Der Weg zu einem ganzheitlichen Informationssicherheitsprogramm führt über etablierte Frameworks. Zusammen mit branchenspezifischen Regularien bilden diese das Fundament, um Unternehmensdaten effektiv vor Bedrohungen und Schwachstellen zu schützen.

Schlagzeilen wie der Datenschutzvorfall bei Marriott, bei dem Informationen von bis zu 500 Millionen Gästen offengelegt wurden, oder das Datenleck bei Twitter, von dem über 200 Millionen Nutzerkonten betroffen waren, unterstreichen die zentrale Bedeutung eines belastbaren Sicherheitsprogramms.

Obwohl Unternehmen unterschiedlich strukturiert sind, gelten Sicherheitsframeworks allgemein als bewährte Grundlage für den Aufbau eines Informationssicherheitsprogramms. CISOs und andere Sicherheitsexperten nutzen sie, um Aufgaben zu identifizieren und zu priorisieren sowie ihr Engagement für Informationssicherheit nachzuweisen.

Was ist ein Sicherheitsframework?

Ein Sicherheitsframework besteht aus Richtlinien, Leitsätzen und bewährten Verfahren. Diese dienen dazu, die Informationssicherheitsrisiken eines Unternehmens zu steuern. Wie der Name bereits andeutet, bieten Frameworks die notwendige Struktur, um interne Daten wirksam vor Cyberbedrohungen und Schwachstellen zu schützen.

Sicherheitsframeworks ermöglichen es IT-Sicherheitsexperten durch die Festlegung einheitlicher Standards, den aktuellen Sicherheitsstatus ihres Unternehmens besser zu verstehen und sich gezielt auf Audits vorzubereiten.

Die Frameworks lassen sich flexibel an branchenspezifische Vorschriften, Compliance-Ziele und individuelle Sicherheitsanforderungen anpassen. Durch die Einführung relevanter Standards können Unternehmen zielgerichtet Maßnahmen definieren und ein durchdachtes, individuelles Risikomanagement aufbauen.

Welche Arten von Cybersicherheitsframeworks gibt es?

IT- und Cybersicherheitsframeworks lassen sich - je nach Zielsetzung und Reifegrad - in drei grundlegende Kategorien unterteilen.

1. Kontrollframeworks

Kontrollframeworks bilden die Grundlage jedes Sicherheitsprogramms, da sie die spezifischen Kontrollen und Prozesse definieren, die dabei helfen, Bedrohungen abzuwehren. Selbst wenn Unternehmen mit einzelnen Sicherheitsmaßnahmen arbeiten, bieten Kontrollframeworks einen systematischen Ansatz, um Sicherheitsrisiken proaktiv zu begegnen und die Compliance zu gewährleisten. Kontrollframeworks helfen bei

• der Entwicklung einer ersten Sicherheitsstrategie und Roadmap,
  
  
• der Definition eines Basissets an Kontrollen,
  
  
• der Bewertung der aktuellen technischen Fähigkeiten,
  
  
• der Priorisierung der Implementierung von Kontrollen.

Beispiele: NIST SP 800-53, CIS Critical Security Controls

2. Programmframeworks

Programmframeworks zielen darauf ab, eine übergeordnete Sicht auf die Sicherheitsbemühungen eines Unternehmens zu bieten. Mit zunehmender Reife der Programme ermöglichen diese Frameworks den Führungskräften ein besseres Verständnis der allgemeinen Sicherheitslage. Zu den Aufgaben von Programmframeworks gehören

• die Bewertung des aktuellen Stands des derzeitigen Sicherheitsprogramms,
  
  
• die Entwicklung eines umfassenden Sicherheitsprogramms,
  
  
• die Messung der Reife des Programms und der Vergleich mit Branchenstandards,
  
  
• die Vereinfachung der Kommunikation mit Führungskräften.

