logo

Verbesserung der Informationssicherheit durch Anwendung eines Risikomanagement-Frameworks

Ob Sie Risikobewertungen für Kunden oder für Ihr eigenes Unternehmen durchführen – Sie wissen, dass die Definition und Priorisierung der identifizierten Risiken alles andere als einfach ist. Glücklicherweise helfen uns Sicherheits-Frameworks bei der Entwicklung einer Strategie, mit der sich Risiken minimieren oder gänzlich vermeiden lassen. Das Risikomanagement-Framework (RFM) des National Institute of Standards and Technology (NIST) beinhaltet Sicherheitsstandards, die von Behörden befolgt werden müssen, wird jedoch auch von vielen Unternehmen eingesetzt, da es praktische Hilfestellung bei der Gewährleistung der Sicherheit von Mitarbeitern, Abläufen und Ressourcen bietet.

In diesem Artikel werden die Grundkonzepte des NIST RMF vorgestellt und die praktische Anwendung des Frameworks im Unternehmen erläutert.

NIST RMF: ein risikobasierter Prozess

Das NIST RMF ist mit einer Reihe von Standards verknüpft. Hierzu gehören:

  • NIST SP 800-37 – „Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach“: Seit 2004 unterstützt dieser Leitfaden Unternehmen bei der Einhaltung des Federal Information Security Management Act (FISMA). Dieses US-Gesetz sieht die Implementierung eines Informationssicherheitsprogramms in Bundesbehörden vor. Der Standard NIST SP 800-37 gliedert den Zertifizierungs- und Akkreditierungsprozess (eine Methode zur Umsetzung formeller Prozesse) in den sechs Schritte umfassenden RMF-Prozess, der weiter unten ausführlicher beschrieben wird.
  • NIST SP 800-53/800-53a – Während der Standard NIST SP 800-37 das eigentliche Sicherheits-Framework beinhaltet, umfasst NIST SP 800-53/800-53a eine Reihe von Standards, die Behörden bei der Einhaltung der FISMA-Vorschriften unterstützen. Die Befolgung dieser Standards ist für Behörden auf Bundesebene verbindlich vorgeschrieben, wird jedoch auch für Unternehmen empfohlen. Diese NIST Special Publication (NIST SP) stellt eine umfassende Liste von Sicherheitskontrollen bereit, die bei der Implementierung des RMF angewendet werden können. Sie beinhalten 18 Kontrollfamilien und decken nahezu alle Aspekte der IT-Sicherheit ab, von der Zugriffssteuerung bis hin zur Beschaffung von Systemen und Beauftragung von Dienstleistern.

Die wichtigsten Schritte im NIST RMF-Prozess

1. Kategorisieren Sie Ihre Informationssysteme

Der erste Schritt des RMF-Prozesses besteht darin, die in Ihrer Umgebung gespeicherten und verarbeiteten Informationen (z. B. medizinische Informationen oder Finanzdaten) nach den Vorgaben Ihres Unternehmens und/oder gesetzlichen Vorschriften zu kategorisieren. Der Leitfaden „NIST SP 800-60: Guide for Mapping Types of Information and Information Systems to Security Categories“ kann Sie bei dieser Kategorisierung unterstützen und beinhaltet unter anderem Vorschläge für Informationstypen.

2. Wählen Sie geeignete Sicherheitskontrollen aus

Im nächsten Schritt wählen Sie Sicherheitskontrollen aus, die den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Systeme und Informationen gewährleisten. Hierzu werden administrative, physische und technische Kontrollen miteinander kombiniert. Die Bewertung der verschiedenen Kontrollen im Hinblick auf ihre Eignung für Ihr Unternehmen ist kein leichtes Unterfangen. SP 800-53 bietet Orientierungshilfe bei der Auswahl der richtigen Kontrollen.

 

3. Implementieren Sie die Sicherheitskontrollen

Anschließend implementieren Sie die ausgewählten Sicherheitskontrollen und dokumentieren, wie Sie in Ihrem Informationssicherheitsprogramm verwendet werden. Manche Unternehmen übertragen die Implementierung der Kontrollen ihren eigenen Mitarbeitern, andere hingegen setzen auf externe Dienstleister. Immer häufiger greifen Unternehmen bei der Überwachung bestimmter Kontrollen wie der unternehmensweiten SIEM-Prozesse (Security Information and Event Management) auf Managed Security Service Provider (MSSP) zurück. Mitunter ist die Auslagerung von Sicherheitsfunktionen kostengünstiger und einfacher als der Aufbau von internem Know-how.

