NIST CSF 2.0 ist das Cybersicherheits-Framework, das immer mehr Kunden nutzen, um ihre Sicherheitsprogramme zu strukturieren und die Sicherheitslage der IT-Teams und MSPs zu bewerten, mit denen sie zusammenarbeiten. Es löste im Februar 2024 CSF 1.1 ab und stellt das bedeutendste Update seit der ursprünglichen Veröffentlichung des Frameworks im Jahr 2014 dar. Für jedes Unternehmen, das sein Sicherheitsprogramm auf der Grundlage von CSF 1.1 aufgebaut hat, haben diese Änderungen operative Auswirkungen.
Die wichtigste Neuerung ist die neue sechste Funktion „Govern“. Sie ergänzt die ursprünglichen fünf Funktionen (Identify, Protect, Detect, Respond, Recover) und greift Aspekte auf, die im CSF 1.1 zu wenig konkretisiert wurden: Wer ist für Entscheidungen zur Cybersicherheit verantwortlich, wie wird das Risikomanagement in das Gesamtunternehmen integriert und wie werden Risiken in der Lieferkette gesteuert? CSF 2.0 verzichtet zudem auf den ursprünglichen Rahmenbegriff „kritische Infrastruktur“ und ist nun ausdrücklich für Organisationen jeder Größe und Branche konzipiert. Dies ist ein bedeutender Unterschied für kleinere IT-Teams und MSP-Kunden, die zuvor die Terminologie der kritischen Infrastruktur auf ihren eigenen Kontext übertragen mussten.
Dieser Leitfaden behandelt die praktischen Anforderungen von CSF 2.0. Die sechs Funktionen und was jede einzelne konkret bedeutet, wie Implementierungsstufen und Profile funktionieren, wie sich das Framework mit anderen Standards, mit denen Sie möglicherweise bereits arbeiten, in Einklang bringt und wie MSPs CSF 2.0 als strukturierten Ansatz zur Erbringung und zum Nachweis von Sicherheitsberatungsdienstleistungen nutzen können. Für die umfassendere NIST-Leitfadenreihe, einschließlich der SP 800-Serie und deren Zusammenhang mit CSF, lesen Sie den begleitenden Beitrag darüber, was NIST-Compliance ist und wie man damit beginnt.
Richten Sie Ihr Sicherheitsprogramm am NIST CSF 2.0 aus.
Compliance Manager GRC einen NIST CSF 2.0-Bewertungsworkflow mit Nachverfolgung des aktuellen und des angestrebten Profils und lässt sich in die Kaseya 365 integrieren, um technische Nachweise automatisch abzurufen.
Was ist das NIST-Rahmenwerk für Cybersicherheit?
Das NIST-Cybersicherheits-Framework ist ein freiwilliges Rahmenwerk, das vom National Institute of Standards and Technology entwickelt wurde, um Organisationen beim Management von Cybersicherheitsrisiken zu unterstützen. Es gliedert Cybersicherheitsmaßnahmen in Funktionen, Kategorien und Unterkategorien, die Organisationen eine strukturierte Vorgehensweise bieten, um ihre Sicherheitslage zu erfassen, zu bewerten und zu verbessern, ohne dabei genau vorzuschreiben, wie dieses Ziel zu erreichen ist.
Das Rahmenwerk ist bewusst technologieunabhängig und ergebnisorientiert. Es beschreibt, was eine Organisation leisten können sollte, nicht, mit welchem Werkzeug dies zu erreichen ist. Diese Flexibilität ist der Grund, warum das CSF so häufig mit eher präskriptiven Standards kombiniert wird. NIST SP 800-53 bietet einen detaillierten Kontrollkatalog, auf den die Unterkategorien des CSF abgebildet werden. CIS Controls v8.1 bietet einen priorisierten Leitfaden zur Umsetzung. ISO 27001 bietet eine auditierbare Managementsystemstruktur. CSF liefert den strategischen Rahmen, während die anderen Standards die Details der Umsetzung regeln.