Beispiele: ISO 27001, NIST CSF

3. Risikoframeworks

In der Regel greifen ausgereifte Sicherheitsprogramme auf passende Risikoframeworks zurück. Der Fokus liegt dabei auf Kontrollen, die erforderlich sind, um die Aktivitäten des Unternehmens im Hinblick auf bestehende Sicherheitsrisiken zu überprüfen, zu analysieren und angemessen zu priorisieren. Risikorahmen helfen bei

• der Definition der erforderlichen Schritte zur Risikobewertung und -steuerung,
  
  
• der strukturierten Gestaltung eines Risikomanagementprogramms,
  
  
• der Identifizierung, Messung und Quantifizierung von Risiken,
  
  
• der Priorisierung sicherheitsrelevanter Maßnahmen und Prozesse.

Beispiele: NIST 800-39, NIST 800-37, NIST 800-30

Diese 18 Sicherheitsframeworks sollten Sie kennen

Welches Framework am besten zu Ihrem Unternehmen passt, hängt vom Reifegrad Ihres Sicherheitsprogramms, von Ihren strategischen Zielen sowie von branchenspezifischen und regulatorischen Standards ab. Im Folgenden finden Sie eine Übersicht der bekanntesten Sicherheitsframeworks und -standards.
 

ISO 27000-Serie

Die ISO 27000-Serie wurde von der Internationalen Organisation für Normung (ISO) entwickelt und gilt weltweit als anerkannter Standard im Bereich Cybersicherheit. Sie lässt sich branchenübergreifend anwenden, setzt jedoch ein implementiertes Informationssicherheits-Managementsystem (ISMS) voraus, um Daten zu managen und vor Risiken zu schützen.

Von besonderer Relevanz sind die Normen ISO 27001 (ISO/IEC 27001), welche die Anforderungen an ein ISMS definiert, und ISO 27002, welche konkrete Leitlinien zur Entwicklung geeigneter ISMS-Maßnahmen bereitstellt.

Mehr zu ISO 27001 und aktuellen Neuerungen finden Sie hier.
 

NIST Cybersecurity Framework

Das NIST Cybersecurity Framework (NIST CSF) wurde im Februar 2013 vom US-amerikanischen National Institute of Standards and Technology mit dem Ziel veröffentlicht, die kritische Infrastruktur der USA besser vor Cyberangriffen zu schützen.

Sektoren wie die Energieversorgung, das Gesundheitswesen, die Kommunikation und das Verkehrswesen gelten als besonders gefährdet und müssen daher besonders hohe Sicherheitsstandards erfüllen. Das NIST CSF setzt auf ein risikobasiertes Vorgehen und gliedert seine Sicherheitsmaßnahmen in fünf Phasen: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen.

Auch wenn das Framework nur für US-Bundesbehörden verpflichtend ist, eignet es sich aufgrund seiner Flexibilität hervorragend für Unternehmen aller Größen und Branchen zur gezielten Verbesserung ihrer Sicherheitslage.

NIST Special Publications

Im Gegensatz zum NIST CSF enthalten die NIST Special Publications (NIST SP) deutlich detailliertere technische Spezifikationen, Empfehlungen und Referenzmaterialien.

Die ursprünglich für US-Bundesbehörden und deren externe Dienstleister konzipierte NIST SP-Serie eignet sich ebenfalls für Unternehmen jeder Art, die ein belastbares Cybersicherheitsprogramm aufbauen möchten. Sie ist in drei Kategorien unterteilt:

• NIST SP 800-Serie: Fokus auf Computersicherheit
  
  
• NIST SP 500-Serie: Themen der Informationstechnologie und zugehörige Dokumentation
  
  
• NIST SP 1800-Serie: Praxisleitfäden zur Cybersicherheit (im Vergleich zu den Serien 800 und 500 relativ neu)

SOC1 und SOC2

Die vom American Institute of Certified Public Accountants (AICPA) entwickelten Prüfstandards SOC 1 und SOC 2 bewerten, wie Dienstleistungsunternehmen mit Kundendaten und dem Risikomanagement von Drittparteien umgehen. An dieser Stelle enden jedoch bereits ihre Gemeinsamkeiten.

