6 Risk-Assessment-Frameworks im Vergleich

Für viele Geschäftsprozesse ist Technologie inzwischen unverzichtbar. Deshalb zählt diese auch zu den wertvollsten Assets eines Unternehmens. Leider stellt sie gleichzeitig jedoch auch eines der größten Risiken dar – was Risk-Assessment-Frameworks auf den Plan ruft.

IT-Risiken formal zu bewerten, ermöglicht es Organisationen, besser einzuschätzen, zu welchem Grad ihre Systeme, Devices und Daten schädlichen Einflüssen ausgesetzt sind. Etwa in Form von Cyberbedrohungen, Compliance-Verfehlungen oder Ausfällen. Zudem können IT- und Sicherheitsentscheider deren Folgen mit Hilfe von entsprechenden Rahmenwerken auch besser abzuschätzen. Das Ziel besteht am Ende darin, sämtliche identifizierten Risiken – und ihren Impact – zu minimieren.

In diesem Artikel stellen wir Ihnen (in aller Kürze) sechs populäre Risk-Assessment-Frameworks vor, die jeweils auf spezifische Risikobereiche abgestimmt sind.

1. COBIT

Das ist es: Hinter COBIT (Control Objectives for Information and Related Technology) steht der internationale IT-Berufsverband ISACA, der sich auf IT Governance fokussiert hat. Dieses sehr umfassende und breit angelegte Framework wurde entwickelt, um dabei zu unterstützen, Enterprise IT:

• zu verstehen,
• zu designen,
• zu implementieren,
• zu managen und
• zu steuern.

Das kann es: Laut ISACA definiert COBIT die Komponenten und Designfaktoren, ein optimales Governance-System aufzubauen und aufrechtzuerhalten. Die aktuelle Version, COBIT 2019, fußt auf einem Governance-Prinzipien-Sextett:

1. Value für Stakeholder liefern
2. ganzheitlichen Ansatz realisieren
3. Governance-System dynamisch gestalten
4. Management von Governance trennen
5. auf individuelle Unternehmensanforderungen abstimmen
6. Ende-zu-Ende-Governance-System realisieren

So funktioniert es: Das COBIT-Framework ist auf Business-Fokus konzipiert und definiert eine Reihe generischer Prozesse, um IT-Komponenten zu managen. Dabei werden außerdem auch Inputs und Outputs, Schlüsselaktivitäten, Zielsetzungen, Performance-Metriken und ein grundlegendes Reifegradmodell festgelegt.

Gut zu wissen: Laut ISACA ist COBIT flexibel zu implementieren und ermöglicht Unternehmen, ihre Governance-Strategie anzupassen.

2. FAIR

Das ist es: Das Framework FAIR (Factor Analysis of Information Risk) bildet eine Methodik ab, um unternehmensbezogene Risiken zu quantifizieren und zu managen. Dahinter steht das Fair Institute, eine wissenschaftlich ausgerichtete Non-Profit-Organisation, die sich dem Management von betrieblichen und sicherheitstechnischen Risiken verschrieben hat. Laut den Machern ist FAIR das einzige, quantitative Standardmodell auf internationaler Ebene, um diese Art von Risiken zu erfassen.

Das kann es: FAIR bietet ein Modell, um die genannten Risiken in finanzieller Hinsicht zu verstehen, zu analysieren und zu quantifizieren. Laut dem Fair Institute unterscheidet es sich dabei insofern von anderen Risk-Assessment-Frameworks, als dass es seinen Fokus nicht auf qualitative Farbdiagramme oder numerisch gewichtete Skalen legt. Stattdessen will FAIR eine Grundlage liefern, um einen robusten Risikomanagement-Ansatz auszubilden.

So funktioniert es: FAIR ermittelt in erster Linie Wahrscheinlichkeiten mit Blick auf die Frequenz und das Ausmaß von Data-Loss-Ereignissen. Es handelt sich hierbei nicht um eine Methodik, um individuelle Risikobewertungen durchzuführen. Vielmehr will das Framework Unternehmen in die Lage versetzen, IT-Risiken zu verstehen, zu analysieren und zu messen.

Zu den Komponenten des FAIR-Frameworks gehören:

• eine Taxonomie für IT-Risiken,
• eine standardisierte Nomenklatur für Risiken,
• eine Methode um Datenerfassungskriterien zu definieren,
• Messskalen für Risikofaktoren,
• eine Engine für Risikoberechnungen, sowie
• ein Modell, um komplexe Risikoszenarien zu analysieren.

Gut zu wissen: Die quantitative Risk-Assessment-Ansatz von FAIR ist branchenübergreifend anwendbar.

3. ISO/IEC 27001

Das ist es: Bei ISO/IEC 27001 handelt es sich um einen internationalen Standard, der mit Leitlinien in Sachen IT-Security-Management unterstützt. Ursprünglich wurde er im Jahr 2005 gemeinschaftlich von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) veröffentlicht – und wird seither sukzessive überarbeitet.

Das kann es: ISO/IEC 27001 ist laut den Verantwortlichen ein Guide für Unternehmen jeder Größe und aus sämtlichen Branchen, um ein Information-Security-Management-System (ISMS) aufzusetzen, zu implementieren, zu warten und fortlaufend zu verbessern.

