Während die meisten CEOs und Compliance-Experten den Wert von Cybersicherheitsmaßnahmen verstehen, können Sicherheitsframeworks den Schutz Ihres Unternehmens entmutigend erscheinen lassen. Sie wissen, dass Sie etwas Formelles einführen müssen, sind sich aber möglicherweise nicht sicher, welche Frameworks und Sicherheitsstandards Sie in Betracht ziehen sollten (oder rechtlich einhalten müssen).

Dieser Leitfaden untersucht 14 gängige Sicherheitsframeworks und bietet umsetzbare Erkenntnisse, damit Sie sicher das richtige(n) für Ihr Unternehmen auswählen können.

Was ist ein Sicherheitsframework?

Ein Sicherheitsframework definiert Richtlinien und Verfahren zur Einrichtung und Aufrechterhaltung von Sicherheitskontrollen. Frameworks verdeutlichen Prozesse, die zum Schutz eines Unternehmens vor Cyberrisiken verwendet werden. Sie helfen IT-Sicherheitsexperten und Sicherheitsteams dabei, ihre Organisationen konform zu halten und vor Cyberbedrohungen zu schützen.

Es ist wichtig zu beachten, dass Sie „Compliance“ nicht von Ihrer Aufgabenliste streichen sollten, sobald Sie ein Sicherheitsframework implementiert haben.

Einer der größten sicherheitsrelevanten Fehler, den Unternehmen machen, ist, die Compliance einmal zu überprüfen und dann zu vergessen.

Wie unser CEO Shrav Mehta erklärt: „Compliance-Anforderungen, Kontrollen und Richtlinien sind alles Dinge, die regelmäßig überprüft und aktualisiert werden müssen, um wirklich sicher zu bleiben.“

14 gängige Cybersicherheitsframeworks

Nachdem wir nun geklärt haben, warum Sicherheitsframeworks wichtig sind, werfen wir einen Blick auf einige der gängigsten Frameworks, um Ihnen zu helfen, zu entscheiden, welche für Ihr Unternehmen geeignet sind.

14 Sicherheitsframeworks, die Sie kennen sollten

1. SOC 2

Systeme und Organisationskontrollen (SOC) 2 ist eine Reihe von Compliance-Kriterien, die vom American Institute of Certified Public Accountants (AICPA) entwickelt wurden.

• Für wen es ist: Unternehmen und ihre Drittpartner
• Fokus: Kunden-Datenmanagement und Risikomanagement mit Dritten

SOC 2 bewertet die Sicherheitslage eines Unternehmens in Bezug auf fünf Trust Services-Kriterien. Nach einer Prüfung gibt der Prüfer dem Unternehmen einen SOC 2-Bericht mit Einblicken in die Cybersecurity-Qualität in Bezug auf die TSK: Sicherheit, Verfügbarkeit, Vertraulichkeit, Integrität der Verarbeitung und Datenschutz.

Trotz des Werts, den es einem Unternehmen bietet, kann die Implementierung von SOC 2 herausfordernd und zeitaufwändig sein. Secureframe rationalisiert diesen Prozess und hilft Unternehmen dabei, SOC 2-konform in Rekordzeit zu werden.

2. ISO 27001

Die Internationale Organisation für Normung (ISO) und die Internationale Elektrotechnische Kommission (IEC) haben die ISO 27000-Serie entwickelt, um Richtlinien für die Implementierung von Informationssicherheitspolicies vorzustellen. Als internationaler Standard für die Gültigkeit von Sicherheitsprogrammen signalisiert die ISO/IEC-Zertifizierung Partnern, dass Sie zuverlässig und vertrauenswürdig sind.

Insbesondere listet ISO 27001 Anforderungen für den Aufbau und die Wartung eines Informationssicherheitsmanagementsystems (ISMS) auf. Ein ISMS ist ein Werkzeug, das hilft, Informationssicherheitsrisiken auf ein Minimum zu reduzieren, indem es Ihnen hilft, Menschen, Prozesse und Technologie zu verwalten.