Bei SOC 1 werden interne Kontrollen geprüft, die sich auf die Finanzberichterstattung eines Dienstleisters auswirken. SOC 2 bewertet hingegen Kontrollen im Hinblick auf die Trust Services Principles des AICPA - Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz - und fokussiert sich damit stärker auf IT- und Datenschutzaspekte. Daneben gibt es noch den SOC 3-Bericht, der dem SOC 2-Bericht inhaltlich ähnelt, aber speziell für Stakeholder und ein breiteres Publikum aufbereitet ist.

HIPAA und HITRUST CSF

Bei HIPAA und HITRUST CSF handelt es sich um zwei Cybersicherheitsframeworks zum Schutz von Patientendaten (Protected Health Information, PHI).

Der Health Insurance Portability and Accountability Act (HIPAA) ist ein US-amerikanisches Bundesgesetz aus dem Jahr 1996, das Datenschutz- und Sicherheitsanforderungen im Gesundheitswesen regelt. Es gilt für sogenannte „Covered Entities”, also beispielsweise Gesundheitsdienstleister, Krankenversicherungen und Verrechnungsstellen. Obwohl es keine offizielle HIPAA-Zertifizierung gibt, überwacht das Office for Civil Rights (OCR) des US-Gesundheitsministeriums die Einhaltung des Gesetzes. 

HITRUST ist hingegen eine privatwirtschaftliche Organisation, die mit dem HITRUST CSF ein eigenes Compliance-Framework entwickelt hat. Dieses kombiniert verschiedene Sicherheitsstandards und Datenschutzvorgaben, die für alle Unternehmen, die mit sensiblen Daten arbeiten, relevant sind. Wichtig dabei ist: HITRUST kann bei der Umsetzung von HIPAA behilflich sein, ersetzt die Anforderungen jedoch nicht und stellt keinen Nachweis für HIPAA-Compliance dar.

Hier erfahren Sie mehr über die Unterschiede zwischen HIPAA und HITRUST.

PCI DSS

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein weltweit anerkanntes Rahmenkonzept für Unternehmen, die Karteninhaberdaten verarbeiten, speichern oder übermitteln. Er wurde im Jahr 2004 von den führenden Kreditkartenunternehmen American Express, Discover, JCB, Mastercard und Visa ins Leben gerufen, um Kartendaten zu schützen und Betrugsfälle zu reduzieren.

PCI DSS definiert zu diesem Zweck vier Compliance-Stufen sowie zwölf verpflichtende Anforderungen, die als Best Practices für den Schutz sensibler Zahlungsdaten gelten.

DSGVO

Die im Jahr 2016 eingeführte Datenschutz-Grundverordnung (DSGVO) ist ein Rechtsrahmen der Europäischen Union, der die Privatsphäre und den Schutz personenbezogener Daten von EU-Bürgern stärken soll. Sie gilt für alle Unternehmen weltweit, die Daten von EU-Bürgern erheben oder verarbeiten, unabhängig von ihrem Firmensitz.

Alle Einzelheiten dazu finden Sie in unserem umfassenden Leitfaden zur DSGVO-Compliance.

CIS Critical Security Controls

Die Critical Security Controls des Center for Internet Security (CIS) bieten Unternehmen, die ein neues Sicherheitsprogramm aufbauen möchten, einen praxisnahen Einstieg. Die kompakte Liste umfasst 18 priorisierte Maßnahmen, die sich auf die wesentlichen Schritte zur Abwehr aktueller Cyberbedrohungen konzentrieren.

