Was ist das NIST Cybersecurity Framework?

Das National Institute of Standards and Technology (NIST) ist eine nicht-regulatorische Behörde, die Innovation durch die Förderung der Wissenschaft vom Messen sowie von Standards und Technologie vorantreibt. Das NIST Cybersecurity Framework (NIST CSF) besteht aus Standards, Richtlinien und Best Practices, die Unternehmen dabei helfen, ihr Management von Cybersicherheitsrisiken zu verbessern. 

Das NIST CSF ist so flexibel konzipiert, dass es sich in die vorhandenen Sicherheitsprozesse eines jeden Unternehmens und jeder Branche integrieren lässt. Es bietet einen ausgezeichneten Ausgangspunkt für die Implementierung eines Ansatzes für das Risikomanagement für Informationssicherheit und Cybersicherheit in praktisch jedem beliebigen Unternehmen des privaten Sektors in den Vereinigten Staaten.

Am 12. Februar 2013 wurde die Verordnung 13636 mit der Bezeichnung „Improving Critical Infrastructure Cybersecurity“ erlassen. Damit begann die Arbeit des NIST mit dem privaten Sektor der Vereingten Staaten, um „bestehende freiwillige einvernehmliche Standards und bewährte Praktiken der Branche zu ermitteln und diese in einem Framework für Cybersicherheit zu integrieren“. Aus dieser Zusammenarbeit ist das NIST Cybersecurity Framework Version 1.0 hervorgegangen.

Der Cybersecurity Enhancement Act (CEA) von 2014 erweiterte die Bestrebungen von NIST bei der Entwicklung des Frameworks für Cybersicherheit. Heute ist das NIST CSF immer noch eines der am weitesten verbreiteten Sicherheitsframeworks in der gesamten US-Industrie.

Das NIST Cybersecurity Framework umfasst Funktionen, Kategorien, Unterkategorien und informative Referenzen. 

Funktionen liefern einen allgemeinen Überblick über Sicherheitsprotokolle bewährter Verfahren. Funktionen sind nicht als Verfahrensschritte gedacht, sondern sollen „ohne Unterbrechung des Systembetriebs und fortlaufend ausgeführt werden, um eine Betriebskultur zu schaffen, die das dynamische Cybersicherheitsrisiko anspricht.“ Kategorien und Unterkategorien bieten konkretere Aktionspläne für bestimmte Abteilungen oder Prozesse innerhalb eines Unternehmens. 

Beispiele für NIST-Funktionen und -Kategorien:

• Identifizieren: Um sich vor Cyberangriffen zu schützen, muss das Cybersicherheitsteam genau wissen, was die wichtigsten Assets und Ressourcen des Unternehmens sind. Die Funktion „Identifizieren“ umfasst Kategorien wie Asset-Management, wirtschaftliche Rahmenbedingungen, Governance, Risikobewertung, Risikomanagementstrategie und Risikomanagement in der Lieferkette.
  
  
• Schützen: Die Funktion „Schützen“ deckt einen Großteil der Kontrollmechanismen für technische und physische Sicherheit zum Entwickeln und Implementieren geeigneter Sicherheitsmaßnahmen und zum Schützen der kritischen Infrastruktur ab. Zu diesen Kategorien gehören Identitätsmanagement und Zugriffssteuerung, Sensibilisierung und Schulung, Datensicherheit, Informationsschutzprozesse und -verfahren, Wartung und Schutztechnologie.
  
  
• Erkennen: Die Funktion „Erkennen“ implementiert Maßnahmen, um ein Unternehmen auf Cyberangriffe aufmerksam zu machen. Die Kategorien dieser Funktion schließen Anomalien und Ereignisse, Sicherheit, die durchgehende Sicherheitsüberwachung und Erkennungsprozesse ein.
  
  
• Reagieren: Die Kategorien der Funktion „Reagieren“ stellen die angemessene Reaktion auf Cyberangriffe und andere Cybersicherheitsereignisse sicher. Zu den spezifischen Kategorien gehören Reaktionsplanung, Kommunikation, Analyse, Risikominderung und Verbesserungen.
  
  
• Wiederherstellen: Die Aktivitäten für die Wiederherstellung implementieren Pläne für Cyberresilienz und stellen die Business-Continuity im Falle eines Cyberangriffs, einer Sicherheitsverletzung oder eines anderen Cybersicherheitsereignisses sicher. Zur Funktion „Wiederherstellen“ gehören Verbesserungen bei der Planung der Wiederherstellung und die Datenübertragung.

Die informativen Referenzen des NIST CSF stellen eine direkte Korrelation zwischen den Funktionen, Kategorien, Unterkategorien und den spezifischen Sicherheitsmechanismen anderer Frameworks her. Diese Frameworks umfassen u. a. das Center for Internet Security (CIS) Controls®, COBIT 5, International Society of Automation (ISA) 62443-2-1:2009, ISA 62443-3-3:2013, International Organization for Standardization (ISO) und International Electrotechnical Commission (IEC) 27001:2013 sowie NIST SP 800-53 Rev. 4.

