Aufschlüsselung des NIST Cybersecurity Framework 2.0

Das NIST Cybersecurity Framework (CSF) hilft Unternehmen dabei, ihr Risikomanagement zu verbessern, indem eine gemeinsame Sprache verwendet wird, die sich auf die Geschäftstreiber konzentriert, um die Cybersicherheit zu verbessern.

NIST CSF 1.0 wurde im Februar 2014 veröffentlicht, Version 1.1 im April 2018. Im Februar 2024 veröffentlichte NIST seine neueste CSF-Iteration: 2.0. Der Weg zu CSF 2.0 begann mit einer Informationsanfrage (RFI) im Februar 2022. In den folgenden zwei Jahren engagierte sich NIST in der Cybersicherheit durch Analysen, Workshops, Kommentare und Entwurfsüberarbeitungen, um bestehende Standards zu verfeinern und ein neues Modell zu schaffen, das sich wandelnde Sicherheitsherausforderungen widerspiegelt.

Während der Kern des CSF derselbe bleibt, gibt es einige bemerkenswerte Ergänzungen zur neuen Version. Hier erfahren Unternehmen, was sie über das neue Framework wissen müssen, wie es sich auf den Betrieb auswirkt und wie IT-Teams CSF Version 2.0 effektiv im täglichen Betrieb anwenden können.

Zunächst die Einführung der Funktion „Govern“, die alle fünf Funktionen des ursprünglichen NIST-Frameworks untermauert: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Wie bereits in der ursprünglichen CSF 1.0-Dokumentation vermerkt, sind „diese Funktionen nicht dazu gedacht, einen seriellen Pfad zu bilden oder zu einem statischen gewünschten Endzustand zu führen. Vielmehr können die Funktionen gleichzeitig und kontinuierlich ausgeführt werden, um eine Betriebskultur zu schaffen, die das dynamische Sicherheitsrisiko adressiert.“

Daher werden die Funktionen oft als fünfteiliger Kreis dargestellt, der das zentrale CST-Gerüst umgibt. Jede Funktion führt zur nächsten, und keine Funktion ist unabhängig von einer anderen.

NIST CSF 2.0 behält diese Funktionen bei, fügt aber Govern als vollständigen inneren Ring hinzu, der sich unter den fünf äußeren Funktionen befindet. Govern konzentriert sich darauf, sicherzustellen, dass die anderen Funktionen mit den Geschäftsbedürfnissen übereinstimmen, regelmäßig von den Betriebsteams gemessen und von Sicherheitsverantwortlichen geleitet werden.

Mit anderen Worten: Govern versucht, die Führung in die Sicherheitsdiskussion einzubringen. Während dies in den meisten Unternehmen bereits der Fall ist, macht CSF 2.0 dies zu einer Priorität.

Die ersten beiden CSF-Versionen priorisierten kritische Infrastruktur. Obwohl auch andere Branchen und Behörden das Framework übernommen haben, wurde es in erster Linie entwickelt, um die Auswirkungen von Cybersicherheitsvorfällen im Bereich der kritischen Infrastrukturen zu verringern.

Die breite Akzeptanz des Framework machte jedoch deutlich, dass Praktiken und Prozesse für öffentliche und private Unternehmen in allen Sektoren und Branchen galten. Als Ergebnis bietet NIST CSF 2.0 erweiterte Best Practices, die für Unternehmen jeder Größe und Art allgemein anwendbar sind.

Das neue CSF empfiehlt beispielsweise, dass alle Unternehmen Organisationsprofile erstellen, die den aktuellen Stand der Cybersicherheit sowie die angestrebten Cybersicherheitspositionen beschreiben. Auf diese Weise können Unternehmen sowohl Ziele setzen als auch die zur Erreichung dieser Ziele erforderliche Praxis definieren. Das neue Framework betont auch die Rolle von Community-Profilen. Diese Profile werden erstellt, um die gemeinsamen Cybersicherheitsinteressen und Ziele mehrerer Unternehmen zu adressieren, die denselben Sektor oder Untersektor besetzen, ähnliche Technologien nutzen oder ähnliche Bedrohungsarten erleben.

Mit seinem Fokus auf verbesserte Governance und erweiterte Best Practices kann das neue NIST CSF Unternehmen dabei helfen, die Sicherheit zu erhöhen und Risiken zu reduzieren. Für die effektive Umsetzung dieses Rahmens profitieren Organisationen von einem viergleisigen Ansatz.

Der erweiterte Anwendungsbereich und Umfang von CSF 2.0 kann es für Unternehmen jeder Größe schwierig machen, neue Empfehlungen effektiv umzusetzen. Bei kleineren Unternehmen kann eine eingeschränkte IT-Unterstützung die Entwicklung neuer Vorgehensweisen beeinträchtigen, während größere Organisationen mit der Komplexität ihrer IT-Umgebungen zu kämpfen haben.

