Was ist das NIST Cybersecurity Framework? Der ultimative Leitfaden

Das National Institute of Standards and Technology (NIST) stellt Leitlinien und Best Practices bereit, an denen sich Organisationen orientieren können, um Unternehmen, gemeinnützigen Organisationen und anderen Einrichtungen des Privatsektors dabei zu helfen, das Management von Cybersicherheitsrisiken zu verbessern. NIST ist Teil des US-Handelsministeriums und eines der ältesten (physikalischen) Wissenschaftslabore der Nation.

Im Jahr 2013 erließ der Präsident die Executive Order 13636, in der es hieß:

„Es ist die Richtlinie der Vereinigten Staaten, die Sicherheit und Widerstandsfähigkeit der kritischen Infrastruktur der Nation zu verbessern und eine Cyberumgebung aufrechtzuerhalten, die Effizienz, Innovation und wirtschaftlichen Wohlstand fördert und zugleich Sicherheit, Schutz, geschäftliche Vertraulichkeit, Datenschutz und bürgerliche Freiheiten wahrt.“

Mit dieser Executive Order wurden bestimmte Anforderungen festgelegt, die NIST auf sein Cybersicherheits-Framework anwendete, darunter:

• Sicherheitsstandards und Leitlinien identifizieren, die sektorübergreifend für kritische Infrastrukturen gelten.

• Einen priorisierten, flexiblen, wiederholbaren, leistungsbasierten und kosteneffizienten Ansatz bereitstellen.

• Eigentümer und Betreiber kritischer Infrastrukturen dabei unterstützen, Cyberrisiken zu identifizieren, zu bewerten und zu verwalten.

• Technische Innovation ermöglichen und organisatorische Unterschiede berücksichtigen.

• Technologieneutrale Leitlinien bereitstellen, die es Sektoren kritischer Infrastrukturen ermöglichen, von einem wettbewerbsorientierten Markt für Produkte und Services zu profitieren.

• Leitlinien zur Messung der Leistung bei der Implementierung des Cybersecurity Framework enthalten.

• Verbesserungsbereiche identifizieren, die durch künftige Zusammenarbeit mit bestimmten Sektoren und Organisationen zur Entwicklung von Standards adressiert werden sollten.

Warum ist das so wichtig geworden?

Einfach gesagt: Zunehmende Cybersicherheitsbedrohungen betreffen Unternehmen und andere Organisationen täglich. Ohne eine zentrale verlässliche Informationsquelle wäre es für Unternehmen nahezu unmöglich, ein umfassendes, wirksames Framework zu entwickeln, das ihnen bei der Umsetzung effektiver Maßnahmen zur Minderung von Sicherheitsrisiken hilft. Deshalb ist das NIST Cybersecurity Framework für Unternehmen so entscheidend geworden: Es fördert effiziente, innovative und widerstandsfähige Lösungen zur Aufrechterhaltung der Sicherheit.

Im Wesentlichen hilft das NIST Cybersecurity Framework Organisationen jeder Art, Cybersicherheitsrisiken besser zu verstehen, zu verwalten und zu reduzieren. Das Ergebnis der Befolgung dieser Leitlinien ist ein besserer Schutz von Netzwerken und Daten. Das NIST Cybersecurity Framework ist so aufgebaut, dass jedes Unternehmen und jede Organisation es implementieren kann, um besser zu verstehen, worauf Zeit und Ressourcen für einen verbesserten Cybersicherheitsschutz konzentriert werden sollten. Es geht darum, Unternehmen in die Lage zu versetzen, ihre Daten, die Daten ihrer Kunden, ihre Netzwerke und ihre Mitarbeitenden wirksamer zu schützen.

Obwohl das NIST Cybersecurity Framework von einer Organisation in den Vereinigten Staaten entwickelt wurde, entstand es mit dem Ziel einer weltweiten Einführung. Zu diesem Zweck wurde es in viele Sprachen übersetzt und von Regierungen, Unternehmen und Organisationen auf der ganzen Welt übernommen.

Seit dem NIST Cybersecurity Framework 1.1 haben viele Organisationen und Regierungen das Framework erfolgreich übernommen, darunter:

• Saudi Aramco

• Regierung von Bermuda

• Israel National Cyber Directorate

• Cimpress-FAIR

• Multi-State - Information Sharing and Analysis Center

• University of Kansas Medical Center

• University of Pittsburgh

• ISACA

• Japanese Cross-Sector Forum

• University of Chicago

• Lower Colorado River Authority

• Optic Cyber Solutions   

Die neueste Version des NIST Cybersecurity Framework (CSF) richtet sich an Zielgruppen, Branchen und Organisationen jeder Art und Größe – von kleinen Schulen und gemeinnützigen Einrichtungen bis hin zu Großunternehmen. Das Framework wurde so konzipiert, dass jede Organisation, unabhängig von ihrem Reifegrad im Bereich Cybersicherheit, von den darin enthaltenen Informationen profitieren kann.

