NIST Cybersecurity Framework – Alles, was Sie wissen müssen

September 1, 2020
John Emmitt
NIST-Konformität

Alle Unternehmen mit einer Online- oder digitalen Präsenz, ob groß oder klein, unabhängig von der Branche, sind heute Cyberrisiken ausgesetzt. Um Unternehmen auf diese Cyberrisiken vorzubereiten und sie davor zu schützen, hat die US-Regierung einen Leitfaden in Form eines Rahmenwerks des National Institute of Standards and Technology (NIST) herausgegeben, das NIST Cybersecurity Framework.

Was ist das NIST Cybersecurity Framework?

Das NIST Cybersecurity Framework ist ein freiwilliges Rahmenwerk, das aus Standards, Richtlinien und bewährten Verfahren besteht und vom US-Handelsministerium herausgegeben wird. Es ist ein gemeinsames Projekt des öffentlichen und privaten Sektors sowie der Wissenschaft. Ursprünglich war es darauf ausgerichtet, die Cybersicherheit für kritische Infrastrukturen in den Vereinigten Staaten zu verbessern. Zu diesen Schlüsselsektoren gehörten die Bereiche Finanzen, Energie, Gesundheitswesen und Verteidigung. Es sollte auch von Bundesbehörden sowie von staatlichen und kommunalen Stellen genutzt werden. Die Version 1.0 des NIST CSF wurde im Februar 2014 veröffentlicht.

Der Rahmen wurde inzwischen überarbeitet, mit dem Ziel, ihn so flexibel zu gestalten, dass er von kleinen und großen Unternehmen in allen Branchen genutzt werden kann. Außerdem ist es nicht nur auf die IT, sondern auch auf das IoT - das Internet der Dinge - anwendbar. Die neueste Version der NIST CSF ist Version 1.1, die im April 2018 veröffentlicht wurde. Die neue Version enthält Aktualisierungen der folgenden Punkte:

  • Authentifizierung und Identitätsmanagement
  • Selbsteinschätzung des Cybersicherheitsrisikos
  • Management der Cybersicherheit innerhalb der Lieferkette (einschließlich Kaufberatung für kommerzielle Standardprodukte und -dienstleistungen)
  • Offenlegung von Schwachstellen
  • Klarstellungen zur Beziehung zwischen Implementierungsebenen und Profilen

Zum Zeitpunkt der Veröffentlichung sagte der Handelsminister Wilbur Ross: „Das freiwillige NIST-Cybersicherheits-Framework sollte die erste Verteidigungslinie jedes Unternehmens sein. Die Einführung der Version 1.1 ist ein Muss für alle CEOs.“ Dies gilt auch heute noch.

NIST Cybersecurity Framework Version 1.1
NIST Cybersecurity Framework Version 1.1 - Kredit: N. Hanacek/NIST

Das NIST Cybersecurity Framework besteht aus drei Komponenten, auf die wir im Folgenden näher eingehen werden.

Was sind die drei Komponenten des NIST Cybersecurity Framework?

Die drei Hauptkomponenten des Rahmens sind:

  1. Rahmenwerk Kern: Eine Reihe gewünschter Cybersicherheitsergebnisse, die in einer Hierarchie organisiert sind und fünf Funktionen eines Cybersicherheitsprogramms umfassen - Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen.
  2. Stufen der Umsetzung: Die Stufen, die von "teilweise" (Stufe 1) bis "anpassungsfähig" (Stufe 4) reichen, bieten ein qualitatives Maß für die Praxis des Cybersicherheitsrisikomanagements in der Organisation.
  3. Profile: Profile sind die Ausrichtung einer Organisation hinsichtlich ihrer Anforderungen und Ziele, ihrer Risikobereitschaft und resources der gewünschten Ergebnisse des Framework Core. Diese identifizieren Möglichkeiten zur Verbesserung der Cybersicherheit, indem sie ein „aktuelles“ Profil mit einem „Zielprofil“ vergleichen.

Schauen wir uns die einzelnen Komponenten genauer an, um zu sehen, wie sie den Rahmen bilden.