Um den Prozess zu optimieren, sollten Unternehmen die verfügbaren Ressourcen bestmöglich nutzen, wie zum Beispiel:

• Der CSF 2.0 Schnellstartleitfaden zur Erstellung von Organisationsprofilen
• Das durchsuchbare Referenztool CSF 2.0
• Der informative Referenzkatalog des NIST
• Beispiele für die Implementierung von CSF 2.0

Als Nächstes gilt es, die Führungskräfte einzubinden. Obwohl CSF 2.0 mit Blick auf Governance und Aufsicht konzipiert wurde, verfügen viele Führungskräfte der C-Suite ohne technischen Hintergrund möglicherweise nur über begrenzte Kenntnisse des Frameworks und seiner Auswirkungen. Daher ist es ratsam, dass sich IT-Führungskräfte – wie CTO und CIO und CISOs – und ihre Teams mit den Vorstandsmitgliedern zusammensetzen und die Auswirkungen von CSF 2.0 erörtern. Dies ist auch eine Gelegenheit, sicherzustellen, dass Geschäftsziele und Sicherheitsstrategien übereinstimmen.

Darüber hinaus bieten diese Meetings die Gelegenheit, wichtige Metriken zu definieren, die Art und Weise ihrer Erfassung zu bestimmen und einen detaillierten Zeitplan für die Erfassung, Berichterstattung und Maßnahmen zu erstellen. Indem Unternehmen die Führungskräfte von Beginn der CSF-Implementierung an in das Gespräch einbeziehen, schaffen sie die Voraussetzungen für eine dauerhafte Sichtbarkeit.

Als Teil der neuen Govern-Funktion enthält CSF 2.0 neue Unterabschnitte zum Lieferantenmanagement. Beispielsweise konzentriert sich GV.SC-04 auf das Kennen und Priorisieren von Lieferanten nach ihrer Bedeutung für den Betrieb, während GV.SC-06 die Planung und Sorgfaltspflicht behandelt, die vor dem Eingehen von Drittbeziehungen erforderlich sind. Schließlich kann Unterabschnitt GV.SC-10 Unternehmen bei der Planung der Beendigung einer Lieferanten- oder Partnerbeziehung unterstützen.

Angesichts des zunehmenden Risikos und der Auswirkungen von Kompromittierungen durch Dritte sind diese Bewertungen entscheidend. Wenn Lieferanten oder Anbieter, die Zugriff auf kritische Unternehmensdaten haben, aufgrund mangelhafter Cybersicherheitspraktiken kompromittiert werden, sind Organisationen gefährdet, unabhängig davon, ob sie die CSF 2.0-Vorgaben erfüllen.

Um alle fünf bestehenden Funktionen zu unterstützen und die Daten bereitzustellen, die für neue Governance-Maßnahmen erforderlich sind, benötigen Unternehmen Management- und Überwachungstools, die potenzielle Bedrohungen erkennen, Kompromittierungsindikatoren (IOC) verfolgen und Maßnahmen zur Reduzierung des Gesamtrisikos ergreifen können.

Zum Beispiel können Threat-Intelligence-Tools Organisationen dabei helfen, gängige Angriffsmuster und Ziele zu lokalisieren, was wiederum den Teams die Daten zur Verfügung stellt, die sie benötigen, um effektive Gegenmaßnahmen zu entwickeln und bereitstellen. Diese Daten helfen auch dabei, die Sicherheitsausgaben mit messbaren Geschäftsergebnissen zu verknüpfen.

Obwohl CSF 2.0 die neueste Version des Cybersicherheits-Frameworks von NIST ist, ist es nicht die letzte. Wie von NIST festgestellt, ist das Framework als lebendiges Dokument konzipiert, das sich weiterentwickelt, um aufkommende Cybersicherheit zu erfüllen und Unternehmen dabei zu unterstützen, sich verändernde Bedrohungsumgebungen zu meistern.

In der Praxis bedeutet das, von Best Practices zu „Common Practices“, also gängigen Praktiken, überzugehen. Während die Versionen 1.0 und 1.1 beispielsweise Best Practices für kritische Infrastrukturen bereitstellten, enthält Version 2.0 diese als allgemeine Praktiken für alle Organisationen und definiert gleichzeitig eine neue Best Practice: Governance. Mit der Zeit wird diese Praxis zur gängigen Praxis werden und die Grundlage für weitere Entwicklungen schaffen, die Unternehmen dabei helfen, die Erkennung von Bedrohungen zu verbessern, die Reaktion auf Vorfälle zu optimieren und das Gesamtrisiko zu reduzieren.