräten, Konten und Diensten.
- Deaktivieren Sie die Autostart-Funktionen, die Code von Wechseldatenträgern automatisch ausführen.
- Verlangen Sie von Benutzern eine Authentifizierung, bevor Sie ihnen Zugriff auf Organisationsdaten oder -dienste gewähren.
- Implementieren Sie die Multi-Faktor-Authentifizierung (MFA) für alle Administratorkonten in Cloud-Diensten sowie für alle Standardbenutzer, sofern der Cloud-Dienst dies unterstützt.
- Verwenden Sie ein Passwort mit einer Mindestlänge von 12 Zeichen (oder 8 Zeichen plus MFA oder 8 Zeichen mit Drosselung/Sperrung).
Die Fragen des Jahres 2026 haben die Anforderungen an die Multi-Faktor-Authentifizierung (MFA) verschärft, insbesondere für Cloud-Dienste. Nutzt Ihr Unternehmen Microsoft 365, Google Workspace, AWS, Azure oder eine andere Cloud-Plattform, ist die MFA für jedes Administratorkonto nun zwingend erforderlich, und die Prüfer werden einen entsprechenden Nachweis verlangen.
Häufige Sicherheitslücken sind veraltete Domänenadministratorkonten ohne Multi-Faktor-Authentifizierung, gemeinsam genutzte Dienstkonten mit statischen, in Tabellenkalkulationen gespeicherten Passwörtern und WLAN-Gastnetzwerke, die mit dem Unternehmensnetzwerk verbunden sind. Überprüfen Sie Ihre Sicherheitslücken. Selbstbewertung für Cyber Essentials Wenn Sie von Anfang an bei Ihrem Projekt auf eine sichere Konfiguration achten, ist dies der Kontrollbereich, in dem die meisten Organisationen auf unerwartete Arbeit stoßen.
Wie funktioniert die Benutzerzugriffskontrolle unter Cyber Essentials?
Dieser Kontrollbereich beschränkt die Zugriffsrechte auf Ihre Systeme. Cyber Essentials stellt sicher, dass Benutzerkonten nur mit Genehmigung erstellt werden, administrative Berechtigungen begrenzt sind und Konten bei Ausscheiden von Mitarbeitern gelöscht werden.
Die konkreten Anforderungen sind:
- Sorgen Sie für einen dokumentierten Prozess zur Erstellung und Genehmigung von Benutzerkonten.
- Benutzer müssen mit starken, einzigartigen Anmeldeinformationen authentifiziert werden, bevor ihnen Zugriff gewährt wird.
- Benutzerkonten entfernen oder deaktivieren, wenn sie nicht mehr benötigt werden (Eintritts-, Versetzungs- und Austrittsprozesse).
- Implementieren Sie die Multi-Faktor-Authentifizierung für Cloud-Dienste für alle Benutzer, sofern die Plattform dies unterstützt, und bedingungslos für alle Administratorkonten.
- Trennen Sie administrative Konten von alltäglichen Benutzerkonten – Administratoren dürfen mit ihrem privilegierten Konto weder im Internet surfen noch E-Mails lesen.
- Überprüfen Sie mindestens jährlich, welche Benutzer über administrative Berechtigungen verfügen, und entfernen Sie alle, deren Berechtigungen nicht mehr gerechtfertigt sind.
Die Gutachter verlangen in der Regel: Ihre Vorgehensweise bei Eintritt, Versetzung und Austritt von Mitarbeitern, eine Liste der administrativen Benutzer mit der jeweiligen Begründung für die Nutzung, Screenshots der MFA-Konfiguration Ihrer wichtigsten Cloud-Plattformen und eine Auswahl kürzlich deaktivierter Konten von ausscheidenden Mitarbeitern.