Im Gegensatz zu umfangreichen und oft komplexen Sicherheitsframeworks zeichnen sich die CIS Controls durch ihre klare Struktur und einfache Umsetzbarkeit aus. Sie ermöglichen es Unternehmen, mit überschaubarem Aufwand einen wirksamen Basisschutz aufzubauen und gleichzeitig das Fundament für eine langfristig belastbare Cybersicherheitsstrategie zu legen.

COBIT

COBIT (Control Objectives for Information and Related Technology) ist ein weltweit anerkanntes Framework, das die Lücke zwischen Sicherheitsprozessen und unternehmerischen Zielsetzungen schließt. Es wurde von der Information Systems Audit and Control Association (ISACA) entwickelt und dient dem Aufbau eines ganzheitlichen IT-Governance-Systems.

Die aktuelle Version COBIT 2019 ist für Unternehmen jeder Größe geeignet. Sie umfasst sechs Prinzipien und 40 Prozesse, die Governance- und Geschäftsziele unterstützen.

FISMA

Der Federal Information Security Management Act (FISMA) ist ein Rahmenwerk für US-Behörden und deren externe Dienstleister. Ähnlich wie das NIST-Framework verpflichtet FISMA Unternehmen zur Umsetzung bestimmter Sicherheitsmaßnahmen und Prozesse, zur regelmäßigen Durchführung von Risikoanalysen und zur kontinuierlichen Überwachung ihrer IT-Infrastruktur.

NERC CIP

Die NERC CPI-Standards (North American Electric Reliability Corporation Critical Infrastructure Protection) wurden entwickelt, um die Zuverlässigkeit und Sicherheit des nordamerikanischen Stromnetzes zu gewährleisten. Die speziell für den Energie- und Infrastruktursektor entwickelten Standards sind für alle am Betrieb des Stromnetzes beteiligten Unternehmen verbindlich.

Um zu verhindern, dass kleine Störungen zu großflächigen Versorgungskrisen führen, legt NERC CPI verbindliche Branchenstandards fest. Diese umfassen unter anderem Anforderungen an die Cybersicherheit, Vorfallreaktion und Wiederherstellungspläne, Schulungen für das Personal sowie weitere Maßnahmen zur Sicherstellung einer stabilen Stromversorgung.

TISAX

Die „Trusted Information Security Assessment Exchange“ (TISAX) ist ein Prüf- und Austauschmechanismus für die Informationssicherheit in der Automobilindustrie. TISAX gilt als führender Branchenstandard und ist Voraussetzung für die Zusammenarbeit mit großen deutschen Automobilherstellern.

Zwar orientiert sich TISAX an ISO 27001, ist aber speziell auf die Anforderungen der Automobilbranche zugeschnitten. Unternehmen erhalten Labels, wenn sie definierte Sicherheitslevels erreichen. Es gibt drei Prüflevels sowie aktuell acht Prüfziele, die je nach Bedarf ausgewählt werden können.

SOX ITGC

Die Sarbanes-Oxley IT General Controls (SOX ITGC) sind ein Teilbereich des umfassenderen Sarbanes-Oxley Acts. Sie legen Anforderungen an die Finanzberichterstattung für Unternehmen fest, die den Börsengang (IPO) anstreben oder bereits börsennotiert sind – unabhängig von der Branche.

SOX ITGC bestätigt die Integrität der Daten und Prozesse, die den internen Kontrollen der Finanzberichterstattung zugrunde liegen. Dies betrifft unter anderem Anwendungen, Betriebssysteme, Datenbanken und die dahinterstehende IT-Infrastruktur. Die Kontrollen betreffen insbesondere den Zugriff auf Programme und Daten, Änderungen an Anwendungen, den laufenden IT-Betrieb und die Programmentwicklung.

