NIST Cybersecurity Framework 2.0 – Ein Leitfaden für IT-Sicherheit
Das NIST Cybersecurity Framework (CSF) 2.0 ist eine überarbeitete Version des beliebten Frameworks zur Verbesserung der Cybersicherheit. Die aktuelle Version wurde am 26. Februar 2024 veröffentlicht und wurde um aktuelle Themen wie Cloud oder AI erweitert.
Cybersecurity Frameworks helfen dabei, den Schutz von Informationen in Unternehmen zu bewerten und Pläne zur Verbesserung zu erstellen. Das NIST CSF wurde 2018 in Version 1.1 veröffentlicht, basierend auf einer Anordnung von US-Präsident Obama aus 2014.
In diesem Artikel werfen wir einen detaillierten Blick auf die Änderungen gegenüber Version 1.1, erklären die Struktur des Frameworks und gehen auf seine Kernbestandteile Governance, Indentifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen ein. Zudem wird das Tier-Modell vorgestellt und die praktische Anwendung des CSF erläutert. Abschliessend vergleichen wir NIST CSF 2.0 mit anderen etablierten Standards.
© Storyblocks, Registriert auf Andreas Wisler
Änderungen
Die Version 2.0 bringt eine Reihe wichtiger Anpassungen mit sich:
- Governance als eigenständige Funktion: Ein neuer Schwerpunkt liegt auf der Unternehmensführung und der strategischen Einbettung von Cybersicherheit in Geschäftsprozesse.
- Erweiterte Tiers: Die Definition der CSF-Tiers wurde klarer gefasst, um eine bessere Differenzierung des Sicherheitsniveaus in Organisationen zu ermöglichen.
- Bessere Integration mit anderen Frameworks: CSF 2.0 erleichtert die Verbindung mit ISO 27001, COBIT und anderen etablierten Normen.
- Fokus auf kleinere Unternehmen: Neue Quick-Start Guides und Implementierungshilfen erleichtern die Nutzung für KMUs.
- Detaillierte Online-Ressourcen: NIST bietet ergänzende Implementierungsbeispiele, Referenzmaterialien und Community-Profile.
Struktur
Das CSF 2.0 besteht aus drei Hauptkomponenten:
- CSF Core – Enthält sechs Hauptfunktionen: Govern, Identify, Schützen, Detect, Respond und Recover.
- CSF Profiles – Organisationen können eigene Profile erstellen, um ihren aktuellen und gewünschten Sicherheitsstatus zu definieren.
- CSF Tiers – Eine vierstufige Reifegradbewertung, die hilft, das Sicherheitsniveau zu bestimmen.
- Governance (GV) – Governance als Grundpfeiler
- Definiert Richtlinien, Verantwortlichkeiten und Risiken
- Beinhaltet Cybersecurity-Strategien und die Verwaltung von Lieferkettenrisiken
- Identify / Identifizieren (ID) – Risiken und Assets identifizieren
- Verwaltung von IT-Assets (Hardware, Software, Daten, Services)
- Risikobewertungen und Verbesserungspotenziale analysieren
- Protect / Schützen (PR) – Schutzmassnahmen umsetzen
- Identitäts- und Zugriffsmanagement (IAM)
- Plattform- und Netzwerksicherheit
- Mitarbeiterschulungen und Sicherheitsmassnahmen
- Detect / Erkennen (DE) – Bedrohungen erkennen
- Kontinuierliche Überwachung von Systemen
- Analyse von Sicherheitsvorfällen
- Respond / Reagieren (RS) – Reaktion auf Vorfälle
- Vorfallsanalyse und Management
- Kommunikation mit internen und externen Stakeholdern
- Recover / Wiederherstellen (RC) – Wiederherstellung nach Angriffen
- Implementierung von Wiederherstellungsplänen
- Kommunikation und Evaluierung nach Vorfällen
Das Framework verfügt insgesamt über die erwähnten 6 Funktionen, 22 Kategorien mit gesamthaft 106 Subkategorien.
