Heimat der Akademie
Blogs
Die 7 wichtigsten Standards, Rahmenwerke und Gesetze zur Informationssicherheit erklärt
Teil der ISO 27001-Sammlung
Teil der NIS2-Sammlung

Die 7 wichtigsten Standards, Rahmenwerke und Gesetze zur Informationssicherheit erklärt

ISO 27001-Sammlung
Die 7 wichtigsten Standards, Rahmenwerke und Gesetze zur Informationssicherheit erklärt
NIS2-Sammlung
Die 7 wichtigsten Standards, Rahmenwerke und Gesetze zur Informationssicherheit erklärt
Cyberday Blog
Die 7 wichtigsten Standards, Rahmenwerke und Gesetze zur Informationssicherheit erklärt

Es gibt mehrere Rahmenwerke für Informationssicherheit und Cybersicherheit, die Organisationen bei der Erstellung ihrer eigenen Informationssicherheitspläne helfen. Viele davon werden auch bereits von Cyberday unterstützt.

Es gibt viele Arten von Rahmenwerken für die Informationssicherheit - z. B. internationale Standards, lokale Programme, EU-Verordnungen oder Richtlinien, branchenspezifische Gesetze, organisationsspezifische Kriterienkataloge oder andere Best Practices für die Sicherheit.

Hier finden Sie die wichtigsten Informationen über einige der gängigsten Informationssicherheitsstandards.

Zuletzt aktualisiert am: 4.3.2024

ISO 27001-Norm

ISO/IEC 27001 ist eine internationale Norm für das Management der Informationssicherheit. Sie beschreibt die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS), das Organisationen dabei helfen soll, die in ihrem Besitz befindlichen Informationsbestände sicherer zu machen.

ISO 27001 unterstreicht die Bedeutung der Identifizierung und Bewertung von Informationssicherheitsrisiken. Organisationen müssen Risikomanagementprozesse implementieren, um potenzielle Bedrohungen zu identifizieren, ihre Auswirkungen zu bewerten und geeignete Strategien zur Risikominderung zu entwickeln.

ISO 27001 fördert auch eine Kultur der kontinuierlichen Verbesserung der Informationssicherheit. Regelmäßige Überwachung, Leistungsbewertung und regelmäßige Überprüfungen helfen Organisationen, sich an die sich entwickelnden Bedrohungen anzupassen und die Wirksamkeit ihres ISMS zu verbessern.

Aufbau der ISO 27001

22 Anforderungen der obersten Führungsebene an das Management der Informationssicherheit

  • 4. Kontext der Organisation
  • 5. Führung
  • 6. Planung
  • 7. Ressourcen
  • 8. Betrieb
  • 9. Leistungsbewertung
  • 10. Verbesserung

93 Kontrollen zur Umsetzung der Informationssicherheit

  • 5. Organisatorische Kontrollen (z. B. Vermögensverwaltung, Lieferantenbeziehungen, Kontinuität)
  • 6. Personenkontrollen
  • 7. Physische Kontrollen
  • 8. Technologische Kontrollen (z. B. Schwachstellenmanagement, Störungsmanagement, sichere Entwicklung, sichere Konfiguration)

ISO 27001 Spezialitäten

  • Ursprünglich veröffentlicht im Jahr 2005, überarbeitet im Jahr 2013 und zuletzt im Jahr 2022
  • Ein Goldstandard: weltweit bekannt, viele andere Gesetze, Rahmenwerke usw. beziehen sich auf ISO 27001
  • Zertifizierung verfügbar und viele zugelassene Wirtschaftsprüfungsunternehmen in mehreren Ländern
  • Zahlreiche erweiterte Normen verfügbar (ISO 27017 (Cloud-Sicherheit), ISO 27018 (Cloud-Datenschutz), ISO 27701 (Datenschutzmanagement), ISO 27799 (Gesundheitswesen), ISO 27031 (Notfallwiederherstellung), ISO 27040 (Speichersicherheit))

DORA (Digital Operational Resilience Act)

Vor DORA steuerten die Finanzinstitute die Hauptkategorien des operationellen Risikos hauptsächlich durch die Zuweisung von Kapital, aber sie steuerten nicht alle Komponenten der operationellen Widerstandsfähigkeit.

Nach DORA müssen sie auch Regeln für den Schutz, die Erkennung, die Eindämmung, die Wiederherstellung und die Reparatur von IKT-bezogenen Vorfällen befolgen. DORA bezieht sich ausdrücklich auf IKT-Risiken und legt Regeln für das IKT-Risikomanagement, die Meldung von Vorfällen, die Prüfung der operativen Belastbarkeit und die Überwachung von IKT-Risiken durch Dritte fest.