Laut Laurie E. Locascio, NIST-Direktorin und Unterstaatssekretärin für Handel für Standards und Technologie:

„Das CSF ist für viele Organisationen ein wichtiges Instrument, das ihnen hilft, Cybersicherheitsbedrohungen vorauszusehen und damit umzugehen … Beim CSF 2.0, das auf früheren Versionen aufbaut, geht es nicht nur um ein einzelnes Dokument. Es umfasst eine Reihe von Ressourcen, die individuell angepasst und einzeln oder in Kombination über einen längeren Zeitraum genutzt werden können, wenn sich die Cybersicherheitsanforderungen einer Organisation ändern und ihre Fähigkeiten weiterentwickeln.“

Die neueste Weiterentwicklung des NIST Cybersecurity Framework geht zudem über den Fokus auf kritische Infrastrukturen hinaus und umfasst alle Organisationen (jeder Größe) in allen Branchen.

Als das NIST Cybersecurity Framework erstellt wurde, ging es um den fortlaufenden Austausch mit Stakeholdern aus Regierung, Wirtschaft und Wissenschaft. Zur Erstellung dieses Frameworks nutzte NIST landesweite Kontaktaufnahme und Workshops sowie einen Request For Information (RFI) und einen Request For Comment (RFC). Das ursprüngliche Ziel war dreigeteilt:

• Vorhandene Cybersicherheitsstandards, Leitlinien, Frameworks und Best Practices identifizieren.

• Lücken mit hoher Priorität benennen.

• Aktionspläne zur Schließung dieser Lücken entwickeln.

Die Kommentierungsfrist zur Informationssammlung endete am 8. April 2013, und NIST erhielt über 270 Antworten auf den Request For Information. Auf Grundlage dieser Antworten entwickelte NIST die Agenda für den ersten Workshop zum Cybersecurity Framework, der in Washington, D.C. stattfand. Ziel war es, Interesse zu wecken, das Bewusstsein zu schärfen und Einblicke in den kooperativen Entwicklungsprozess zu geben. Zu den Themen des Workshops gehörten die Executive Order, die Ziele der Entwicklung und die Bestätigung des Prozesses, der zur Entwicklung des Frameworks genutzt werden sollte.

Der zweite Workshop fand vom 29. bis 31. Mai 2013 an der Carnegie Mellon University statt. Die Agenda basierte auf der Analyse des ursprünglichen RFI. Ziel war es, die erhaltenen Informationen weiter zu definieren und zu klären sowie Diskussionen zu mehreren sicherheitsbezogenen Themen anzuregen. Nach Abschluss dieses Workshops analysierte NIST die gesammelten Informationen und erstellte Zusammenfassungen, die mit den Branchen geteilt und zur Erstellung des ersten Entwurfs des Cybersecurity Framework verwendet wurden.

Der erste Entwurf des NIST Cybersecurity Framework wurde am 2. Juli 2013 veröffentlicht.

Nach der Veröffentlichung veranstaltete NIST mehrere Workshops, die darauf ausgerichtet waren, die erste Version zu diskutieren und zu verfeinern. Am 12. Februar 2014 wurde Version 1.0 des NIST Cybersecurity Framework veröffentlicht.

Das NIST Cybersecurity Framework besteht aus mehreren Kernfunktionen, die einen allgemeinen Überblick über Best Practices geben. Diese Funktionen sind nicht als Verfahrensschritte zu verstehen, sondern sollen dazu dienen, der dynamischen Natur von Cybersicherheitsrisiken zu begegnen.

Steuern

Diese Funktion liefert Ergebnisse, die dabei helfen zu bestimmen, was eine Organisation tun kann, um die übrigen Funktionen im Kontext ihrer Mission und der Erwartungen ihrer Stakeholder zu priorisieren.

Identifizieren

Die Funktion „Identifizieren“ macht deutlich, dass ein organisatorisches Verständnis der Cybersicherheitsrisiken für Systeme, Ressourcen, Daten und Fähigkeiten entwickelt werden muss. Dieses Element konzentriert sich auf das Unternehmen, damit es seine Maßnahmen in einer Weise priorisieren kann, die mit seiner Risikomanagementstrategie im Einklang steht.

