GRC-Frameworks im Überblick: die wichtigsten Standards für Governance, Risk und Compliance
GRC-Frameworks kompakt erklärt: ISO 27001, NIST, COBIT, ITIL, NIS2, DORA und mehr – für wen sie gedacht sind und welchen Nutzen sie im Alltag bringen.
Was GRC-Frameworks leisten
GRC steht für Governance, Risk und Compliance – also dafür, ein Unternehmen sauber zu steuern, seine Risiken zu beherrschen und geltende Vorgaben einzuhalten. Die gute Nachricht: Für jede dieser Aufgaben gibt es erprobte Frameworks, die das Rad nicht neu erfinden lassen. Die schlechte: Es sind sehr viele, und der Markt wirkt schnell wie ein Buchstabensuppen-Dschungel.
Dieser Überblick ordnet die wichtigsten Standards nach Fokusbereichen. Zu jedem Framework steht kurz, für wen es gedacht ist und welchen Nutzen es bringt. Die für den EU- und DACH-Raum besonders relevanten Frameworks bekommen etwas mehr Raum, die regionalen und sehr speziellen sind als kurze Einträge erwähnt. So findest du schnell den passenden Startpunkt für dein eigenes Programm.
1. Governance und Compliance im Unternehmen
Diese Frameworks setzen den Rahmen darüber, wie eine Organisation insgesamt geführt und ihre Regeltreue organisiert wird.
ISO 37301 (Compliance-Management-Systeme)
Der internationale Standard für ein Compliance-Management-System. Für wen: jede Organisation, die Regeltreue strukturiert und nachweisbar steuern will. Nutzen: ein zertifizierbarer Rahmen, der Compliance vom Zufall zur gelebten Routine macht.
OCEG Red Book (GRC Capability Model)
Das Referenzmodell, das Governance, Risk und Compliance erstmals als ein zusammenhängendes System beschreibt. Für wen: GRC-Verantwortliche, die Silos zwischen den drei Disziplinen abbauen wollen. Nutzen: eine gemeinsame Sprache und ein Reifegradmodell für integrierte GRC.
Weitere Frameworks in diesem Bereich:
- ISO 37000 / 37004 / 37005 – Leitlinien für die Governance von Organisationen, vom Grundsatz bis zur Umsetzung.
- ISO 19011 – Leitfaden für das Auditieren von Managementsystemen, branchenübergreifend nützlich.
- EBA Guidelines on Internal Governance – Governance-Vorgaben der Europäischen Bankenaufsicht, relevant für Banken und Finanzinstitute.
2. Risikomanagement
Risiken methodisch erfassen, bewerten und steuern – darum geht es hier.
ISO 31000
Der branchenunabhängige Leitfaden für Risikomanagement. Für wen: jede Organisation, die Risiken systematisch und einheitlich behandeln will. Nutzen: ein gemeinsamer Prozess und ein gemeinsames Vokabular für Risiken über alle Abteilungen hinweg.
NIST Risk Management Framework (RMF)
Ein strukturierter sieben-Schritte-Prozess, der Sicherheit und Datenschutz über den gesamten Systemlebenszyklus hinweg steuert. Für wen: technisch geprägte Organisationen und alle im Umfeld US-amerikanischer Vorgaben. Nutzen: verzahnt Risikobewertung direkt mit konkreten Kontrollen.
ISO/IEC 27005
Die Konkretisierung von ISO 31000 für Informationssicherheitsrisiken, ergänzt durch ISO/IEC 27557 für Datenschutzrisiken. Für wen: ISMS-Teams, die ihre Risikobewertung normkonform aufstellen. Nutzen: der natürliche Risikobaustein zu ISO 27001.
FAIR (Factor Analysis of Information Risk)
Ein quantitatives Modell, das Cyberrisiken in Geldwerten ausdrückt. Für wen: Organisationen, die dem Management Risiken in Euro statt in Ampelfarben erklären wollen. Nutzen: versachlicht Budgetentscheidungen durch belastbare Zahlen.
Weitere Frameworks in diesem Bereich:
- ISACA Risk IT / COBIT Focus Area: I&T Risk – IT-Risiken im Governance-Kontext von COBIT.