Rahmenwerk Kern

Der Kern des Rahmens besteht aus drei Teilen - Funktionen, Kategorien und Unterkategorien - und umfasst, wie bereits erwähnt, fünf übergeordnete Funktionen: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Die Kategorien decken die Cybersicherheitsziele einer Organisation ab und die Unterkategorien sind ergebnisorientierte Aussagen, die Überlegungen zur Erstellung oder Verbesserung eines Cybersicherheitsprogramms liefern. Die drei Komponenten des Kerns sind aufeinander abgestimmt und helfen einer Organisation bei der Bewältigung ihrer Risiken, indem sie Informationen organisieren, Bedrohungen angehen und aus früheren Vorfällen lernen.

In der nachstehenden Abbildung sind die Kategorien der einzelnen Funktionen dargestellt.

Rahmenwerk Kern
Rahmenwerk Kern

Implementierungsebenen

Die Umsetzungsebenen bestehen aus vier Stufen - partiell, risikoinformiert, wiederholbar und anpassungsfähig. Diese Stufen beschreiben unterschiedliche Grade der Ausgereiftheit der von einer Organisation getroffenen Maßnahmen. Die Cybersicherheits-Risikoprozesse, die zusammen eine Stufe angeben, sind:

  • Risikomanagement-Prozess: Die Funktionalität und Wiederholbarkeit des Cybersecurity-Risikomanagements
  • Integriertes Risikomanagement-Programm: Das Ausmaß, in dem die Cybersicherheit bei allgemeineren Risikomanagemententscheidungen berücksichtigt wird
  • Externe Beteiligung: Das Ausmaß, in dem die Organisation von der Weitergabe oder dem Erhalt von Informationen von außen profitiert

Die Stufen stellen zwar keine Reifegrade dar, aber eine Organisation muss die gewünschte Stufe bestimmen und sicherstellen, dass sie die Ziele der Stufe erreicht, indem sie die erforderlichen Maßnahmen umsetzt und das Cybersicherheitsrisiko verringert.

Implementierungsebenen
Implementierungsebenen

Profile

Diese Komponente des NIST Cybersecurity Framework ermöglicht es Unternehmen, einen Fahrplan zur Verringerung von Cybersecurity-Risiken zu erstellen, indem sie ihre Unternehmensziele festlegen, potenzielle Cyber-Risiken auf diese Ziele abstimmen und Industriestandards und Best Practices zur Vermeidung dieser Risiken befolgen.

Eine Organisation kann ihre Cybersicherheitsanforderungen, Missionsziele und Betriebsmethoden sowie ihre derzeitigen Praktiken mit den Unterkategorien des Kernrahmens vergleichen.

Rahmen-Profile
Framework-Ebenen

In der obigen Abbildung ermöglicht die Analyse der Lücke zwischen den Profilen beim Vergleich eines "Ist"-Profils und eines "Soll"-Profils den Unternehmen die Erstellung eines nach Prioritäten geordneten Implementierungsplans.

Verwendung des NIST Cybersecurity Framework

Hier sind 7 Schritte, die Sie befolgen sollten, um das NIST Cybersecurity Framework in Ihrem Unternehmen zu implementieren:

