Die Landschaft der Informationssicherheit in der Welt ist relativ divers mit verschiedenen Herangehensweisen und Standards, aber ein Land sticht besonders hervor: Deutschland. W\u00e4hrend sich andere L\u00e4nder auf die von NIST (National Institute for Standards in Technology) publizierten, amerikanischen Standards zum Risikomanagement, dem \u201eRisk Management Framework\u201c (NIST RMF), und zur Absicherung von kritischen Infrastrukturen, dem \u201eCybersecurity Framework\u201c (NIST CSF), verlassen, wartet Deutschland mit seinem eigenen Standard auf. In diesem Artikel erkl\u00e4ren wir, welche Vorteile NIST in Deutschland zus\u00e4tzlich zu den BSI Standards bieten k\u00f6nnte.<\/p>\n\n\n\n
Der Hintergrund zur aktuellen internationalen Lage der Informationssicherheit ISO 27001 ist einer der leitenden Frameworks f\u00fcr Informationssicherheit und wird von vielen Unternehmen als Voraussetzung f\u00fcr eine Zusammenarbeit abverlangt und daher wird eine Zertifizierung von vielen angestrebt. Weitere Normen wie TISAX vom VDI und die BSI Standards 200-x basieren auf der ISO Norm, was die Popularit\u00e4t weiter steigert. Auf der anderen Seite stehen als Alternative die Normen von NIST, dem US-amerikanischen Institut f\u00fcr Standardisierung in der Technologie, wobei sich die zwei Rahmenwerke auch sehr gut erg\u00e4nzen. Sie sind f\u00fcr amerikanische Beh\u00f6rden durch die Gesetzgebung vorgeschrieben und werden stetig weiterentwickelt. 2014 wurde vom US-amerikanischen Verteidigungsministerium (Department of Defense, DoD) der Information Assurance Certification and Accreditation Process (zu Deutsch: Zertifizierungs- und Akkreditierungsprozess), der 2006 in Kraft trat, vom Nachfolger, dem NIST Risk Management Framework (RMF), abgel\u00f6st. Da der NIST RMF obligatorisch ist und US-amerikanische Beh\u00f6rden vorgeschrieben wird, ist diese Norm insbesondere auf die Umgebung von Beh\u00f6rden zugeschnitten und nicht auf private Unternehmen. Um diesen Umstand zu begegnen, brachte NIST im Jahr 2014 das NIST Cybersecurity Framework (NIST CSF) heraus. Das CSF unterscheidet sich jedoch vom Aufbau grundlegend vom NIST RMF, da es allein ein Framework ist und sich grundlegend vom Prozess des Risikomanagements unterscheidet. NIST CSF beschreibt den grundlegenden Aufbau des Prozesses, in den ein ISMS eingebettet wird. Die Sicherheitsma\u00dfnahmen, welche dann implementiert werden, k\u00f6nnen aus einer anderen Norm geliehen werden, wie z. B. aus ISO 27001 oder unterst\u00fctzend aus dem Werk NIST SP 800-53, welches auch den RMF bedient. Aus diesen Gr\u00fcnden sollte NIST CSF nicht allein implementiert werden, sondern zusammen mit einem Ma\u00dfnahmenkatalog zur optimalen Integration. Mit diesem Blick auf die internationale Beschaffenheit der verschiedenen Rahmenwerke kommen wir nun zur Situation in Deutschland.<\/p>\n\n\n\n Der Prozess zur sicheren Infrastruktur l\u00e4uft beim RMF sowie CSF in jeweils 5 Schritten ab: Das BSI hat einen Standard zur Absicherung kritischer Infrastrukturen erstellt und ver\u00f6ffentlicht damit denselben Zweck erf\u00fcllt wie das NIST RMF. Allein die Herangehensweise unterscheidet sich deutlich. Der Fokus der BSI-Standards liegt auf obligatorischen Ma\u00dfnahmen und Compliance anstatt auf der Anpassung der Strategie zur aktuellen Risikolandschaft. Auf der anderen Seite liegt der Fokus zudem auf den Werten (Assets) und bietet wenig Unterst\u00fctzung oder Ausf\u00fchrungen im Bereich des Risikomanagements, wenn man dies mit dem NIST RMF vergleicht. Die Norm lehnt sich jedoch zunehmend an den ISO 27001-Standard an, wie die letzten \u00c4nderungen zur 200-er Serie im Gegensatz zur 100-er Serie zeigen. (1)<\/em><\/p>\n\n\n\n Diese BSI Standards, Reihe 200-x sowie 100-4, werden als Grundlage f\u00fcr viele deutsche Beh\u00f6rden verwendet, da ein ISMS nach Stand der Technik f\u00fcr Betreiber kritischer Infrastrukturen nach dem