DORA erkennt an, dass IKT-Vorfälle und ein Mangel an operationeller Widerstandsfähigkeit die Solidität des gesamten Finanzsystems gefährden können, selbst wenn für die traditionellen Risikokategorien "angemessenes" Kapital vorhanden ist.

DORA-Struktur

DORA enthält insgesamt 41 Anforderungen. Die wichtigsten Inhalte für Endnutzerorganisationen in den Kapiteln II - VI.

  • IKT-Risikomanagement (Artikel 5-16)
  • IKT-bezogenes Störungsmanagement, Klassifizierung und Berichterstattung (Artikel 17-23)
  • Prüfung der digitalen operationellen Belastbarkeit (Artikel 24-27)
  • Management des IKT-Drittrisikos (Artikel 28-44)
  • Vereinbarungen über den Informationsaustausch (Artikel 45)

DORA-Spezialitäten

  • EU-Verordnung
  • Gilt ab dem 17. Januar 2025
  • Betroffen sind Finanzunternehmen wie Banken, Versicherungen oder Wertpapierfirmen und ihre Lieferketten

NIS2-Richtlinie

NIS2 (die Richtlinie über Netz- und Informationssysteme 2) ist der neue EU-Rechtsrahmen für die Informationssicherheit in wichtigen Branchen.

Sie setzt neue Maßstäbe für Informationssicherheitsstandards, erweitert den Anwendungsbereich der ursprünglichen NIS, führt strenge Überwachungsmaßnahmen für die Einhaltung der Vorschriften und auch potenzielle Strafen für Verstöße ein. Ziel ist es, die europäische Informationsinfrastruktur besser zu schützen.

Besonders wichtig ist, dass die NIS2 nicht nur die Standards für die Cybersicherheit von Unternehmen festlegt, sondern auch die oberste Führungsebene für die Einhaltung dieser Standards verantwortlich macht. Nachlässigkeit oder unzureichendes Engagement für diese Vorschriften können erhebliche rechtliche Folgen haben. Wenn Sie bei der Umsetzung robuster Cybersicherheitsmaßnahmen, die den NIS2-Standards entsprechen, nicht die gebührende Sorgfalt walten lassen, kann die oberste Führungsebene persönlich für alle daraus resultierenden Sicherheitsmängel verantwortlich gemacht werden.

NIS2-Struktur

Im Volltext der NIS2 sind nur in Kapitel IV die Anforderungen an die Endnutzerorganisationen aufgeführt.

Kapitel IV mit dem Titel "Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit und Meldepflichten" enthält folgende Artikel:

  • 20 - Steuerung: Unterstreicht die Rolle der obersten Führungsebene als Verantwortlicher für die Umsetzung der Maßnahmen zur Informationssicherheit.
  • 21 - Maßnahmen zum Management von Cybersicherheitsrisiken: Listet die Informationssicherheitsbereiche auf, für die Organisationen Maßnahmen dokumentiert und umgesetzt haben müssen.
  • 22 - Auf Unionsebene koordinierte Sicherheitsrisikobewertungen von kritischen Lieferketten
  • 23 - Meldepflichten: Hier werden die Anforderungen für die Meldung von Vorfällen an Behörden und Dienstleistungsnutzer aufgeführt.
  • 24 - Nutzung der europäischen Zertifizierungssysteme für Cybersicherheit
  • 25 - Normung

NIS 2 verlangt von Organisationen, dass sie Maßnahmen für die folgenden Bereiche der Informationssicherheit dokumentiert und umgesetzt haben:

  • Risikomanagement und Sicherheit von Informationssystemen
  • Management von Zwischenfällen und Berichterstattung
  • Protokollierung und Erkennung von Vorfällen
  • Geschäftskontinuität und Backups
  • Sicherheit und Überwachung der Lieferkette
  • Sichere Systembeschaffung und -entwicklung
  • Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
  • Praktiken und Schulungen zur Cyber-Hygiene
  • Verschlüsselung
  • Sicherheit der Humanressourcen
  • Zugangskontrolle
  • Vermögensverwaltung
  • Multi-Faktor-Authentifizierung (MFA)

NIS2-Spezialitäten

  • EU-Richtlinie
  • NIS2 wird am 18. Oktober 2024 in Kraft treten
  • Spezifizierte Branchen im Anwendungsbereich
  • Der Lieferketteneffekt dehnt sich auch auf die wichtigen Lieferanten der NIS2-Organisationen aus

NIST CSF (1.1)

Das NIST Cybersecurity Framework (CSF) ist eine Reihe von bewährten Verfahren und Empfehlungen des US-amerikanischen National Institute of Standards and Technology (NIST) für die Cybersicherheit .