Schützen

Diese Funktion unterstützt die Fähigkeit einer Organisation, Ressourcen abzusichern sowie die Wahrscheinlichkeit eines Cybersicherheitsereignisses und dessen Auswirkungen zu verhindern oder zu verringern.

Erkennen

Diese Funktion ermöglicht die zeitnahe Erkennung und Analyse von Anomalien, Kompromittierungsindikatoren und anderen unerwünschten Ereignissen, die darauf hinweisen, dass ein Cybersicherheitsereignis eingetreten ist oder eintreten wird.

Reagieren

Diese Funktion hilft dabei, die Auswirkungen eines Cybersicherheitsvorfalls einzudämmen, und umfasst Vorfallmanagement, Analyse, Schadensminderung, Berichterstattung und Kommunikation.

Wiederherstellen

Diese Funktion konzentriert sich auf die zeitnahe Wiederherstellung des normalen Geschäftsbetriebs, um die Auswirkungen eines Cybersicherheitsvorfalls zu reduzieren und während der Wiederherstellung die notwendige (und angemessene) Kommunikation zu ermöglichen.

Das übergeordnete Ziel dieser Funktionen besteht darin, eine strategische Ansicht auf hoher Ebene darüber zu bieten, wie sich eine Organisation auf Cybersicherheitsereignisse vorbereitet, darauf reagiert und sich davon erholt.

Nachdem Sie nun ein solides Verständnis davon haben, was das NIST Cybersecurity Framework leistet und wie es sich entwickelt hat, fragen Sie sich vermutlich, wie es sich am besten implementieren lässt. 

NIST empfiehlt einen 7-Schritte-Ansatz für die Implementierung, der wie folgt aussieht:

1. Priorisieren und Umfang festlegen - Priorisieren Sie die Ziele und Ressourcen Ihrer Organisation, die geschützt werden müssen.

2. Orientieren - Machen Sie sich und Ihr Team mit den Prozessen, Systemen und Komponenten innerhalb des Umfangs sowie mit den wichtigsten Compliance-Vorschriften vertraut, die diese einhalten müssen.

3. Aktuelles Profil erstellen - Geben Sie an, welche Kontrollergebnisse des Frameworks in Ihrer Organisation bereits erreicht werden, und erstellen Sie anschließend eine Liste der Punkte, die noch integriert werden müssen.

4. Risikobewertung durchführen - Analysieren Sie Ihre Betriebsumgebung, um die Wahrscheinlichkeit von Cybersicherheitsereignissen sowie deren mögliche Auswirkungen zu bestimmen.

5. Zielprofil erstellen - Konzentrieren Sie sich auf die Bewertung der Kategorien und Unterkategorien des Cybersecurity Framework, um Ihre gewünschten Cybersicherheitsergebnisse zu beschreiben.

6. Lücken ermitteln, analysieren und priorisieren - Ermitteln Sie alle Cybersicherheitslücken, die in Ihrer Organisation bestehen. Auf Grundlage dieser Analyse können Sie anschließend einen priorisierten Plan erstellen, um diese Anforderungen zu adressieren.

7. Aktionsplan umsetzen - Werden Sie aktiv und setzen Sie den von Ihnen erstellten Plan um, um alle in den vorherigen Schritten ermittelten Probleme zu beheben.

Beachten Sie dabei, dass das Framework nicht starr ist. Tatsächlich bietet das Framework genügend Flexibilität, um in Ihre bestehenden Sicherheitsprozesse integriert zu werden. Wie das funktioniert, sehen Sie in den oben aufgeführten sieben Schritten.

Da NIST die sieben Schritte zur Implementierung des Frameworks klar darstellt, erhalten Organisationen einen umfassenden Überblick darüber, welchen Risiken sie ausgesetzt sind, wie sie entsprechend diesen Risiken planen, die organisationsweite Kommunikation verbessern und die Compliance stärken können. Das Wissen über die Schwachstellen einer Organisation und darüber, wie sie gemindert werden können, ist einer der entscheidenden Vorteile des NIST Framework.

Laut der Federal Trade Commission „hilft das NIST Framework Unternehmen jeder Größe dabei, ihr Cybersicherheitsrisiko besser zu verstehen, zu verwalten und zu reduzieren sowie ihre Netzwerke und Daten zu schützen.“

NIST ist sich bewusst, dass jede Organisation anders ist, und bietet sogar 3 Tipps, um Ihre Passwörter zu schützen (die als allgemein gültig betrachtet werden sollten).

Das NIST Cybersecurity Framework kann komplex sein. Es ist wichtig, die Kernfunktionen vollständig zu verstehen, bevor Sie mit den oben aufgeführten sieben Schritten fortfahren. Um nachhaltigen Erfolg sicherzustellen, ist es entscheidend, eine Cybersicherheitskultur in Ihrer Organisation zu fördern. Andernfalls werden Sie auf Widerstand gegen möglicherweise tiefgreifende Änderungen an Prozessen und Systemen stoßen.

