News

Normenvielfalt in der IT

Die Herausforderung der Normenvielfalt in der IT-Sicherheit

Ein pragmatischer Ansatz

Die Welt der IT-Sicherheitsstandards ist komplex und vielfältig. Mit Normen wie ISO/IEC 27001, dem NIST Cyber Security Framework, COBIT, und CIS Controls gibt es eine Fülle von Ansätzen, die darauf abzielen, Unternehmen vor Cyberbedrohungen zu schützen. Doch die wachsende Zahl an Standards führt nicht selten zu Überforderung und Verwirrung. Dazu kommen dann noch diverse, oft für manche Unternehmen verbindliche Richtlinien, wo sich dann Berater durch den Dschungel an Möglichkeiten kämpfen, um den Unternehmer vor Gefahren aus dem Internet zu schützen.

Die wichtigsten Standards und Richtlinien im Überblick

  1. ISO/IEC 27001: Dieser etablierte Standard stellt klare Anforderungn an ein Informationssicherheits-Managementsystem (ISMS). Er definiert einen Risikomanagementprozess und enthält 93 Sicherheitsmaßnahmen, die in organisatorische, technische und physische Kategorien unterteilt sind.
  2. NIST Cybersecurity Framework: Das Framework konzentriert sich auf den Schutz von Informationssystemen durch eine Reihe von Sicherheitskontrollen. Kategorien wie Zugriffskontrolle, Konfigurationsmanagement und Incident Management helfen, die wichtigsten Sicherheitsaspekte abzudecken.NIST SP 800-53 (Security and Privacy Controls): Diese Richtlinie des National Institute of Standards and Technology (NIST) umfasst detaillierte Sicherheits- und Datenschutzkontrollen für Informationssysteme und Organisationen. Sie gilt insbesondere im öffentlichen Sektor, ist aber auch für private Unternehmen als Orientierungshilfe weit verbreitet.
  3. COBIT: COBIT bietet ein Governance-Framework für IT-Management. Es gliedert sich in fünf Domänen und bietet eine umfassende Methodik für IT-Governance und -Management, die sich stark auf die Einbindung von Stakeholder-Anforderungen und ganzheitliche Ansätze stützt.
  4. CIS Controls: Diese priorisierten Sicherheitsmaßnahmen zielen darauf ab, häufige Bedrohungen zu bekämpfen. CIS Controls teilen sich in grundlegende, grundlegende und organisatorische Kategorien auf, mit Maßnahmen wie Schwachstellenmanagement, Malware-Abwehr und Zugriffsüberwachung.
  5. ISO/IEC 27701 – Datenschutz und Privacy: Diese Norm baut auf ISO/IEC 27001 auf und bietet einen Rahmen für die Implementierung eines Datenschutz-Informationsmanagementsystems (PIMS). Dies ist besonders relevant, wenn Datenschutzbestimmungen wie die EU-Datenschutz-Grundverordnung (DSGVO) beachtet werden müssen.
  6. ISO/IEC 27017 – Cloud Security: Diese Erweiterung der ISO 27001 bietet spezifische Leitlinien für die Implementierung von Sicherheitsmaßnahmen in der Cloud-Umgebung, ein immer wichtigerer Aspekt in der modernen IT-Infrastruktur.
  7. ISO/IEC 27018 – Schutz personenbezogener Daten in der Cloud: Konzentriert sich auf den Schutz von personenbezogenen Daten in Cloud-Diensten und ist besonders für Unternehmen relevant, die sensible Kundendaten verarbeiten.
  8. DORA (Digital Operational Resilience Act): Dieser Standard ist ein aufkommendes Regelwerk in der Finanzbranche, das sich auf die digitale Resilienz von Finanzdienstleistern konzentriert und sicherstellt, dass diese Institutionen in der Lage sind, mit IT-Risiken und -Bedrohungen umzugehen.
  9. GDPR (General Data Protection Regulation) – Datenschutz-Grundverordnung: Zwar ist dies keine Norm im klassischen Sinne, aber die Einhaltung der DSGVO ist für Unternehmen, die in der EU tätig sind, unverzichtbar. Sie fordert eine solide Grundlage für den Schutz personenbezogener Daten und ein robustes Sicherheitskonzept.
  10. C5 (Cloud Computing Compliance Controls Catalogue): Dieser von der Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Standard bietet spezifische Richtlinien für Cloud-Dienstanbieter, um sicherzustellen, dass diese den deutschen Sicherheitsanforderungen gerecht werden.
  11. IT-Grundschutz (BSI)
    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit dem IT-Grundschutz ein umfassendes, praxisnahes Vorgehensmodell zur Erhöhung der Informationssicherheit. Die BSI IT-Grundschutz-Standards basieren auf einer Kombination aus Sicherheitsmaßnahmen und -management, die speziell auf KMU, Behörden und größere Organisationen abzielen. Der IT-Grundschutz deckt ein breites Spektrum ab, von physischen bis zu technischen Sicherheitsmaßnahmen.
  12. NIS-Richtlinie (Netzwerk- und Informationssicherheit)
    Die NIS 2-Richtlinie, als Nachfolger der NIS 1, ist eine EU-weite Regelung, die darauf abzielt, die Cybersecurity in kritischen Infrastrukturen zu stärken. Unternehmen, die als Betreiber kritischer Infrastrukturen klassifiziert werden, müssen gemäß dieser Richtlinie strenge Anforderungen in Bezug auf Meldung von Sicherheitsvorfällen und Risikomanagement erfüllen.
  13. ISO/IEC 22301 (Business Continuity Management)
    ISO/IEC 22301 legt die Anforderungen an ein Business Continuity Management System (BCMS) fest und unterstützt Unternehmen dabei, Unterbrechungen ihrer Geschäftsprozesse zu vermeiden und auf Störungen (z.B. Cyberangriffe oder Naturkatastrophen) schnell und effektiv zu reagieren
  14. SANS Critical Security Controls
    Das SANS Institute bietet eine Liste von 20 Critical Security Controls, die als Best Practices für Cybersicherheit in Unternehmen dienen. Diese Maßnahmen sind priorisiert und decken Bereiche wie Inventarisierung und Kontrolle von IT-Systemen, Schwachstellenmanagement, Zugangskontrolle und Sicherheitsüberwachung ab.
  15. EU Cybersecurity Act
    Dieser Rechtsakt hat ein europäisches Zertifizierungssystem für Produkte, Prozesse und Dienstleistungen im Bereich der Cybersicherheit eingeführt. Dies ermöglicht eine Harmonisierung der Sicherheitsstandards in der gesamten EU und soll das Vertrauen in digitale Technologien stärken.

