:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Risikomanagementprozesse NIST-Framework für langfristiges Risk Management
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Das NIST Cybersecurity Framework (CSF) umfasst eine Reihe freiwilliger Richtlinien, die Unternehmen dabei helfen sollen, ihre IT-Security-Situation zu bewerten und zu optimieren. Damit werden Bereiche identifiziert, in denen bestehende Prozesse gestärkt oder neue Prozesse implementiert werden können.
Angesichts der sich schnell entwickelnden Bedrohungen durch Hacker und der exponentiell wachsenden Datenmengen haben viele Unternehmen Schwierigkeiten, eine angemessene IT-Security zu etablieren. Insbesondere eine fragmentierte IT-Security kann dazu führen, dass Budgets und wertvolle Arbeitszeit verschwendet werden. Das Cybersicherheits-Framework von NIST (National Institute of Standards and Technology) wurde zu dem Zweck entwickelt, um Organisationen und Unternehmen dabei zu helfen, ihre IT-Security-Maßnahmen zu optimieren. Dabei hat sich das CSF als flexibel genug erwiesen, auch außerhalb der USA und in nicht kritischen Infrastrukturen Mehrwerte zu erzielen.
Beliebig skalierbares Framework
Das Framework wurde im Wesentlichen für Branchen für kritische Infrastrukturen entwickelt. Wobei es flexibel genug ist, um von Unternehmen jeder Größe in jeder Branche verwendet zu werden. Da das Framework ergebnisorientiert aufgebaut ist und nicht vorschreibt, wie eine Organisation diese Ergebnisse erreichen muss, lässt es sich beliebig skalieren. Da heißt, ein kleines Unternehmen mit einem geringen Budget für IT-Security oder ein Konzern mit einem großen Budget können ihre Zielsetzungen völlig individuell angehen. So ist es gleichsam möglich, dass das Framework von Unternehmen genutzt werden kann, die gerade erst mit der Einrichtung eines IT-Security-Programms starten, als auch Unternehmen Mehrwerte versprechen, die bereits über ausgereifte Programme verfügen.
Vorteile des NIST-Frameworks
Das NIST-Framework bietet einen Maßnahmenkatalog für ein IT-Security-Risikomanagement, der an die Anforderungen jeder Organisation angepasst werden kann. In der Folge ein kurzer Überblick zu den wichtigsten Vorteilen:
- Ergänzende Richtlinien für implementierte IT-Security-Programme bzw. Risikomanagement-Strategien.
- Risikobasierter Ansatz zur Identifizierung von Sicherheitslücken.
- Systematische Methode zur Priorisierung und Kommunikation von kosteneffektiven Optimierungen.
- Langfristige Perspektive für IT-Security und Risikomanagement.
- Priorisierung der Aktivitäten, die am kritischsten sind.
- Evaluierung des ROI von IT-Security-Investitionen.
- Flexibilität und Anpassbarkeit des Frameworks.
- Überbrückung der Lücke zwischen technischen und nicht-technischen Stakeholdern.
- Leicht zu verstehen und einfach in der Handhabung.
Aufbau und Struktur des NIST-Frameworks
Das NIST-Framework umfasst folgende Komponenten:
Kernelemente
Festlegung von Oberzielen für die IT-Security, wobei eine nicht-technische Sprache verwendet wird, um die Kommunikation zwischen verschiedenen Teams zu erleichtern. Auf dieser höchsten Ebene sind fünf Funktionen zu nennen:
- Identifizieren: Bestimmung der IT-Security-Risiken für alle Unternehmenswerte, einschließlich Personal, Systeme und Informationen.
- Schützen: Implementierung von Systemen zum Schutz der wichtigsten Assets.
- Erkennen: Identifizierung aktiver IT-Security-Ereignisse, die eine Bedrohung für das Unternehmen darstellen könnten.
- Reagieren: Maßnahmen gegen Bedrohungen ergreifen, um Schäden zu verhindern oder zu mindern.
- Wiederherstellen: Rekonstruktion von Funktionen oder Services, die durch eine Bedrohung beschädigt wurden.
Jede Funktion ist in einzelne Kategorien unterteilt. Dazu sind insgesamt 23 NIST-CSF-Kategorien vorgesehen. Wobei jede Kategorie wiederum in Unterkategorien aufgeteilt wird. Dabei ist zu beachten, dass die Maßnahmen zum Erreichen jedes Ergebnisses nicht angegeben sind. Denn es liegt an der jeweiligen Organisation, individuelle Maßnahmen zu identifizieren bzw. zu entwickeln.
Implementierungsstufen
Das NIST-Framework hat vier Implementierungsstufen, die den Reifegrad der verschiedenen Aktivitäten des Risikomanagements beschreiben:
- Stufe 1: Informelle, nicht vorhandene oder unsystematische Methoden des Risikomanagements.
- Stufe 2: Risiken wurden erkannt, aber nur isoliert implementiert bzw. nur unvollständige Prozesse des Risikomanagements existent.
- Stufe 3: Formelle und strukturierte Richtlinien und Verfahren sowie solide Programme des Risikomanagements sind implementiert.
- Stufe 4: Responsive Programme des Risikomanagements, die kontinuierlich angepasst und verbessert werden können.
Es ist grundsätzlich nicht notwendig, jeden Bereich auf Stufe 4 zu bringen. Stattdessen sollte evaluiert werden, welche Bereiche für das Unternehmen am kritischsten sind. Das NIST-Framework schlägt vor, nur dann eine höhere Stufe in Angriff zu nehmen, wenn diese auch dazu beitragen könnte, das IT-Security-Risiko signifikant zu verringern und damit die Schutzfunktionen kostengünstiger zu gestalten.
Profile
Profile sind im Wesentlichen Darstellungen des IT-Security-Status eines Unternehmens zu einem bestimmten Zeitpunkt. Häufig existieren mehrere Profile, wie zum Beispiel ein Profil des Anfangszustands vor der Implementierung von Sicherheitsmaßnahmen und ein Profil des gewünschten Zielzustands. Diese Profile sollen den Anwender dabei unterstützen, eine Roadmap zur Reduzierung des IT-Security-Risikos zu erstellen und den Fortschritt zu messen.
Jedes Profil berücksichtigt sowohl die Kernelemente, die der Anwender für wichtig hält (Funktionen, Kategorien und Unterkategorien), als auch die Geschäftsanforderungen, die Risikobereitschaft und die Ressourcen des Unternehmens. Profile sollten jedoch nie als ein starres Gefüge behandelt werden. Möglicherweise muss der Anwender Kategorien und Unterkategorien hinzufügen oder entfernen oder seine Risikotoleranz bzw. Ressourcen in einer neuen Version eines Profils überarbeiten.
(ID:48796845)
:quality(80)/p7i.vogel.de/wcms/5a/71/5a716a7070211d6e2a118810d8da22ce/0112115029.jpeg "Das NIST Cybersecurity Framework ist ein ganzheitlicher Cybersecurity-Ansatz mit Anleitungen und Best Practices für ein verbessertes Risikomanagement.
(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/29/41/2941da66b975d2e974dc0afd28f9652b/0110819420.jpeg "Reifegradmodelle tragen dazu bei, IT-Security-Programme zu optimieren und schließlich Risiken in einem digitalen Ökosystem zu mindern. (Bild: Andrii Yalanskyi - stock.adobe.com)")