Risikomanagement-Framework (RMF): Eine Übersicht

Compliance und Regulierungsanforderungen

Bild des Risikomanagement-Frameworks

Das Risikomanagement-Framework wurde ursprünglich vom US-Verteidigungsministerium (Department of Defense, DoD) entwickelt und 2010 vom Rest der landesweiten US-Informationssysteme übernommen. Heute pflegt das National Institute of Standards and Technology das RMF und bietet somit eine solide Grundlage für jede Datensicherheitsstrategie. Das RMF baut auf mehreren früheren Risikomanagement-Frameworks auf und umfasst mehrere unabhängige Verfahren und Systeme. Unternehmen müssen sichere Data-Governance-Systeme implementieren und Bedrohungsmodellierung durchführen, um Cyber-Risikobereiche zu identifizieren.

In diesem Leitfaden führen wir Sie durch alles, was Sie über das RMF wissen müssen. Wir schauen uns die Bestandteile des Frameworks in mehreren Abschnitten genauer an:

Woraus besteht das Risikomanagement-Framework?

Die allgemeinen Konzepte Risikomanagement und Risikomanagement-Framework scheinen zwar relativ ähnlich zu sein, aber es ist wichtig, die Unterschiede zwischen den beiden zu verstehen. Der Risikomanagementprozess wird vom NIST in mehreren Unter-Frameworks genauer beschrieben. Im elegant betitelten „NIST SP 800-37 Rev.1“ wird das RMF als 6-stufiger Prozess für die architektonische und technische Gestaltung eines Datensicherheitsprozesses für neue IT-Systeme definiert. Hier werden auch Best Practices und Verfahren vorgeschlagen, die jede US-Bundesbehörde beim Aktivieren eines neuen Systems einhalten sollte. Neben dem Hauptdokument SP 800-37 basiert das RMF auf den ergänzenden Dokumenten SP 800-30, SP 800-53, SP 800-53A und SP 800-137.

Die 5 Komponenten des Risikomanagements

 Beim Einstieg in das RMF ist es hilfreich, die Risikomanagement-Anforderungen in verschiedene Kategorien aufzuteilen. Mit diesen Kategorien lässt sich auf ein effektives Risikomanagementsystem hinarbeiten, angefangen bei der Identifizierung der größten Risiken, denen man ausgesetzt ist, bis hin zur Frage, wie sich diese mindern lassen.

Erkennung von Risiken

Der erste und wahrscheinlich wichtigste Teil des RMF ist die Risikoerkennung. Im NIST heißt es dazu: „Die häufigsten Risikofaktoren sind Bedrohung, Schwachstelle, Auswirkungen, Wahrscheinlichkeit und Prädisposition.“ In diesem Schritt werden alle möglichen Risiken in sämtlichen Ihrer Systeme gebrainstormt, die man sich nur vorstellen kann. Diese werden dann anhand unterschiedlicher Faktoren priorisiert:

  • Bedrohungen sind Ereignisse, die der Organisation durch Intrusion, Zerstörung oder Offenlegung potenziell schaden können.
  • Schwachstellen sind Schwächen in den IT-Systemen, der Sicherheit, den Verfahren und Kontrollen, die von Angreifern (intern oder extern) ausgenutzt werden können.
  • Auswirkungen ist ein Maß dafür, wie schwerwiegend der Schaden für das Unternehmen wäre, wenn eine bestimmte Schwachstelle ausgenutzt oder eine Bedrohung eintreten würde.
  • Wahrscheinlichkeit ist ein Maß für einen Risikofaktor, das auf der Wahrscheinlichkeit eines Angriffs auf eine bestimmte Schwachstelle beruht.
  • Prädispositionen sind spezifische Faktoren innerhalb der Organisation, die die Auswirkungen oder die Wahrscheinlichkeit, dass eine Schwachstelle ausgenutzt wird, entweder erhöhen oder verringern.

Risikomessung und -bewertung

Sobald Sie die Bedrohungen, Schwachstellen, die Auswirkungen, die Wahrscheinlichkeit und die jeweiligen Prädispositionen identifiziert haben, können Sie berechnen und einstufen, welchen Risiken Ihre Organisation ausgesetzt ist.

