Mit Frameworks sind in der Cyber Security strukturierte Sammlungen von Richtlinien, Best Practices, Standards und Tools gemeint. Entwickelt, um die Cyber Security in Organisationen wirksamer umzusetzen, bieten Frameworks einen Rahmen, um Sicherheitsstrategien zu planen, implementieren und verbessern. Wir stellen dir die vier Wichtigsten vor.
CIS Critical Security Controls
Bei den CIS-Benchmarks handelt es sich um Sicherheitsstandards, die von der CISA (Cyber Security and Infrastructure Security Agency) des US-Bundesministerium für Innere Sicherheit entwickelt worden sind. Sie sind kostenlos verfügbar und definieren eine Reihe von Sicherheitskonfigurationen, die Computer- und Netzwerksysteme vor Cyber-Risiken schützen. Die Richtlinien sind auf Betriebssysteme, Anwendungen und Geräte abgestimmt sowie nach verschiedenen Sicherheitsstufen gegliedert. So wird sichergestellt, dass die Empfehlungen spezifisch und relevant für die Anforderungen der eigenen Organisation sind.
Auf Sicherheitsebene 1 erhält man Empfehlungen zu Basis-Sicherheitskonfigurationen für IT-Systeme. Diese sind einfach umzusetzen und beeinflussen den sonstigen IT-Betrieb nicht. Empfehlungen der zweiten Ebene sind besonders für Hochsicherheitsumgebungen wichtig; implementiert man sie, hält man alle notwendigen Gesetze und Vorschriften ein. Allerdings beansprucht die Umsetzung der Konfigurationen viel Planung und Koordination – IT-Expertise ist deshalb dazu zwingend notwendig. Die bisher als Ebene 3 bekannte Sicherheitsstufe kennt man neu unter dem Namen STIG (Security Technical Implementation Guide). Dieser wurde von der DISA (Defense Information System Agency) entwickelt, welche die Richtlinien auch weiterhin pflegt.
Unabhängig von der gewählten Sicherheitsstufe bieten die CIS-Benchmarks eine klare, übersichtliche Anleitung zur Verbesserung der IT-Sicherheit. Das gesammelte Fachwissen wurde von IT-Security-Experten erarbeitet und wird regelmässig aktualisiert. Mit dem CIS-Framework stellen Unternehmen nicht nur sicher, dass sie regelkonform arbeiten, sondern steigern auch die Effizienz beim Verwalten von Sicherheitsrisiken – und profitieren nebenbei von mehr Vertrauen seitens Kunden und Partnern.
ISO 27001/2
Wie in diversen anderen Branchen gibt es auch im Bereich IT ISO-Zertifikate, die von der International Organization for Standardization entwickelt worden sind. ISO-Zertifikate stellen sicher, dass Produkte und Dienstleistungen sicher, effektiv und von hoher Qualität sind – wobei im IT-Kontext besonders dem Stichwort «sicher» am meisten Bedeutung zukommt. Insbesondere die ISO-Zertifikate 27001 und 27002 sind dabei wichtig – sie thematisieren Informationssicherheits-Managementsysteme (ISMS) und definieren Anforderungen für deren Implementierung, Überwachung, Wartung sowie Verbesserung.
Während ISO27001 als Framework zur Einrichtung eines ISMS genutzt werden kann, handelt es sich bei ISO27002 mehr um einen praktischen Leitfaden für Informationssicherheitsmassnahmen. Beide Normen verbessern die Informationssicherheit, Regelkonformität und Effizienz von Geschäftsprozessen – was sich schlussendlich positiv auf den Ruf eines Unternehmens auswirkt und einen Wettbewerbsvorteil darstellen kann.
MITRE ATT&CK
Das MITRE ATT&CK Framework wurde von MITRE, einer vom MIT abgespaltenen Organisation, entwickelt und hält Infos zu 14 verschiedenen, bekannten Angriffstechniken von Cyberkriminellen fest; zum Beispiel Spear-Phishing, Social Engineering oder Malware.
Zu jeder Technik werden dann Tools und Taktiken erläutert und ausserdem mögliche Auswirkungen auf betroffene Systeme aufgezeigt. Das macht das ATT&CK-Framework zu einem praktischen Instrument für Unternehmen und Organisationen zur Verbesserung der eigenen IT-Sicherheit: Ob zur Abwehrprozess-Optimierung, für die vollumfängliche Risiko-Bewertung, zu Schulungszwecken oder als Hilfsmittel im Ernstfall – das ATT&CK-Framework ist ein wertvolles, vielseitiges Tool.
NIST
Auch unter dem Namen Cyber Security Framework bekannt, wurde NIST von der gleichnamigen US-Bundesbehörde, dem National Institute of Standards and Technology, entwickelt. Es handelt sich hierbei um ein flexibles Framework, das für Unternehmen jeglicher Art und Grösse geeignet ist – und das, obwohl es anfangs nur für kritische Infrastrukturen gedacht war. Das NIST-Framework setzt sich aus sechs Funktionen zusammen: Govern (regieren), Identify (identifizieren), Protect (schützen), Detect (erkennen), Respond (reagieren) und Recover (wiederherstellen). Die Govern-Funktion liefert Informationen darüber, wie eine Organisation die Ergebnisse der anderen fünf Funktionen erreichen kann und wie sich diese im Zusammenhang mit ihrem Auftrag und den Erwartungen der Stakeholder verhalten. In der Identify-Phase verschafft man sich einen Überblick über alles, was für die IT-Sicherheit von Bedeutung ist – Assets, Schwachstellen, Bedrohungen und Risiken. In der zweiten, der Protect-Phase, geht’s darum, identifizierte Bedrohungen abzuwehren. Dazu werden Schutzmassnahmen ausgearbeitet und implementiert. Die dritte Funktionsphase, Detect, konfiguriert Alarme und Warnsignale für Angriffe, welche die Sicherheitsvorkehrungen umgangen sind. Die Funktion Respond beschäftigt sich damit, wie man schnell und effektiv auf Sicherheitsvorfälle reagiert, um Schäden möglichst klein zu halten. In der letzten Phase kommt die Recover-Funktion zum Zug – sie hilft dabei, nach einem Angriff möglichst rasch den Normalbetrieb wieder sicherstellen zu können. Die umfassende und strukturierte Methode des NIST-Frameworks eignet sich hervorragend zur Bewertung und Verbesserung der IT-Sicherheitsmassnahmen in einem Unternehmen. Als Standardlösung eignet es sich für Organisationen jeder Art und Grösse und kann flexibel an spezifische Bedürfnisse angepasst werden – so unterstützt es Unternehmen im Risikomanagement und sorgt ausserdem dafür, dass regelkonform gehandelt wird.
