Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

Ein paar Gedanken über Datensicherheitsstandards

Wussten Sie, dass der 462 Seiten starke NIST 800-53-Datensicherheitsstandard über 206 Steuerungen mit über 400 Teilsteuerungen1 verfügt? Übrigens können Sie sich hier die komfortable XML-Version anzeigen lassen. PCI DSS steht dem mit hunderten...
Michael Buckbee
3 minute gelesen
Veröffentlicht 6. November 2017
Letzte aktualisierung 17. August 2022

Wussten Sie, dass der 462 Seiten starke NIST 800-53-Datensicherheitsstandard über 206 Steuerungen mit über 400 Teilsteuerungen1 verfügt? Übrigens können Sie sich hier die komfortable XML-Version anzeigen lassen. PCI DSS steht dem mit hunderten Teilsteuerungen in seinen Spezifikationen in nichts nach. Und dann gibt es noch den weit verbreiteten IS0 27001-Datenstandard!

Nicht zu vergessen die Sicherheitsframeworks, wie etwa COBIT und NIST CSF, die eine Art Meta-Standard sind, der in andere Sicherheitskontrollen überführt. Bei Organisationen aus dem Gesundheits- oder Finanzwesen, die den US-Bestimmungen für Datensicherheit unterliegen, müssen HIPAA und die GLBA-Datenrichtlinien ebenfalls berücksichtigt werden. Und wenn Sie dem EU-Markt angehören, kommt die DSGVO zum Tragen; in Kanada ist es PIPEDA; auf den Philippinen ist es das, usw.

Die technische und juristische Komplexität reicht aus, um Teams von IT-Sicherheitsexperten, Rechtsanwälte, Wirtschaftsprüfer und Diplomaten bis ans Ende der Zeit auf Trab zu halten.

Als Sicherheitsblogger habe ich mich auch über die oben genannten Standards und Vorschriften gewundert und nachgedacht. Ich bin nicht der Erste, der das Offensichtliche bemerkt: Datenschutzstandards fallen in Muster, die sie alle sehr ähnlich machen.

Sicherheitskontrollverbindungen

Wenn Sie eine gemeistert und umgesetzt haben, dann wird es wahrscheinlich auch bei anderen ähnlich gut funktionieren. Genau genommen ist das ein guter Grund, Frameworks zu nutzen. Beispielsweise können Sie mit NIST CSF Ihre Investitionen in ISO 27001 oder ISA 62443 durch ihre abbildungsunabhängige Steuerungsmatrix voll ausschöpfen (siehe unten).

Sicherheitskontrollverbindungen
Sind Sie ISO 27001-zertifiziert? Dann halten Sie NIST CSF ein!

Ich denke, wir sind uns alle darin einig, dass die meisten Unternehmen es unmöglich finden werden, alle Kontrollen in einem typischen Datenstandard mit der gleichen Aufmerksamkeit zu implementieren. Wann haben Sie beispielsweise das letzte Mal die Protokolle der physischen Zugriffsprüfung auf Ihre Datenübertragungsanlagen (NIST 800-53, PE-3b) überprüft?

Um es Unternehmen und ihren Mitarbeitern einfacher zu machen, haben einige der Normungsgremien weitere Richtlinien herausgegeben, die die riesige Liste der Kontrollen in erreichbare Ziele aufbrechen.

Die PCI-Gruppe verfolgt einen priorisierten Ansatz beim Umgang mit ihrem DSS:  Sechs praktische Meilensteine, die sich in kleinere Teilmengen relevanter Kontrollen unterteilen. Sie bietet auch einen Praxisleitfaden, der — und das ist wichtig — Sicherheitskontrollen in drei breitere Funktionsbereichen einteilt: Bewertung, Behebung und Überwachung.

Auch wir haben ein interessantes Whitepaper erstellt, in dem wir diese Best Practices erläutern und erklären, wie Sie die Ergebnisse des Monitorings in die nächste Runde der Bewertungen zurückführen sollten. Kurzum: Sie befinden sich immer in einem Sicherheitsprozess.