  1. Prioritäten und Umfang - Bestimmen Sie die Unternehmensziele und -prioritäten und ermitteln Sie die IT-Systeme und -Anlagen, die für diese Ziele relevant sind. Diese Werte sind vorrangig zu schützen, und zwar um jeden Preis.
  2. Orientieren - Identifizieren Sie verwandte Systeme und Anlagen sowie die für diese Systeme geltenden Vorschriften. Ermitteln Sie dann die Schwachstellen dieser Systeme und Anlagen und die Bedrohungen, denen sie ausgesetzt sein könnten.
  3. Erstellen Sie ein aktuelles Profil - Das aktuelle Profil Ihrer Organisation sollte alle im NIST Cybersecurity Framework enthaltenen Kontrollen enthalten, um zu ermitteln, welche Kontrollergebnisse erreicht werden.
  4. Durchführung einer Risikobewertung - Bestimmen Sie die Wahrscheinlichkeit von Cybersecurity-Ereignissen und die Auswirkungen, die diese auf Ihr Unternehmen haben könnten.
  5. Erstellen eines Zielprofils - Bestimmen Sie, wo Ihr Unternehmen in Bezug auf die Cybersicherheitslage stehen soll. Erstellen Sie einen Zielwert für den Reifegrad, der die Kategorien und Unterkategorien des Rahmenwerks berücksichtigt, und arbeiten Sie auf die gewünschten Ergebnisse hin.
  6. Ermittlung, Analyse und Priorisierung von Lücken - Schließen Sie die Lücken zwischen dem Ist-Profil und dem Soll-Profil. Erstellen Sie einen Aktionsplan, in dem die Budgetierung, die Risiken und die umzusetzenden Aufgaben zur Behebung der Lücken im Ist-Profil festgelegt werden.
  7. Umsetzung des Aktionsplans - Ergreifen Sie die erforderlichen Maßnahmen, um die oben beschriebenen Lücken zu schließen. Passen Sie Ihre Cybersicherheitspraktiken an, um Ihr Zielprofil zu erreichen.

Das NIST Cybersecurity Framework ist zwar freiwillig, wird aber als Methode zur Formulierung und Verwaltung Ihrer Cybersicherheitsprogramme und -prozesse dringend empfohlen. Das Rahmenwerk:

  • Stellt sicher, dass Sie über robuste Sicherheitsrichtlinien und -standards verfügen.
  • Hilft Ihrem Unternehmen, seine allgemeine Sicherheitslage gegenüber sich ständig weiterentwickelnden Cyber-Bedrohungen zu verbessern.
  • Bietet einen Prozess zur kontinuierlichen Verbesserung der Sicherheitspraktiken Ihres Unternehmens.

Mit Kaseya Compliance Manager können Unternehmen auf einfache Weise die Einhaltung des NIST Cybersecurity Framework nachweisen. Die Lösung bietet Anwendern einen umfassenden Überblick darüber, inwieweit ihr Unternehmen das Framework einhält, identifiziert Lücken im Schutz und in der Compliance des Unternehmens und erstellt eine Liste mit Problemen, die Anwender beheben müssen, um die Compliance sicherzustellen.

Die Nutzer erhalten zudem eine Risikobewertungsmatrix, mit deren Hilfe sie Risiken priorisieren und Mittel sowie Ressourcen angemessen zuweisen können, um sicherzustellen, dass die identifizierten Probleme behoben werden.

*Alle Bilder stammen von der NIST-Website.

Eine umfassende Plattform für IT- und Security

Kaseya ist die Komplettlösung für die Verwaltung, Sicherung und Automatisierung Ihrer IT. Durch die nahtlose Integration aller wichtigen IT-Funktionen vereinfacht es den Betrieb, erhöht die Sicherheit und steigert die Effizienz.

Eine Demo erhalten Entdecken Sie Kaseya

Eine Plattform. Alles IT.

Kaseya -Kunden profitieren von den Vorteilen der besten IT-Management- und Sicherheitstools in einer einzigen Lösung.

Entdecken Sie Kaseya

Ihr Erfolg ist unsere Priorität Nr. 1

Partner First ist eine Verpflichtung zu flexiblen Konditionen, geteiltem Risiko und engagierter support Ihr Unternehmen.

Entdecken Sie Partner First Pledge

Globaler MSP -Bericht 2025

Der Global MSP Report 2025 von Kaseya ist Ihre erste Anlaufstelle, um zu verstehen, wohin sich die Branche entwickelt.

Jetzt herunterladen

Kategorien entdecken

Was bedeutet NIST-Konformität? Ein Leitfaden zu NIST-Normen, -Rahmenwerk und -Kontrollen

Datenschutz ist für große und kleine Unternehmen gleichermaßen ein wichtiges Thema, und genau hier kommt das NIST ins Spiel. Das NIST, oderMehr lesen

Blogbeitrag lesen