• Für wen es ist: Unternehmen, die mit sensiblen Daten umgehen
• Fokus: Aufbau und Wartung eines Informationssicherheitsmanagementsystems (ISMS)

Wenn die Einhaltung der ISO 27001 die Vertrauenswürdigkeit Ihrer Marke verbessern wird, sollten Sie in Erwägung ziehen, Ihren Zertifizierungsprozess mit Secureframe zu optimieren.

3. NIST-Rahmenwerk für Cybersecurity

Das US National Institute of Standards and Technology (NIST) hat das NIST-Rahmenwerk für Cybersecurity (auch bekannt als NIST-Risikomanagement-Rahmenwerk) als Reaktion auf eine Initiative des ehemaligen Präsidenten Obama im Jahr 2013 entwickelt. Die Initiative forderte eine Zusammenarbeit von Regierung und Privatsektor im Kampf gegen Cyberrisiken.

• Für wen es ist: Jeder
• Fokus: Umfassende und personalisierte Identifikation von Sicherheitslücken

Das Rahmenwerk ist in drei Komponenten unterteilt: das Kernsystem, die Implementierungsstufen und die Profile.

• Das Kernsystem: Definiert Cybersecurity-Ziele und organisiert sie in fünf Phasen: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Beispielsweise ist die Bewältigung des Lieferkettenrisikomanagements Teil der Phase „Identifizieren“.
• Die Implementierungsstufen: Bestimmen, wie effektiv die Cybersecurity-Bemühungen einer Organisation die Ziele des Rahmenwerks erreichen. Sie reichen von partiell (Stufe 1) bis adaptiv (Stufe 4). Eine Organisation, die die Stufe 4 anstrebt, möchte sicherstellen, dass ihre Cybersecurity-Bemühungen nach den Standards des Rahmenwerks erstklassig sind.
• Profile: Helfen Organisationen, ihre bestehenden Ziele mit dem Kernsystem des Rahmenwerks zu vergleichen und Verbesserungspotenziale zu identifizieren. Sie leiten, wie NIST die spezifischen Bedürfnisse der Organisation am besten unterstützen kann.

Die Einhaltung des Rahmens ist freiwillig. Das heißt, NIST ist weithin anerkannt für die Identifikation von Sicherheitslücken. Es kann Organisationen helfen, Vorschriften einzuhalten, und sogar personalisierte Sicherheitsempfehlungen anbieten.

4. HIPAA

Der Health Insurance Portability and Accountability Act (HIPAA) ist ein Bundesgesetz von 1996, das Standards für den Schutz von Patientengesundheitsinformationen geschaffen hat. Alle Gesundheitsorganisationen müssen Cybersecurity-Praktiken befolgen und Risikobewertungen durchführen, um HIPAA zu entsprechen.

• Für wen: Der Gesundheitssektor
• Fokus: Schutz von Patientengesundheitsinformationen

Der Gesundheitssektor ist das siebt häufigste Ziel von Cyberangriffen, daher müssen Organisationen innerhalb des Sektors wachsam sein.

5. PCI DSS

Der Payment Card Industry Data Security Standard (PCI DSS) wurde 2006 erstellt, um sicherzustellen, dass alle Unternehmen, die Kreditkarteninformationen akzeptieren, verarbeiten, speichern oder übermitteln, sicher arbeiten. Der Rahmen soll in erster Linie die Sicherheit der Karteninhaberdaten gewährleisten. Alle Unternehmen, die diese Informationen verarbeiten, müssen den PCI DSS einhalten, unabhängig von ihrer Größe.

• Für wen: Jedes Unternehmen, das Kreditkarteninformationen verarbeitet
• Fokus: Sicherheit der Karteninhaberdaten

Im Gegensatz zu staatlich vorgeschriebenen Rahmenwerken erzwingen Zahlungsmarken (MasterCard, Visa usw.) die PCI DSS-Konformität.