NIST CSF, das selbst eine abgespeckte Version von NIST 800-53 ist, hat auch eine ähnliche Untergliederung seiner Kontrollen in breitere Kategorien, einschließlich Identifizierung, Schutz und Erkennen. Wenn Sie sich die CSF-Identifizierungskontrollen genauer ansehen, zu denen größtenteils die Inventarisierung Ihrer IT-Datenbestände und -Systeme gehört, werden Sie feststellen, dass das Hauptziel in diesem Bereich darin besteht, die Sicherheitsrisiken der erfassten Assets zu bewerten oder einzuschätzen.

Dateiorientierte Risikobewertung

Meines Erachtens bietet das Trio aus Bewertung, Schutz und Überwachung eine gute Möglichkeit, sämtliche Datensicherheitsstandards zu organisieren und anzuzeigen.

Beim Umgang mit diesen Datenstandards können Organisationen eine praktische Abkürzung über diese Kontrollen nehmen, basierend auf dem, was wir über die Art der Bedrohungen in unserer Welt wissen — und nicht auf den Datenstandards, die Verfasser beim Schreiben vor Augen hatten!

Wir befinden uns derzeit in einer Zeit mit stillen und heimtückischen Angreifern, die oftmals unerkannt über Phishing-E-Mails in Systeme eindringen sowie zuvor gestohlene Anmeldeinformationen oder Zero-Day-Schwachstellen nutzen. Sobald sie im System sind, bewegen sie sich mit Malware-freien Methoden unterhalb des Überwachungsradars, finden gewinnbringende Daten, um diese dann zu entfernen bzw. herauszuschleusen.

Selbstverständlich ist es wichtig, die Netzwerkinfrastruktur zu bewerten, zu schützen und zu überwachen, aber diese neuartigen Attacken legen nahe, dass das Hauptaugenmerk auf das Innere des Unternehmens zu richten ist.

Und da sind wir wieder bei einem beliebten IOS-Blog-Thema. Sie sollten Hackern auf jeden Fall das Auffinden wertvoller Daten — wie Kreditkarten- oder Kontonummern, Unternehmens-IP-Adressen — auf Ihren Dateisystemen erschweren und diese Angreifer so schnell wie möglich erkennen und aufhalten.

Denken Sie daher über Dateisysteme nach, wenn Sie wissen möchten, wie typische Datensicherheitskontrollen anzuwenden sind!

Für NIST 800.53 bedeutet das beispielsweise, Dateisysteme zu scannen, nach sensiblen Daten zu suchen, die ALCs oder Berechtigungen zu untersuchen und dann die Risiken zu bewerten (CM-8, RA-2, RA-3). Für die Behebung oder den Schutz würde dies bedeuten, dass Active Directory-Gruppen reorganisiert und ACLs stärker zurückgesetzt würden (AC-6). Zur Erkennung sollten Sie nach ungewöhnlichen Dateisystemzugriffen suchen, die wahrscheinlich auf Hacker hinweisen, die sich die Anmeldeinformationen von Mitarbeitern (SI-4) „ausleihen“.

Das Wichtigste ist, diese Datenstandards nicht bloß als gigantische Liste separater Kontrollen zu betrachten, sondern diese im Kontext „bewerten-schützen-überwachen“ zu sehen und dann für Ihre Dateisysteme anzuwenden.

In den nächsten Wochen werde ich mehr über eine daten- oder dateifokussierte Sicht auf Datensicherheitskontrollen berichten.

1 Woher wusste ich, dass NIST 800-53 über 400 Teilsteuerungen hat? Ich habe die XML-Datei ausgewählt und diese erstaunlichen zwei Zeilen von PowerShell ausgeführt:

  1. [xml]$books = Get-Content 800-53-controls.xml
  2. $books.controls.control|%{$_.statement.statement.number}| measure -line

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
hinter-dem-varonis-rebranding
Hinter dem Varonis-Rebranding
Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
cybersecurity-trends-2024:-was-sie-wissen-müssen
Cybersecurity-Trends 2024: Was Sie wissen müssen
Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
das-war-2023 – so-wird-2024
Das war 2023 – so wird 2024
Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?