4. Bewerten Sie die Sicherheitskontrollen

Durch eine Bewertung Ihrer Sicherheitskontrollen können Sie feststellen, ob sie richtig implementiert wurden, ordnungsgemäß funktionieren und Ihren Sicherheitsanforderungen entsprechen. Gerade in diesem Bereich sind externe Dienstleister eine große Unterstützung. Wenn Sie einen solchen Dienstleister Ihre Umgebung beispielsweise regelmäßig auf Schwachstellen überprüfen und/oder Penetrationstests durchführen lassen, erhalten Sie ein wesentlich genaueres Bild der Sicherheit Ihres Unternehmens aus der Perspektive eines Angreifers.

5. Aktualisieren Sie die Kontrollen für Ihre Informationssysteme

Entwickeln Sie ausgehend von den Ergebnissen der Bewertung Ihrer Sicherheitskontrollen einen Aktionsplan für die Nachverfolgung, Überprüfung und Behebung der Schwachstellen und legen Sie dabei die Risiken zugrunde, die sich daraus für das Unternehmen ergeben. Auch in diesem Bereich kann die Zusammenarbeit mit einem externen Dienstleister von Vorteil sein. So ist es durchaus sinnvoll, Ihrem für die Informationssicherheit zuständigen Team einen externen Sicherheitsberater zur Seite zu stellen, der in regelmäßigen Abständen eine objektive Einschätzung Ihrer Kontrollen vornimmt und gemeinsam mit Ihnen beurteilt, ob sie die gewünschten Ergebnisse erzielen.

6. Überwachen Sie Ihre Sicherheitskontrollen

Der letzte Schritt beinhaltet die kontinuierliche Überwachung Ihrer Kontrollen, um sicherzustellen, dass sie Ihren Sicherheitsanforderungen auch dann genügen, wenn neue Technologien eingeführt werden oder neue Bedrohungen und Schwachstellen entstehen. Automatisierte Tools bieten einen klaren Vorteil, da sie nahezu in Echtzeit potenzielle Sicherheitsvorfälle und unerwartete Änderungen aufdecken können.

Tipps für die ersten Schritte

Zwar gibt das Risikomanagement-Framework des NIST Unternehmen klare Strukturen vor, durch deren Befolgung sie ihre Sicherheit verbessern können, doch sehen sich insbesondere kleinere Unternehmen oder solche mit wenig Erfahrung im Bereich Informationssicherheit bei der Umsetzung mit Herausforderungen konfrontiert. Die folgenden Tipps dienen als Starthilfe bei der Einführung eines Sicherheitsprogramms:

  • Lassen Sie zunächst eine Bewertung durch einen externen Dienstleister vornehmen. Wenn Sie mit dem NIST-Framework noch nicht vertraut sind, ist es schwierig, die Empfehlungen zu befolgen. Beauftragen Sie nach Möglichkeit einen externen Anbieter mit der Durchführung einer ersten Risikobewertung, lassen Sie sich die Ziele des Frameworks erläutern und erarbeiten Sie gemeinsam mit dem Dienstleister einen Plan für das Risikomanagement.
  • Bedenken Sie, dass die Verbesserung der Sicherheit ein längerfristiger Prozess ist. Nach einigen Bewertungen, die ich im Auftrag von Unternehmen durchgeführt habe, verkündete die Geschäftsleitung enthusiastisch, erst wieder ruhig schlafen zu können, wenn jedes einzelne der identifizierten Risiken beseitigt sei. Das ist zwar ein hehres Ziel, doch sollten Sie sich vor Augen halten, dass das Thema Sicherheit nicht anhand einer Checkliste abgearbeitet werden kann und Sie die Sicherheitsprobleme Ihres Unternehmens nicht von heute auf morgen beheben können. Manche Risiken erwecken auf Papier den Anschein, sich einfach eliminieren zu lassen, haben in der Praxis jedoch komplexe Wechselwirkungen, weshalb geeignete Gegensteuerungsmaßnahmen Wochen oder Monate in Anspruch nehmen oder den Erwerb zusätzlicher Technologien erforderlich machen können. Lassen Sie sich nicht aus der Ruhe bringen.
  • Gehen Sie schrittweise vor. Die Zahl der in Ihrer ersten Bewertung identifizierten Risiken mag zunächst überwältigend erscheinen, ebenso der daraus resultierende Arbeitsaufwand. Lassen Sie sich davon nicht abschrecken. Legen Sie gemeinsam mit dem externen Dienstleister Prioritäten fest und lassen Sie sich die einzelnen Schritte zur Eindämmung der Risiken genau erläutern.
  • Bitten Sie um Unterstützung. In vielen Unternehmen, für die ich Risikobewertungen durchführe, liegt die gesamte IT-Sicherheit in der Verantwortung von ein oder zwei Mitarbeitern. Berücksichtigen Sie bei der Überprüfung Ihres Maßnahmenplans die Kenntnisse und Fähigkeiten Ihrer Mitarbeiter und scheuen Sie sich nicht, bei Bedarf externe IT- und Sicherheitsberater um Hilfe zu bitten. Sie sind oft in der Lage, bestimmte Probleme schnell und effizient zu beheben, sodass sich Ihre Mitarbeiter auf Ihre Kernkompetenzen konzentrieren können.