Risikominderung

Anhand der vorherigen Einstufungsliste kann Ihre Organisation festlegen, wie sie Bedrohungen mindern kann, von der größten zur kleinsten. Ab einem bestimmten Punkt in der Liste kann man beschließen, dass es sich nicht lohnt, mit Risiken unterhalb dieses Niveaus zu arbeiten. Das kann daran liegen, dass eine solche Bedrohung kaum auftreten wird, oder daran, dass es zu viele größere Bedrohungen gibt, die unmittelbar behoben werden müssen, um diese kleineren Probleme in den Arbeitsplan aufzunehmen.

Risikoberichterstattung und -überwachung

Gemäß dem RMF müssen Organisationen eine Liste bekannter Risiken führen und diese zur Einhaltung der Richtlinien überwachen. Statistiken über Datenlecks deuten darauf hin, dass viele Unternehmen noch immer nicht alle erfolgreichen Angriffe melden, denen sie ausgesetzt sind und die sich auf ähnliche Unternehmen auswirken könnten.

Risiko-Governance

Schließlich sollten alle oben genannten Schritte in einem System zur Risiko-Governance kodifiziert werden.

Die 6 Schritte des Risikomanagement-Frameworks (RMF)

Liste der Schritte des Risikomanagement-Frameworks Im weitesten Sinne verlangt das RMF, dass Unternehmen ermitteln, welchen System- und Datenrisiken sie ausgesetzt sind, und angemessene Maßnahmen ergreifen, um diese zu mindern. Das RMF gliedert diese Ziele in sechs miteinander verbundene, aber getrennte, Phasen.

1. Kategorisieren von Informationssystemen

  • Mithilfe von NIST-Standards werden Informationen und Systeme kategorisiert, damit man für diese Systeme eine genaue Risikobewertung vornehmen kann.
  • NIST gibt auch an, welche Arten von Systemen und Informationen einbezogen werden sollten.
  • Und welcher Grad an Sicherheit aufgrund der Kategorisierung implementiert werden muss.

Verweise: FIPS Publication 199, Standards for Security Categorization of Federal Information and Information Systems (z. Dt. Standards für die Sicherheitskategorisierung von Bundesinformationen und -Informationssystemen); Sonderausgabe 800-60 Rev. 1 (Band 1Band 2), Guide for Mapping Types of Information and Information Systems to Security Categories (z. Dt. Leitfaden für die Zuweisung von Informationstypen und Informationssystemen zu Sicherheitskategorien)

2. Auswählen der Sicherheitskontrollen

Wählen Sie die geeigneten Sicherheitskontrollen aus der NIST-Publikation 800-53 aus, um „einen einheitlicheren, vergleichbaren und wiederholbaren Ansatz für die Auswahl und Festlegung von Sicherheitskontrollen für Systeme zu ermöglichen“. Verweise: Sonderausgabe 800-53 Security and Privacy Controls for Federal Information Systems and Organizations (z. Dt. Sicherheits- und Datenschutzkontrollen für Bundesinformationssysteme und -organisationen), redaktioneller Hinweis: bitte beachten Sie, dass die aktualisierte Version von 800-53 am 23. September 2021 in Kraft tritt. Details folgen.

3. Implementieren der Sicherheitskontrollen

Setzen Sie die Kontrollen um, die Sie im vorherigen Schritt ausgewählt haben, und dokumentieren Sie alle Prozesse und Verfahren, die zur ihrer Aufrechterhaltung erforderlich sind. Referenzen: Mehrere Publikationen bieten Best Practices zur Implementierung von Sicherheitskontrollen. Auf dieser Seite können Sie danach suchen.

4. Bewerten der Sicherheitskontrollen

Stellen Sie sicher, dass die von Ihnen implementierten Sicherheitskontrollen funktionieren wie vorgesehen, damit Sie die Risiken für Ihren Betrieb und Ihre Daten begrenzen können.