| Function | Category | Category Identifier |
| Govern (GV) | Organizational Context | GV.OC |
| Risk Management Strategy | GV.RM | |
| Roles, Responsibilities, and Authorities | GV.RR | |
| Policy | GV.PO | |
| Oversight | GV.OV | |
| Cybersecurity Supply Chain Risk Management | GV.SC | |
| Identify (ID) | Asset Management | ID.AM |
| Risk Assessment | ID.RA | |
| Improvement | ID.IM | |
| Protect (PR) | Indentifizieren Management, Authentication, and Access Control | PR.AA |
| Awareness and Training | PR.AT | |
| Data Security | PR.DS | |
| Platform Security | PR.PS | |
| Technology Infrastructure Resilience | PR.IR | |
| Detect (DE) | Continuous Monitoring | DE.CM |
| Adverse Event Analysis | DE.AE | |
| Respond (RE) | Incident Management | RS.MA |
| Incident Analysis | RS.AN | |
| Incident Response Reporting and Communication | RS.CO | |
| Incident Mitigation | RS.MI | |
| Recovery (RC) | Incident Recovery Plan Execution | RC.RP |
| Incident Recovery Communication | RC.CO |
CSF Profiles
Ein CSF-Profil beschreibt die aktuelle und/oder angestrebte Cybersicherheit. Folgendes Vorgehen gilt es einzuhalten:
- Definition des Umfangs: Dokumentieren Sie die grundlegenden Fakten und Annahmen, auf denen das Profil basieren soll. Der Umfang kann die gesamte Organisation oder spezifische Bereiche wie Finanzsysteme oder die Abwehr von Ransomware umfassen.
- Sammeln von relevanten Informationen: Erfassen Sie alle notwendigen Daten, darunter Organisationsrichtlinien, Risikomanagement-Prioritäten, BIA-Register, Cybersicherheitsstandards, bestehende Schutzmassnahmen und Rollen innerhalb der Organisation.
- Erstellen eines Organisationsprofil: Legen Sie fest, welche Informationen für die ausgewählten Ergebnisse relevant sind, und dokumentieren Sie diese. Berücksichtigen Sie bestehende Risiken und prüfen Sie, ob ein Community-Profil als Grundlage geeignet ist.
- Durchführen einer Lückenanalyse und Erstellung eines Aktionsplans: Identifizieren und analysieren Sie die Unterschiede zwischen dem aktuellen und dem Zielprofil. Entwickeln Sie anschliessend einen priorisierten Aktionsplan zur Schliessung dieser Lücken.
- Umsetzung des Aktionsplans und Aktualisierung des Profils: Implementieren Sie die geplanten Massnahmen, um die Sicherheitslage zu verbessern. Aktualisieren Sie das Organisationsprofil regelmässig, um kontinuierliche Verbesserungen sicherzustellen.
Organisationsprofile können auch für andere Dinge genutzt werden. Ein aktuelles Profil kann genutzt werden, um die Cybersicherheitsfähigkeiten der Organisation sowie bekannte Verbesserungsmöglichkeiten gegenüber externen Interessengruppen wie Geschäftspartnern oder potenziellen Kunden zu dokumentieren und zu kommunizieren. Zusätzlich kann ein Zielprofil dazu dienen, die Anforderungen und Erwartungen der Organisation bezüglich des Risikomanagements im Bereich Cybersicherheit gegenüber Lieferanten, Partnern und anderen Dritten festzulegen.
Weitere Informationen können unter https://www.nist.gov/cyberframework/profiles abgerufen werden.
CSF Tiers
Das CSF-Tier-Modell dient der Bewertung des Cybersicherheits-Reifegrads. Es umfasst vier Stufen:
- Tier 1: Partial (Ad-hoc-Ansatz) – Sicherheitsmassnahmen sind unkoordiniert und reaktiv.
- Tier 2: Risk-Informed – Sicherheitsprozesse existieren, sind aber nicht vollständig integriert.
- Tier 3: Repeatable – Prozesse sind formalisiert, dokumentiert und wiederholbar.
- Tier 4: Adaptive – Die Organisation reagiert proaktiv auf Bedrohungen und passt ihre Strategien kontinuierlich an.