Die klassische Lücke besteht darin, dass langjährige Mitarbeiter, deren Rolle sich dreimal geändert hat, immer noch Administratorrechte aus einer früheren Position besitzen. Ein weiteres großes Problem sind gemeinsam genutzte Zugänge für Finanz-, Marketing- oder Social-Media-Tools – das System verbietet zwar nicht alle gemeinsam genutzten Konten, erwartet aber, dass diese gut begründet, durch Zwei-Faktor-Authentifizierung geschützt und nachverfolgt werden.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Wie funktionieren die Anforderungen an den Malware-Schutz?
Der Schutz vor Schadsoftware erfordert, dass jedes betroffene Gerät mit mindestens einem der drei zugelassenen Verfahren gegen Schadcode geschützt wird: Anti-Malware-Software, Zulassungslisten für Anwendungen oder Sandboxing. Die meisten Organisationen erfüllen diese Anforderung, indem sie die in ihren Betriebssystemen integrierte Anti-Malware nutzen (Microsoft Defender unter Windows, XProtect unter macOS) und diese auf Geräten mit höherem Risiko durch ein EDR-Produkt ergänzen.
Um zu bestehen, müssen Sie:
- Verwenden Sie auf jedem betroffenen Gerät einen der drei zugelassenen Mechanismen (Antimalware, Zulassungsliste für Anwendungen oder Sandboxing).
- Halten Sie Ihre Antivirensoftware auf dem neuesten Stand, idealerweise automatisch, damit Signaturen und Erkennungsmodule aktuell sind.
- Konfigurieren Sie Ihre Antivirensoftware so, dass sie Dateien beim Zugriff und Webseiten scannt.
- Verbindungen zu bekannten schädlichen Websites blockieren, sofern das Anti-Malware-Produkt diese Funktion bietet.
- Wenn Sie eine Zulassungsliste für Anwendungen verwenden, pflegen Sie eine Liste genehmigter Anwendungen und verhindern Sie, dass andere Anwendungen ausgeführt werden.
- Wenn Sie Sandboxing verwenden, stellen Sie sicher, dass jede Anwendung in einer Sandbox ausgeführt wird und ohne ausdrückliche Genehmigung nicht auf Daten anderer Anwendungen in Sandboxes zugreifen kann.
Mobile Geräte (Smartphones, Tablets) fallen ausdrücklich unter diese Regelung. iOS und Android nutzen beide Sandboxing als zugrundeliegenden Ansatz, was akzeptabel ist. Apps dürfen jedoch nur aus den offiziellen Stores (Apple App Store, Google Play oder einem verwalteten Unternehmens-Store) installiert werden.
Die häufigste Schwachstelle sind unkontrollierte BYOD-Geräte: Der private Mac eines Mitarbeiters wird für geschäftliche E-Mails genutzt – ohne Registrierung, ohne zentrale Antivirenrichtlinie und ohne Einblick für die IT-Abteilung. Entweder wird das Gerät in das MDM-System integriert oder die Arbeit wird auf ein verwaltetes Gerät verlagert.
Was ist für das Management von Sicherheitsupdates erforderlich?
Dieser Kontrollbereich erfordert, dass alle relevanten Softwareprodukte unterstützt, lizenziert und mit Sicherheitsupdates versehen sind. Die Kriterien für „unterstützt“ sind streng: Es muss sich um eine Version handeln, für die der Hersteller weiterhin Sicherheitsupdates veröffentlicht. Betriebssysteme, Browser, Plugins, Firmware und Anwendungen, deren Support eingestellt wurde, sind nicht zulässig und führen zum sofortigen Nichtbestehen der Prüfung.
Die konkreten Anforderungen sind:
- Alle Betriebssysteme und Anwendungen auf den betroffenen Geräten müssen vom Hersteller lizenziert und unterstützt werden.
- Entfernen oder ersetzen Sie jegliche Software, die vom Hersteller nicht mehr unterstützt wird, durch Sicherheitsupdates.
- Aktivieren Sie automatische Updates, sofern der Anbieter diese anbietet.