5. Genehmigen der Informationssysteme

Funktionieren die Sicherheitskontrollen korrekt und tragen sie dazu bei, das Risiko für die Organisation zu verringern? Dann ist diese Kontrolle für das jeweilige System autorisiert! Herzlichen Glückwunsch! Referenzen: Sonderpublikation 800-37 Rev. 2 Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy (z. Dt. Risikomanagement-Framework für Informationssysteme und Organisationen: Ein Systemlebenszyklus-Ansatz für Sicherheit und Datenschutz)

6: Überwachen der Sicherheitskontrollen

Überwachen und bewerten Sie kontinuierlich die Sicherheitskontrollen in Hinblick auf ihre Effektivität. Nehmen Sie während des Betriebs Änderungen vor, um die Effizienz dieser Systeme sicherzustellen. Dokumentieren Sie alle Änderungen, führen Sie regelmäßig Auswirkungsanalysen durch und melden Sie den Status der Sicherheitskontrollen an die von Ihnen ernannten Verantwortlichen. Referenzen: Sonderpublikation 800-37 Rev. 2 Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy (z. Dt. Risikomanagement-Framework für Informationssysteme und Organisationen: Ein Systemlebenszyklus-Ansatz für Sicherheit und Datenschutz)

Welchen Nutzen hat ein effektives Risikomanagement-Framework für Unternehmen?

Obwohl das RMF eine Voraussetzung für Unternehmen ist, die mit US-Behörden zusammenarbeiten, kann die Implementierung eines effektiven Risikomanagementsystems jedem Unternehmen zugute kommen. Das Endziel der RMF-Konformität ist die Schaffung eines Systems für Daten- und Asset-Governance, das einen umfassenden Schutz vor sämtlichen Cyberrisiken bietet, denen das Unternehmen ausgesetzt ist. Genauer gesagt birgt die Entwicklung eines praktischen Frameworks für das Risikomanagement für Unternehmen mehrere spezifische Vorteile:

Schutz von Vermögenswerten

Ein effektives Risikomanagement-Framework priorisiert das Verständnis der Risiken, denen Ihr Unternehmen ausgesetzt ist, um die erforderlichen Schritte zum Schutz Ihrer Vermögenswerte und Ihres Unternehmens einzuleiten. Ein umfassendes Risikomanagement-Framework hilft Ihnen also, Ihre Daten und Ihre Vermögenswerte zu schützen.

Imagepflege

Die Imagepflege ist ein wesentlicher Bestandteil moderner Geschäftspraktiken. Negative Auswirkungen von Cyberangriffen zu begrenzen ist enorm wichtig, um Ihren Ruf zu schützen. Datenschutz wird immer wichtiger für Verbraucher in den USA, und das nicht nur weil die US-Datenschutzgesetze immer strenger werden. Datenlecks schaden dem Ruf Ihres Unternehmens. Ein wirksames Framework für das Risikomanagement kann Unternehmen dabei helfen, Lücken in den Kontrollen auf Unternehmensebene schnell zu analysieren und einen Plan zur Minderung oder Behebung von Risiken für das Unternehmensimage zu entwickeln.

Schutz geistigen Eigentums

Fast jedes Unternehmen verfügt über geistiges Eigentum, das geschützt werden muss. Ein Risikomanagement-Framework gilt für dieses Eigentum ebenso wie für Ihre Daten und Vermögenswerte. Wenn Sie ein Produkt oder eine Dienstleistung verkaufen, anbieten, vertreiben oder bereitstellen, und Sie dadurch einen Wettbewerbsvorteil haben, sind Sie ein potenzielles Ziel für den Diebstahl von geistigem Eigentum. Ein Risikomanagement-Framework hilft beim Schutz vor potenziellen Verlusten von Wettbewerbsvorteilen, Geschäftsmöglichkeiten und sogar rechtlichen Risiken.

Wettbewerberanalyse

Schließlich kann die Entwicklung eines Risikomanagement-Frameworks positive Auswirkungen auf den allgemeinen Betrieb Ihres Unternehmens haben. Indem Sie die Risiken, denen Sie ausgesetzt sind, katalogisieren und Maßnahmen zu deren Minderung ergreifen, erhalten Sie auch eine Fülle wertvoller Informationen über den Markt, auf dem Sie tätig sind. Und das kann Ihnen schon an sich einen Wettbewerbsvorteil gegenüber Ihren Konkurrenten verschaffen.

