Sicherheitskontrollen sind Parameter, die zum Schutz verschiedener, für ein Unternehmen wichtiger Daten und Infrastrukturen implementiert werden. Jede Art von Sicherungsmaßnahme oder Gegenmaßnahme, um Sicherheitsrisiken für Sachbesitz, Informationen, Computersysteme oder sonstige Assets zu vermeiden, zu erkennen, zu begegnen oder zu minimieren, wird als Sicherheitskontrolle betrachtet.

Angesichts vermehrt auftretender Cyberattacken sind Datensicherheitskontrollen heute wichtiger denn je. Laut einer Studie der Clark School an der Universität von Maryland gibt es in den USA mittlerweile pro Jahr durchschnittlich alle 39 Sekunden einen Cybersicherheitsangriff mit Auswirkungen auf einen von drei Amerikanern, wobei 43 % dieser Angriffe kleine Unternehmen zum Ziel haben. Zwischen März 2021 und März 2022 beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung in den Vereinigten Staaten auf 9,44 Millionen US-Dollar.

Gleichzeitig werden Datenschutzvorschriften erweitert, sodass Unternehmen ihre Datenschutzrichtlinien verschärfen müssen, wenn sie möglichen Bußgeldern entgehen wollen. Die Europäische Union setzte im vergangenen Jahr ihre strikte Datenschutz-Grundverordnung (DSGVO) um. In den USA trat am 1. Januar 2020 der California Consumer Privacy Act in Kraft, wobei mehrere andere US-Bundesstaaten vergleichbare Maßnahmen verfolgen.

Diese Regelungen schließen üblicherweise empfindliche Strafen für Unternehmen ein, die die Anforderungen nicht erfüllen. Beispielsweise meldete Facebook vor kurzem, dass man eine Geldbuße von mehr als 3 Milliarden US-Dollar von der U.S. Federal Trade Commission erwarte, die dem Unternehmen aufgrund von Mängeln bei Datenschutzrichtlinien, die zu mehreren Datenschutzverletzungen führten, auferlegt wurde.

Es gibt mehrere Arten von Sicherheitskontrollen, die implementiert werden können, um Hardware, Software, Netze und Daten vor Aktionen und Ereignissen zu schützen, die Verluste oder Schäden verursachen könnten. Beispiel:

• Physische Sicherheitskontrollen umfassen Dinge wie Umzäunungen, Sicherheitsschlösser, Wachleute, Zutrittskarten, biometrische Zutrittskontrollsysteme, Überwachungskameras und Sensoren für die Erkennung von unbefugtem Zutritt zu Rechenzentren.
  
  
• Digitale Sicherheitskontrollen umfassen Dinge wie Benutzernamen und Kennwörter, Zwei-Faktor-Authentifizierung, Antivirensoftware und Firewalls.
  
  
• Cybersicherheitskontrollen umfassen alle speziellen Mechanismen zur Vermeidung von Angriffen auf Daten, einschließlich Distributed Denial-of-Service-Risikominderung, und Systeme zur Abwehr unbefugter Zugriffe.
  
  
• Cloud-Sicherheitskontrollen umfassen Maßnahmen, die Sie in Zusammenarbeit mit einem Cloud-Service-Provider ergreifen, um den erforderlichen Schutz für Daten und Workloads sicherzustellen. Wenn Ihr Unternehmen Workloads in der Cloud ausführt, müssen Sie deren unternehmens- oder geschäftsspezifische Sicherheitsanforderungen und branchenspezifische Regelungen erfüllen.

Sicherheitskontrollsysteme, einschließlich der Prozesse und Dokumentation, die die Implementierung und das fortlaufende Management dieser Kontrollinstrumente festlegen, werden als Frameworks oder Standards bezeichnet.

Mit Frameworks kann ein Unternehmen Sicherheitskontrollen über verschiedene Arten von Assets hinweg in Übereinstimmung mit einer allgemein anerkannten und geprüften Methodik durchgängig verwalten. Einige der bekanntesten Frameworks und Standards schließen die folgenden ein:

National Institute of Standards and Technology Cyber Security Framework

Das National Institute of Standards and Technology (NIST) erstellte 2014 ein freiwilliges Framework, um Unternehmen Anweisungen bereitzustellen, wie Cyberattacken verhindert, erkannt und beantwortet werden können. Die Bewertungsmethoden und -verfahren werden verwendet, um festzustellen, ob die Sicherheitskontrollen eines Unternehmens korrekt implementiert wurden, wie beabsichtigt funktionieren und das gewünschte Ergebnis bieten (also die Sicherheitsanforderungen des Unternehmens erfüllen). Das NIST-Framework wird durchgängig aktualisiert, um mit Fortschritten im Bereich Cybersicherheit Schritt zu halten.