Für Auftragnehmer der US-Bundesregierung wird die Anpassung an die NIST-Richtlinien von einer freiwilligen zu einer verpflichtenden Maßnahme. Gemäß FISMA sind Bundesbehörden verpflichtet, die NIST-Richtlinien direkt zu befolgen. CMMC Level 2 entspricht NIST SP 800-171. Organisationen, die sich um Bundesaufträge bewerben oder Unternehmen beliefern, die solche Aufträge innehaben, profitieren von der Ausrichtung am CSF als strategischer Grundlage, in die sich andere regulatorische Anforderungen einfügen.
Was hat sich in CSF 2.0 geändert?
Vier Neuerungen in CSF 2.0 sind für Praktiker besonders wichtig.
An erster Stelle steht die neue „Govern“-Funktion. CSF 2.0 führt eine sechste Funktion ein, die sich auf den organisatorischen Kontext, die Risikomanagementstrategie, Risiken in der Lieferkette, Rollen und Verantwortlichkeiten, Richtlinien sowie die Aufsicht konzentriert. Diese Funktion trägt der Tatsache Rechnung, dass die Cybersicherheits-Governance – also die Frage, wer Entscheidungen trifft und wer rechenschaftspflichtig ist – ebenso tragend ist wie die technischen Kontrollmaßnahmen selbst. Für Organisationen, die CSF 1.1-Programme ohne dokumentierte Governance-Ebene durchgeführt haben, wird dies die wichtigste Lücke sein, die es zu schließen gilt.
Der zweite Punkt ist die ausdrückliche Ausweitung des Anwendungsbereichs. CSF 1.1 war auf kritische Infrastrukturen ausgerichtet. CSF 2.0 richtet sich ausdrücklich an alle Organisationen: kleine Unternehmen, Großunternehmen, Behörden, Schulen, Krankenhäuser und MSPs. Die Dokumentation des Rahmenwerks enthält nun Beispiele, die diese breitere Zielgruppe widerspiegeln, anstatt wie im Original auf die Bereiche Energie, Verkehr und Wasser Bezug zu nehmen.
Der dritte Punkt betrifft die erweiterten Inhalte zum Risikomanagement in der Lieferkette. Angriffe auf die Lieferkette haben sich seit der Veröffentlichung von CSF 1.1 im Jahr 2018 zu einem vorherrschenden Bedrohungsvektor entwickelt, und CSF 2.0 erweitert die Leitlinien zur Bewertung, zum Management und zur vertraglichen Regelung von Cybersicherheitsrisiken durch Dritte erheblich. Für MSPs, die selbst Teil der Lieferkette ihrer Kunden sind, ist dieser Abschnitt Pflichtlektüre.
Der vierte Punkt betrifft die aktualisierte Kategorie- und Unterkategoriestruktur. Die Anzahl der Unterkategorien hat sich geändert, einige Kategorien wurden neu geordnet, und die Leitlinien berücksichtigen aktuelle Tätigkeitsbereiche wie die Sicherheit operativer Technologien und die Cloud-Sicherheit deutlicher als dies bei CSF 1.1 der Fall war. Organisationen, die eine Aktualisierung ihres CSF 1.1-Programms vornehmen, sollten ihre bestehenden Kontrollmaßnahmen der CSF 2.0-Struktur zuordnen, anstatt von einer Eins-zu-Eins-Übertragung auszugehen.
Die sechs Funktionen
Die sechs Funktionen in CSF 2.0 dienen der Organisation von Cybersicherheitsmaßnahmen auf höchster Ebene. Jede dieser Funktionen gliedert sich in Kategorien und diese wiederum in Unterkategorien, die konkrete Ergebnisse beschreiben.
Govern (GV). Die neue Funktion in CSF 2.0. Festlegung und Überwachung der Strategie, der Erwartungen und der Richtlinien der Organisation im Bereich Cybersicherheits-Risikomanagement. Umfasst den organisatorischen Kontext, die Risikomanagementstrategie, Rollen und Verantwortlichkeiten im Bereich Cybersicherheit, Richtlinien, Aufsicht sowie das Risikomanagement in der Lieferkette.
