Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
NIST 800-53: Ein Leitfaden zur Einhaltung

NIST 800-53: Ein Leitfaden zur Einhaltung

Mar 3, 2021

Der NIST 800-53-Standard bietet solide Richtlinien dafür, wie Organisationen angepasste Sicherheits- und Datenschutzkontrollen für ihre Informationssysteme auswählen und pflegen sollten. NIST SP 800-53 Revision 5 ist eines von vielen Compliance-Dokumenten, mit denen Sie sich vertraut machen müssen, wenn Sie mit Informationstechnologie arbeiten.

Dieser Beitrag zerlegt es für Sie in verständliche Teile, die die praktische Bedeutung und Anwendung des Standards hervorheben.

Ausgewählte verwandte Inhalte:

Was ist NIST 800-53?

NIST 800-53 ist ein Sicherheitskonformitätsstandard, der vom US-Handelsministerium und dem National Institute of Standards in Technology als Reaktion auf die sich schnell entwickelnden technologischen Fähigkeiten nationaler Gegner erstellt wurde. Er umfasst von dem Information Technology Laboratory (ITL) empfohlene Kontrollen.

NIST 800-53 ist für alle US-Bundesinformationssysteme außer denen, die mit der nationalen Sicherheit zusammenhängen, verpflichtend und technologieneutral. Allerdings können seine Richtlinien von jeder Organisation, die ein Informationssystem mit sensiblen oder regulierten Daten betreibt, übernommen werden. Es bietet einen Katalog von Datenschutz- und Sicherheitskontrollen zum Schutz vor einer Vielzahl von Bedrohungen, von Naturkatastrophen bis hin zu feindlichen Angriffen.

Ausgewählte verwandte Inhalte:

Der Standard hat sich weiterentwickelt, um Datenschutz- und Sicherheitskontrollen zu integrieren und die Integration mit anderen Cybersecurity- und Risikomanagementansätzen zu fördern. Insbesondere fügt er sich in den Geltungsbereich der Federal Information Processing Standards (FIPS) ein; FIPS fordert, dass Organisationen eine Mindestgrundlage an Sicherheitskontrollen implementieren, wie in NIST 800-53 definiert. Der NIST-Standard hilft Organisationen auch dabei, den Anforderungen des Federal Information Security Modernization Act (FISMA) zu entsprechen, der Sicherheits- und Datenschutzrichtlinien als Teil der Verwaltung von Bundesprogrammen festlegt.

Da die Informationsinfrastruktur weiter wächst und sich integriert, steigt auch die Notwendigkeit, Datenschutz und Sicherheit in jede Anwendung einzubauen, unabhängig davon, ob es sich um ein föderales oder privates System handelt. Mit dem umfassenden Satz an Kontrollen und Richtlinien in NIST 800-53 müssen private Organisationen das Rad nicht neu erfinden, um die Cybersicherheit aufrechtzuerhalten.

Was ist das Ziel von NIST 800-53?

Das Ziel des Sicherheits- und Datenschutzstandards ist dreifach:

  • Um einen umfassenden und flexiblen Katalog von Kontrollen für den aktuellen und zukünftigen Schutz basierend auf sich ändernder Technologie und Bedrohungen bereitzustellen
  • Um eine Grundlage für die Bewertung von Techniken und Prozessen zur Bestimmung der Kontrolleffektivität zu entwickeln
  • Um die Kommunikation in Organisationen durch einen gemeinsamen Wortschatz für die Diskussion von Risikomanagementkonzepten zu verbessern

Die durch die NIST Special Publication (SP) 800-53 festgelegten Kontrollen sind darauf ausgelegt, das Risikomanagement für jede Organisation oder jedes System zu verbessern, das Informationen verarbeitet, speichert oder überträgt.

Ausgewählte verwandte Inhalte:

Wer muss sich an NIST 800-53 halten?

