6 Threat-Evaluation-Frameworks im Vergleich

Für viele Geschäftsprozesse ist Technologie inzwischen unverzichtbar. Deshalb zählt diese auch zu den wertvollsten Property eines Unternehmens. Leider stellt sie gleichzeitig jedoch auch eines der größten Risiken dar – was Threat-Evaluation-Frameworks auf den Plan ruft.

IT-Risiken formal zu bewerten, ermöglicht es Organisationen, besser einzuschätzen, zu welchem Grad ihre Systeme, Units und Daten schädlichen Einflüssen ausgesetzt sind. Etwa in Type von Cyberbedrohungen, Compliance-Verfehlungen oder Ausfällen. Zudem können IT- und Sicherheitsentscheider deren Folgen mit Hilfe von entsprechenden Rahmenwerken auch besser abzuschätzen. Das Ziel besteht am Ende darin, sämtliche identifizierten Risiken – und ihren Affect – zu minimieren.

In diesem Artikel stellen wir Ihnen (in aller Kürze) sechs populäre Threat-Evaluation-Frameworks vor, die jeweils auf spezifische Risikobereiche abgestimmt sind.

1. COBIT

Das ist es: Hinter COBIT (Management Goals for Info and Associated Expertise) steht der internationale IT-Berufsverband ISACA, der sich auf IT Governance fokussiert hat. Dieses sehr umfassende und breit angelegte Framework wurde entwickelt, um dabei zu unterstützen, Enterprise IT:

• zu verstehen,
• zu designen,
• zu implementieren,
• zu managen und
• zu steuern.

Das kann es: Laut ISACA definiert COBIT die Komponenten und Designfaktoren, ein optimales Governance-System aufzubauen und aufrechtzuerhalten. Die aktuelle Model, COBIT 2019, fußt auf einem Governance-Prinzipien-Sextett:

1. Worth für Stakeholder liefern
2. ganzheitlichen Ansatz realisieren
3. Governance-System dynamisch gestalten
4. Administration von Governance trennen
5. auf individuelle Unternehmensanforderungen abstimmen
6. Ende-zu-Ende-Governance-System realisieren

So funktioniert es: Das COBIT-Framework ist auf Enterprise-Fokus konzipiert und definiert eine Reihe generischer Prozesse, um IT-Komponenten zu managen. Dabei werden außerdem auch Inputs und Outputs, Schlüsselaktivitäten, Zielsetzungen, Efficiency-Metriken und ein grundlegendes Reifegradmodell festgelegt.

Intestine zu wissen: Laut ISACA ist COBIT flexibel zu implementieren und ermöglicht Unternehmen, ihre Governance-Strategie anzupassen.

2. FAIR

Das ist es: Das Framework FAIR (Issue Evaluation of Info Threat) bildet eine Methodik ab, um unternehmensbezogene Risiken zu quantifizieren und zu managen. Dahinter steht das Truthful Institute, eine wissenschaftlich ausgerichtete Non-Revenue-Organisation, die sich dem Administration von betrieblichen und sicherheitstechnischen Risiken verschrieben hat. Laut den Machern ist FAIR das einzige, quantitative Standardmodell auf internationaler Ebene, um diese Artwork von Risiken zu erfassen.

Das kann es: FAIR bietet ein Modell, um die genannten Risiken in finanzieller Hinsicht zu verstehen, zu analysieren und zu quantifizieren. Laut dem Truthful Institute unterscheidet es sich dabei insofern von anderen Threat-Evaluation-Frameworks, als dass es seinen Fokus nicht auf qualitative Farbdiagramme oder numerisch gewichtete Skalen legt. Stattdessen will FAIR eine Grundlage liefern, um einen robusten Risikomanagement-Ansatz auszubilden.

So funktioniert es: FAIR ermittelt in erster Linie Wahrscheinlichkeiten mit Blick auf die Frequenz und das Ausmaß von Data-Loss-Ereignissen. Es handelt sich hierbei nicht um eine Methodik, um individuelle Risikobewertungen durchzuführen. Vielmehr will das Framework Unternehmen in die Lage versetzen, IT-Risiken zu verstehen, zu analysieren und zu messen.

Zu den Komponenten des FAIR-Frameworks gehören:

• eine Taxonomie für IT-Risiken,
• eine standardisierte Nomenklatur für Risiken,
• eine Methode um Datenerfassungskriterien zu definieren,
• Messskalen für Risikofaktoren,
• eine Engine für Risikoberechnungen, sowie
• ein Modell, um komplexe Risikoszenarien zu analysieren.

Intestine zu wissen: Die quantitative Threat-Evaluation-Ansatz von FAIR ist branchenübergreifend anwendbar.

3. ISO/IEC 27001

Das ist es: Bei ISO/IEC 27001 handelt es sich um einen internationalen Commonplace, der mit Leitlinien in Sachen IT-Safety-Administration unterstützt. Ursprünglich wurde er im Jahr 2005 gemeinschaftlich von der Worldwide Group for Standardization (ISO) und der Worldwide Electrotechnical Fee (IEC) veröffentlicht – und wird seither sukzessive überarbeitet.

Das kann es: ISO/IEC 27001 ist laut den Verantwortlichen ein Information für Unternehmen jeder Größe und aus sämtlichen Branchen, um ein Info-Safety-Administration-System (ISMS) aufzusetzen, zu implementieren, zu warten und fortlaufend zu verbessern.