IT-Sicherheitsgesetz von 2015 (2)<\/em> zu implementieren (3)<\/em> ist. Damit ist die L\u00fccke f\u00fcr die Sicherung von kritischen Infrastrukturen im \u00f6ffentlichen Bereich gef\u00fcllt und NIST als Alternative r\u00fcckt in den Hintergrund. Zusammenfassend kann man vermuten, dass folgende Gr\u00fcnde f\u00fcr diese Verdr\u00e4ngung verantwortlich sind: Nun bieten diese Vorteile einiges zur Sicherung von Informationen, wobei andere Aspekte in den Hintergrund fallen, die wir nicht vergessen sollten. NIST CSF und RMF bieten Unterst\u00fctzung durch eine andere Sichtweise auf Unternehmensrisiken:<\/p>\n\n\n\n Alle relevanten Dokumente, die von NIST ver\u00f6ffentlicht werden, insbesondere die Serie SP 800-x, werden staatlich unterst\u00fctzt und sind kostenfrei verf\u00fcgbar, wenn auch nur in englischer Sprache (4)<\/em>. Dies macht es sehr einfach, die relevanten Dokumente im Unternehmen zu verk\u00fcnden. Im Vergleich zur ISO-Norm, bei der jeder Leser Kosten verursacht, was bei gr\u00f6\u00dferen Unternehmen zu erheblichen H\u00fcrden f\u00fchren kann. Die BSI Standards sind auch frei verf\u00fcgbar, da sie aber toolgest\u00fctzt arbeiten und es f\u00fcr Mitarbeiter kaum machbar ist, mit den IT-Grundschutz-Katalogen mit 5082 Seiten effektiv zu arbeiten, haben wir hier eine zus\u00e4tzliche H\u00fcrde in der Lesbarkeit (5)<\/em>.<\/p>\n\n\n\n Dies bietet die M\u00f6glichkeit schneller ein h\u00f6heres Sicherheitsniveau zu erreichen, da es einfacher ist bzw. eher im Vordergrund steht, die Unternehmenskultur miteinzubeziehen. Risikomanagement ist das Hauptziel des Risk Management Frameworks und die Identifizierung und Bearbeitung von Risiken in der Informationssicherheit ist der gr\u00f6\u00dfte Fokuspunkt. Daher f\u00e4hrt ein ISMS nach NIST RMF einen sehr pragmatischen Ansatz. Im Vergleich dazu ist das Risikomanagement nach ISO 31000 oder BSI Standards sehr rudiment\u00e4r und liegt im Hintergrund bzw. im Ermessen des Managements. Bei den niedrigen Sicherheitsstufen, wie die Basis-Absicherung nach BSI Standard 200-2 ist sogar kein Risikomanagement vorgesehen (6)<\/em>, was die M\u00f6glichkeiten der Handlungsempfehlungen und kontinuierlichen Weiterentwicklung stark begrenzt.<\/p>\n\n\n\n Der Systementwicklungszyklus (SDLC) wird direkt mit in das Risikomanagement einbezogen, so dass in jeder Phase der Systementwicklung andere Ma\u00dfnahmen und Prozesse zur Sicherung der Informationen implementiert werden. Das System wird sozusagen durch das Risikomanagement gef\u00fchrt, um um einen umfassenden Schutz bieten zu k\u00f6nnen (7)<\/em>. SDLC ist in allen anderen Normen nicht automatisch mit integriert und daher eher eine zus\u00e4tzliche Option, die gern \u00fcbersehen oder als nicht bedeutend angesehen wird.<\/p>\n\n\n\n Eine Anpassung der Ma\u00dfnahmen auf die bestehende Infrastruktur bietet die M\u00f6glichkeit, zus\u00e4tzliche Ma\u00dfnahmen zu ergreifen, \u00fcberfl\u00fcssige Ma\u00dfnahmen zu streichen und system\u00fcbergreifende Ma\u00dfnahmen zu identifizieren und zentral zu leiten (8)<\/em>. Diese M\u00f6glichkeiten sind fest im Prozess verankert und m\u00fcssen mit autorisiert werden. Dieser Prozess ist einzigartig und legt den Fokus auf das Vertrauen in die Systeme anstatt in die Regelkonformit\u00e4t oder Compliance. Hier wird eine Br\u00fccke vom Regelwerk hin zur pragmatischen und effektiven Umsetzung geschaffen.<\/p>\n\n\n\n Es werden Konzepte angeboten, die \u00e4hnlich zu den BSI Standards entweder umfassend und zentral geleitet werden k\u00f6nnen, sowie die M\u00f6glichkeit der Aufspaltung in kleinere Schirmkonzepte, die dezentral gef\u00fchrt werden, aber dennoch in sich abgeschlossen sind. Im Vergleich zur ISO 27001-Norm, die als Leitbild eine Managementstruktur in Form eines Komitees hat und damit sehr viel Aufwand aufwirft, sofern verschiedene Systeme zertifiziert werden m\u00fcssen, bildet NIST RMF einen Prozess, bei dem die Akteure unterschiedlich sein k\u00f6nnen. Auf diese Weise ist es leicht m\u00f6glich, verschiedene Systeme zu unterschiedlichen Zeitpunkten zu zertifizieren.