- Installieren Sie „hohe“ oder „kritische“ Sicherheitsupdates innerhalb von 14 Tagen nach deren Veröffentlichung (die 14-Tage-Regel).
- Dies gilt für Betriebssysteme, Anwendungen, Firmware auf Routern und Firewalls sowie Plug-ins oder Erweiterungen.
Das 14-tägige Patch-Fenster ist der häufigste Grund, warum Unternehmen beim Cyber Essentials Plus-Test durchfallen. Die Prüfer scannen Ihre Geräte und kennzeichnen alle, bei denen nach Ablauf dieses Fensters ein Patch mit hoher Priorität fehlt. Server, die nur im Rahmen der monatlichen Wartung aktualisiert werden, verpassen häufig die Frist.
Als Software im Geltungsbereich gilt alles, was für den Zugriff auf Organisationsdaten oder -dienste verwendet wird. Dazu gehören Betriebssysteme, Office-Suiten, Browser, Browsererweiterungen, PDF-Reader, Videokonferenz-Tools, Passwortmanager und alle Branchenanwendungen. Auch die Firmware von Routern, Firewalls und Access Points fällt in den Geltungsbereich.
Übersichtstabelle: Die 5 Bedienelemente im Überblick
Die folgende Tabelle fasst die fünf Kontrollbereiche von Cyber Essentials zusammen, beschreibt die jeweiligen Anforderungen und die Lücken, die Prüfer am häufigsten feststellen.
| Kontrollbereich | Schlüsselanforderungen | Gemeinsame Lücken |
|---|---|---|
| 1. Firewalls und Router | Ändern Sie die Standard-Administratorpasswörter; blockieren Sie nicht authentifizierten eingehenden Datenverkehr; dokumentieren Sie die Regeln für eingehenden Datenverkehr; aktivieren Sie hostbasierte Firewalls auf mobilen Geräten; schützen Sie den Remote-Administratorzugriff mit MFA oder einer IP-Zulassungsliste. | Standardpasswörter auf von Internetanbietern bereitgestellten Routern, die von Heimarbeitern genutzt werden; deaktivierte Host-Firewalls auf Laptops; undokumentierte oder veraltete Regeln für eingehende Verbindungen. |
| 2. Sichere Konfiguration | Nicht verwendete Konten und Software entfernen; Standardpasswörter ändern; Autostart deaktivieren; MFA für Cloud-Dienste und alle Administratorkonten aktivieren; Mindestpasswortlänge 12 Zeichen. | Legacy-Administratorkonten ohne MFA; Standardanmeldeinformationen auf Netzwerkgeräten; Bloatware und ungenutzte Dienste in Standardinstallationen. |
| 3. Benutzerzugriffskontrolle | Genehmigter Prozess zur Kontoerstellung; umgehende Entfernung ausscheidender Mitarbeiter; Trennung von Administrator- und Standardkonten; Multi-Faktor-Authentifizierung für alle Cloud-Benutzer, sofern unterstützt; jährliche Überprüfung der Administratorrechte. | Administratorrechte haben sich im Laufe der Zeit angesammelt; Administratoren surfen mit privilegierten Accounts im Internet; Logins werden ohne Rechtfertigung gemeinsam genutzt. |
| 4. Schutz vor Schadsoftware | Verwenden Sie auf jedem Gerät Anti-Malware, eine Zulassungsliste für Anwendungen oder Sandboxing; halten Sie die Virendefinitionen aktuell; beschränken Sie mobile Apps auf offizielle Stores; scannen Sie Dateien beim Zugriff. | Nicht verwaltete BYOD-Geräte; veraltete oder deaktivierte Antimalware auf Servern; Zulassungslisten wurden ohne genehmigte App-Liste implementiert. |
| 5. Verwaltung von Sicherheitsupdates | Verwenden Sie ausschließlich unterstützte, lizenzierte Software; entfernen Sie veraltete Betriebssysteme, Anwendungen und Firmware; installieren Sie wichtige/kritische Patches innerhalb von 14 Tagen; aktivieren Sie nach Möglichkeit automatische Updates. | 14-tägiges Patch-Fenster auf Servern verpasst; veraltete Windows-Versionen oder nicht unterstützte Browser noch im Einsatz; veraltete Router-Firmware. |
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Wie passen Cloud-Dienste zu den Anforderungen?
