Die Landschaft der Informationssicherheit in der Welt ist relativ divers mit verschiedenen Herangehensweisen und Standards, aber ein Land sticht besonders hervor: Deutschland. Während sich andere Länder auf die von NIST (National Institute for Standards in Technology) publizierten, amerikanischen Standards zum Risikomanagement, dem „Risk Management Framework“ (NIST RMF), und zur Absicherung von kritischen Infrastrukturen, dem „Cybersecurity Framework“ (NIST CSF), verlassen, wartet Deutschland mit seinem eigenen Standard auf. In diesem Artikel erklären wir, welche Vorteile NIST in Deutschland zusätzlich zu den BSI Standards bieten könnte.
Der Hintergrund zur aktuellen internationalen Lage der Informationssicherheit
Die folgenden Standards werden weltweit mit am häufigsten verwendet:
– NIST Cybersecurity Framework (CSF)
– NIST Risk Management Framework (RMF)
-ISO 27001
ISO 27001 ist einer der leitenden Frameworks für Informationssicherheit und wird von vielen Unternehmen als Voraussetzung für eine Zusammenarbeit abverlangt und daher wird eine Zertifizierung von vielen angestrebt. Weitere Normen wie TISAX vom VDI und die BSI Standards 200-x basieren auf der ISO Norm, was die Popularität weiter steigert. Auf der anderen Seite stehen als Alternative die Normen von NIST, dem US-amerikanischen Institut für Standardisierung in der Technologie, wobei sich die zwei Rahmenwerke auch sehr gut ergänzen. Sie sind für amerikanische Behörden durch die Gesetzgebung vorgeschrieben und werden stetig weiterentwickelt. 2014 wurde vom US-amerikanischen Verteidigungsministerium (Department of Defense, DoD) der Information Assurance Certification and Accreditation Process (zu Deutsch: Zertifizierungs- und Akkreditierungsprozess), der 2006 in Kraft trat, vom Nachfolger, dem NIST Risk Management Framework (RMF), abgelöst. Da der NIST RMF obligatorisch ist und US-amerikanische Behörden vorgeschrieben wird, ist diese Norm insbesondere auf die Umgebung von Behörden zugeschnitten und nicht auf private Unternehmen. Um diesen Umstand zu begegnen, brachte NIST im Jahr 2014 das NIST Cybersecurity Framework (NIST CSF) heraus. Das CSF unterscheidet sich jedoch vom Aufbau grundlegend vom NIST RMF, da es allein ein Framework ist und sich grundlegend vom Prozess des Risikomanagements unterscheidet. NIST CSF beschreibt den grundlegenden Aufbau des Prozesses, in den ein ISMS eingebettet wird. Die Sicherheitsmaßnahmen, welche dann implementiert werden, können aus einer anderen Norm geliehen werden, wie z. B. aus ISO 27001 oder unterstützend aus dem Werk NIST SP 800-53, welches auch den RMF bedient. Aus diesen Gründen sollte NIST CSF nicht allein implementiert werden, sondern zusammen mit einem Maßnahmenkatalog zur optimalen Integration. Mit diesem Blick auf die internationale Beschaffenheit der verschiedenen Rahmenwerke kommen wir nun zur Situation in Deutschland.