Fazit

Das NIST RMF bietet ausgezeichnete Hilfestellung bei der Verbesserung der Sicherheit in Ihrem Unternehmen. Es beinhaltet einen zyklischen Prozess aus sechs Schritten, der Sie durch die Kategorisierung Ihrer Daten sowie die Auswahl, Implementierung, Bewertung und Überwachung geeigneter Sicherheitskontrollen führt. Denken Sie bei der Entwicklung und Umsetzung Ihres Informationssicherheitsprogramms stets daran, dass die Verbesserung der Sicherheit viel Zeit und Arbeit erfordert. Sicherheit ist kein fester Zustand, sondern ein langfristiger, kontinuierlicher Prozess.

Häufig gestellte Fragen

Was ist das Risikomanagement-Framework des NIST?

Das Risikomanagement-Framework des NIST umfasst verschiedene Richtlinien und Standards für den Schutz von Informationssystemen. Das Framework wurde ursprünglich für Behörden entwickelt, doch auch Unternehmen können es in den Lebenszyklus ihrer Systeme integrieren, um Risiken für ihre Informationssysteme und sensiblen Daten zu steuern. Das Framework wird in der NIST Special Publication 800-37 detailliert erläutert und ist ein De-facto-Standard für die Sicherheitsplanung.

Welchen Zweck verfolgt das Risikomanagement-Framework des NIST?

Das Risikomanagement-Framework des NIST stellt Unternehmen einen konsistenten und einheitlichen Ansatz zur Verfügung, mit dem sie die Sicherheits- und Datenschutzrisiken für ihre Abläufe und Ressourcen steuern können. Es bietet eine umfassende Sicht auf die einzelnen Risiken und unterstützt Unternehmen dabei, diese zu priorisieren. Es ermöglicht Unternehmen außerdem die Einhaltung von Vorschriften wie des Federal Information Security Modernization Act (FISMA) von 2014 und des US-Datenschutzgesetzes aus dem Jahr 1974.

Welche Schritte beinhaltet das Risikomanagement-Framework des NIST?

Das Risikomanagement-Framework des NIST umfasst die folgenden sechs Schritte:

  1. Kategorisierung von Informationen und Systemen nach ihrer Wichtigkeit für das Unternehmen
  2. Auswahl von Sicherheitskontrollen auf der Grundlage der Kategorisierungsergebnisse
  3. Implementierung der im 2. Schritt ausgewählten Sicherheitskontrollen
  4. Bewertung der Sicherheitskontrollen im Hinblick auf ihre Wirksamkeit
  5. Autorisierung des Informationssystems durch Untersuchung der Risiken, die durch den Betrieb des Informationssystems entstehen, Entscheidung, ob diese Risiken vertretbar sind, und Entwicklung eines Plans zur Behebung eventueller Schwachstellen
  6. Überwachung der Sicherheitskontrollen auf Änderungen und Anzeichen für einen Angriff sowie regelmäßige Neubewertung der Wirksamkeit der Kontrollen

Welche Vorteile bietet das Risikomanagement-Framework des NIST?

Durch Implementierung des Risikomanagement-Frameworks des NIST können Unternehmen:

  • den Schutz von Informationen und Systemen durch wiederholbare Prozesse verbessern,
  • ihre Informationen und Systeme kategorisieren,
  • die Sicherheit und den Datenschutz im Unternehmen durch kontinuierliche Überwachung verbessern,
  • Entscheidungen zum Risikomanagement einfacher treffen und
  • Sicherheits- und Datenschutzvorschriften zuverlässig einhalten.
Checkliste  für die Risikobewertung