Die Cloud wird nun als Erweiterung Ihrer IT-Umgebung und nicht mehr als Ausnahme betrachtet. Wenn Ihre Organisation einen Cloud-Dienst zur Verarbeitung oder Speicherung von Organisationsdaten nutzt, fällt dieser Dienst unter den Geltungsbereich, und Sie sind für dessen Konfiguration gemäß den geltenden Kontrollen verantwortlich. Das Schema unterscheidet drei Cloud-Dienstmodelle mit jeweils leicht unterschiedlichen Verantwortlichkeiten:
- Software as a Service (SaaS) Beispiele hierfür sind Microsoft 365, Google Workspace, Salesforce und Xero. Sie sind verantwortlich für die Benutzerzugriffskontrolle, die sichere Konfiguration von Konten und Mandanteneinstellungen sowie die Multi-Faktor-Authentifizierung (MFA). Der Anbieter kümmert sich um den Malware-Schutz auf der zugrunde liegenden Plattform, die clientseitige Konfiguration obliegt jedoch weiterhin Ihnen.
- Plattform als Dienstleistung (PaaS) — z. B. AWS App Runner, Azure App Service, Heroku. Zusätzlich sind Sie für die Verwaltung von Sicherheitsupdates der von Ihnen bereitgestellten Anwendungsschicht sowie für die gleichen Aufgaben im Bereich der sicheren Konfiguration und Zugriffskontrolle wie bei SaaS-Anbietern verantwortlich.
- Infrastruktur als Dienstleistung (IaaS) Beispiele hierfür sind AWS EC2, Azure VMs und Google Compute Engine. Sie sind verantwortlich für das Betriebssystem, die gesamte darauf laufende Software, Firewalls (Sicherheitsgruppen), Patches, Malware-Bekämpfung und Zugriffskontrolle. In der Praxis wird ein IaaS-Server nahezu identisch zu einem lokalen Server behandelt.
Die wichtigste Erkenntnis: Sie können nicht behaupten, ein Cloud-Dienst sei nicht in Ihren Verantwortungsbereich fallend, nur weil der Anbieter die Infrastruktur verwaltet. Die darin enthaltenen Daten und die darauf zugreifenden Konten bleiben stets Ihre Verantwortung für deren Sicherung.
Wie lassen sich BYOD und Heimarbeit vereinbaren?
Das Thema „Bring Your Own Device“ (BYOD) sorgt oft für Verwirrung. Die Regel ist einfach: Jedes Gerät, das für den Zugriff auf Daten oder Dienste Ihres Unternehmens genutzt wird, fällt darunter, unabhängig vom Eigentümer. Das schließt private Smartphones für dienstliche E-Mails, Laptops von externen Dienstleistern und Heim-PCs für Cloud-Anwendungen ein.
Es gibt wenige Ausnahmen: Geräte, die ausschließlich Sprach- oder Textnachrichten verarbeiten (keine E-Mails, Apps oder Dokumente), und Geräte, die ausschließlich für die Zwei-Faktor-Authentifizierung verwendet werden, fallen nicht unter diese Regelung. In allen anderen Fällen muss das Gerät alle relevanten Anforderungen erfüllen: ein unterstütztes Betriebssystem, aktuelle Sicherheitsupdates, Antivirensoftware (oder ein gleichwertiges Programm), einen Passcode und die Möglichkeit, es aus der Ferne zu sperren oder zu löschen.