Weitere Herausforderungen sind:

• Ressourcenbeschränkungen – möglicherweise verfügen Sie derzeit nicht über Mitarbeitende, die in der Lage sind, diese Änderungen umzusetzen.

• Sie werden höchstwahrscheinlich Zeit darauf verwenden müssen, das Cybersecurity Framework anzupassen, damit es besser zu Ihrer Organisation passt.

• Bedrohungen entwickeln sich ständig weiter, was bedeutet, dass Ihre Sicherheitspraktiken Schritt halten müssen.

• Sie sollten das Cybersecurity Framework in alle bestehenden Prozesse integrieren, die Sie bereits eingerichtet haben.

• Es kann schwierig sein, die Beteiligung von Stakeholdern zu fördern; dies steht in direktem Zusammenhang mit der Entwicklung einer Cybersicherheitskultur, die diesen Anforderungen gerecht werden kann.

Es gibt vier NIST-Implementierungsstufen:

• Stufe 1Teilweise – Unternehmen mit bedarfsweisen oder gar keinen Sicherheitsverfahren.

• Stufe 2Risikoinformiert – Unternehmen, die sich der Bedrohungen bewusst sind, denen sie ausgesetzt sind, und über einige Richtlinien verfügen, denen jedoch eine koordinierte Strategie fehlt.

• Stufe 3Wiederholbar – Unternehmen mit Best Practices für Risikomanagement und Cybersicherheit, die von der Geschäftsleitung genehmigt wurden. Diese Unternehmen messen sich häufig mit Wettbewerbern und arbeiten sogar mit anderen Organisationen zusammen, um sicherzustellen, dass ihre Praktiken aufeinander abgestimmt sind.

• Stufe 4Adaptiv – Unternehmen in stark regulierten Branchen wie Banken und Gesundheitswesen, die routinemäßig zu einem breiten Risikobewusstsein beitragen.

Laut NIST ist das Profil des Cybersecurity Frameworks „die Abstimmung der Funktionen, Kategorien und Unterkategorien mit den Geschäftsanforderungen, der Risikotoleranz und den Ressourcen der Organisation.“ Diese Profile helfen Organisationen, eine Roadmap zur Reduzierung von Cybersicherheitsrisiken zu erstellen. 

NIST bietet eine anpassbare Vorlage für Organisationsprofile zum Cybersecurity Framework sowie eine Liste von Community-Profilen an, die verwendet werden können.

Beachten Sie, dass das NIST Cybersecurity Framework als lebendes Dokument konzipiert ist, das von regelmäßigen Aktualisierungen abhängt, die die sich ständig verändernde Cybersicherheitslandschaft und neue Bedrohungen widerspiegeln. Daher ist es entscheidend, dass Organisationen über die neuesten Bedrohungen auf dem Laufenden bleiben, damit sich das Cybersecurity Framework weiterentwickeln, aktuelle Anforderungen erfüllen und kontinuierlich verbessern kann. 

Um sicherzustellen, dass Ihre Organisation sich mit dem NIST Cybersecurity Framework weiterentwickeln kann, sollten Sie in Erwägung ziehen, wie Sie den besten Cybersecurity-Tech-Stack für Ihr Unternehmen aufbauen, damit Sie sicherstellen können, die beste Technologie zu nutzen, die sich mit dem Cybersecurity Framework weiterentwickeln kann.

Es versteht sich von selbst, dass Sicherheit zu einem der wichtigsten Schwerpunkte für Organisationen geworden ist. Ohne robuste Verfahren für das Cybersicherheits-Risikomanagement könnten Unternehmen zahlreichen realen Bedrohungen zum Opfer fallen. Mithilfe des NIST Cybersecurity Frameworks sowie sorgfältiger Planung und Kommunikation kann sich die Sicherheit Ihrer Organisation erheblich verbessern. Gehen Sie das NIST Cybersecurity Framework gründlich an, befolgen Sie die 7 Schritte und seien Sie stets bereit zur Aktualisierung und Weiterentwicklung, damit Ihre Organisation besser vor Cybersicherheitsrisiken geschützt ist.

Bereit, noch heute loszulegen? Erwägen Sie die Einführung einer Passwortverwaltungslösung, um Ihre Organisation von Anfang an auf den richtigen Weg zu bringen. Informieren Sie sich über Bitwarden Business-Tarife, kontaktieren Sie den Vertrieb und vergleichen Sie die Tarifpreise.