Anwendung
Das NIST CSF wird von Unternehmen und Organisationen genutzt, um ihre Strategie für Cybersicherheit zu gestalten, vorhandene Sicherheitsvorkehrungen zu optimieren oder die Einhaltung von Compliance-Anforderungen sicherzustellen. Es stellt eine geordnete Vorgehensweise für die Risikoanalyse bereit und unterstützt dabei, Schwachstellen frühzeitig zu identifizieren und spezifische Schutzmassnahmen zu ergreifen.
Des Weiteren fungiert es als Basis für den Austausch zwischen technischen und nicht-technischen Interessengruppen, indem es eine einheitliche Sprache im Bereich der Cybersicherheit etabliert. Organisationen haben die Möglichkeit, das Framework zu verwenden, um ihre Sicherheitssituation mit Branchenstandards zu vergleichen und gezielte Schritte zur Stärkung ihrer Widerstandsfähigkeit zu unternehmen. Es kann auch als Leitfaden für die Einhaltung von Vorschriften oder gesetzlichen Bestimmungen dienen, da es mit verschiedenen Compliance-Frameworks wie ISO 27001 oder dem europäischen NIS2-Standard kompatibel ist.
Zusätzlich erlaubt es Firmen, ihre Sicherheitsvorkehrungen in einem fortlaufenden Prozess der Optimierung anzupassen, da es eine anpassungsfähige und erweiterbare Struktur bereitstellt. Besonders für kleine und mittelständische Unternehmen ist dies von Nutzen, die ihre Cybersecurity effektiv verbessern wollen, ohne eine umfassende IT-Sicherheitsabteilung unterhalten zu müssen. Es hilft auch kritischen Infrastruktursektoren, spezifische Sicherheitsvorkehrungen zu implementieren, um ihre Resilienz gegenüber Cyberangriffen zu stärken.
Das NIST CSF 2.0 kann letztendlich auch zur Absicherung von Lieferketten genutzt werden, indem es Firmen unterstützt, die Cybersicherheitsmassnahmen ihrer Partner und Dienstleister zu überprüfen und sicherzustellen, dass diese den notwendigen Sicherheitsstandards gerecht werden.
Vergleich mit anderen Sicherheitsstandards
Die nachfolgende Tabelle vergleicht die wichtigsten Sicherheitsstandards mit dem NIST CSF 2.0 und zeigt die Vor- und Nachteile auf.
| Standard | Fokus | Vorteile | Nachteile |
| NIST CSF 2.0 | Flexibles Risikomanagement | Skalierbar, branchenspezifische Profile | Keine Zertifizierungsmöglichkeit |
| ISO 27001 | Informationssicherheits-Managementsystem | Zertifizierbar, international anerkannt | Stärker reguliert, weniger flexibel |
| IKT-Minimalstandard | Kritische Infrastruktur | Spezifisch für Schweizer Unternehmen | Weniger umfassend als NIST CSF (verweist noch auf NIST CSF 1.1) |
| COBIT | IT-Governance | Detaillierte Managementsteuerung | Mehr Fokus auf Governance als auf technische Massnahmen |
Fazit
Das NIST Cybersecurity Framework 2.0 ist eine leistungsstarke Methode zur Verbesserung der IT-Sicherheit in Organisationen aller Grössen. Mit seiner flexiblen Struktur eignet es sich für Unternehmen, die ein praxisorientiertes und anpassbares Risikomanagement umsetzen möchten.
Allerdings ist das CSF keine zertifizierbare Norm, weshalb es oft in Kombination mit ISO 27001 genutzt wird. Die Aufnahme von Governance in CSF 2.0 sowie die verbesserten Ressourcen machen es zu einer idealen Wahl für Unternehmen, die ihre Cybersicherheitsstrategie modernisieren möchten.
Mit seiner klaren Struktur, dem Tier-Modell und der Flexibilität in der Anwendung ist das NIST CSF 2.0 ein wertvolles Werkzeug für Unternehmen, um sich gegen die wachsenden Bedrohungen der digitalen Welt zu schützen.
Das NIST CSF 2.0 kann kostenlos in verschiedenen Sprachen, auch in Deutsch, unter https://www.nist.gov/cyberframework heruntergeladen werden.
When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.
Comments