Mitarbeiter im Homeoffice sind standardmäßig betroffen. Es wird davon ausgegangen, dass auf dem Firmenlaptop eine eigene, hostbasierte Firewall aktiviert ist (die nicht auf den Heimrouter angewiesen ist) und dass sensible Cloud-Verwaltungsarbeiten durch Multi-Faktor-Authentifizierung (MFA) geschützt sind. Heimrouter selbst sind nicht betroffen, es sei denn, sie wurden vom Unternehmen bereitgestellt oder konfiguriert. Das Firmengerät verhält sich jedoch so, als befände es sich permanent in einem unsicheren Netzwerk.
Wie entscheidet man, was zum Geltungsbereich gehört und was nicht?
Die Festlegung des Umfangs ist die mit Abstand wichtigste Entscheidung in der Anfangsphase eines Cyber-Essentials-Projekts. Wird hier ein Fehler gemacht, zertifiziert man entweder nur einen zu kleinen Teil des Unternehmens (und das Zertifikat hat nur begrenzte Glaubwürdigkeit) oder man übernimmt zu viel (und die Bewertung wird unnötig kompliziert).
Das Schema erlaubt zwei Hauptansätze:
- Gesamtorganisationsumfang Alle Benutzer, Geräte, Netzwerke und Cloud-Dienste im gesamten Unternehmen sind abgedeckt. Dies ist die empfohlene Vorgehensweise und führt zum sichersten Zertifikat. Kunden, Versicherer und Behörden setzen in der Regel voraus, dass Sie über ein solches Zertifikat verfügen.
- Teilbereich — Eine bestimmte Abteilung, Geschäftseinheit oder Umgebung ist im Geltungsbereich, alles andere ist ausgeschlossen. Um einen Teilbereich zu verwenden, müssen Sie eine klare technische Abgrenzung schaffen – typischerweise ein separat verwaltetes Netzwerk, ein separates Benutzerverzeichnis und einen separaten Cloud-Tenant –, damit die Umgebung im Geltungsbereich nicht durch die Umgebung außerhalb des Geltungsbereichs beeinträchtigt wird.
Wo auch immer Sie die Grenze ziehen, gelten dieselben fünf Kontrollkriterien für alles innerhalb dieser Grenze. Planen Sie Ihren Umfang, bevor Sie den SAQ ausfüllen; eine spätere Änderung des Umfangs kostet Zeit und Geld. Die Preise richten sich nach der Größe der einbezogenen Umgebung. Sehen Sie sich daher unsere [Preisinformationen einfügen] an. Cyber Essentials Kosten Seite bei der Dimensionierung Ihres Projekts.
Was ist neu in der Version 2026?
Das System wird jährlich weiterentwickelt. Der aktuelle Fragenkatalog behält die fünf Kontrollbereiche bei, verschärft jedoch einige Anforderungen, um dem veränderten Verhalten von Angreifern und der zunehmenden Bedeutung der Cloud Rechnung zu tragen. Die wichtigsten Aktualisierungen für Bewerber sind:
- Multi-Faktor-Authentifizierung Die Multi-Faktor-Authentifizierung (MFA) ist nun für alle Administratorkonten von Cloud-Diensten obligatorisch und wird auch für Standard-Cloud-Nutzer erwartet, sofern die Plattform dies unterstützt. Von der reinen SMS-basierten MFA wird abgeraten; stattdessen werden Authentifizierungs-Apps oder Hardware-Token empfohlen.
- Klärung des Cloud-Bereichs — SaaS, PaaS und IaaS werden explizit behandelt, mit klareren Vorgaben, welche Verantwortlichkeiten beim Anbieter und welche beim Kunden liegen. Cloud-Administratorkonten werden genauso sorgfältig geprüft wie lokale Domänenadministratoren.
- Passwortlose und biometrische Authentifizierung — Das System erkennt nun moderne Authentifizierungsmethoden (Passkeys, Windows Hello, Touch ID) als akzeptable Alternativen zur herkömmlichen Kombination aus Passwort und MFA an.