Der Prozess zur sicheren Infrastruktur läuft beim RMF sowie CSF in jeweils 5 Schritten ab:
1. Die Sichtung und Beschreibung des Systems
2. Die Ausarbeitung der Sicherheitsstrategie
3. Die Umsetzung der Sicherheitsstrategie
4. Die Überprüfung der Umsetzung aufgrund des Risikos
5. Die Kommunikation und kontinuierliche Weiterentwicklung
Das BSI hat einen Standard zur Absicherung kritischer Infrastrukturen erstellt und veröffentlicht damit denselben Zweck erfüllt wie das NIST RMF. Allein die Herangehensweise unterscheidet sich deutlich. Der Fokus der BSI-Standards liegt auf obligatorischen Maßnahmen und Compliance anstatt auf der Anpassung der Strategie zur aktuellen Risikolandschaft. Auf der anderen Seite liegt der Fokus zudem auf den Werten (Assets) und bietet wenig Unterstützung oder Ausführungen im Bereich des Risikomanagements, wenn man dies mit dem NIST RMF vergleicht. Die Norm lehnt sich jedoch zunehmend an den ISO 27001-Standard an, wie die letzten Änderungen zur 200-er Serie im Gegensatz zur 100-er Serie zeigen. (1)
Vorteile der Umsetzung nach BSI in Deutschland
Diese BSI Standards, Reihe 200-x sowie 100-4, werden als Grundlage für viele deutsche Behörden verwendet, da ein ISMS nach Stand der Technik für Betreiber kritischer Infrastrukturen nach dem IT-Sicherheitsgesetz von 2015 (2) zu implementieren (3) ist. Damit ist die Lücke für die Sicherung von kritischen Infrastrukturen im öffentlichen Bereich gefüllt und NIST als Alternative rückt in den Hintergrund. Zusammenfassend kann man vermuten, dass folgende Gründe für diese Verdrängung verantwortlich sind:
– Einfachheit der Umsetzung über ein Tool. Es gibt verschiedene Tools, die verwendet werden können und sich in stetiger Entwicklung befinden, wie z. B. ‘verinice’ oder ‘HiScout’.
– Veröffentlichung in deutscher Sprache, wobei die NIST-Standards nur in englischer Ausführung verfügbar sind. Dieser Punkt ist insbesondere bei Behörden zu beachten, in denen zumeist Deutsch die Amtssprache ist.
– Die Anlehnung der BSI Standards an ISO 27001, was eine Zertifizierung nach ISO 27001, welche für viele Unternehmen angestrebt wird, deutlich vereinfacht.
Vorteile der Umsetzung nach NIST in Deutschland
Nun bieten diese Vorteile einiges zur Sicherung von Informationen, wobei andere Aspekte in den Hintergrund fallen, die wir nicht vergessen sollten. NIST CSF und RMF bieten Unterstützung durch eine andere Sichtweise auf Unternehmensrisiken:
Freie Verfügbarkeit und leichte Anwendung:
Alle relevanten Dokumente, die von NIST veröffentlicht werden, insbesondere die Serie SP 800-x, werden staatlich unterstützt und sind kostenfrei verfügbar, wenn auch nur in englischer Sprache (4). Dies macht es sehr einfach, die relevanten Dokumente im Unternehmen zu verkünden. Im Vergleich zur ISO-Norm, bei der jeder Leser Kosten verursacht, was bei größeren Unternehmen zu erheblichen Hürden führen kann. Die BSI Standards sind auch frei verfügbar, da sie aber toolgestützt arbeiten und es für Mitarbeiter kaum machbar ist, mit den IT-Grundschutz-Katalogen mit 5082 Seiten effektiv zu arbeiten, haben wir hier eine zusätzliche Hürde in der Lesbarkeit (5).
Fokus auf Vertrauen und Risiko anstatt Compliance:
Dies bietet die Möglichkeit schneller ein höheres Sicherheitsniveau zu erreichen, da es einfacher ist bzw. eher im Vordergrund steht, die Unternehmenskultur miteinzubeziehen. Risikomanagement ist das Hauptziel des Risk Management Frameworks und die Identifizierung und Bearbeitung von Risiken in der Informationssicherheit ist der größte Fokuspunkt. Daher fährt ein ISMS nach NIST RMF einen sehr pragmatischen Ansatz. Im Vergleich dazu ist das Risikomanagement nach ISO 31000 oder BSI Standards sehr rudimentär und liegt im Hintergrund bzw. im Ermessen des Managements. Bei den niedrigen Sicherheitsstufen, wie die Basis-Absicherung nach BSI Standard 200-2 ist sogar kein Risikomanagement vorgesehen (6), was die Möglichkeiten der Handlungsempfehlungen und kontinuierlichen Weiterentwicklung stark begrenzt.