Überkomplexität als Sicherheitsrisiko

Wenn Unternehmen zu viele dieser Standards gleichzeitig implementieren wollen, entsteht schnell eine übermäßige Komplexität. Unterschiedliche Anforderungen und Dokumentationen führen oft zu einem Wildwuchs an Maßnahmen, der die eigentlichen Sicherheitsziele aus den Augen verliert. Dies führt zu überlasteten Mitarbeitern, unklaren Prioritäten und letztendlich zu einer ineffektiven IT-Sicherheit.

Konsolidierung und ein pragmatischer Ansatz

Unternehmen müssen die Vielfalt der Normen konsolidieren. Ein gemeinsames Verständnis darüber, welche Normen für bestimmte Anwendungsfälle am besten geeignet sind, würde nicht nur den Implementierungsaufwand verringern, sondern auch die Effektivität steigern. Die Sicherheitsarbeit sollte sich auf die Grundlagen der Informationssicherheit konzentrieren: Vertraulichkeit, Integrität und Verfügbarkeit.

Besonders für kleine und mittlere Unternehmen (KMUs), die oft begrenzte Ressourcen für IT-Sicherheit haben, ist ein risikobasierter Ansatz entscheidend. Das bedeutet, nicht alle Standards blind umzusetzen, sondern gezielt die Normen und Maßnahmen zu wählen, die für die spezifischen Bedrohungen und Anforderungen des Unternehmens am relevantesten sind.

Fazit: Fokussierung statt Flut

Statt sich von einer Flut von Standards und Richtlinien überrollen zu lassen, sollten Unternehmen pragmatisch vorgehen. Eine klare Auswahl der relevanten Normen und eine starke Sicherheitskultur im Unternehmen sind der Schlüssel zu einer effektiven IT-Sicherheit. Standards sind Werkzeuge – aber nur, wenn sie richtig eingesetzt und gelebt werden.

Dieser technologische Ansatz ist der Weg, wie moderne IT-Sicherheit in die Praxis umgesetzt werden kann: fokussiert, risikobasiert und zukunftsorientiert.

TOP