Der Standard ist verpflichtend für föderale Informationssysteme, Organisationen und Behörden. Jede Organisation, die mit der Bundesregierung zusammenarbeitet, muss ebenfalls NIST 800-53 einhalten, um die Beziehung aufrechtzuerhalten.

Allerdings bietet der Standard ein solides Rahmenwerk für jede Organisation, um ihre Praktiken zur Informationssicherheit zu entwickeln, zu pflegen und zu verbessern, einschließlich staatlicher, lokaler und Stammesregierungen sowie privater Unternehmen, von KMUs bis hin zu Großunternehmen.

Was sind die Vorteile von NIST 800-53?

Der bedeutendste Vorteil des Standards sind sicherere Informationssysteme. Private Organisationen halten sich freiwillig an NIST 800-53, weil seine 18 Kontrollfamilien ihnen dabei helfen, die Herausforderung zu meistern, die angemessenen grundlegenden Sicherheitskontrollen, Richtlinien und Verfahren auszuwählen, um Informationssicherheit und Datenschutz zu gewährleisten.

Darüber hinaus werden Sie dazu ermutigt, jede ausgewählte Sicherheits- und Datenschutzkontrolle auf ihre Anwendbarkeit für Ihre Infrastruktur und Umgebung zu analysieren. Dieser Anpassungsprozess trägt nicht nur zu Sicherheit und Compliance bei, sondern auch zum Geschäftserfolg. Er fördert die konsistente, kosteneffektive Anwendung von Kontrollen über Ihre Informationstechnologie-Infrastruktur hinweg.

Schließlich hilft Ihnen die Befolgung der NIST 800-53-Richtlinien dabei, eine solide Grundlage für die Einhaltung anderer Vorschriften und Programme wie HIPAA, DFARS, PCI DSS und GDPR zu schaffen.

Welche Daten schützt NIST SP 800-53?

Obwohl der Standard keine Liste spezifischer Informationstypen bereitstellt, bietet er Empfehlungen zur Klassifizierung der Datentypen, die Ihre Organisation erstellt, speichert und übermittelt. Zum Beispiel könnte eine Klassifizierung „geschützt“ sein; diese Daten könnten Kundennamen, Geburtsdaten und Sozialversicherungsnummern umfassen.

Ausgewählte verwandte Inhalte:

NIST 800-53 Sicherheitskontrollen

NIST 800-53 bietet einen Katalog von Sicherheits- und Datenschutzkontrollen sowie eine Anleitung zur Auswahl. Jede Organisation sollte Kontrollen basierend auf den Schutzanforderungen ihrer verschiedenen Inhaltstypen auswählen. Dies erfordert eine sorgfältige Risikobewertung und Analyse der Auswirkungen von Vorfällen auf verschiedene Daten und Informationssysteme. FIPS 199 definiert drei Auswirkungsebenen:

  • Niedrig — Ein Verlust hätte begrenzte nachteilige Auswirkungen.
  • Moderat — Ein Verlust hätte eine ernsthafte nachteilige Auswirkung.
  • Hoch — Ein Verlust hätte katastrophale Auswirkungen.

Sicherheit und Kontrollfamilien

Die NIST 800-53-Kontrollen sind in die folgenden 20 Familien eingeteilt:

ID

Familienname

Beispiele für Kontrollen

AC

Zugriffskontrolle

Kontenverwaltung und -überwachung; Prinzip der minimalen Rechte; Funktionstrennung

AT

Bewusstsein und Schulung

Benutzerschulung zu Sicherheitsbedrohungen; technisches Training für privilegierte Benutzer

AU

Audit und Rechenschaftspflicht

Inhalt der Auditprotokolle; Analyse und Berichterstattung; Aufbewahrung der Protokolle

CA

Bewertung, Autorisierung und Überwachung

Verbindungen zu öffentlichen Netzwerken und externen Systemen; Penetrationstests

CM

Konfigurationsmanagement

Richtlinien für autorisierte Software, Kontrolle von Konfigurationsänderungen

CP

Notfallplanung

Alternative Verarbeitungs- und Speicherorte; Geschäftskontinuitätsstrategien; Tests

