Sicherheitskontrollen sind Parameter, die zum Schutz verschiedener, für ein Unternehmen wichtiger Daten und Infrastrukturen implementiert werden. Jede Art von Sicherungsmaßnahme oder Gegenmaßnahme, um Sicherheitsrisiken für Sachbesitz, Informationen, Computersysteme oder sonstige Assets zu vermeiden, zu erkennen, zu begegnen oder zu minimieren, wird als Sicherheitskontrolle betrachtet.
Angesichts vermehrt auftretender Cyberattacken sind Datensicherheitskontrollen heute wichtiger denn je. Laut einer Studie der Clark School an der Universität von Maryland gibt es in den USA mittlerweile pro Jahr durchschnittlich alle 39 Sekunden einen Cybersicherheitsangriff mit Auswirkungen auf einen von drei Amerikanern, wobei 43 % dieser Angriffe kleine Unternehmen zum Ziel haben. Zwischen März 2021 und März 2022 beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung in den Vereinigten Staaten auf 9,44 Millionen US-Dollar.
Gleichzeitig werden Datenschutzvorschriften erweitert, sodass Unternehmen ihre Datenschutzrichtlinien verschärfen müssen, wenn sie möglichen Bußgeldern entgehen wollen. Die Europäische Union setzte im vergangenen Jahr ihre strikte Datenschutz-Grundverordnung (DSGVO) um. In den USA trat am 1. Januar 2020 der California Consumer Privacy Act in Kraft, wobei mehrere andere US-Bundesstaaten vergleichbare Maßnahmen verfolgen.
Diese Regelungen schließen üblicherweise empfindliche Strafen für Unternehmen ein, die die Anforderungen nicht erfüllen. Beispielsweise meldete Facebook vor kurzem, dass man eine Geldbuße von mehr als 3 Milliarden US-Dollar von der U.S. Federal Trade Commission erwarte, die dem Unternehmen aufgrund von Mängeln bei Datenschutzrichtlinien, die zu mehreren Datenschutzverletzungen führten, auferlegt wurde.
Es gibt mehrere Arten von Sicherheitskontrollen, die implementiert werden können, um Hardware, Software, Netze und Daten vor Aktionen und Ereignissen zu schützen, die Verluste oder Schäden verursachen könnten. Beispiel:
Sicherheitskontrollsysteme, einschließlich der Prozesse und Dokumentation, die die Implementierung und das fortlaufende Management dieser Kontrollinstrumente festlegen, werden als Frameworks oder Standards bezeichnet.
Mit Frameworks kann ein Unternehmen Sicherheitskontrollen über verschiedene Arten von Assets hinweg in Übereinstimmung mit einer allgemein anerkannten und geprüften Methodik durchgängig verwalten. Einige der bekanntesten Frameworks und Standards schließen die folgenden ein:
Das National Institute of Standards and Technology (NIST) erstellte 2014 ein freiwilliges Framework, um Unternehmen Anweisungen bereitzustellen, wie Cyberattacken verhindert, erkannt und beantwortet werden können. Die Bewertungsmethoden und -verfahren werden verwendet, um festzustellen, ob die Sicherheitskontrollen eines Unternehmens korrekt implementiert wurden, wie beabsichtigt funktionieren und das gewünschte Ergebnis bieten (also die Sicherheitsanforderungen des Unternehmens erfüllen). Das NIST-Framework wird durchgängig aktualisiert, um mit Fortschritten im Bereich Cybersicherheit Schritt zu halten.
Das Center for Internet Security (CIS) erstellte eine Liste mit Abwehrmaßnahmen hoher Priorität, die einen Ausgangspunkt mit „unbedingt und zuerst anzugehenden Aspekten“ für alle Unternehmen bieten, die Cyberattacken verhindern möchten. Laut SANS-Institut, das die CIS-Kontrollinstrumente entwickelte, „sind CIS-Kontrollinstrumente effektiv, da sie von den häufigsten Angriffsmustern abgeleitet werden, die in führenden Berichten zu Sicherheitsrisiken hervorgehoben und von einer sehr breiten Anwendergemeinschaft in Behörden und Industrie unterstützt werden.“
Ein Unternehmen kann diese und andere Frameworks nutzen, um ein eigenes Sicherheitsframework und IT-Sicherheitsrichtlinien zu entwickeln. Ein gut entwickeltes Framework stellt sicher, dass ein Unternehmen folgende Punkte erfüllt:
Eine Sicherheitslösung ist nur so stark wie ihr schwächstes Glied. Sie sollten daher mehrere Schichten von Sicherheitskontrollen (auch als tiefengestaffelte Sicherheitsstrategie bekannt) in Betracht ziehen, wenn Sie Sicherheitskontrollen für Identitäts- und Zugriffsmanagement, Daten, Anwendungen, Netz- oder Serverinfrastruktur, physische Sicherheit und sicherheitsrelevante Informationen implementieren.
Eine Bewertung der Sicherheitskontrollen ist ein hervorragender erster Schritt zur Feststellung, wo es Schwachstellen gibt. Mit einer Bewertung der Sicherheitskontrollen können Sie Ihre aktuellen Kontrollinstrumente bewerten und feststellen, ob sie richtig implementiert wurden, wie beabsichtigt funktionieren und Ihre Sicherheitsanforderungen erfüllen. NIST-Sonderveröffentlichung 800-53 wurde vom NIST als Benchmark für erfolgreiche Assessments von Sicherheitskontrollen erstellt. Die NIST-Richtlinien dienen als Best Practice-Konzept, das bei Anwendung das Risiko einer Sicherheitsverletzung für Ihr Unternehmen mindern kann. Alternativ kann Ihr Unternehmen auch eine eigene Sicherheitsbewertung erstellen.
Die wichtigsten Schritte bei der Erstellung einer Sicherheitsbewertung lauten wie folgt:
Lesen Sie mehr über die Vorgehensweise bei der Schwachstellenanalyse für Anwendungen und Netz Ihres Unternehmens durch Erstellung einer eigenen Sicherheitsbewertung.
IBM® Cloud mit Red Hat bietet marktführende Sicherheit, unternehmensweite Skalierbarkeit und offene Innovation, um das volle Potenzial von Cloud und KI zu erschließen.