Identifizieren (ID). Erfassen Sie die Cybersicherheitsrisiken der Organisation für Systeme, Mitarbeiter, Ressourcen, Daten und Fähigkeiten. Hier finden Sie die Bereiche Ressourcenmanagement, Risikobewertung und Verbesserungsplanung.
Schützen (PR). Umsetzung von Sicherheitsmaßnahmen, die den Betrieb kritischer Dienste gewährleisten. Identitätsmanagement und Zugriffskontrolle, Sensibilisierung und Schulung, Datensicherheit, Plattformsicherheit sowie Ausfallsicherheit der technologischen Infrastruktur.
Erkennen (DE). Erkennen Sie das Auftreten eines Cybersicherheitsvorfalls, sobald er eintritt. Kontinuierliche Überwachung und Analyse von Vorfällen.
Reagieren (RS). Ergreifen Sie Maßnahmen, sobald ein Cybersicherheitsvorfall erkannt wird. Vorfallmanagement, Vorfallanalyse, Berichterstattung über die Reaktion, Schadensbegrenzung und Verbesserungsmaßnahmen nach dem Vorfall.
Wiederherstellung (RC). Wiederherstellung von Funktionen oder Diensten, die durch einen Cybersicherheitsvorfall beeinträchtigt wurden. Umsetzung des Plans zur Wiederherstellung nach einem Vorfall und Kommunikation im Zusammenhang mit der Wiederherstellung.
Das häufigste Ungleichgewicht in CSF-Programmen in der Praxis ist eine übermäßige Investition in den Bereich „Schutz“ im Vergleich zu den Bereichen „Erkennung“ und „Reaktion“. Unternehmen erwerben zahlreiche präventive Kontrollmaßnahmen, aber vergleichsweise wenige Erkennungs- und Reaktionskapazitäten, und sind dann überrascht, wenn es länger dauert als nötig, den unvermeidlichen Vorfall zu erkennen und einzudämmen. CSF 2.0 schreibt zwar keine bestimmte Budgetaufteilung vor, doch ein glaubwürdiges Programm zeichnet sich durch eine in etwa gleichmäßige Reife in allen sechs Funktionen aus – und nicht durch eine hohe Punktzahl im Bereich „Schutz“ bei gleichzeitig schwachen Erkennungs- und Reaktionskapazitäten.
Stufen und Profile
CSF 2.0 behält das in CSF 1.1 vorhandene Modell der Implementierungsebenen und Profile bei und enthält verbesserte Anleitungen zu deren Anwendung.
Die Implementierungsstufen beschreiben den Grad der Stringenz und Ausgereiftheit der Cybersicherheits-Risikomanagementpraktiken einer Organisation auf vier Ebenen: Stufe 1 (Teilweise), Stufe 2 (Risikobewusst), Stufe 3 (Wiederholbar) und Stufe 4 (Anpassungsfähig). Die Stufen sind keine Compliance-Bewertungen. Sie beschreiben, wie die Organisation Risiken handhabt und wie ausgereift ihre Praktiken sind, nicht aber, ob sie eine Checkliste abgearbeitet hat. Die meisten KMU werden für den Großteil ihres Programms realistischerweise Stufe 2 oder Stufe 3 anstreben, anstatt durchweg Stufe 4 anzustreben.
Anhand von Profilen passt eine Organisation das CSF an ihren spezifischen Kontext an. Ein Ist-Profil beschreibt die Ergebnisse im Bereich Cybersicherheit, die die Organisation derzeit erzielt. Ein Soll-Profil beschreibt die Ergebnisse, die die Organisation unter Berücksichtigung ihrer Risikobereitschaft, des regulatorischen Umfelds und ihrer Geschäftsziele erreichen möchte. Die Lücke zwischen beiden bildet den Verbesserungsplan. Für einen MSP, der Sicherheitsberatungsdienste anbietet, ist die Erstellung von Ist- und Soll-Profilen für jeden Kunden eine der klarsten Methoden, um die geleistete Arbeit zu dokumentieren und die Grundlage für Gespräche über eine mehrjährige Roadmap zu schaffen.