IA

Identifikation und Authentifizierung

Authentifizierungsrichtlinien für Benutzer, Geräte und Dienste; Credential Management

IP

Individuelle Teilnahme

Einwilligung und Datenschutzgenehmigung

IR

Incident Response

Schulung, Überwachung und Berichterstattung zum Vorfallmanagement

MA

Wartung

System-, Personal- und Werkzeugwartung

MP

Medienschutz

Zugriff, Speicherung, Transport, Säuberung und Nutzung von Medien

Privileged Access

Datenschutzautorisierung

Sammlung, Nutzung und Weitergabe von personenbezogenen Daten (PII)

PE

Physischer und Umgebungsschutz

Physischer Zugang; Notstrom; Brandschutz; Temperaturkontrolle

PL

Planung

Einschränkungen in sozialen Medien und Netzwerken; mehrschichtige Sicherheitsarchitektur

PM

Programmmanagement

Risikomanagementstrategie; Insider Threat Programm; Unternehmensarchitektur

PS

Personalsicherheit

Überprüfung, Beendigung und Versetzung von Personal; externes Personal; Sanktionen

RA

Risikobewertung

Risikobewertung; Schwachstellenanalyse; Datenschutz-Folgenabschätzung

SA

System- und Dienstbeschaffung

Systementwicklungslebenszyklus; Beschaffungsprozess; Risikomanagement in der Lieferkette

SC

System- und Kommunikationsschutz

Anwendungspartitionierung; Grenzschutz; Kryptografisches Schlüsselmanagement

SI

System- und Informationsintegrität

Behebung von Schwachstellen; Systemüberwachung und Alarmierung

Tipps für die NIST 800-53-Konformität

Die folgenden bewährten Methoden helfen Ihnen dabei, geeignete Sicherheits- und Datenschutzkontrollen für die NIST SP 800-53-Konformität auszuwählen und zu implementieren.

  • Identifizieren Sie Ihre sensiblen Daten. Finden Sie heraus, mit welchen Daten Ihre Organisation arbeitet, wo diese gespeichert sind und wie sie empfangen, verwaltet und übertragen werden. Sensible Daten können über mehrere Systeme und Anwendungen verteilt sein; sie befinden sich nicht unbedingt nur dort, wo Sie es vermuten.
  • Klassifizieren Sie sensible Daten. Kategorisieren und kennzeichnen Sie Ihre Daten entsprechend ihrem Wert und ihrer Sensibilität. Weisen Sie jedem Informationstyp einen Auswirkungswert (niedrig, moderat oder hoch) für jedes Sicherheitsziel (Vertraulichkeit, Integrität und Verfügbarkeit) zu und kategorisieren Sie ihn auf der höchsten Auswirkungsstufe. Konsultieren Sie FIPS 199 für angemessene Sicherheitskategorien und Auswirkungsstufen, die sich auf die Ziele, die Mission und den Geschäftserfolg Ihrer Organisation beziehen. Automatisieren Sie die Entdeckung und Klassifizierung, um den Prozess zu vereinfachen und konsistente, zuverlässige Ergebnisse zu gewährleisten.
  • Bewerten Sie Ihr aktuelles Niveau der Cybersicherheit mit einer Risikobewertung. Auf einer hohen Ebene, risk assessment beinhaltet die Identifizierung von Risiken, die Bewertung der Wahrscheinlichkeit ihres Auftretens und ihrer potenziellen Auswirkungen, die Ergreifung von Maßnahmen zur Behebung der schwerwiegendsten Risiken und anschließend die Bewertung der Wirksamkeit dieser Maßnahmen.
  • Dokumentieren Sie einen Plan zur Verbesserung Ihrer Richtlinien und Verfahren. Wählen Sie Kontrollen basierend auf Ihren spezifischen Geschäftsanforderungen aus. Das Ausmaß und die Strenge des Auswahlprozesses sollten dem Einflussniveau des zu mindernden Risikos entsprechen. Dokumentieren Sie Ihren Plan und die Begründung für jede Auswahl von Kontrolle und Richtlinie.
  • Bieten Sie kontinuierliche Mitarbeiterschulungen an. Schulen Sie alle Mitarbeiter in Zugriffssteuerung und Cybersicherheits-Best Practices, wie zum Beispiel das Erkennen und Melden von Malware.
  • Machen Sie Compliance zu einem fortlaufenden Prozess. Sobald Sie Ihr System in Übereinstimmung mit NIST 800-53 gebracht haben, halten und verbessern Sie Ihre Compliance mit regelmäßigen Systemaudits, besonders nach einem Sicherheitsvorfall.