- Erwartungen an das Asset-Management — Es wird von Ihnen erwartet, dass Sie ein aktuelles Inventar der Geräte und Software führen, da Sie nicht zuverlässig patchen oder schützen können, was Sie nicht kennen.
- Behebung von Sicherheitslücken — Das 14-tägige Patch-Fenster umfasst nun explizit die Firmware von Routern, Switches und Access Points, nicht nur Betriebssysteme und Anwendungen.
Wenn Ihr Zertifikat erneuert werden muss, gilt der neueste Fragenkatalog. Siehe unsere Erneuerung von Cyber Essentials Leitfaden für das, was Sie bei der Rezertifizierung nach aktualisierten Kriterien erwartet.
Warum sollten Sie sich für ISMS.online für Cyber Essentials entscheiden?
- Vorkonfigurierte Bedienelemente — Jeder Kontrollbereich von Cyber Essentials ist kartiert in ISMS.onlineSie können also anhand des gesamten Systems bewerten, ohne eine eigene Checkliste von Grund auf erstellen zu müssen.
- Einzelne Beweisquelle — Fügen Sie Screenshots, Konfigurationsexporte, Eintritts-/Austrittsdatensätze und Richtliniendokumente einmalig dem entsprechenden Steuerelement hinzu und verwenden Sie sie dann bei Verlängerungen, Plus-Bewertungen und anderen Rahmenwerken wieder.
- Werkzeugbausteine — Erfassen Sie Ihre relevanten Benutzer, Geräte, Netzwerke und Cloud-Dienste in einem strukturierten Anlagenregister, damit die Grenzen des Geltungsbereichs dokumentiert, nachvollziehbar und leicht aktualisierbar sind.
- Gap-to-Action-Tracking — Jede Lücke, die bei Ihrer Bereitschaftsprüfung festgestellt wird, wird in eine zugewiesene Maßnahme mit Verantwortlichem und Fälligkeitsdatum umgewandelt, damit nichts durchrutscht.
- Multi-Framework-Nutzung — Cyber Essentials-Nachweise in ISMS.online füttert auch ISO 27001 , SOC 2 als auch NIS 2 Deshalb bleiben auch Kunden, die über Cyber Essentials hinausgehen, bei der Plattform.
- Erneuerungsbereit — Die Plattform hält Ihre Nachweise zwischen den jährlichen Zyklen auf dem neuesten Stand, sodass Sie bei der nächsten Zertifizierung nie wieder von vorne anfangen müssen.
- Tausende von Organisationen vertrauen uns. - ISMS.online unterstützt Unternehmen jeder Größe auf ihrem Weg zur Einhaltung der Vorschriften, von erstmaligen Antragstellern für Cyber Essentials bis hin zu globalen ISO-zertifizierten Konzernen.
Verwandte Leitfäden zu Cyber Essentials
Setzen Sie Ihre Reise zu Cyber Essentials mit den anderen Leitfäden dieser Reihe fort:
- Cyber Essentials Kosten — IASME-Preisstaffelung, Zuschlagskosten, versteckte Kosten und 3-Jahres-Gesamtkosten für britische Unternehmen.
- Lohnt sich Cyber Essentials? — Eine ehrliche Einschätzung der Vorteile, Nachteile und wer tatsächlich eine Zertifizierung benötigt.
- Anforderungen für Cyber Essentials Plus — Das technische Audit, die Schwachstellenscans und die Vorteile von Plus gegenüber der Basiszertifizierung.
- Cyber Essentials Selbstbewertung — Der SASQ-Workflow, der Anwendungsbereich, die erforderlichen Nachweise und häufige Fehlerquellen.
- Wie lange dauert der Kurs Cyber Essentials? — Typischer Zeitplan in Großbritannien, beschleunigte Verfahren und Faktoren, die den Prozess verlangsamen.
- Cyber Essentials-Verlängerung — Der 12-Monats-Zyklus, die Kontrolländerungen im Jahr 2026 und wie man sich 60 Tage vorher darauf vorbereiten kann.
