Das eine Dokument, das Sicherheitskontrollen des Bundes regelt
NIST Special Publication 800-53 — das ist die Antwort auf die Frage, welche Leitlinie Informationssicherheitskontrollen des Bundes identifiziert. Nicht FISMA selbst, kein OMB-Memo, keine CIO-Direktive. NIST SP 800-53 ist der maßgebliche Katalog von Sicherheits- und Datenschutzkontrollen für föderale Informationssysteme. Revision 5, veröffentlicht im September 2020, erweiterte den Geltungsbereich erheblich. Jede Bundesbehörde, die unter FISMA operiert, muss ihn verwenden.
Aber den Dokumentnamen zu kennen ist der einfache Teil. Zu verstehen, wie diese Kontrollen tatsächlich funktionieren — und wie sie sich mit dem Privacy Act von 1974, dem E-Government Act von 2002, OMB Circular A-130 und den Mechanismen von Datenschutz-Folgenabschätzungen überschneiden — das ist die eigentliche Herausforderung für Compliance-Teams.
FISMA, OMB und das NIST-Framework-Ökosystem
Der Federal Information Security Modernization Act (FISMA) von 2014 verpflichtet Bundesbehörden zur Implementierung risikobasierter Informationssicherheitsprogramme. FISMA ist jedoch ein Autorisierungsrahmen, kein Kontrollkatalog. NIST sagt ihnen, wie sie vorgehen sollen. Die Hierarchie: FISMA setzt die gesetzliche Anforderung. OMB Circular A-130 legt die Richtlinien fest. NIST SP 800-53 liefert die eigentlichen Kontrollen. NIST SP 800-37, das Risk Management Framework (RMF), definiert den Prozess für Auswahl, Implementierung und Bewertung dieser Kontrollen.
NIST SP 800-53 Rev 5 organisiert Kontrollen in 20 Familien. Die PT-Familie ist die wichtigste Ergänzung in Rev 5 und integriert Datenschutzkontrollen direkt in den Sicherheitskontrollkatalog. Das bedeutet, dass Datenschutz- und Sicherheitsteams nicht mehr in getrennten Silos arbeiten können.
NIST SP 800-53 vs. NIST CSF 2.0
Verwechseln Sie SP 800-53 nicht mit dem NIST Cybersecurity Framework (CSF). Das CSF — in Version 2.0 im Februar 2024 aktualisiert — ist ein freiwilliges Framework für jede Organisation, nicht speziell für Bundesbehörden. SP 800-53 ist für föderale Systeme verpflichtend und enthält weitaus granularere, vorschreibende Kontrollen. SP 800-53 ist das Dokument, das direkt beantwortet, welche Leitlinien Informationssicherheitskontrollen des Bundes identifizieren.
Datenschutz-Folgenabschätzungen: Definition und Zweck
Eine Datenschutz-Folgenabschätzung (Privacy Impact Assessment, PIA) ist eine strukturierte Analyse zur Identifizierung und Minderung von Datenschutzrisiken, bevor eine Bundesbehörde ein neues IT-System einführt oder ein bestehendes wesentlich ändert. Die gesetzliche Grundlage ist Section 208 des E-Government Act von 2002. PIAs müssen abgeschlossen sein, bevor Systeme eingesetzt werden, bevor sie personenbezogene Informationen sammeln, und bevor Behörden wesentliche Änderungen an bestehenden Systemen vornehmen.
Was muss eine Datenschutz-Folgenabschätzung leisten?
PIAs müssen beschreiben, welche Informationen gesammelt werden und warum, den beabsichtigten Verwendungszweck erläutern, identifizieren, wer Zugang hat, die Sicherheitsmaßnahmen beschreiben, neue Datenschutzrisiken identifizieren, und Aufbewahrungsfristen sowie Löschverfahren darlegen. Der Zweck einer Datenschutz-Folgenabschätzung ist es, Privacy by Design in die föderale IT-Entwicklung einzubetten.
Was als PII gilt — und was nicht
Die föderale Definition von PII, aus OMB Memorandum M-07-16 und NIST SP 800-122, definiert es als jede Information, die allein oder in Kombination mit anderen Informationen zur Identifizierung einer Person verwendet werden kann. Klassische Beispiele — Sozialversicherungsnummern, Reisepassnummern, biometrische Daten — sind eindeutig PII. Eine IP-Adresse allein ist möglicherweise kein PII. Eine IP-Adresse kombiniert mit einem Benutzernamen und Browserverlauf ist es fast sicher.
Allgemeine Geschäftskontaktinformationen, aggregierte statistische Daten und ordnungsgemäß anonymisierte Datensätze stellen keine PII dar. Aber in 2026 sind Re-Identifikationstechniken erheblich ausgereifter geworden. Was vor fünf Jahren wie anonymisierte Daten aussah, kann heute durch maschinelle Lernkorrelationsangriffe re-identifizierbar sein.
Der Kontrollauswahlprozess im RMF
NIST SP 800-37 Rev 2 definiert einen mehrstufigen Prozess: Vorbereiten, Kategorisieren, Auswählen, Implementieren, Bewerten, Autorisieren und Überwachen. Für robuste Compliance-Automatisierung brauchen Organisationen die richtigen Werkzeuge, um die Implementierung von Kontrollen in diesem Maßstab zu verwalten. Kontinuierliche Überwachung ist keine Option. Cloud Security Posture Management-Plattformen können Cloud-Konfigurationen kontinuierlich gegen SP 800-53-Kontrollanforderungen bewerten. VM-Scanning-Tools ordnen Ergebnisse direkt SI-Kontrollen zu.
Datenschutzkontrollen in SP 800-53 Rev 5
Die PT-Familie umfasst jetzt unter anderem Datenschutz-Risikoabschätzung (PT-2), Verarbeitungstransparenz (PT-3), Verarbeitungszweck (PT-4) und Datenschutzhinweise (PT-5). Diese sind keine abstrakten Richtlinienanforderungen — sie übersetzen sich direkt in Systementwurfsentscheidungen, Einwilligungsabläufe und Anforderungen an die Prüfprotokollierung.
Wo moderne Sicherheitswerkzeuge passen
Föderale Compliance ist ein Engineering-Problem mit einem Dokumentationsoutput. Für Supply-Chain-Kontrollen in der SR-Familie adressiert Container-Image-Scanning SR-4 direkt. Policy-as-Code-Durchsetzung entspricht CM-Kontrollen. Secret Detection-Tools adressieren IA- und SC-Kontrollen gleichzeitig. Statische Anwendungssicherheitstests sind für föderale Softwarelieferanten keine Option mehr.
PIAs und Systemsicherheitspläne
Die PIA analysiert Datenschutzrisiken im Zusammenhang mit der PII-Sammlung. Der SSP dokumentiert, wie SP 800-53-Kontrollen implementiert werden. Die Überschneidung ist erheblich. Organisationen in hybriden Cloud-Umgebungen benötigen einen cloudnativen Ansatz für Cloud-Sicherheit. NIST SP 800-53 Rev 5 identifiziert föderale Informationssicherheitskontrollen. Compliance ist eine Engineering-Disziplin — automatisierte Werkzeuge und kontinuierliche Überwachung sind der Weg zu echtem Sicherheitsnachweis.