Kontrollinstrumente des Center for Internet Security

Das Center for Internet Security (CIS) erstellte eine Liste mit Abwehrmaßnahmen hoher Priorität, die einen Ausgangspunkt mit „unbedingt und zuerst anzugehenden Aspekten“ für alle Unternehmen bieten, die Cyberattacken verhindern möchten. Laut SANS-Institut, das die CIS-Kontrollinstrumente entwickelte, „sind CIS-Kontrollinstrumente effektiv, da sie von den häufigsten Angriffsmustern abgeleitet werden, die in führenden Berichten zu Sicherheitsrisiken hervorgehoben und von einer sehr breiten Anwendergemeinschaft in Behörden und Industrie unterstützt werden.“

Ein Unternehmen kann diese und andere Frameworks nutzen, um ein eigenes Sicherheitsframework und IT-Sicherheitsrichtlinien zu entwickeln. Ein gut entwickeltes Framework stellt sicher, dass ein Unternehmen folgende Punkte erfüllt:

• Setzt IT-Sicherheitsrichtlinien durch Sicherheitskontrollen um
• Schult Mitarbeiter und Benutzer in Bezug auf Sicherheitsrichtlinien
• Erfüllt branchenspezifische Regelungen und Compliance-Vorschriften
• Erreicht betriebliche Effizienz bei den Sicherheitskontrollen
• Bewertet fortlaufend Risiken und begegnet ihnen durch Sicherheitskontrollen

Eine Sicherheitslösung ist nur so stark wie ihr schwächstes Glied. Sie sollten daher mehrere Schichten von Sicherheitskontrollen (auch als tiefengestaffelte Sicherheitsstrategie bekannt) in Betracht ziehen, wenn Sie Sicherheitskontrollen für Identitäts- und Zugriffsmanagement, Daten, Anwendungen, Netz- oder Serverinfrastruktur, physische Sicherheit und sicherheitsrelevante Informationen implementieren.

Eine Bewertung der Sicherheitskontrollen ist ein hervorragender erster Schritt zur Feststellung, wo es Schwachstellen gibt. Mit einer Bewertung der Sicherheitskontrollen können Sie Ihre aktuellen Kontrollinstrumente bewerten und feststellen, ob sie richtig implementiert wurden, wie beabsichtigt funktionieren und Ihre Sicherheitsanforderungen erfüllen. NIST-Sonderveröffentlichung 800-53 wurde vom NIST als Benchmark für erfolgreiche Assessments von Sicherheitskontrollen erstellt. Die NIST-Richtlinien dienen als Best Practice-Konzept, das bei Anwendung das Risiko einer Sicherheitsverletzung für Ihr Unternehmen mindern kann. Alternativ kann Ihr Unternehmen auch eine eigene Sicherheitsbewertung erstellen.

Die wichtigsten Schritte bei der Erstellung einer Sicherheitsbewertung lauten wie folgt:

• Bestimmung der Zielsysteme: Erstellen Sie eine Liste der zu überprüfenden IP-Adressen in Ihrem Netz. Die Liste sollte IP-Adressen aller Systeme und Geräte enthalten, die im Netz Ihres Unternehmens miteinander verbunden sind.
  
  
• Bestimmung der Zielanwendungen: Listen Sie die zu überprüfenden Webanwendungen und -Services auf. Bestimmen Sie die Art von Webanwendungsserver, Web-Server, Datenbank, Komponenten Dritter und Technologien, die für die Erstellung bestehender Anwendungen verwendet wurden.
  
  
• Schwachstellensuche und -meldung: Halten Sie Netz- und IT-Teams auf dem Laufenden, was sämtliche Bewertungsaktivitäten angeht, da eine Schwachstellenanalyse gelegentlich zu Spitzen im Netzverkehr führen kann, wenn die Zielserver Anfragen erhalten. Beschaffen Sie zudem nicht authentifizierten Durchgriff für Suchsoftware-IPs im gesamten Unternehmensnetz und stellen Sie sicher, dass die IPs in der IPS/IDS-Whitelist enthalten sind. Andernfalls kann die Suchsoftware eine Warnung für schädlichen Datenverkehr auslösen, was zu einer Sperrung ihrer IP führen kann.

Lesen Sie mehr über die Vorgehensweise bei der Schwachstellenanalyse für Anwendungen und Netz Ihres Unternehmens durch Erstellung einer eigenen Sicherheitsbewertung.