- IRAM2 – die Risikomethodik des Information Security Forum, sehr praxisnah.
- EBIOS Risk Manager – die in Frankreich verbreitete, szenariobasierte Methode der ANSSI.
3. Cybersecurity-Programm / ISMS
Das Herzstück für jeden, der Informationssicherheit als Managementsystem aufzieht.
ISO/IEC 27001
Der weltweit führende, zertifizierbare Standard für ein Informationssicherheits-Managementsystem (ISMS). Für wen: Organisationen jeder Größe, die Informationssicherheit nachweisbar und auditierbar betreiben wollen. Nutzen: ein anerkanntes Zertifikat, das Kunden und Aufsicht Vertrauen gibt. Die Details zu Aufbau und Prüfung findest du im Beitrag zu den 16 ISO-27001-Kontrollbereichen und ihren Nachweisen.
NIST Cybersecurity Framework (CSF)
Ein flexibles Rahmenwerk mit den Funktionen Govern, Identify, Protect, Detect, Respond und Recover. Für wen: Organisationen, die ihre Cyber-Reife pragmatisch und ohne Zertifizierungsdruck einordnen wollen. Nutzen: schneller Einstieg und gute Kommunikationsbasis mit dem Management.
Weitere Frameworks in diesem Bereich:
- ISF Standard of Good Practice (SoGP) – sehr umfassende Good-Practice-Sammlung des Information Security Forum.
- COBIT Focus Area: Information Security – Informationssicherheit aus der Governance-Perspektive von COBIT.
- NCA ECC (Saudi-Arabien), AICD Cyber Security Governance Principles (Australien) und das Canadian Cyber Security Readiness Toolkit – regionale Programme mit ähnlicher Stoßrichtung.
4. Informationssicherheits-Controls
Wenn das Managementsystem steht, liefern diese Kataloge die konkreten Maßnahmen.
ISO/IEC 27002
Der Maßnahmenkatalog zu ISO 27001 mit detaillierter Umsetzungsanleitung für die 93 Controls. Für wen: ISMS-Teams in der Umsetzungsphase. Nutzen: macht aus den abstrakten Control-Zielen konkrete, anwendbare Maßnahmen.
NIST 800-53
Ein sehr umfangreicher Katalog an Sicherheits- und Datenschutzkontrollen, ergänzt durch 800-53A für die Bewertung. Für wen: große oder regulierte Organisationen mit hohem Schutzbedarf. Nutzen: Tiefe und Granularität, die kaum ein anderer Katalog erreicht.
CIS Critical Security Controls
Eine priorisierte Liste der wirksamsten Schutzmaßnahmen, in Umsetzungsstufen gegliedert. Für wen: Teams, die mit begrenzten Ressourcen schnell den größten Effekt erzielen wollen. Nutzen: klare Reihenfolge, was zuerst zu tun ist.
Weitere Frameworks in diesem Bereich:
- UK Cyber Essentials – kompakter Basisschutz-Nachweis aus Großbritannien, ideal für KMU.
- CyFun (CyberFundamentals) – das gestufte belgische Framework, eng an NIST CSF angelehnt.
- Australian ISM und NZISM – die nationalen Sicherheitshandbücher Australiens und Neuseelands.
5. Branchenspezifische Sicherheit
Manche Branchen haben eigene, oft verpflichtende Anforderungen.
PCI DSS
Der Sicherheitsstandard für alle, die Kreditkartendaten verarbeiten, speichern oder übertragen. Für wen: Händler, Zahlungsdienstleister und ihre Dienstleister. Nutzen: vertraglich oft Pflicht und schützt vor teuren Datenpannen im Zahlungsverkehr.
SOC 2
Ein Prüfbericht nach den Trust Services Criteria, der die Kontrollen eines Dienstleisters belegt. Für wen: SaaS- und Service-Anbieter, vor allem im US-Geschäft. Nutzen: ein anerkannter Vertrauensnachweis gegenüber B2B-Kunden.
IEC 62443
Die Normenreihe für die Sicherheit industrieller Automatisierungs- und Steuerungssysteme (OT/IACS). Für wen: Industrie, Maschinenbau und Betreiber kritischer Anlagen – im DACH-Raum besonders relevant. Nutzen: schließt die Lücke zwischen klassischer IT- und Produktionssicherheit.