6. DSGVO

Die Europäische Union hat die Allgemeine Datenschutzverordnung (DSGVO) verabschiedet, um die Daten der EU-Bürger zu schützen. Sie gilt für alle Unternehmen, die Daten von EU-Bürgern erheben und verarbeiten, unabhängig davon, ob diese Unternehmen in der EU oder international ansässig sind. Der Rahmen listet Vorschriften in Bezug auf Verbraucherzugriffsrechte, Datenschutzrechte, Einwilligung und mehr auf. Sie wird vom Information Commissioner's Office (ICO) durchgesetzt.

• Für wen: Alle Unternehmen, die Daten von EU-Bürgern erheben
• Schwerpunkt: Datenschutz für EU-Bürger

Die Verordnung ist umfangreich — genau 88 Seiten — und das ICO ist dafür bekannt, Unternehmen, die nicht konform sind, hohe Geldbußen aufzuerlegen. So wurde beispielsweise im Jahr 2018 (dem Jahr, in dem die DSGVO eingeführt wurde) Google vom ICO mit einer Geldstrafe von 50 Millionen Euro belegt.

7. HITRUST CSF

Obwohl HIPAA ein hilfreicher Rahmen zur Minderung von Cyber-Bedrohungen ist, sind Datenlecks im Gesundheitswesen immer noch viel zu häufig. 42 % der Gesundheitsorganisationen verfügen nicht über einen Notfallplan, und die HIPAA-Konformität ist nicht immer ausreichend.

• Für wen: Jeder (insbesondere der Gesundheitssektor)
• Schwerpunkt: Verbesserung der Sicherheit für Gesundheitsorganisationen und Technologieanbieter

HITRUST CSF verbessert die Sicherheit für Gesundheitsorganisationen und Technologieanbieter, indem es Elemente anderer Sicherheitsrahmen kombiniert. Insbesondere nutzt der Rahmen Risikoanalyse und Risikomanagement, um die Sicherheit der Organisationen zu gewährleisten.

Obwohl HITRUST CSF zur Ergänzung von HIPAA entwickelt wurde, wurde es weltweit von Organisationen in nahezu jeder Branche übernommen.

8. COBIT

Mitte der 90er Jahre entwickelte die Information Systems Audit and Control Association (ISACA) die Control Objectives for Information and Related Technology (COBIT). Der Rahmen reduziert das technische Risiko von Organisationen, indem er ihnen hilft, Informationsmanagementstrategien zu entwickeln und umzusetzen.

COBIT wurde seit den 90er Jahren mehrmals aktualisiert, um den Sicherheitsbedrohungen gerecht zu werden. Die neuesten Versionen konzentrieren sich darauf, die IT an den Geschäftszielen, der Sicherheit, dem Risikomanagement und der Informationsführung auszurichten. COBIT wird oft verwendet, um den Sarbanes-Oxley (SOX) Vorschriften zu entsprechen, die in den frühen 2000er Jahren erlassen wurden, um Investoren zu schützen.

• Für wen: Börsennotierte Unternehmen
• Schwerpunkt: Ausrichtung der IT an Geschäftszielen, Sicherheit, Risikomanagement und Informationsführung

9. NERC-CIP

Die North American Electric Reliability Corporation - Critical Infrastructure Protection (NERC-CIP) wurde 2008 als Reaktion auf Angriffe auf die US-Infrastruktur gegründet. Sie gilt für Unternehmen, die im Versorgungs- und Energiesektor tätig sind. Ziel des Rahmens ist es, das Risiko in diesem Sektor zu minimieren und die Betriebfähigkeit der elektrischen Systeme Nordamerikas sicherzustellen.

