Verbessern des Datenverständnisses
Rocco Gagliardi
Unsere Erfahrungen mit Sicherheits-Frameworks
Ein Sicherheits-Framework liefert das Gerüst, auf dem wir die Sicherheit aufbauen können, oder zeigt uns, worauf wir uns bei unserer Bewertung konzentrieren müssen, aber sie erfordern eine Fülle von Kenntnissen und beträchtliche Erfahrung. Wenn im letzten Jahr die Überprüfung der Einhaltung der NIST CSF PR.AC-3 Kenntnisse über verschiedene Technologien erforderte, ist es jetzt mit ChatGPT einfacher:
Oder zumindest scheint es einfacher zu sein. Wenn die von ChatGTP generierte Liste auf den ersten Blick wie ein gültiges Bewertungsmuster aussieht, wird schnell klar, dass es sich um eine Umdeutung mehrerer bereits im CSF vorhandener Punkte handelt, die auf unterschiedliche Weise angeordnet sind. ChatGPT ist ein gültiges Hilfsmittel, aber ein Hilfsmittel. Es ersetzt – vorläufig – keinen Auditor.
Wir bei der scip AG verwenden seit einem Jahrzehnt das NIST-CSF als Grundlage für die Sicherheitsbewertung, obwohl wir mittlerweile für die meisten unserer Kunden das CIS CSC V8 bevorzugen. Aufgrund der Komplexität und der sich ständig weiterentwickelnden Natur von Cyber-Bedrohungen sowie des Bedarfs an standardisierten Best Practices und Richtlinien, die Unternehmen dabei helfen, diese Risiken effektiv zu verwalten und zu mindern, gibt es jedoch zahlreiche Cybersicherheits-Frameworks.
Neben den Klassikern ISO27k, PCI-DSS und COBIT gibt es weitere Modelle, die auf die Cloud (CSA-CCM), das Gesundheitswesen (HITRUST) und das allgemeine NIST (CSF oder 800-53) ausgerichtet sind, und viele andere, die in fast allen der am häufigsten verwendeten Framework-Rankings zu finden sind.
Das Secure Control Framework (SCF) ist jedoch überraschenderweise in diesen Listen nicht enthalten.
Hackers share information on attack methods with other hackers, so why shouldn’t the good guys share information on how to best protect an organization?
Freiwillige mit unterschiedlichem Hintergrund in der Cybersicherheitsbranche arbeiteten und arbeiten weiterhin zusammen, um Probleme im Zusammenhang mit Datenschutz und Governance, Risiko und Compliance (GRC) zu lösen. Fachleute aus den Bereichen Audit, Technik, Architektur, Reaktion auf Vorfälle, Beratung und anderen verwandten Bereichen. Das Endergebnis sind von Experten abgeleitete Inhalte, aus denen sich das SCF zusammensetzt. Ein riesiger Satz von Kontrollen, der der Öffentlichkeit kostenlos zur Verfügung gestellt wird.
Ich habe mich von der ersten Version an in das SCF verliebt und setze es seit 2019 in unseren Projekten ein. SCF ist komplex: Heute, in der Version 2023.1, gibt es 1168 Steuerelemente in 33 Domänen. Die Kontrollen werden mindestens einmal im Jahr aktualisiert. Aber wenn es 2019 nur eine große Checkliste mit 900 Kontrollen gab, sind heute zusätzliche Definitionen hinzugekommen, die die meisten der Bereiche abdecken, die von anderen Frameworks nicht abgedeckt werden.
So finden wir die Sicherheits- und Datenschutzgrundsätze das Integrierte Kontrollmanagement das Capability Maturity Model das Risk Management Model und die Datenschutzgrundsätze.
Um das SCF zu nutzen, wird auf den 16 Seiten des Integrierten Kontrollmanagements die Herangehensweise skizziert, mit der das Rahmenwerk am besten genutzt werden kann; allerdings ist Erfahrung erforderlich. Hier wollen wir die Stärken des SCF zusammenfassen:
Neben den zahlreichen Bereichen und Kontrollen, die ein breites Spektrum von Cybersicherheitsthemen abdecken, wird vor allem die Fähigkeit, sie zu filtern, geschätzt. Die Zuordnung von Kontrollen zu anderen Standards (insgesamt 198), die nach Ländern, Sektoren oder Fachgebieten geordnet sind, ermöglicht es, schnell zu erkennen, ob eine Organisation diesen spezifischen Standard einhält oder nicht, oder nur eine Teilmenge von besonderem Interesse auszuwählen.
Dasselbe gilt für die Bedrohungs- und Risikozuordnung. Jeder Kontrolle ist zugeordnet, welcher Bedrohung/welchem Risiko sie ausgesetzt ist, wodurch der Risikomanagementprozess effektiver wird.
SCF ist gut strukturiert und kann durch die Einbeziehung von Mappings zu anderen Systemen wie ATT&CK als Brücke zwischen den zahlreichen Standards im Bereich der Cybersicherheit dienen.
Die Auswahl des zu verwendenden Sicherheits-Frameworks hängt, wie bereits erwähnt, von einer Reihe von Kriterien ab. Es wird immer eines dieser drei ausgewählt. Dies sind einige Kriterien, die Ihnen bei Ihrer Entscheidung helfen können.
