Das Risikomanagement-Framework wurde ursprünglich vom US-Verteidigungsministerium (Department of Defense, DoD) entwickelt und 2010 vom Rest der landesweiten US-Informationssysteme übernommen. Heute pflegt das National Institute of Standards and Technology das RMF und bietet somit eine solide Grundlage für jede Datensicherheitsstrategie. Das RMF baut auf mehreren früheren Risikomanagement-Frameworks auf und umfasst mehrere unabhängige Verfahren und Systeme. Unternehmen müssen sichere Data-Governance-Systeme implementieren und Bedrohungsmodellierung durchführen, um Cyber-Risikobereiche zu identifizieren.
In diesem Leitfaden führen wir Sie durch alles, was Sie über das RMF wissen müssen. Wir schauen uns die Bestandteile des Frameworks in mehreren Abschnitten genauer an:
- Woraus besteht das RMF?
- Die 5 Komponenten des Risikomanagements
- Die 6 RMF-Schritte
- Die Vorteile des RMF für Unternehmen
- Wie Varonis Ihnen helfen kann, RMF-konform zu werden
Woraus besteht das Risikomanagement-Framework?
Die allgemeinen Konzepte Risikomanagement und Risikomanagement-Framework scheinen zwar relativ ähnlich zu sein, aber es ist wichtig, die Unterschiede zwischen den beiden zu verstehen. Der Risikomanagementprozess wird vom NIST in mehreren Unter-Frameworks genauer beschrieben. Im elegant betitelten „NIST SP 800-37 Rev.1“ wird das RMF als 6-stufiger Prozess für die architektonische und technische Gestaltung eines Datensicherheitsprozesses für neue IT-Systeme definiert. Hier werden auch Best Practices und Verfahren vorgeschlagen, die jede US-Bundesbehörde beim Aktivieren eines neuen Systems einhalten sollte. Neben dem Hauptdokument SP 800-37 basiert das RMF auf den ergänzenden Dokumenten SP 800-30, SP 800-53, SP 800-53A und SP 800-137.
- NIST SP 800-30 mit dem Titel Guide for Conducting Risk Assessments (Leitfaden für die Durchführung von Risikobewertungen) bietet einen Überblick darüber, wie das Risikomanagement in den Lebenszyklus der Systementwicklung (SDLC, System Development Life Cycle) passt, und beschreibt, wie Risikobewertungen durchgeführt und Risiken gemindert werden können.
- NIST SP 800-37 legt das Risikomanagement-Framework dar und enthält einen Großteil der Informationen, die wir im Rest dieses Leitfadens behandeln werden.
- NIST SP 800-39 mit dem Titel Managing Information Security Risk (Management von Informationssicherheitsrisiken) definiert schließlich den mehrstufigen, unternehmensweiten Ansatz für das Risikomanagement, der für die Compliance mit dem RMF entscheidende Bedeutung hat.
Die 5 Komponenten des Risikomanagements
Beim Einstieg in das RMF ist es hilfreich, die Risikomanagement-Anforderungen in verschiedene Kategorien aufzuteilen. Mit diesen Kategorien lässt sich auf ein effektives Risikomanagementsystem hinarbeiten, angefangen bei der Identifizierung der größten Risiken, denen man ausgesetzt ist, bis hin zur Frage, wie sich diese mindern lassen.
Erkennung von Risiken
Der erste und wahrscheinlich wichtigste Teil des RMF ist die Risikoerkennung. Im NIST heißt es dazu: „Die häufigsten Risikofaktoren sind Bedrohung, Schwachstelle, Auswirkungen, Wahrscheinlichkeit und Prädisposition.“ In diesem Schritt werden alle möglichen Risiken in sämtlichen Ihrer Systeme gebrainstormt, die man sich nur vorstellen kann. Diese werden dann anhand unterschiedlicher Faktoren priorisiert:
- Bedrohungen sind Ereignisse, die der Organisation durch Intrusion, Zerstörung oder Offenlegung potenziell schaden können.
- Schwachstellen sind Schwächen in den IT-Systemen, der Sicherheit, den Verfahren und Kontrollen, die von Angreifern (intern oder extern) ausgenutzt werden können.