Wie kann Varonis Sie bei der Compliance unterstützen?

Die NIST-Richtlinie und das RMF (und tatsächlich sehr viele Datensicherheitsstandards und Compliance-Vorschriften) haben drei Bereiche gemein:

  • Identifzieren von sensiblen und gefährdeten Daten und Systemen (inklusive Benutzer, Berechtigungen, Ordner usw.);
  • Schützen der Daten, Verwalten der Zugriffe und Minimieren der Angriffsflächen;
  • Überwachen und Erkennen aller Vorgänge mit den Daten, der Personen, die zugreifen, und Identifizieren von verdächtigen Verhaltensweisen oder auffälligen Dateiaktivitäten.

Die Varonis Data Security Platform ermöglicht Bundesbehörden die Verwaltung (und Automatisierung) vieler Empfehlungen und Anforderungen des RMF. DatAdvantage und die Data Classification Engine identifizieren sensible Daten in zentralen Datenspeichern und weisen Benutzer-, Gruppen- und Ordnerberechtigungen zu. So können Sie erkennen, wo Ihre sensiblen Daten liegen und wer auf sie zugreifen kann.

Klarheit über die Personen zu haben, die auf Ihre Daten zugreifen können, ist ein wichtiger Bestandteil der in NIST SP 800-53 definierten Risikobewertungsstufe. Die Datensicherheitsanalyse trägt dazu bei, die Anforderung von NIST SP 800-53 zur ständigen Überwachung Ihrer Daten zu erfüllen: Varonis analysiert Milliarden von Ereignissen aus Datenzugriffsaktivitäten, VPN-, DNS- und Proxy-Aktivitäten sowie Active Directory und erstellt automatisch Verhaltensprofile für jeden Benutzer und jedes Gerät.

Bedrohungsmodelle, die auf maschinellem Lernen basieren, identifizieren aktiv anormales Verhalten und potenzielle Bedrohungen wie Ransomware, Malware, Brute-Force-Angriffe und Insider-Bedrohungen. NIST SP 800-137 legt Richtlinien für Ihren Datenschutz fest und verlangt von Behörden, dass sie das Prinzip der notwendigsten Berechtigungen umsetzen.

DatAdvantage zeigt auf, wo Benutzer Zugriff haben, den sie möglicherweise nicht mehr benötigen. Die Automation Engine kann Berechtigungen bereinigen und globale Zugriffsgruppen automatisch entfernen. DataPrivilege optimiert die Berechtigungs- und Zugriffsverwaltung, indem Data Owner festgelegt und Berechtigungsprüfungen automatisiert werden. Das Risikomanagement-Framework wirkt auf den ersten Blick zwar komplex, ist letztlich aber ein nüchterner und logischer Ansatz für guten Datenschutz. Erfahren Sie noch heute, wie Varonis Sie dabei unterstützen kann, die Richtlinien nach NIST SP 800-37 einzuhalten.

Noch etwas:

Die Einhaltung der RMF-Richtlinien ist nicht nur eine Voraussetzung für Unternehmen, die mit US-Behörden zusammenarbeiten. Wenn Sie eine Risikobewertung und Governance-Strategie effektiv implementieren, bietet das auch zahlreiche Vorteile für Ihren Betrieb. Der Hauptschwerpunkt Ihrer RMF-Prozesse sollte auf der Datenintegrität liegen, denn die Bedrohungen, denen Ihre Daten ausgesetzt sind, sind meistens auch am gefährlichsten für Ihr Unternehmen. Deshalb bietet unsere Varonis-Softwaresuite Funktionen zur schnellen und effektiven Implementierung eines Risikobewertungs- und Governance-Verfahrens.

Jeff Petters

Jeff Petters

Jeff has been working on computers since his Dad brought home an IBM PC 8086 with dual disk drives. Researching and writing about data security is his dream job.

 

Möchten Sie Varonis in Aktion erleben?

Vereinbaren Sie eine Demo oder wenden Sie sich an unseren Vertrieb unter +49 89 3803 7990