Das CSF enthält eine Reihe von Empfehlungen und Standards, die es Organisationen ermöglichen, besser auf die Identifizierung und Erkennung von Cyberangriffen vorbereitet zu sein, und bietet außerdem Leitlinien für die Reaktion, Prävention und Wiederherstellung nach Cybervorfällen.

Das NIST CSF gilt weithin als der Goldstandard für den Aufbau eines Cybersicherheitsprogramms.

NIST CSF-Struktur

Das NIST CSF umfasst insgesamt 108 Anforderungen. Diese Anforderungen sind unter 5 Kernfunktionen kategorisiert: Identifizieren (ID), Schützen (PR), Erkennen (DE), Reagieren (RS) und Wiederherstellen (RC).

Die Funktion Identifizieren (ID) deckt die folgenden Sicherheitsaspekte ab:

  • Vermögensverwaltung
  • Wirtschaftliches Umfeld
  • Governance
  • Risikobewertung
  • Strategie für das Risikomanagement
  • Risikomanagement in der Lieferkette

Die Funktion Protect (PR) deckt die folgenden Sicherheitsaspekte ab:

  • Identitätsmanagement, Authentifizierung und Zugangskontrolle
  • Sensibilisierung und Schulung
  • Sicherheit der Daten
  • Prozesse und Verfahren zum Schutz von Informationen
  • Wartung
  • Proaktive Technologie

Die Funktion Detect (DE) deckt die folgenden Sicherheitsaspekte ab:

  • Anomalien und Ereignisse
  • Kontinuierliche Überwachung der Sicherheit
  • Detektionsverfahren

Die Funktion Respond (RS) umfasst die folgenden Sicherheitsaspekte:

  • Planung der Reaktion
  • Kommunikation
  • Analyse
  • Milderung
  • Verbesserungen

Die Funktion Recover (RC) deckt die folgenden Sicherheitsaspekte ab:

  • Planung der Wiederherstellung
  • Verbesserungen
  • Kommunikation

NIST CSF Spezialitäten

  • Gilt als Goldstandard für den Aufbau eines Cybersicherheitsprogramms - insbesondere auf dem nordamerikanischen Markt.
  • Viele andere Rahmenwerke haben die Kernfunktionsteilung des NIST CSF übernommen: Identifizieren-Schützen-Erkennen-Wiederherstellen
  • Das NIST hat auch weitere technische Kataloge für Sicherheits- und Datenschutzkontrollen veröffentlicht, z. B. NIST SP 800-53 und NIST SP 800-171
  • Ursprünglich veröffentlicht im Jahr 2014, aktualisiert im April 2018 auf v1.1

NIST CSF (2.0)

Das NIST CSF wird Anfang 2024 aktualisiert.

Wichtigste Änderungen

  • Einführung einer sechsten Kernfunktion "Govern" zur Hervorhebung von Governance-bezogenen Anforderungen
  • Explizite Leitlinien für Organisationen aller Größen, Sektoren und Reifegrade
  • Ziel, kleinere Unternehmen in die Lage zu versetzen, den Rahmen effektiv zu nutzen

Reifegradmodell für Cybersicherheit (C2M2)

Das Cybersecurity Capability Maturity Model (C2M2) hilft Unternehmen bei der Bewertung ihrer Cybersecurity-Fähigkeiten und der Optimierung von Sicherheitsinvestitionen.

Während das US-Energieministerium und die Energiebranche im Allgemeinen die Entwicklung von C2M2 anführten und sich für seine Einführung einsetzten, kann jede Organisation - unabhängig von Größe, Art oder Branche - das Modell zur Bewertung, Priorisierung und Verbesserung ihrer Cybersicherheitsfähigkeiten nutzen.

C2M2-Struktur

C2M2 ist ein umfangreicher Rahmen mit insgesamt 356 Anforderungen (oder Praktiken, wie sie genannt werden), die in 3 verschiedene Reifegrade unterteilt sind.

Stufe 1 umfasst 56 Anforderungen, Stufe 2 insgesamt 222 und Stufe 3 die vollen 356.