- Cyber-Grundlagen für kleine Unternehmen — SMB-spezifische Preisgestaltung, Leistungsumfang und Kosten-Nutzen-Analyse.
- Cyber Essentials vs ISO 27001 — Vergleich von Umfang, Kosten, Zeitaufwand und Anerkennung.
Häufig gestellte Fragen
Was genau beinhaltet Cyber Essentials in einfachen Worten?
Cyber Essentials umfasst fünf technische Kontrollbereiche: Firewalls und Router, sichere Konfiguration, Benutzerzugriffskontrolle, Malware-Schutz und Management von Sicherheitsupdates. Jeder Kontrollbereich definiert spezifische, praktische Anforderungen an die Geräte, Benutzerkonten und Cloud-Dienste, die Ihr Unternehmen nutzt. Gemeinsam sind sie darauf ausgelegt, die meisten gängigen internetbasierten Angriffe abzuwehren.
Gilt Cyber Essentials auch für Cloud-Dienste?
Ja. Jeder Cloud-Dienst, der zur Verarbeitung oder Speicherung von Organisationsdaten genutzt wird, fällt darunter. SaaS, PaaS und IaaS sind alle abgedeckt, wobei die Verantwortlichkeiten leicht variieren. Sie sind stets für den Benutzerzugriff, die Multi-Faktor-Authentifizierung (MFA) für Administratorkonten und die sichere Konfiguration Ihres Mandanten verantwortlich; bei IaaS übernehmen Sie zusätzlich das Patching, die Malware-Bekämpfung und die Host-Firewalls.
Sind Heimarbeiter und BYOD (Bring Your Own Device) im Geltungsbereich?
Ja. Alle Geräte, die für den Zugriff auf Daten oder Dienste Ihres Unternehmens verwendet werden, fallen darunter, einschließlich privater Laptops und Mobiltelefone, die für geschäftliche E-Mails genutzt werden. Geräte, die ausschließlich für Telefonate, SMS oder Zwei-Faktor-Authentifizierung verwendet werden, fallen nicht darunter. Für im privaten Bereich genutzte Firmenlaptops muss eine eigene, hostbasierte Firewall aktiviert sein.
Welche Software ist im Leistungsumfang von Cyber Essentials enthalten?
Jegliche Software, die für den Zugriff auf Organisationsdaten oder -dienste verwendet wird. Dies umfasst Betriebssysteme, Browser, Browsererweiterungen, Office-Suiten, Branchenanwendungen sowie Firmware auf Routern und Firewalls. Alle diese Programme müssen lizenziert, vom Hersteller unterstützt und bei wichtigen oder kritischen Updates innerhalb von 14 Tagen aktualisiert sein. Software, deren Supportende erreicht ist, wird nicht akzeptiert.
Welche Nachweise möchte der Gutachter sehen?
Für die Selbsteinschätzung beantworten Sie jede Frage und geben entsprechende Bestätigungen ab. Bei Cyber Essentials Plus führt der Prüfer praktische Tests durch: Er scannt Testgeräte auf fehlende Patches, überprüft die Antimalware-Konfiguration, verifiziert die Multi-Faktor-Authentifizierung (MFA) für Cloud-Konten und bestätigt die Firewall-Regeln. Dokumentierte Verfahren für den Eintritt und Austritt von Mitarbeitern, Administratorkontenlisten und Patch-Protokolle werden üblicherweise angefordert.
Was ist neu in der Version 2026 von Cyber Essentials?
Der aktuelle Fragenkatalog verschärft die Anforderungen an Cloud- und Multi-Faktor-Authentifizierung, präzisiert die Verantwortlichkeiten von SaaS, PaaS und IaaS, berücksichtigt passwortlose und biometrische Authentifizierung und erweitert das 14-tägige Patch-Fenster explizit auf Firmware. Auch die Erwartungen an die Anlageninventur wurden präzisiert.