- Auswirkungen ist ein Maß dafür, wie schwerwiegend der Schaden für das Unternehmen wäre, wenn eine bestimmte Schwachstelle ausgenutzt oder eine Bedrohung eintreten würde.
- Wahrscheinlichkeit ist ein Maß für einen Risikofaktor, das auf der Wahrscheinlichkeit eines Angriffs auf eine bestimmte Schwachstelle beruht.
- Prädispositionen sind spezifische Faktoren innerhalb der Organisation, die die Auswirkungen oder die Wahrscheinlichkeit, dass eine Schwachstelle ausgenutzt wird, entweder erhöhen oder verringern.
Risikomessung und -bewertung
Sobald Sie die Bedrohungen, Schwachstellen, die Auswirkungen, die Wahrscheinlichkeit und die jeweiligen Prädispositionen identifiziert haben, können Sie berechnen und einstufen, welchen Risiken Ihre Organisation ausgesetzt ist.
Risikominderung
Anhand der vorherigen Einstufungsliste kann Ihre Organisation festlegen, wie sie Bedrohungen mindern kann, von der größten zur kleinsten. Ab einem bestimmten Punkt in der Liste kann man beschließen, dass es sich nicht lohnt, mit Risiken unterhalb dieses Niveaus zu arbeiten. Das kann daran liegen, dass eine solche Bedrohung kaum auftreten wird, oder daran, dass es zu viele größere Bedrohungen gibt, die unmittelbar behoben werden müssen, um diese kleineren Probleme in den Arbeitsplan aufzunehmen.
Risikoberichterstattung und -überwachung
Gemäß dem RMF müssen Organisationen eine Liste bekannter Risiken führen und diese zur Einhaltung der Richtlinien überwachen. Statistiken über Datenlecks deuten darauf hin, dass viele Unternehmen noch immer nicht alle erfolgreichen Angriffe melden, denen sie ausgesetzt sind und die sich auf ähnliche Unternehmen auswirken könnten.
Risiko-Governance
Schließlich sollten alle oben genannten Schritte in einem System zur Risiko-Governance kodifiziert werden.
Die 6 Schritte des Risikomanagement-Frameworks (RMF)
Im weitesten Sinne verlangt das RMF, dass Unternehmen ermitteln, welchen System- und Datenrisiken sie ausgesetzt sind, und angemessene Maßnahmen ergreifen, um diese zu mindern. Das RMF gliedert diese Ziele in sechs miteinander verbundene, aber getrennte, Phasen.
1. Kategorisieren von Informationssystemen
- Mithilfe von NIST-Standards werden Informationen und Systeme kategorisiert, damit man für diese Systeme eine genaue Risikobewertung vornehmen kann.
- NIST gibt auch an, welche Arten von Systemen und Informationen einbezogen werden sollten.
- Und welcher Grad an Sicherheit aufgrund der Kategorisierung implementiert werden muss.
Verweise: FIPS Publication 199, Standards for Security Categorization of Federal Information and Information Systems (z. Dt. Standards für die Sicherheitskategorisierung von Bundesinformationen und -Informationssystemen); Sonderausgabe 800-60 Rev. 1 (Band 1, Band 2), Guide for Mapping Types of Information and Information Systems to Security Categories (z. Dt. Leitfaden für die Zuweisung von Informationstypen und Informationssystemen zu Sicherheitskategorien)
2. Auswählen der Sicherheitskontrollen
Wählen Sie die geeigneten Sicherheitskontrollen aus der NIST-Publikation 800-53 aus, um „einen einheitlicheren, vergleichbaren und wiederholbaren Ansatz für die Auswahl und Festlegung von Sicherheitskontrollen für Systeme zu ermöglichen“. Verweise: Sonderausgabe 800-53 Security and Privacy Controls for Federal Information Systems and Organizations (z. Dt. Sicherheits- und Datenschutzkontrollen für Bundesinformationssysteme und -organisationen), redaktioneller Hinweis: bitte beachten Sie, dass die aktualisierte Version von 800-53 am 23. September 2021 in Kraft tritt. Details folgen.
3. Implementieren der Sicherheitskontrollen
Setzen Sie die Kontrollen um, die Sie im vorherigen Schritt ausgewählt haben, und dokumentieren Sie alle Prozesse und Verfahren, die zur ihrer Aufrechterhaltung erforderlich sind. Referenzen: Mehrere Publikationen bieten Best Practices zur Implementierung von Sicherheitskontrollen. Auf dieser Seite können Sie danach suchen.
4. Bewerten der Sicherheitskontrollen
Stellen Sie sicher, dass die von Ihnen implementierten Sicherheitskontrollen funktionieren wie vorgesehen, damit Sie die Risiken für Ihren Betrieb und Ihre Daten begrenzen können.
5. Genehmigen der Informationssysteme
Funktionieren die Sicherheitskontrollen korrekt und tragen sie dazu bei, das Risiko für die Organisation zu verringern? Dann ist diese Kontrolle für das jeweilige System autorisiert! Herzlichen Glückwunsch! Referenzen: Sonderpublikation 800-37 Rev. 2 Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy (z. Dt. Risikomanagement-Framework für Informationssysteme und Organisationen: Ein Systemlebenszyklus-Ansatz für Sicherheit und Datenschutz)
6: Überwachen der Sicherheitskontrollen
Überwachen und bewerten Sie kontinuierlich die Sicherheitskontrollen in Hinblick auf ihre Effektivität. Nehmen Sie während des Betriebs Änderungen vor, um die Effizienz dieser Systeme sicherzustellen. Dokumentieren Sie alle Änderungen, führen Sie regelmäßig Auswirkungsanalysen durch und melden Sie den Status der Sicherheitskontrollen an die von Ihnen ernannten Verantwortlichen. Referenzen: Sonderpublikation 800-37 Rev. 2 Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy (z. Dt. Risikomanagement-Framework für Informationssysteme und Organisationen: Ein Systemlebenszyklus-Ansatz für Sicherheit und Datenschutz)
Welchen Nutzen hat ein effektives Risikomanagement-Framework für Unternehmen?
Obwohl das RMF eine Voraussetzung für Unternehmen ist, die mit US-Behörden zusammenarbeiten, kann die Implementierung eines effektiven Risikomanagementsystems jedem Unternehmen zugute kommen. Das Endziel der RMF-Konformität ist die Schaffung eines Systems für Daten- und Asset-Governance, das einen umfassenden Schutz vor sämtlichen Cyberrisiken bietet, denen das Unternehmen ausgesetzt ist. Genauer gesagt birgt die Entwicklung eines praktischen Frameworks für das Risikomanagement für Unternehmen mehrere spezifische Vorteile:
Schutz von Vermögenswerten
Ein effektives Risikomanagement-Framework priorisiert das Verständnis der Risiken, denen Ihr Unternehmen ausgesetzt ist, um die erforderlichen Schritte zum Schutz Ihrer Vermögenswerte und Ihres Unternehmens einzuleiten. Ein umfassendes Risikomanagement-Framework hilft Ihnen also, Ihre Daten und Ihre Vermögenswerte zu schützen.
Imagepflege
Die Imagepflege ist ein wesentlicher Bestandteil moderner Geschäftspraktiken. Negative Auswirkungen von Cyberangriffen zu begrenzen ist enorm wichtig, um Ihren Ruf zu schützen. Datenschutz wird immer wichtiger für Verbraucher in den USA, und das nicht nur weil die US-Datenschutzgesetze immer strenger werden. Datenlecks schaden dem Ruf Ihres Unternehmens. Ein wirksames Framework für das Risikomanagement kann Unternehmen dabei helfen, Lücken in den Kontrollen auf Unternehmensebene schnell zu analysieren und einen Plan zur Minderung oder Behebung von Risiken für das Unternehmensimage zu entwickeln.
Schutz geistigen Eigentums
Fast jedes Unternehmen verfügt über geistiges Eigentum, das geschützt werden muss. Ein Risikomanagement-Framework gilt für dieses Eigentum ebenso wie für Ihre Daten und Vermögenswerte. Wenn Sie ein Produkt oder eine Dienstleistung verkaufen, anbieten, vertreiben oder bereitstellen, und Sie dadurch einen Wettbewerbsvorteil haben, sind Sie ein potenzielles Ziel für den Diebstahl von geistigem Eigentum. Ein Risikomanagement-Framework hilft beim Schutz vor potenziellen Verlusten von Wettbewerbsvorteilen, Geschäftsmöglichkeiten und sogar rechtlichen Risiken.
