:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c7/9ac7c7e8a3b32a83049dfc945e67b476/0113571100.jpeg "Der Angriff auf Wale mit einer solchen eisernen Harpune ist brutal und sehr blutig; ein Phishing-Angriff mithilfe von Ki ist hinterhältig und gnadenlos - nur nicht so blutig. (Bild: frei lizenziert: FotoArt-Treu)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/59/60/5960c42975dff727adfac6a471bc7428/0114147994.jpeg "Obwohl 90 Prozent der Befragten glauben, dass ihre aktuellen Tools zur Erkennung von Bedrohungen effektiv sind, befürchten 97 Prozent, einen relevanten Sicherheitsvorfall zu verpassen. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/a4/88a4cea0faefd5e74cc9bd5a9fb4ca87/0114037795.jpeg "Wird künstliche Intelligenz zum treuen Partner bei der Verteidigung von Unternehmensnetzen und sensiblen Daten oder zum unbezwingbaren Feind, der alles überrollt? (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/93/4a/934ad835e86c1eea66869d7d9a59f1f1/0113980249.jpeg ""Integrierte Sicherheit gegen wachsende Cyberbedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Frank Kuypers von Intel Corporation. (Bild: Vogel IT-Medien / Intel / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/13/56/1356472468aa93a42551824e15bc86d1/0114006798.jpeg "Mit dem richtigen Löschkonzept schaffen es auch KMU, personenbezogene Daten strukturiert und sicher zu löschen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition Reifegradmodell Was ist ein Reifegradmodell?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Mit einem Reifegradmodell lässt sich das IT-Sicherheitsniveau objektiv beurteilen und einordnen. Je nach Modell existieren verschiedene Level an Reifegraden der IT-Sicherheit. Im IT-Security-Umfeld gibt es zahlreiche Reifegradmodelle, die von Standardisierungsgremien, staatlichen Institutionen oder privatwirtschaftlichen Unternehmen bereitgestellt werden. Auch das NIST Cybersecurity Framework beinhaltet ein umfassendes Reifegradmodell.
Allgemein ist ein Reifegradmodell eine Methodik, mit der sich Organisationen, Systeme, Prozesse und andere Komponenten nach objektiven Merkmalen beurteilen und einordnen lassen. In Bezug auf IT-Sicherheit dienen Reifegradmodelle zur Beurteilung und Einordnung des Sicherheitsniveaus einer Organisation, eines Systems, eines Prozesses oder einer anderen Komponente. Der englische Begriff für Reifegradmodell lautet "Level of Maturity Model" oder kurz "Maturity Model". Im IT-Sicherheitsumfeld werden die Modelle als "Cyber Security Maturity Models" bezeichnet. Cyber Security Maturity Models bieten Unternehmen eine erste Orientierung in Bezug auf die IT-Sicherheit und ermöglichen es, nachhaltige und sichere Prozesse zu etablieren und die Cybersicherheit methodisch weiterzuentwickeln. Oft enthalten die Modelle Richtlinien, Anforderungen und Sammlungen von Best Practices, mit denen Unternehmen ein definiertes Sicherheitsniveau erreichen können. Je nach Reifegradmodell wird eine bestimmte Anzahl Sicherheitslevel, die von der niedrigsten Sicherheitsstufe bis zur maximalen Sicherheitsstufe reichen, unterschieden. Im IT-Security-Umfeld gibt es zahlreiche Reifegradmodelle, die von Standardisierungsgremien, staatlichen Institutionen oder privatwirtschaftlichen Unternehmen bereitgestellt werden. Sie sind zum Teil auf bestimmte Branchen zugeschnitten oder beschäftigen sich mit der Sicherheit abgegrenzter IT-Bereiche.
Ziele eines Reifegradmodells
Ziel eines Reifegradmodells ist es zunächst, sich einen ersten Überblick über den aktuellen Stand der IT-Sicherheit zu verschaffen. Ausgehend vom aktuellen Status sollen die Reifegradmodelle dazu beitragen, die IT-Sicherheit zu verbessern und Risiken für digitale Infrastrukturen zu minimieren. Mögliche Schwachstellen oder unzureichend gesicherte Bereiche lassen sich mit einem Reifegradmodell erkennen, beseitigen und absichern. Unternehmen bereiten sich mithilfe eines Reifegradmodells auf Krisenszenarien vor und sorgen für eine sichere und robuste IT-Infrastruktur inklusive der zugehörigen Prozesse. Die Anwendung von Reifegradmodellen verbessert die allgemeine Sicherheitslage.
Verschiedene Reifegrade der IT-Sicherheit eines Reifegradmodells
Jedes Reifegradmodell unterscheidet zwischen einer definierten Anzahl Sicherheitslevel. Sie reichen von der niedrigsten Stufe bis zur maximal erreichbaren Stufe der IT-Sicherheit. Bei der niedrigsten Stufe, häufig als Level 0 bezeichnet, fehlen grundlegende Sicherheitsmaßnahmen und -prozesse. Eine Stufe darüber sind erste Maßnahmen bereits geplant oder implementiert, bieten aber nur rudimentäre Sicherheit. Es folgen abhängig vom Modell verschieden viele weitere Zwischenstufen der IT-Sicherheit mit kontinuierlich höherem Sicherheitsniveau und weiteren geplanten oder umgesetzten organisatorischen und technischen Sicherheitsmaßnahmen. Den Abschluss bildet der höchste Sicherheitslevel, der umfassende IT-Sicherheit bietet und zum Beispiel durch Merkmale gekennzeichnet ist wie konsequente und ausgereifte Risikoüberwachung, wiederkehrende Risikobewertung, vollständige Integration von formalisierten Sicherheitsprozessen und -verfahren, kontinuierliche Überwachung der Systeme und Prozess, schnelle und angemessene Reaktion auf Bedrohungen, Automatisierung von Security-Prozessen und -aufgaben, regelmäßige Berichterstattung und weitere.
Beispiele für Reifegradmodelle
Im IT-Security-Umfeld existieren zahlreiche von Standardisierungsgremien, staatlichen Institutionen oder privatwirtschaftlichen Unternehmen und Dienstleistern entwickelte und veröffentlichte Reifegradmodelle. Ein sehr bekanntes Reifegradmodell wird im Rahmen des NIST Cybersecurity Frameworks bereitgestellt. Reifegradmodelle sind beispielsweise auch im Health Insurance Portability and Accountability Act (HIPAA) oder in den CIS Controls V8, eine überarbeitete Version der CIS Top 20 Critical Security Controls, enthalten. Ein weiteres Beispiel für ein Reifegradmodell ist das ESET-Reifegradmodell zur Umsetzung der Zero Trust Security.
(ID:49426498)
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930845/original.jpg "EAL (Evaluation Assurance Level) ist eine Bewertungsstufe eines IT-Produkts oder IT-Systems, nach Abschluss einer Common-Criteria-Sicherheitsevaluierung. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1949400/1949466/original.jpg "Der Cybersecurity Act (CSA) ist ein europäischer Rechtsakt zur Cybersicherheit, der ein Rahmenwerk für Sicherheitszertifizierungen bildet und das Mandat der Cybersicherheitsagentur ENISA stärkt. (gemeinfrei)")