CSA Cloud Controls Matrix (CCM)
Ein Cloud-spezifischer Kontrollkatalog der Cloud Security Alliance. Für wen: Cloud-Anbieter und -Nutzer, die Verantwortlichkeiten sauber abgrenzen wollen. Nutzen: ein gemeinsamer Maßstab für Cloud-Sicherheit über das Shared-Responsibility-Modell.
Weitere Frameworks in diesem Bereich:
- ENISA NIS2 Technical Implementation Guidance – konkrete technische Hilfestellung zur Umsetzung der NIS2-Pflichten in der EU.
- NOREA DORA in Control – Kontrollrahmen für DORA im europäischen Finanzsektor.
- ETSI CYBER (Telekommunikation) und Katakri (Verschlusssachen in Finnland) – stark spezialisierte Branchenwerke.
6. Vereinheitlichte (harmonisierte) Frameworks
Wer mehrere Standards gleichzeitig bedienen muss, will nicht jede Anforderung doppelt erfüllen.
HITRUST CSF
Ein zertifizierbares Framework, das zahlreiche Standards und Regularien in einem Kontrollset bündelt. Für wen: stark regulierte Branchen, traditionell das US-Gesundheitswesen. Nutzen: ein Audit, das viele Anforderungen gleichzeitig abdeckt.
Secure Controls Framework (SCF)
Ein kostenlos verfügbares Meta-Framework mit Mapping zu hunderten Normen und Gesetzen. Für wen: Organisationen mit vielen parallelen Compliance-Pflichten. Nutzen: einmal umsetzen, mehrfach nachweisen – über sauberes Crosswalk-Mapping.
Weitere Frameworks in diesem Bereich:
- Unified Compliance Framework (UCF) – eine kommerzielle Datenbank, die Tausende Vorgaben harmonisiert.
7. Datenschutz und PIMS
Datenschutz braucht ein eigenes Managementsystem, das sich aber gut an die Informationssicherheit andockt.
ISO/IEC 27701 (PIMS)
Die Datenschutz-Erweiterung von ISO 27001 zum Privacy Information Management System. Für wen: Organisationen, die Datenschutz auf ihr bestehendes ISMS aufsetzen wollen. Nutzen: zertifizierbarer Datenschutz, der DSGVO-Pflichten strukturiert abbildet.
Standard-Datenschutzmodell (SDM)
Das Methodenmodell der deutschen Datenschutzaufsichtsbehörden zur Umsetzung der DSGVO über Gewährleistungsziele. Für wen: Behörden und Unternehmen im DACH-Raum. Nutzen: übersetzt die abstrakten DSGVO-Vorgaben in prüfbare technische und organisatorische Maßnahmen.
NIST Privacy Framework
Ein an das NIST CSF angelehntes Rahmenwerk für Datenschutzrisiken. Für wen: Organisationen, die Datenschutz risikobasiert steuern. Nutzen: verbindet Privacy nahtlos mit dem bestehenden Cyber-Risikomanagement.
Weitere Frameworks in diesem Bereich:
- ISO/IEC 29100 – das begriffliche Datenschutz-Rahmenwerk, Grundlage vieler weiterer Normen.
- ICO Accountability Framework (UK) und NOREA Privacy Framework (NL) – nationale Accountability-Modelle.
- Nymity PMAF – ein praxisnahes Accountability-Modell für Datenschutzprogramme.
8. IT-Governance und IT-Service-Management
Damit IT verlässlich liefert und sich an Geschäftsziele bindet.
ITIL
Die meistgenutzte Sammlung von Good Practices für IT-Service-Management. Für wen: IT-Organisationen, die ihren Betrieb prozessorientiert aufstellen. Nutzen: etablierte Prozesse für Incidents, Changes und Services aus einem Guss.
COBIT
Das führende Rahmenwerk für die Governance und das Management von Unternehmens-IT. Für wen: Management und Auditierende, die IT an Geschäftszielen ausrichten. Nutzen: verbindet IT-Ziele, Risiken und Kontrollen in einem durchgängigen Modell.