CCPA

Der im Jahr 2018 verabschiedete California Consumer Privacy Act (CCPA) ist ein Datenschutzgesetz, das die Datenschutzrechte von in Kalifornien ansässigen Verbrauchern stärkt. Angelehnt an die DSGVO regelt der CCPA, wie Unternehmen personenbezogene Daten erfassen, nutzen und weitergeben - und er räumt Verbrauchern mehr Kontrolle über ihre Daten ein. Der CCPA gilt für gewinnorientierte Unternehmen, die mindestens eines der folgenden Kriterien erfüllen:

• ein Jahresumsatz von über 25 Millionen US-Dollar,
  
  
• den Kauf, Erhalt oder Verkauf personenbezogener Daten von mindestens 100.000 Einwohnern, Haushalten oder Geräten in Kalifornien,
  
  
• mindestens 50 % ihres Jahresumsatzes aus dem Verkauf personenbezogener Daten von in Kalifornien ansässigen Personen.

Solche Unternehmen sind verpflichtet, Verbrauchern auf Anfrage mitzuteilen, welche Daten über sie erhoben werden, zu welchem Zweck dies geschieht und welche Dritten Zugriff darauf haben. Auf Wunsch müssen sie außerdem die Löschung dieser Daten ermöglichen.

CPRA

Der im Jahr 2020 verabschiedete California Privacy Rights Act (CPRA) baut auf dem CCPA auf und erweitert die Datenschutzrechte der in in Kalifornien ansässigen Verbraucher.

Der CPRA gilt für dieselben Unternehmen wie der CCPA. Darüber hinaus gilt er für Unternehmen, die 50 % oder mehr ihres Jahresumsatzes mit dem Verkauf oder der Weitergabe personenbezogener Daten erzielen. Der CPRA führt außerdem die neue Kategorie „sensible personenbezogene Daten” ein. Dazu zählen beispielsweise Sozialversicherungsnummern, Führerscheindaten, Reisepassnummern sowie Bank- und Finanzinformationen.

CMMC

Die Cybersecurity Maturity Model Certification (CMMC) ist das zentrale Sicherheitsframework des US-Verteidigungsministeriums, mit dem die Cybersicherheit in Unternehmen der Verteidigungsindustrie bewertet und gestärkt werden soll. Obwohl das Modell erst im Januar 2020 eingeführt wurde, basieren 110 der insgesamt 171 Anforderungen auf der bewährten NIST SP 800-171-Richtlinie.

Das Modell unterscheidet drei Reifegrade - „Foundational“, „Advanced“ und „Expert“ - und wird derzeit in den DFARS-Regelungen (Defense Federal Acquisition Regulation Supplement) verankert. Ab 2025 ist eine gültige CMMC-Zertifizierung Voraussetzung für die Teilnahme an öffentlichen Ausschreibungen im Verteidigungsbereich.

OneTrust Compliance Automation

Mit OneTrust Compliance Automation können Sie flexibel auf Veränderungen in der Informationssicherheitslandschaft reagieren und sind künftigen Sicherheitsanforderungen stets einen Schritt voraus.

Mit dem Wachstum Ihres Unternehmens steigen auch die Komplexität und der Umfang Ihrer Compliance-Anforderungen, beispielsweise durch unterschiedliche Regelungsbereiche oder mehrere gleichzeitig geltende Frameworks. Compliance Automation deckt über 29 dieser Frameworks ab und unterstützt Sie dabei, Sicherheits-Compliance effizient und skalierbar umzusetzen.

Unser internes Expertenteam aus ehemaligen Auditoren und Informationssicherheitsspezialisten unterstützt Sie bei der praktischen Umsetzung von Compliance. Wir unterstützen Sie mit fundierter Anleitung zur Implementierung von Kontrollmaßnahmen, automatisierter Erfassung von Nachweisen und einer deutlich tieferen Integration als beim herkömmlichen Kontroll-Mapping. Darüber hinaus bieten wir Ihnen viele weitere Leistungen an.

Fordern Sie eine Demo an und erfahren Sie, wie Sie mithilfe von OneTrust Ihre Sicherheits-Compliance effizient aufbauen, skalieren und automatisieren können.