• Für wen: Der Versorgungs- und Energiesektor
• Schwerpunkt: Schutz der elektrischen Systeme Nordamerikas

Der Rahmen legt spezifische Anforderungen für Dienstleister in diesem Sektor fest. Dazu gehören die Inventarisierung aller geschützten Vermögenswerte, die Auflistung vorhandener Sicherheitsmaßnahmen, die ordnungsgemäße Schulung der Mitarbeiter, die Entwicklung eines Notfallplans und mehr.

10. FISMA

Das Federal Information Security Management Act (FISMA) schützt die Vermögenswerte der US-Regierung vor Cyber-Bedrohungen. Es gilt für die Bundesregierung und Dritte, die in ihrem Auftrag tätig sind. Das Department of Homeland Security ist für die Überwachung der Umsetzung verantwortlich.

• Für wen: Die Bundesregierung und Dritte, die in ihrem Auftrag tätig sind
• Schwerpunkt: Schutz von Regierungsvermögen

Ähnlich wie NIST schreibt FISMA die Dokumentation digitaler Vermögenswerte und Netzwerkintegrationen vor. Organisationen müssen auch ihre IT-Infrastruktur überwachen und regelmäßig Risiken und Schwachstellen bewerten.

11. NIST Special Publication 800-53

NIST veröffentlichte 1990 die NIST Special Publication 800-53, aber das Rahmenwerk hat sich im Laufe der Zeit weiterentwickelt. Es berät nun Behörden und andere Organisationen in nahezu allen Bereichen der Informationssicherheit. Es listet Sicherheits- und Datenschutzkontrollen für alle US-Bundesinformationssysteme auf (ausgenommen nationale Sicherheit).

Regierungsbehörden folgen NIST SP 800-53, um die Anforderungen der Federal Information Processing Standards (FIPS) 200 zu erfüllen. Unternehmen in fast jeder Branche können es jedoch implementieren. Tatsächlich wurden viele bestehende Sicherheitsrahmenwerke unter Verwendung von NIST SP 800-53 als Ausgangspunkt erstellt.

• Für wen es gedacht ist: Jeder (insbesondere Regierungsbehörden)
• Fokus: Einhaltung der Anforderungen von FIPS 200 und allgemeine Sicherheitsempfehlungen

12. NIST Special Publication 800-171

NIST SP 800-171 ist ein Begleitdokument zu NIST SP 800-53, das den Schutz von Bundessystemen in Informationssystemen beschreibt. Es erklärt, wie Auftragnehmer und Unterauftragnehmer von Bundesbehörden (oft im Herstellungssektor) kontrollierte, nicht klassifizierte Informationen (CUI) verwalten müssen. Auftragnehmer müssen NIST SP 800-171 einhalten, um neue Geschäftsmöglichkeiten zu verfolgen.

• Für wen es gedacht ist: Auftragnehmer und Unterauftragnehmer von Bundesbehörden
• Fokus: Schutz von Bundessystemen in Informationssystemen

Während viele Rahmenwerke eine Zertifizierung durch Dritte erfordern, können Auftragnehmer mit NIST SP 800-171 durch Befolgung der NIST-Dokumentation eine Selbstzertifizierung durchführen.

13. IAB CCPA

Wenn Sie im Bundesstaat Kalifornien leben und jemals auf einer Website einen Link mit der Aufschrift „Verkaufen Sie meine persönlichen Informationen nicht“ gesehen haben, sind Sie auf das IAB CCPA Compliance Framework (das Interactive Advertising Bureau California Consumer Privacy Act) gestoßen. Dieses Rahmenwerk gibt den Verbrauchern in Kalifornien mehr Kontrolle über ihre persönlichen Daten. Es erfordert die Einhaltung durch Unternehmen, die Nutzerdaten sammeln, und die Werbetechnologieunternehmen, die diese kaufen.