Ausgewählte verwandte Inhalte:

Fazit

Alle Bundesbehörden und Organisationen müssen die NIST 800-53 einhalten, und wenn Sie mit ihnen Geschäfte machen, müssen Sie ebenfalls konform sein. Konformität ist keine Anforderung für Organisationen, die keine Geschäfte mit der Bundesregierung tätigen, aber die Einhaltung des Standards wird Ihnen helfen, eine starke Grundlage für die Konformität mit einer breiten Palette anderer Vorschriften, wie HIPAA und GDPR, zu schaffen, sodass Sie das Rad nicht jedes Mal neu erfinden müssen.

FAQ

  1. Was ist die NIST 800-Serie?

Die NIST 800 series ist eine Sammlung von Dokumenten, die Richtlinien, Verfahren und Leitlinien der US-Bundesregierung für die Sicherheit von Informationssystemen beschreiben.

  1. Was ist NIST 800-53?

NIST 800-53 ist ein regulatorischer Standard, der die Mindestanforderungen an Sicherheitskontrollen für alle US-Bundesinformationssysteme außer denen, die mit der nationalen Sicherheit zusammenhängen, definiert. Er legt die Mindestanforderungen an Sicherheitskontrollen fest, die vom Federal Information Processing Standard (FIPS) gefordert werden.

  1. Was ist der Zweck von NIST 800-53?

NIST 800-53 hilft Organisationen aller Art, ihre Informationssicherheitssysteme ordnungsgemäß zu architekturieren und zu verwalten und die Anforderungen des Federal Information Security Modernization Act (FISMA) zu erfüllen. Es bietet einen umfangreichen Katalog von Kontrollen zur Stärkung der Sicherheit und des Datenschutzes.

  1. Wie viele Kontrollen sind im NIST 800-53 beschrieben?

NIST 800-53 umfasst 20 Kontrollfamilien mit über 1.000 einzelnen Kontrollen. Jede Familie bezieht sich auf ein spezifisches Thema, wie zum Beispiel Zugriffskontrolle.

  1. Was ist die aktuelle Version von NIST 800-53?

NIST 800-53 Revision 5 wurde im September 2020 veröffentlicht.

  1. Wer muss sich an NIST 800-53 halten?

NIST 800-53 ist nur für föderale Informationssysteme aller Behörden und Organisationen verpflichtend. Die Richtlinien sind jedoch auch für staatliche, lokale und Stammesregierungen sowie private Unternehmen sehr nützlich.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Mike Tierney

Ehemaliger VP of Customer Success

Ehemaliger VP of Customer Success bei Netwrix. Er verfügt über einen vielfältigen Hintergrund, den er sich über 20 Jahre in der Softwarebranche aufgebaut hat, und hatte CEO-, COO- und VP Product Management-Positionen bei mehreren Unternehmen inne, die sich auf Sicherheit, Compliance und die Steigerung der Produktivität von IT-Teams konzentrieren.

Erfahren Sie mehr zu diesem Thema

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Was ist elektronisches Records Management?

Quantitative Risikoanalyse: Jährliche Verlust Erwartung

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen