Warum es wichtig ist
Frameworks verwandeln das Chaos der Cybersecurity in eine handhabbare Struktur. Ohne sie erfinden Organisationen das Rad neu, übersehen offensichtliche Kontrollen und ringen mit der Risikokommunikation. Mit ihnen gewinnen Programme gemeinsames Vokabular, priorisierte Roadmaps und Glaubwürdigkeit gegenüber Regulatoren, Versicherern und Kunden.
NIST CSF (2014) entstand aus einer US-Executive-Order für Betreiber kritischer Infrastruktur. Sein Erfolg trieb die Verbreitung weit über den Ursprung hinaus. ISO 27001 ermöglicht globale Anerkennung durch Zertifizierung. MITRE ATT&CK ist der operative Standard für Adversary-Emulation und Detection Coverage. Wirksame Programme kombinieren mehrere Frameworks.
Wesentliche Frameworks
NIST CSF 2.0
Flexible, ergebnisorientierte Struktur mit sechs Funktionen:
| Funktion | Zweck |
|---|---|
| Govern | Risikostrategie, Rollen, Richtlinien, Supply Chain |
| Identify | Asset-, Umgebungs- und Risikoverständnis |
| Protect | Schutzmaßnahmen (IAM, Schulung, Daten, Plattform) |
| Detect | Kontinuierliches Monitoring und Anomalieerkennung |
| Respond | Vorfallbehandlung und Kommunikation |
| Recover | Wiederherstellung und Lessons Learned |
Implementation Tiers (1–4) zeigen Reife; Profiles richten das Framework an Prioritäten aus.
ISO/IEC 27001:2022
Internationaler Standard für ISMS mit 93 Kontrollen in 4 Themen (Organisatorisch, Personen, Physisch, Technologisch). Zertifizierung verlangt:
- Dokumentierter ISMS-Geltungsbereich
- Risikobewertung und -behandlung
- Anwendbarkeitserklärung
- Management-Commitment und kontinuierliche Verbesserung
- Externes Audit durch akkreditierte Stelle
CIS Controls v8
Achtzehn priorisierte Kontrollen in Implementation Groups (IG1–IG3):
IG1 (essenzielle Cyberhygiene - 56 Safeguards):
Asset-Inventar, Datenschutz, Account-Management,
kontinuierliches Schwachstellenmanagement,
Audit-Log-Management, E-Mail/Web-Schutz,
Malware-Abwehr, Backup & Recovery
IG2 fuegt 74 Safeguards hinzu (mittleres Risiko)
IG3 fuegt 23 Safeguards hinzu (hohes Risiko)
MITRE ATT&CK
Wissensbasis zu Taktiken (Warum) und Techniken (Wie) realer Angreifer. Verwendung:
- Detection Engineering und SIEM-Regeln
- Red-Team-Operationen und Adversary Emulation
- Threat Intelligence und Kampagnenverfolgung
- Coverage-Analyse mit ATT&CK Navigator
COBIT
ISACA-Framework für IT-Governance und -Management, oft mit ISO 27001 und NIST CSF kombiniert.
Sektorspezifische Frameworks
- HITRUST CSF: Gesundheitswesen
- PCI DSS v4.0: Kartendaten
- NERC CIP: nordamerikanisches Stromnetz
- TISAX: Automobilbranche
- FedRAMP: US-Bundes-Cloud
- BSI IT-Grundschutz: deutsche Behörden und Unternehmen
Das richtige Framework wählen
Auswahlkriterien:
- Geografie/Regulierung: ISO 27001 global, NIST CSF in den USA
- Kundenanforderungen: SOC 2 für SaaS, FedRAMP für US-Behörden
- Branche: PCI DSS, HIPAA/HITRUST
- Reifeziele: Zertifizierung (ISO) vs. Flexibilität (NIST CSF)
- Ressourcen: CIS IG1 für KMU, vollständiges ISO 27001 für Konzerne
Implementierungsansatz
- Aktuellen Stand inventarisieren: welche Kontrollen existieren?
- Framework(s) wählen.
- Kontrollen mappen.
- Lücken identifizieren und nach Risiko priorisieren.
- Roadmap erstellen mit Verantwortlichen, Meilensteinen, Budget.
- Betreiben und messen.
- Auditieren und verbessern.
Crosswalks reduzieren Aufwand
Viele Frameworks teilen Kontrollen. Crosswalks mappen:
- NIST CSF ↔ ISO 27001 ↔ NIST 800-53
- CIS Controls ↔ NIST CSF
- SOC 2 ↔ NIST CSF/ISO 27001
Verwandte Konzepte
Wie wir Sicherheits-Framework unterrichten
In unserem Cybersecurity Bootcamp lernen Sie nicht nur Sicherheits-Framework in der Theorie, sondern üben mit echten Tools in praktischen Labs, angeleitet von Branchenfachleuten, die diese Konzepte täglich anwenden.
Behandelt in:
Modul 11: Sicherheitstechnik und Neue Technologien
360+ Stunden Expertentraining • CompTIA Security+ inklusive