So funktioniert es: ISO/IEC 27001 fördert einen ganzheitlichen Cybersicherheitsansatz, der Menschen, Richtlinien und Technologie auf den Prüfstand stellt. Ein auf dieser Grundlage erstelltes ISMS ist laut ISO ein Tool für Risikomanagement, Cyberresilienz und Operational Excellence.

Gut zu wissen: ISO/IEC-27001-konform zu sein bedeutet, einem weltweit eingesetzten Standard zu genügen und Datensicherheitsrisiken aktiv zu managen.

4. NIST Risk Management Framework

Das ist es: Das Risk Management Framework (RMF) wurde von der US-Behörde NIST (National Institute of Standards and Technology) entwickelt. Dieses Framework stellt einen umfassenden, wiederverwend- und messbaren, siebenstufigen Prozess in den Mittelpunkt, um IT- und Datenschutzrisiken zu managen. Dabei kommt eine ganze Reihe von NIST-eigenen Standards und Guidelines zur Anwendung, um die Implementierung von Risikomanagement-Initiativen zu unterstützen.

Das kann es: Laut NIST realisiert das RMF einen Prozess, der die Risikomanagementaktivitäten in den Bereichen Sicherheit, Datenschutz und Supply Chain in den Lebenszyklus der Systementwicklung integriert. Dabei berücksichtigt der Ansatz Effektivität, Effizienz und Einschränkungen durch geltende Gesetze, Direktiven, Anordnungen, Richtlinien, Standards oder Vorschriften.

So funktioniert es: Der siebenstufige Prozess des NIST RMF gliedert sich in.

1. wesentliche Aktivitäten, um die Organisation auf den Umgang mit Sicherheits- und Datenschutzrisiken vorzubereiten.
2. Systeme und Daten, die verarbeitet, gespeichert und übertragen werden, auf der Grundlage einer Impact-Analyse kategorisieren.
3. eine Reihe von Kontrollmaßnahmen auswählen, um Systeme auf der Grundlage einer Risikobewertung zu schützen.
4. Kontrollmaßnahmen implementieren – und dokumentieren, wie das vonstattengeht.
5. Kontrollmaßnahmen überprüfen und bewerten, ob diese wie gewünscht funktionieren.
6. Systembetrieb auf Grundlage einer risikobasierten Entscheidung autorisieren.
7. Implementierung und Systemrisiken kontinuierlich überwachen.

Gut zu wissen: Das RMF bietet einen verfahrenstechnischen und geordneten Prozess, um Organisation dabei zu unterstützen, Security in ihre allgemeinen Risikomanagement-Prozesse einzubetten.

5. OCTAVE

Das ist es: OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation (PDF)) ist ein Framework, um Risiken im Bereich der Cybersicherheit zu identifizieren und zu managen. Es wurde vom CERT-Team der Carnegie Mellon University in den USA entwickelt.

Das kann es: Dieses Risk-Assessment-Framework definiert eine umfassende Evaluierungsmethode. Diese ermöglicht Unternehmen nicht nur, missionskritische IT-Assets zu identifizieren, sondern auch die Bedrohungen, die mit diesen in Zusammenhang stehen und die Schwachstellen, die das erst ermöglichen.

So funktioniert es: Laut den Verantwortlichen ermöglicht die Zusammenstellung von IT-Assets, -Bedrohungen und –Schwachstellen Unternehmen, zu durchdringen, welche Daten wirklich bedroht sind. Mit diesem Verständnis ausgestattet, können die Anwender eine Schutzstrategie entwickeln und implementieren, um diese nachhaltig zu schützen.

Gut zu wissen: Das OCTAVE-Framework ist in zwei Versionen erhältlich.

• OCTAVE-S bietet eine vereinfachte Methodik, die auf kleinere Unternehmen mit flachen hierarchischen Strukturen ausgerichtet ist.
• OCTAVE Allegro ist hingegen ein umfassenderes Framework, das sich in erster Linie für große Unternehmen oder solche mit komplexen Strukturen eignet.

6. TARA

Das ist es: TARA (Threat Assessment and Remediation Analysis) stellt eine Engineering-Methodik dar, mit deren Hilfe, Sicherheitslücken identifiziert, bewertet und behoben werden können. Dieses Framework wurde von der Non-Profit-Organisation MITRE entwickelt.

Das kann es: Das Framework ist Teil des MITRE-Systemportfolios, das darauf ausgerichtet ist, die Cybersicherheitshygiene sowie die Resilienz von IT-Systemen in einem möglichst frühen Stadium (innerhalb des Beschaffungsprozesses) zu adressieren.

So funktioniert’s: Das TARA-Framework nutzt einen Datenkatalog, um Angriffsvektoren zu identifizieren, die genutzt werden könnten, um Systemschwachstellen auszunutzen sowie potenzielle Gegenmaßnahmen einzuleiten.

Gut zu wissen: TARA wurde ursprünglich im Jahr 2010 entwickelt und kam bereits in mehr als 30 Cyber-Risk-Assessments zum Einsatz. Dieses Framework eignet sich in besonderem Maße für Risikostudien, die sich auf Sicherheitsbedrohungen konzentrieren. (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.