Wettbewerberanalyse
Schließlich kann die Entwicklung eines Risikomanagement-Frameworks positive Auswirkungen auf den allgemeinen Betrieb Ihres Unternehmens haben. Indem Sie die Risiken, denen Sie ausgesetzt sind, katalogisieren und Maßnahmen zu deren Minderung ergreifen, erhalten Sie auch eine Fülle wertvoller Informationen über den Markt, auf dem Sie tätig sind. Und das kann Ihnen schon an sich einen Wettbewerbsvorteil gegenüber Ihren Konkurrenten verschaffen.
Wie kann Varonis Sie bei der Compliance unterstützen?
Die NIST-Richtlinie und das RMF (und tatsächlich sehr viele Datensicherheitsstandards und Compliance-Vorschriften) haben drei Bereiche gemein:
- Identifzieren von sensiblen und gefährdeten Daten und Systemen (inklusive Benutzer, Berechtigungen, Ordner usw.);
- Schützen der Daten, Verwalten der Zugriffe und Minimieren der Angriffsflächen;
- Überwachen und Erkennen aller Vorgänge mit den Daten, der Personen, die zugreifen, und Identifizieren von verdächtigen Verhaltensweisen oder auffälligen Dateiaktivitäten.
Die Varonis Data Security Platform ermöglicht Bundesbehörden die Verwaltung (und Automatisierung) vieler Empfehlungen und Anforderungen des RMF. DatAdvantage und die Data Classification Engine identifizieren sensible Daten in zentralen Datenspeichern und weisen Benutzer-, Gruppen- und Ordnerberechtigungen zu. So können Sie erkennen, wo Ihre sensiblen Daten liegen und wer auf sie zugreifen kann.
Klarheit über die Personen zu haben, die auf Ihre Daten zugreifen können, ist ein wichtiger Bestandteil der in NIST SP 800-53 definierten Risikobewertungsstufe. Die Datensicherheitsanalyse trägt dazu bei, die Anforderung von NIST SP 800-53 zur ständigen Überwachung Ihrer Daten zu erfüllen: Varonis analysiert Milliarden von Ereignissen aus Datenzugriffsaktivitäten, VPN-, DNS- und Proxy-Aktivitäten sowie Active Directory und erstellt automatisch Verhaltensprofile für jeden Benutzer und jedes Gerät.
Bedrohungsmodelle, die auf maschinellem Lernen basieren, identifizieren aktiv anormales Verhalten und potenzielle Bedrohungen wie Ransomware, Malware, Brute-Force-Angriffe und Insider-Bedrohungen. NIST SP 800-137 legt Richtlinien für Ihren Datenschutz fest und verlangt von Behörden, dass sie das Prinzip der notwendigsten Berechtigungen umsetzen.
DatAdvantage zeigt auf, wo Benutzer Zugriff haben, den sie möglicherweise nicht mehr benötigen. Die Automation Engine kann Berechtigungen bereinigen und globale Zugriffsgruppen automatisch entfernen. DataPrivilege optimiert die Berechtigungs- und Zugriffsverwaltung, indem Data Owner festgelegt und Berechtigungsprüfungen automatisiert werden. Das Risikomanagement-Framework wirkt auf den ersten Blick zwar komplex, ist letztlich aber ein nüchterner und logischer Ansatz für guten Datenschutz. Erfahren Sie noch heute, wie Varonis Sie dabei unterstützen kann, die Richtlinien nach NIST SP 800-37 einzuhalten.
Noch etwas:
Die Einhaltung der RMF-Richtlinien ist nicht nur eine Voraussetzung für Unternehmen, die mit US-Behörden zusammenarbeiten. Wenn Sie eine Risikobewertung und Governance-Strategie effektiv implementieren, bietet das auch zahlreiche Vorteile für Ihren Betrieb. Der Hauptschwerpunkt Ihrer RMF-Prozesse sollte auf der Datenintegrität liegen, denn die Bedrohungen, denen Ihre Daten ausgesetzt sind, sind meistens auch am gefährlichsten für Ihr Unternehmen. Deshalb bietet unsere Varonis-Softwaresuite Funktionen zur schnellen und effektiven Implementierung eines Risikobewertungs- und Governance-Verfahrens.
Wie soll ich vorgehen?
Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:
Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.
Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.
Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.