ISO/IEC 20000
Der zertifizierbare Standard für IT-Service-Management. Für wen: Dienstleister, die ihre Service-Qualität formal nachweisen wollen. Nutzen: das Zertifikat zur gelebten ITIL-Praxis.
Weitere Frameworks in diesem Bereich:
- ISO/IEC 38500 / 38501 / 38502 – Leitlinien für die Governance von IT auf Leitungsebene.
- SAMA IT Governance Framework – verpflichtender Rahmen für den Finanzsektor in Saudi-Arabien.
9. Business Continuity / BCMS
Den Betrieb auch im Krisenfall aufrechterhalten.
ISO 22301
Der internationale Standard für ein Business-Continuity-Managementsystem. Für wen: Organisationen, deren Ausfall teuer oder gefährlich wäre. Nutzen: ein zertifizierbarer Rahmen für Notfallpläne, Wiederanlaufziele und regelmäßige Übungen.
Weitere Frameworks in diesem Bereich:
- BCI Good Practice Guidelines – die praxisorientierte Wissensbasis des Business Continuity Institute.
- FEMA/CISA Guidance (USA) und die NHS England BCM-Toolkit (UK) – sektorale Hilfestellungen.
- SAMA Business Continuity Framework – Vorgabe für den saudischen Finanzsektor.
10. KI-Governance / AIMS
Mit dem Aufstieg der künstlichen Intelligenz kommt eine neue Familie von Frameworks hinzu.
ISO/IEC 42001 (AIMS)
Der erste zertifizierbare Standard für ein KI-Managementsystem. Für wen: Organisationen, die KI entwickeln oder einsetzen und das verantwortungsvoll nachweisen wollen. Nutzen: der ISO-27001-Moment für KI – ein auditierbarer Governance-Rahmen, der gut zum EU AI Act passt.
NIST AI Risk Management Framework (AI RMF)
Ein freiwilliges Rahmenwerk zur Steuerung von KI-Risiken über die Funktionen Govern, Map, Measure und Manage. Für wen: alle, die KI-Risiken pragmatisch einordnen wollen. Nutzen: schneller, zertifizierungsfreier Einstieg in vertrauenswürdige KI.
OECD AI Principles
Die international breit getragenen Grundsätze für vertrauenswürdige KI. Für wen: politische und strategische Ebene. Nutzen: das Wertegerüst, auf dem viele Regularien und Standards aufbauen.
Weitere Frameworks in diesem Bereich:
- Microsoft Responsible AI Standard und Databricks AI Governance Framework (DAGF) – herstellernahe, praxisorientierte Leitfäden.
11. KI-Sicherheit
Hier geht es um die Absicherung von KI-Systemen selbst – gegen Manipulation, Datenabfluss und Missbrauch.
Guidelines for Secure AI System Development (NCSC/CISA)
Gemeinsame Leitlinien führender Cyberbehörden für sichere KI-Entwicklung über den gesamten Lebenszyklus. Für wen: Entwicklungsteams von KI-Systemen. Nutzen: behördlich getragene, konkrete Sicherheitsanforderungen für KI.
CSA AI Controls Matrix (AICM)
Ein Kontrollkatalog der Cloud Security Alliance speziell für KI-Sicherheit. Für wen: Anbieter und Nutzer von KI-Diensten. Nutzen: ein strukturiertes Kontrollset für KI-spezifische Risiken.
Weitere Frameworks in diesem Bereich:
- Databricks AI Security Framework (DASF) und SAIL (Secure AI Lifecycle) – herstellernahe Sicherheitsmodelle.
- SANS Critical AI Security Guidelines – praxisnahe Empfehlungen aus der SANS-Community.
12. Betrugsbekämpfung / FCMS
Ein eigener, oft übersehener GRC-Zweig.
ISO 37003 (FCMS)
Der internationale Standard für ein Fraud-Control-Managementsystem. Für wen: Organisationen mit erhöhtem Betrugsrisiko, etwa im Finanz- und Handelsumfeld. Nutzen: ein strukturierter Rahmen, um Betrug vorzubeugen, ihn zu erkennen und darauf zu reagieren.
Weitere Frameworks in diesem Bereich:
- UK Fraud Prevention Standard und SAMA Counter-Fraud Framework – nationale bzw. sektorale Antibetrugs-Vorgaben.