Das NIST CSF gibt nicht vor, wie die Inventarisierung der physischen Geräte und Systeme oder der Softwareplattformen und -anwendungen zu erfolgen hat. Es stellt lediglich eine Checkliste mit einer Auflistung der auszuführenden Tasks zur Verfügung. Ein Unternehmen kann seine Methode zur Durchführung der Bestandsaufnahme selbst auswählen. Wenn ein Unternehmen weitere Anleitungen benötigt, kann es sich über die informativen Referenzen auf entsprechende Kontrollmechanismen in anderen ergänzenden Normen beziehen. Das CSF lässt viel Spielraum bei der Auswahl jener Tools, die am besten für die Bedürfnisse eines Unternehmens im Bereich des Risikomanagements für Cybersicherheit geeignet sind.

Um Unternehmen des privaten Sektors dabei zu helfen, ihre Fortschritte bei der Implementierung des NIST Cybersecurity Framework zu messen, wird im Framework zwischen vier Implementierungsebenen differenziert:

• Ebene 1 – Teilweise: Das Unternehmen ist mit dem NIST CSF vertraut und hat möglicherweise einige Kontrollmechanismen in einigen Bereichen der Infrastruktur implementiert. Die Implementierung von Cybersicherheitsaktivitäten und -protokollen ist reaktiv erfolgt und war nicht geplant. Das Unternehmen ist nur begrenzt sensibilisiert für Cybersicherheitsrisiken und verfügt nicht über die Prozesse und Ressourcen, um die Informationssicherheit sicherzustellen.
  
  
• Ebene 2 – Über Risiken informiert: Das Unternehmen ist sich der Risiken im Bereich der Cybersicherheit stärker bewusst und teilt Informationen auf informeller Basis mit. Ihm fehlt ein geplanter, wiederholbarer und proaktiver unternehmensweiter Risikomanagementprozess für Cybersicherheit. 
  
  
• Ebene 3 – Wiederholbar: Das Unternehmen und seine leitenden Angestellten sind sich der Cybersicherheitsrisiken bewusst. Sie haben einen wiederholbaren unternehmensweiten Plan für das  Management von Cybersicherheitsrisiken eingeführt. Das Team für Cybersicherheit hat einen Aktionsplan erstellt, um Cyberangriffe wirksam überwachen und darauf reagieren zu können.
  
  
• Ebene 4 – Adaptiv: Das Unternehmen ist jetzt widerstandsfähig gegenüber Cyberangriffen und nutzt die gesammelten Erfahrungen und Vorhersageindikatoren, um Cyberangriffe zu verhindern. Das Team für Cybersicherheit verbessert und entwickelt die Cybersicherheitstechnologien und -praktiken des Unternehmens fortlaufend weiter und passt sich schnell und effizient an veränderte Bedrohungen an. Es gibt einen unternehmensweiten Ansatz für das  Risikomanagement für Informationssicherheit mit risikobewusster Entscheidungsfindung und entsprechenden Richtlinien, Verfahren und Prozessen. Anpassungsfähige Unternehmen beziehen das  Risikomanagement für Cybersicherheit in ihre Budgetentscheidungen und die Unternehmenskultur ein.

Das NIST Cybersecurity Framework bietet eine Schritt-für-Schritt-Anleitung zur Einrichtung oder Verbesserung ihres Risikomanagementprogramms für Informationssicherheit:

1. Prioritäten und Umfang definieren: Verschaffen Sie sich eine klare Vorstellung vom Umfang des Projekts und legen Sie die Prioritäten fest. Legen Sie die übergeordneten Geschäfts- oder Missionsziele und Geschäftsanforderungen fest und bestimmen Sie die Risikotoleranz des Unternehmens.
   
   
2. Ausrichten: Führen Sie eine Bestandsaufnahme der Assets und Systeme des Unternehmens durch und bestimmen Sie die geltenden Vorschriften, den Risikoansatz und die Bedrohungen, denen das Unternehmen ausgesetzt sein könnte.
   
   
3. Aktuelles Profil erstellen: Ein aktuelles Profil  ist eine Momentaufnahme des gegenwärtigen Risikomanagements des Unternehmens, wie es durch die Kategorien und Unterkategorien des CSF definiert ist.
   
   
4. Risikobewertung durchführen: Werten Sie die Betriebsumgebung, neu auftretende Risiken und Informationen zu Cybersicherheitsbedrohungen aus, um die Wahrscheinlichkeit eines Cybersicherheitsereignisses, das sich auf das Unternehmen auswirken kann, und seinen Schweregrad zu bestimmen.
   
   
5. Zielprofil erstellen: Ein Zielprofil stellt das Risikomanagementziel des Teams für Informationssicherheit dar.
   
   
6. Lücken ermitteln, analysieren und priorisieren: Durch Ermittlung der Lücken zwischen dem Ist- und dem Soll-Zustand des Profils kann das Informationssicherheitsteam einen Aktionsplan ausarbeiten, der unter anderem messbare Eckdaten und Ressourcen (Personen, Budget, Zeit) enthält, die zum Schließen dieser Lücken erforderlich sind.
   
   
7. Aktionsplan implementieren: Implementieren Sie den Aktionsplan wie in Schritt 6 definiert.