Der Inhalt des Frameworks wird aufgeteilt in

  • ASSET: 5 Abschnitte und 23 Anforderungen in Bezug auf Asset-, Change- und Konfigurationsmanagement
  • THREATS: 3 Abschnitte und 19 Anforderungen in Bezug auf Bedrohungs- und Schwachstellenmanagement
  • RISIKO: 5 Abschnitte und 23 Anforderungen in Bezug auf das Risikomanagement
  • ZUGANG: 4 Abschnitte und 25 Anforderungen in Bezug auf das Identitäts- und Zugangsmanagement
  • SITUATION: 4 Abschnitte und 16 Anforderungen in Bezug auf das Situationsbewusstsein
  • ANTWORT: 5 Abschnitte und 32 Anforderungen in Bezug auf die Reaktion auf Ereignisse und Zwischenfälle und die Kontinuität des Betriebs
  • DRITTANBIETER: 3 Abschnitte und 14 Anforderungen in Bezug auf das Risikomanagement für Dritte
  • WORKFORCE: 5 Abschnitte und 19 Anforderungen im Zusammenhang mit der Verwaltung der Arbeitskräfte
  • ARCHITEKTUR: 6 Abschnitte und 36 Anforderungen in Bezug auf die Cybersicherheitsarchitektur
  • PROGRAMM: 3 Abschnitte und 15 Anforderungen im Zusammenhang mit der Verwaltung von Cybersicherheitsprogrammen

C2M2 Spezialitäten

  • Unterteilt alle Praktiken in 3 separate MILs (d. h. Reifegrade), damit Unternehmen ihren eigenen Cybersicherheits-Reifegrad ermitteln und vergleichen können
  • Es wurden nationale Anwendungen des C2M2-Rahmens geschaffen (z. B. in Finnland unter dem Namen Kybermittari).
  • MILs und die Einteilung der Anforderungen in vollständig / weitgehend / teilweise / nicht umgesetzt helfen bei der Berechnung Ihres relativen Reifegrads und beim Vergleich mit anderen Organisationen

CIS Kritische Sicherheitskontrollen v8 (CIS 18)

Die kritischen Sicherheitskontrollen des Center for Internet Security (CIS) (früher bekannt als SANS Top 20) sind eine Reihe von Schutzmaßnahmen, die die häufigsten Cyberangriffe auf Systeme und Netzwerke abwehren sollen.

CIS Controls verfolgt einen eher technischen Ansatz für die Informationssicherheit und kann erfolgreich neben Rahmenwerken für das Sicherheitsmanagement, wie ISO 27001 oder NIST CSF, eingesetzt werden, um die technischen Schutzmaßnahmen zu verstärken.

Im Laufe der Jahre haben sich die CIS Controls zu einer internationalen Gemeinschaft freiwilliger Einzelpersonen und Institutionen entwickelt, die Erkenntnisse über Cyber-Bedrohungen austauschen, die Ursachen ermitteln und diese in Abwehrmaßnahmen umsetzen.

Struktur der CIS-Kontrollen

Die 18 Kontrollen, die in CIS-Kontrollen behandelt werden, sind Sicherheitsfunktionen der obersten Ebene und werden weiter unterteilt in die eigentlichen Anforderungen (die so genannten Schutzmaßnahmen).

Die CIS-Kontrollen umfassen insgesamt 163 Anforderungen (d. h. Sicherheitsvorkehrungen).

18 Die CIS-Kontrollen sind die folgenden:

  • 01 - Inventarisierung und Kontrolle des Unternehmensvermögens (5 Sicherheitsvorkehrungen)
  • 02 - Inventarisierung und Kontrolle von Softwarebeständen (7 Sicherheitsvorkehrungen)
  • 03 - Datenschutz: Identifizieren und klassifizieren Sie Daten. Sichere Handhabung, Aufbewahrung und Entsorgung von Daten. (14 Sicherheitsvorkehrungen)
  • 04 - Sichere Konfiguration von Unternehmensressourcen und -software (12 Schutzmaßnahmen)
  • 05 - Kontenverwaltung: Zuweisung und Verwaltung von Berechtigungsnachweisen für Benutzerkonten. (6 Sicherheitsvorkehrungen)
  • 06 - Verwaltung der Zugangskontrolle: Sicheres Erstellen, Zuweisen, Verwalten und Widerrufen von Zugangsberechtigungen. (8 Sicherheitsvorkehrungen)
  • 07 - Kontinuierliches Schwachstellenmanagement (7 Sicherheitsvorkehrungen)
  • 08 - Verwaltung des Prüfprotokolls (12 Schutzmaßnahmen)
  • 09 - E-Mail- und Webbrowser-Schutz (7 Schutzmaßnahmen)
  • 10 - Malware-Abwehr (7 Schutzmaßnahmen)
  • 11 - Datenwiederherstellung: Praktiken zur Wiederherstellung von Unternehmensressourcen in einen Zustand vor dem Vorfall und in einen vertrauenswürdigen Zustand. (5 Sicherheitsvorkehrungen)
  • 12 - Verwaltung der Netzinfrastruktur (8 Schutzmaßnahmen)
  • 13 - Netzüberwachung und -verteidigung (11 Sicherheitsvorkehrungen)
  • 14 - Schulung des Sicherheitsbewusstseins und der Fähigkeiten (9 Schutzmaßnahmen)
  • 15 - Verwaltung von Dienstleistern (7 Sicherheitsvorkehrungen)
  • 16 - Sicherheit von Anwendungssoftware: Verwaltung des Sicherheitslebenszyklus der entwickelten oder erworbenen Software, um Schwachstellen zu vermeiden. (14 Sicherheitsvorkehrungen)
  • 17 - Management der Reaktion auf Zwischenfälle (19 Sicherheitsvorkehrungen)
  • 18 - Penetrationstests (5 Sicherheitsvorkehrungen)