EU-Regulierungen, die den Rahmen setzen
Frameworks sind freiwillige Hilfsmittel. Im EU-Raum geben darüber hinaus verbindliche Regulierungen vor, was Pflicht ist – und an ihnen führt für viele Organisationen kein Weg vorbei.
DSGVO (GDPR)
Die EU-Datenschutz-Grundverordnung (Regulation (EU) 2016/679). Für wen: jede Organisation, die personenbezogene Daten von EU-Bürgern verarbeitet. Nutzen: der rechtliche Maßstab, an dem sich jedes Datenschutzprogramm messen lassen muss.
NIS2
Die Richtlinie (EU) 2022/2555 für ein hohes gemeinsames Cybersicherheitsniveau. Für wen: wesentliche und wichtige Einrichtungen in vielen Branchen – deutlich mehr als unter NIS1. Nutzen: verbindliche Mindestanforderungen an Risikomanagement, Meldepflichten und Lieferkettensicherheit.
DORA
Der Digital Operational Resilience Act (Regulation (EU) 2022/2554). Für wen: Finanzunternehmen und ihre IKT-Dienstleister. Nutzen: harmonisiert die digitale operationelle Resilienz im gesamten EU-Finanzsektor.
EU AI Act
Die KI-Verordnung (Regulation (EU) 2024/1689). Für wen: Anbieter und Betreiber von KI-Systemen mit EU-Bezug. Nutzen: ein risikobasierter Rechtsrahmen, der ISO/IEC 42001 als Umsetzungshilfe geradezu einlädt.
Cyber Resilience Act (CRA)
Die Verordnung (EU) 2024/2847 für Produkte mit digitalen Elementen. Für wen: Hersteller von Hard- und Software. Nutzen: verankert Security-by-Design und Update-Pflichten verbindlich über den Produktlebenszyklus.
Welches Framework passt zu dir?
Niemand braucht alle diese Frameworks. Der richtige Einstieg hängt von Zielen und Pflichten ab: Für ein zertifizierbares Sicherheitsfundament führt der Weg über ISO 27001, ergänzt um die Maßnahmen aus ISO 27002 oder den CIS Controls. Wer vor allem regulatorisch getrieben ist, beginnt bei den EU-Vorgaben NIS2, DORA oder dem AI Act und nutzt die passenden Frameworks als Umsetzungshilfe. Und wer mehrere Standards gleichzeitig bedienen muss, spart mit einem harmonisierten Ansatz wie dem SCF viel Doppelarbeit.
Wie du diese Grundlagen einordnest, zeigt der Beitrag zu den Cybersecurity-Grundlagen. Den konkreten Aufbau eines prüfungsfesten ISMS beschreibt der Artikel zu den ISO-27001-Kontrollbereichen und ihren Nachweisen. Und wie ein LLM bei Richtlinien, Risikoanalysen und Audit-Vorbereitung unterstützt, liest du in ChatGPT für CISOs. Wenn du den Reifegrad deines Programms bestimmen willst, ist ein strukturiertes Cybersecurity-Assessment der nächste sinnvolle Schritt.
Mehr aus „Security & Datenschutz"
ISO 27001: 16 Kontrollbereiche und die Nachweise, die im Audit zählen
ISO 27001 verständlich erklärt: die 16 zentralen Kontrollbereiche mit ihren Richtlinien, Verfahren und vor allem den Nachweisen, die im Audit den Unterschied machen.
WeiterlesenChatGPT für CISOs
ChatGPT für CISOs: So nutzt Du das LLM im ISMS für Richtlinien, Risikoanalysen und NIS2-Umsetzung, inkl. praxiserprobter Prompts und ISO27001-Workflow.
WeiterlesenTools für ein technisches Security Audit
Tools für ein technisches Security Audit: Netzwerk-Sniffer, Vulnerability-Scanner, Pentest-Werkzeuge und Methodologien zum Aufdecken von Schwachstellen.
WeiterlesenÜber diesen Blog
Ein Sammelsurium an Denkanstößen.
Hier sammle ich Wissen, Argumente und Links zu allem, was mich beschäftigt — von Technik über Küche bis Nachhaltigkeit. Beruflich berate ich zu Cybersecurity.