• Für wen es gedacht ist: Unternehmen und Werbetechnologieunternehmen, die personenbezogene Daten von Einwohnern Kaliforniens verwalten
• Fokus: Schutz der Daten kalifornischer Verbraucher

Wenn Nutzer entscheiden, dass sie nicht möchten, dass ihre Daten verkauft werden, müssen Unternehmen dies den Werbetechnologieunternehmen mitteilen und die Daten des Nutzers dürfen nicht verkauft werden.

14. CIS Controls

Die meisten Cybersicherheitsrahmen konzentrieren sich auf Risikoidentifikation und -management. Im Gegensatz dazu sind die CIS Controls einfach eine Liste von Maßnahmen, die jede Organisation ergreifen kann, um sich vor Cyberbedrohungen zu schützen. Einige Beispiele für Kontrollen sind Maßnahmen zum Schutz von Daten, Verwaltung von Prüfprotokollen, Abwehr von Malware, Penetrationstests und mehr.

• Für wen es gedacht ist: Jeder
• Fokus: Allgemeiner Schutz vor Cyberbedrohungen

Im Grunde genommen sind andere Rahmenwerke großartig, um herauszufinden, wo das Sicherheits „Pipe“ undicht ist. CIS Controls bieten Orientierungshilfe, wie das Leck abgedichtet werden kann.

Welches IT-Sicherheitsrahmenwerk ist das Richtige für mich?

Nachdem wir einige der häufigsten Sicherheitsrahmenwerke untersucht haben, fragen Sie sich wahrscheinlich, welche für Ihr Unternehmen gelten.

Ihre Entscheidung hängt von einer Vielzahl von Faktoren ab, wie zum Beispiel den Standards Ihrer Branche, den von der Regierung oder Ihrem Sektor durchgesetzten Compliance-Anforderungen und Ihrer Anfälligkeit für Cyberbedrohungen.

Um Ihnen den Einstieg zu erleichtern, stellen Sie sich die folgenden Fragen:

• Sind Sie oder Ihre Kunden in der Einzelhandels- oder Gesundheitsbranche tätig? Sie müssen wahrscheinlich den Anforderungen von PCI DSS oder HIPAA entsprechen.
• Sammeln, verarbeiten oder speichern Sie Benutzerdaten von EU-Bürgern oder Einwohnern Kaliforniens? GDPR oder CCPA könnten gesetzlich erforderlich sein.
• Verarbeiten oder speichern Sie Kundendaten in der Cloud? Eine SOC 2- und ISO 27001-Zertifizierung kann Ihre Sicherheitslage stärken und Vertrauen bei den Kunden aufbauen.
• Sind Sie ein börsennotiertes Unternehmen? Mit COBIT werden Sie SOX-konform.
• Sind Sie eine US-Bundesbehörde oder ein von ihr beauftragter Auftragnehmer? Wahrscheinlich müssen Sie die NIST SP 800-53 oder NIST SP 800-171 einhalten.

Glücklicherweise teilen viele Frameworks eine ähnliche Grundlage. Wenn Sie später erfahren, dass Ihre Organisation einem anderen Framework entsprechen muss, gibt es möglicherweise einen einfachen Weg von Ihrem aktuellen Framework.

Wie Secureframe Ihnen auf den richtigen Weg helfen kann

Während Sicherheits-Frameworks dabei helfen können, zu klären, welche kritischen Sicherheitskontrollen Organisationen implementieren sollten, um ihre Daten zu schützen, kann die Einhaltung dennoch komplex sein.

Secureframe vereinfacht den Prozess, indem es umfassende Compliance-Checks gegen die gefragtesten Frameworks anbietet, einschließlich SOC 2, ISO 27001, HIPAA, PCI DSS und mehr.

Was früher Monate an manueller Arbeit benötigte, dauert jetzt nur noch Wochen.

Um mehr darüber zu erfahren, wie Secureframe Ihnen Zeit bei der Implementierung von Sicherheits-Frameworks sparen kann, fordern Sie noch heute eine Demo unserer Plattform an.