<\/p>\n\n\n\n Zusammenfassend verfolgt Deutschland eine Sicherheitsstrategie, die sich an internationalen Standards orientiert, selbst jedoch eine Richtung einschl\u00e4gt, hin zur Automatisierung und Standardisierung der Sicherheitslandschaft. Dies birgt einige H\u00fcrden, insbesondere in der Anpassungsf\u00e4higkeit an das jeweilige Unternehmen. F\u00fcr Unternehmen im privaten Sektor mag es attraktiv sein, auch in die Richtung der USA zu schauen und sich einige Aspekte anzuschauen, die wir so in Deutschland noch wenig im Fokus sehen. Nicht nur, dass das Risk Management Framework bzw. Cyber Security Framework von NIST stetig weiterentwickelt werden und auf den jeweiligen Sektor zugeschnitten ist, sie bieten auch die M\u00f6glichkeit, der einfachen Zertifizierung nach ISO 27001, da die \u00dcbereinstimmung gegeben ist. Weitere Aspekte der Effektivit\u00e4t, wie z. B. der Fokus auf das Risikomanagement, das Einbinden von Entwicklungsprozessen und der Fokus auf Agilit\u00e4t des Unternehmens, kommen zus\u00e4tzlich verst\u00e4rkt zum Vorschein. Quellen: Die Landschaft der Informationssicherheit in der Welt ist relativ divers mit verschiedenen Herangehensweisen und Standards, aber ein Land sticht besonders hervor: Deutschland. W\u00e4hrend sich andere L\u00e4nder auf die von NIST (National Institute for Standards in Technology) publizierten, amerikanischen Standards zum Risikomanagement, dem \u201eRisk Management Framework\u201c (NIST RMF), und zur Absicherung von kritischen Infrastrukturen, dem \u201eCybersecurity […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-493","post","type-post","status-publish","format-standard","hentry","category-unkategorisiert"],"yoast_head":"\n
<\/strong>Die folgenden Standards werden weltweit mit am h\u00e4ufigsten verwendet:
– NIST Cybersecurity Framework (CSF)
– NIST Risk Management Framework (RMF)
-ISO 27001<\/p>\n\n\n\n
1. Die Sichtung und Beschreibung des Systems
2. Die Ausarbeitung der Sicherheitsstrategie
3. Die Umsetzung der Sicherheitsstrategie
4. Die \u00dcberpr\u00fcfung der Umsetzung aufgrund des Risikos
5. Die Kommunikation und kontinuierliche Weiterentwicklung<\/p>\n\n\n\nVorteile der Umsetzung nach BSI in Deutschland<\/h4>\n\n\n\n
– Einfachheit der Umsetzung \u00fcber ein Tool. Es gibt verschiedene Tools, die verwendet werden k\u00f6nnen und sich in stetiger Entwicklung befinden, wie z. B. \u2018verinice\u2019 oder \u2018HiScout\u2019.
– Ver\u00f6ffentlichung in deutscher Sprache, wobei die NIST-Standards nur in englischer Ausf\u00fchrung verf\u00fcgbar sind. Dieser Punkt ist insbesondere bei Beh\u00f6rden zu beachten, in denen zumeist Deutsch die Amtssprache ist.
– Die Anlehnung der BSI Standards an ISO 27001, was eine Zertifizierung nach ISO 27001, welche f\u00fcr viele Unternehmen angestrebt wird, deutlich vereinfacht. <\/p>\n\n\n\nVorteile der Umsetzung nach NIST in Deutschland<\/h4>\n\n\n\n
Freie Verf\u00fcgbarkeit und leichte Anwendung:<\/h4>\n\n\n\n
Fokus auf Vertrauen und Risiko anstatt Compliance:<\/h4>\n\n\n\n
Fokus auf die Systementwicklung:<\/h4>\n\n\n\n
Fokus auf Anpassungsf\u00e4higkeit:<\/h4>\n\n\n\n
Optimale Anpassung an die Systemlandschaft und die Governance-Struktur:<\/h4>\n\n\n\n
<\/p>\n\n\n\n
1 vgl. Aktueller Stand der Modernisierung des IT-Grundschutzes, 08.06.2017, Isabel M\u00fcnch
2 vgl. Gesetz zur Erh\u00f6hung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), vom 17. Juli 2015
3 vgl. $8a, Gesetz zur Erh\u00f6hung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), vom 17. Juli 2015
4 s. https:\/\/csrc.nist.gov\/publications\/sp800
5 vgl. IT-Grundschutz-Kataloge, 15. Erg\u00e4nzungslieferung – 2016
6 vgl. BSI Standard 200-2
7 vgl. NIST SP 800-37
8 vgl. NIST SP 800-53<\/p>\n","protected":false},"excerpt":{"rendered":"