Framework | Fokus | Abdeckung | Stärken | Einschränkungen |
---|---|---|---|---|
CIS CSC v8 | CIS Controls v8 ist ein taktischer Rahmen mit konkreten Aktivitäten zur Verbesserung der Cybersicherheit. Es enthält eine nach Prioritäten geordnete Liste von Sicherheitsmaßnahmen, die auf tatsächlichen Angriffen und Vorfällen basieren und in 18 bewährte Praktiken für die Cybersicherheit gegliedert sind, um Unternehmen dabei zu helfen, ihre Sicherheitslage zu verbessern und Cyberrisiken zu verringern. | CIS Controls v8 ist branchenspezifisch und richtet sich an kleine und mittlere Unternehmen. CIS Controls v8 ist branchenspezifisch und auf kleine und mittelständische Unternehmen ausgerichtet. CIS CSC v8 deckt ein breites Spektrum an Sicherheitskontrollen ab, z. B. Asset Management, Schwachstellenmanagement, Zugriffskontrolle, Reaktion auf Vorfälle und Datenschutz. | CIS CSC v8 ist ein präskriptives Rahmenwerk, das präzise Verfahren zur Verbesserung der Cybersicherheit auf der Grundlage tatsächlicher Risiken und Angriffe beschreibt und praktische Hilfestellung bei der Erstellung effektiver, verständlicher Sicherheitsmaßnahmen gibt. Es handelt sich um ein umfassendes Rahmenwerk, das Unternehmen einen gründlichen Fahrplan zur Verbesserung ihrer Cybersicherheitslage bietet. | CIS CSC v8 ist möglicherweise nicht so umfassend wie andere Rahmenwerke und deckt nicht alle Bereiche der Sicherheit ab, da es sich in erster Linie auf technische Kontrollen konzentriert und Governance, Risikomanagement und Compliance nicht sehr detailliert behandelt. |
NIST CSF | Das Cybersecurity Framework (CSF) des National Institute of Standards and Technology (NIST) ist eine Reihe von Richtlinien zur Verbesserung der Cybersicherheit in allen Bereichen kritischer Infrastrukturen. Es handelt sich um ein übergeordnetes Rahmenwerk, das Cyber-Bedrohungen identifiziert, schützt, erkennt, auf sie reagiert und sich von ihnen erholt und eine gemeinsame Sprache und Methodik für die Verwaltung und Reduzierung von Cyber-Sicherheitsrisiken bereitstellt. | Das NIST CSF kann von jeder Organisation verwendet werden, unabhängig von ihrer Größe oder Branche. Deckt fünf Kernfunktionen ab: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen, die Organisationen dabei helfen sollen, ihr Cybersecurity-Risiko zu verstehen und zu verwalten. | NIST CSF ist ein Rahmenwerk, das Unternehmen beim Umgang mit Cybersicherheitsrisiken berät. Es handelt sich um ein flexibles Rahmenwerk, das an die individuellen Bedürfnisse verschiedener Unternehmen angepasst werden kann. Es bietet eine gemeinsame Sprache und einen standardisierten Ansatz für die Cybersicherheit, der es Unternehmen erleichtert, über ihre Sicherheitslage zu kommunizieren. | Die Umsetzung des NIST-CSF kann erhebliche Ressourcen und Fachkenntnisse erfordern, insbesondere für kleine Unternehmen. Der NIST-CSF ist nicht präskriptiv, was bedeutet, dass Unternehmen die Richtlinien so interpretieren und anwenden müssen, wie es für ihren spezifischen Kontext sinnvoll ist. Dies kann es für Unternehmen schwierig machen, zu erkennen, ob sie das Rahmenwerk richtig umsetzen. |
SCF | Das Secure Controls Framework (SCF) konzentriert sich auf interne Kontrollen. Dabei handelt es sich um die Richtlinien, Standards, Verfahren, Technologien und zugehörigen Prozesse im Bereich der Cybersicherheit und des Datenschutzes, die so konzipiert sind, dass sie mit hinreichender Sicherheit gewährleisten, dass die Geschäftsziele erreicht und unerwünschte Ereignisse verhindert, entdeckt und korrigiert werden. | Das SCF kann von jeder Organisation verwendet werden, unabhängig von ihrer Größe oder Branche. Der SCF deckt 33 Hauptbereiche ab. Zusammen mit den Domänen gibt es Listen von Prinzipien, Risiken, Bedrohungen und anderen, die zusammen mit einem Modell und einer Gebrauchsanweisung Organisationen dabei helfen sollen, ihre Cybersicherheitsrisiken zu verstehen und zu verwalten. | SCF bietet einen vollständigen Satz von Sicherheitskontrollen, die sowohl technische als auch organisatorische Sicherheitsfragen umfassen. Wichtig ist die Zuordnung der Kontrollen zu mehreren Standards, was eine einfache Filterung und eine Prüfung auf Konformität mit anderen Standards ermöglicht. | SCF ist komplex und schwierig zu implementieren und kann erhebliche Ressourcen und Fachkenntnisse erfordern. |
Zusammenfassend lässt sich sagen, dass jedes Rahmenwerk seine eigenen Stärken und Schwächen hat. Unternehmen sollten bei der Auswahl eines Frameworks für die Implementierung ihre spezifischen Bedürfnisse und Ressourcen berücksichtigen. Wenn das Unternehmen nicht besonders einfallsreich ist und sich auf das Wesentliche konzentrieren möchte, um eine angemessene IT-Hygiene zu gewährleisten, ist CIS-CSC eine gute Option. SCF kann in der Zukunft eingesetzt werden, um die IT-Haltung zu verbessern, oder in Unternehmen, die über die Mittel und das Fachwissen verfügen, um den aktuellen Stand der meisten Kontrollen auf dem Markt zu bewerten.
Unsere Spezialisten kontaktieren Sie gern!
Rocco Gagliardi
Rocco Gagliardi
Rocco Gagliardi
Rocco Gagliardi
Unsere Spezialisten kontaktieren Sie gern!