Fokus auf die Systementwicklung:
Der Systementwicklungszyklus (SDLC) wird direkt mit in das Risikomanagement einbezogen, so dass in jeder Phase der Systementwicklung andere Maßnahmen und Prozesse zur Sicherung der Informationen implementiert werden. Das System wird sozusagen durch das Risikomanagement geführt, um um einen umfassenden Schutz bieten zu können (7). SDLC ist in allen anderen Normen nicht automatisch mit integriert und daher eher eine zusätzliche Option, die gern übersehen oder als nicht bedeutend angesehen wird.
Fokus auf Anpassungsfähigkeit:
Eine Anpassung der Maßnahmen auf die bestehende Infrastruktur bietet die Möglichkeit, zusätzliche Maßnahmen zu ergreifen, überflüssige Maßnahmen zu streichen und systemübergreifende Maßnahmen zu identifizieren und zentral zu leiten (8). Diese Möglichkeiten sind fest im Prozess verankert und müssen mit autorisiert werden. Dieser Prozess ist einzigartig und legt den Fokus auf das Vertrauen in die Systeme anstatt in die Regelkonformität oder Compliance. Hier wird eine Brücke vom Regelwerk hin zur pragmatischen und effektiven Umsetzung geschaffen.
Optimale Anpassung an die Systemlandschaft und die Governance-Struktur:
Es werden Konzepte angeboten, die ähnlich zu den BSI Standards entweder umfassend und zentral geleitet werden können, sowie die Möglichkeit der Aufspaltung in kleinere Schirmkonzepte, die dezentral geführt werden, aber dennoch in sich abgeschlossen sind. Im Vergleich zur ISO 27001-Norm, die als Leitbild eine Managementstruktur in Form eines Komitees hat und damit sehr viel Aufwand aufwirft, sofern verschiedene Systeme zertifiziert werden müssen, bildet NIST RMF einen Prozess, bei dem die Akteure unterschiedlich sein können. Auf diese Weise ist es leicht möglich, verschiedene Systeme zu unterschiedlichen Zeitpunkten zu zertifizieren.
Zusammenfassend verfolgt Deutschland eine Sicherheitsstrategie, die sich an internationalen Standards orientiert, selbst jedoch eine Richtung einschlägt, hin zur Automatisierung und Standardisierung der Sicherheitslandschaft. Dies birgt einige Hürden, insbesondere in der Anpassungsfähigkeit an das jeweilige Unternehmen. Für Unternehmen im privaten Sektor mag es attraktiv sein, auch in die Richtung der USA zu schauen und sich einige Aspekte anzuschauen, die wir so in Deutschland noch wenig im Fokus sehen. Nicht nur, dass das Risk Management Framework bzw. Cyber Security Framework von NIST stetig weiterentwickelt werden und auf den jeweiligen Sektor zugeschnitten ist, sie bieten auch die Möglichkeit, der einfachen Zertifizierung nach ISO 27001, da die Übereinstimmung gegeben ist. Weitere Aspekte der Effektivität, wie z. B. der Fokus auf das Risikomanagement, das Einbinden von Entwicklungsprozessen und der Fokus auf Agilität des Unternehmens, kommen zusätzlich verstärkt zum Vorschein.
Quellen:
1 vgl. Aktueller Stand der Modernisierung des IT-Grundschutzes, 08.06.2017, Isabel Münch
2 vgl. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), vom 17. Juli 2015
3 vgl. $8a, Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), vom 17. Juli 2015
4 s. https://csrc.nist.gov/publications/sp800
5 vgl. IT-Grundschutz-Kataloge, 15. Ergänzungslieferung – 2016
6 vgl. BSI Standard 200-2
7 vgl. NIST SP 800-37
8 vgl. NIST SP 800-53