So funktioniert es: ISO/IEC 27001 fördert einen ganzheitlichen Cybersicherheitsansatz, der Menschen, Richtlinien und Technologie auf den Prüfstand stellt. Ein auf dieser Grundlage erstelltes ISMS ist laut ISO ein Device für Risikomanagement, Cyberresilienz und Operational Excellence.

Intestine zu wissen: ISO/IEC-27001-konform zu sein bedeutet, einem weltweit eingesetzten Commonplace zu genügen und Datensicherheitsrisiken aktiv zu managen.

4. NIST Threat Administration Framework

Das ist es: Das Threat Administration Framework (RMF) wurde von der US-Behörde NIST (Nationwide Institute of Requirements and Expertise) entwickelt. Dieses Framework stellt einen umfassenden, wiederverwend- und messbaren, siebenstufigen Prozess in den Mittelpunkt, um IT- und Datenschutzrisiken zu managen. Dabei kommt eine ganze Reihe von NIST-eigenen Requirements und Tips zur Anwendung, um die Implementierung von Risikomanagement-Initiativen zu unterstützen.

Das kann es: Laut NIST realisiert das RMF einen Prozess, der die Risikomanagementaktivitäten in den Bereichen Sicherheit, Datenschutz und Provide Chain in den Lebenszyklus der Systementwicklung integriert. Dabei berücksichtigt der Ansatz Effektivität, Effizienz und Einschränkungen durch geltende Gesetze, Direktiven, Anordnungen, Richtlinien, Requirements oder Vorschriften.

So funktioniert es: Der siebenstufige Prozess des NIST RMF gliedert sich in.

1. wesentliche Aktivitäten, um die Organisation auf den Umgang mit Sicherheits- und Datenschutzrisiken vorzubereiten.
2. Systeme und Daten, die verarbeitet, gespeichert und übertragen werden, auf der Grundlage einer Affect-Analyse kategorisieren.
3. eine Reihe von Kontrollmaßnahmen auswählen, um Systeme auf der Grundlage einer Risikobewertung zu schützen.
4. Kontrollmaßnahmen implementieren – und dokumentieren, wie das vonstattengeht.
5. Kontrollmaßnahmen überprüfen und bewerten, ob diese wie gewünscht funktionieren.
6. Systembetrieb auf Grundlage einer risikobasierten Entscheidung autorisieren.
7. Implementierung und Systemrisiken kontinuierlich überwachen.

Intestine zu wissen: Das RMF bietet einen verfahrenstechnischen und geordneten Prozess, um Organisation dabei zu unterstützen, Safety in ihre allgemeinen Risikomanagement-Prozesse einzubetten.

5. OCTAVE

Das ist es: OCTAVE (Operationally Important Risk, Asset, and Vulnerability Analysis (PDF)) ist ein Framework, um Risiken im Bereich der Cybersicherheit zu identifizieren und zu managen. Es wurde vom CERT-Crew der Carnegie Mellon College in den USA entwickelt.

Das kann es: Dieses Threat-Evaluation-Framework definiert eine umfassende Evaluierungsmethode. Diese ermöglicht Unternehmen nicht nur, missionskritische IT-Property zu identifizieren, sondern auch die Bedrohungen, die mit diesen in Zusammenhang stehen und die Schwachstellen, die das erst ermöglichen.

So funktioniert es: Laut den Verantwortlichen ermöglicht die Zusammenstellung von IT-Property, -Bedrohungen und –Schwachstellen Unternehmen, zu durchdringen, welche Daten wirklich bedroht sind. Mit diesem Verständnis ausgestattet, können die Anwender eine Schutzstrategie entwickeln und implementieren, um diese nachhaltig zu schützen.

Intestine zu wissen: Das OCTAVE-Framework ist in zwei Versionen erhältlich.

• OCTAVE-S bietet eine vereinfachte Methodik, die auf kleinere Unternehmen mit flachen hierarchischen Strukturen ausgerichtet ist.
• OCTAVE Allegro ist hingegen ein umfassenderes Framework, das sich in erster Linie für große Unternehmen oder solche mit komplexen Strukturen eignet.

6. TARA

Das ist es: TARA (Risk Evaluation and Remediation Evaluation) stellt eine Engineering-Methodik dar, mit deren Hilfe, Sicherheitslücken identifiziert, bewertet und behoben werden können. Dieses Framework wurde von der Non-Revenue-Organisation MITRE entwickelt.

Das kann es: Das Framework ist Teil des MITRE-Systemportfolios, das darauf ausgerichtet ist, die Cybersicherheitshygiene sowie die Resilienz von IT-Systemen in einem möglichst frühen Stadium (innerhalb des Beschaffungsprozesses) zu adressieren.

So funktioniert’s: Das TARA-Framework nutzt einen Datenkatalog, um Angriffsvektoren zu identifizieren, die genutzt werden könnten, um Systemschwachstellen auszunutzen sowie potenzielle Gegenmaßnahmen einzuleiten.

Intestine zu wissen: TARA wurde ursprünglich im Jahr 2010 entwickelt und kam bereits in mehr als 30 Cyber-Threat-Assessments zum Einsatz. Dieses Framework eignet sich in besonderem Maße für Risikostudien, die sich auf Sicherheitsbedrohungen konzentrieren. (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Publication liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Publication sichern