Spezialitäten von CIS Controls

  • Die erste Version von CIS Controls wurde im Jahr 2008 veröffentlicht. Die letzte Aktualisierung (Version 8) wurde im Jahr 2021 veröffentlicht.
  • Durchführungsgruppen (IGs): Die CIS-Kontrollen sind in 3 separate Umsetzungsgruppen unterteilt - ein bisschen wie Stufen. IG1 ist als "wesentliche Cyber-Hygiene" definiert, und die späteren Schutzmaßnahmen bauen darauf auf.
  • Abbildung: CIS-Kontrollen lassen sich sehr gut in gängige Compliance-Frameworks wie ISO 27001 und NIST CSF einordnen, um die Anpassung zu gewährleisten und gemeinsame Ziele sichtbar zu machen.
Geschrieben von
Aleksi Pulkkanen
4.3.2024
@
apulkkanen
LinkedIn

Inhalt des Artikels

Andere Artikel zum gleichen Thema

Vollständige ISO 27001-Kollektion anzeigen
Vollständige NIS2-Sammlung anzeigen

Andere verwandte Blog-Artikel

Artikel teilen

Andere ähnliche Inhalte von Academy

Blogs

Die 10 häufigsten Nichtkonformitäten bei ISO 27001-Audits

Audits und Nichtkonformitäten treiben Organisationen zu kontinuierlichen Verbesserungen an. Vor Ihrer ersten ISO 27001-Zertifizierung ist es jedoch gut, einige der häufigsten Nichtkonformitäten zu kennen, damit Sie diese bei Ihrem Zertifizierungsaudit vermeiden können.
18.2.2025

Ich habe eine Anfrage für ein Interview zum ISO 27001-Audit erhalten - was sollte ich erwarten?

In diesem Blog werden wir über die Bedeutung der Teilnahme von Mitarbeitern am Audit-Interview-Prozess sprechen, warum Auditoren Einblicke von Mitarbeitern schätzen, und uns mit möglichen Fragen beschäftigen, die in einem ISO 27001-Interview gestellt werden.
13.2.2025

Checkliste zur Einhaltung von ISO 27001 und zur Zertifizierung

Möchten Sie sicherstellen, dass Sie die Anforderungen von ISO 27001 erfüllen? Diese Checkliste enthält klar geordnete Schlüsselschritte, die Ihre Organisation beim Aufbau eines ISMS und bei der Einhaltung der ISO 27001-Norm unterstützen.
6.2.2025

Beginnen Sie noch heute

Starten Sie kostenlos, in Ihrer gewohnten Teams-Umgebung.
Wenn Sie zunächst einige Fragen haben, vereinbaren Sie einen Termin mit uns.

Kostenlose 14-tägige Testversion starten
Buchen Sie ein Online-Meeting
So geht's!
ZusammenfassungSicherheitsaufgaben und GewährleistungDokumentation der ArbeitsabläufeRichtlinien für ArbeitnehmerBerichtsvorlagen
Anwendungsfälle
Nach RahmenAlle RahmenwerkeISO 27001NIS2-RichtlinieNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Nach MethodeCyber-RisikomanagementBewusstsein der MitarbeiterCompliance-BerichterstattungKontrollmanagementVerwaltung vonAssets up: a
Dynamische RichtliniendokumenteVerwaltung der Privatsphäre
Ressourcen
AkademieWebinareBlogHilfe-ArtikelVideo-KurseInhalt der BibliothekWöchentliche NachrichtenübersichtenAbonnieren Sie die AkademieCyberday bewertenPartnerprogrammTeamNutzungsbedingungenDatenschutzbestimmungen
Kontakt
+358 10 231 6010
team@cyberday.ai
Die App funktioniert in:
In Finnland unter dem Namen Digiturvamalli bekannt
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finnland
Cyberday.ai - Verbessern und zertifizieren Sie Ihre Cybersicherheit