Betrachten wir einmal, wie sich dies in der Praxis auswirkt. Ein Kunde aus dem Bereich Professional Services mit 120 Benutzern muss CSF 2.0 umsetzen, da sein größter Kunde (ein Auftragnehmer der Bundesregierung) von seinen Lieferanten den Nachweis der Konformität verlangt. Der MSP führt eine „Current Profile“-Bewertung durch und stellt fest, dass der Kunde in den Bereichen „Identify“ und „Protect“ etwa auf Stufe 2 liegt, in den Bereichen „Detect“ und „Respond“ auf Stufe 1, während die Funktion „Govern“ überhaupt nicht dokumentiert ist. Das Zielprofil, das sich an den vertraglichen Verpflichtungen des Kunden orientiert, liegt bei „Identify“, „Protect“, „Detect“, „Respond“ und „Recover“ auf Stufe 3 und bei „Govern“ auf Stufe 2. Die Lücke wird zu einem strukturierten 18-monatigen Projekt: Grundlagenarbeit für „Govern“ im ersten Quartal, Tools und Runbooks für „Detect/Respond“ im zweiten und dritten Quartal sowie kontinuierliche Verbesserung während der restlichen Projektlaufzeit. CSF verwandelt das, was sonst ein vages Projekt zur „Verbesserung unserer Sicherheit“ gewesen wäre, in einen vertraglich festgelegten Umfang mit messbaren Meilensteinen.
Wie sich CSF 2.0 in andere Frameworks einfügt
CSF wird selten isoliert eingesetzt. Die meisten Organisationen, die es nutzen, arbeiten auch daran, andere Rahmenbedingungen zu erfüllen, oder erfüllen diese bereits. Das Verständnis dieser Überschneidungen hilft, Doppelarbeit zu vermeiden.
NIST SP 800-53 ist der detaillierte Kontrollkatalog, auf den die Unterkategorien des CSF zurückgeführt werden. Organisationen, die das CSF für die strategische Ausrichtung und SP 800-53 für die Umsetzungsdetails nutzen, erhalten sich ergänzende Einblicke in dasselbe Sicherheitsprogramm auf unterschiedlichen Detailebenen.
NIST SP 800-171 ist eine Untergruppe der Kontrollmaßnahmen aus SP 800-53, die für kontrollierte, nicht klassifizierte Informationen gelten, die in nicht-bundeseigenen Systemen gespeichert sind. CMMC Level 2 baut auf SP 800-171 auf, sodass eine Organisation, die sich an CSF und SP 800-171 ausrichtet, bereits den größten Teil der Arbeit für die CMMC-Zertifizierung erledigt hat.
CIS Controls v8.1 ist weitgehend auf die Funktionen und Kategorien des CSF abgestimmt. Eine Organisation, die die CIS Controls Implementation Group 2 implementiert, wird mit relativ geringem Mehraufwand eine enge Abstimmung mit dem CSF feststellen.
Die Norm ISO 27001 teilt den risikobasierten und ergebnisorientierten Ansatz des CSF. Viele Organisationen setzen beides ein: das CSF für die strategische Ausrichtung und ISO 27001 für das auditierbare Managementsystem. Eine Zertifizierung bedeutet nicht automatisch eine Übereinstimmung mit dem CSF, doch die zugrunde liegenden Kontrollmaßnahmen sind in hohem Maße kompatibel.
Implementierung des NIST CSF 2.0 für MSPs und IT-Teams
Der praktische Weg zur Umsetzung von CSF 2.0 gliedert sich in fünf Phasen.
Beginnen Sie mit der „Govern“-Funktion. Hier müssen CSF 1.1-Programme in der Regel den größten Aufwand betreiben, und hier sind die Anforderungen von CSF 2.0 am deutlichsten formuliert. Halten Sie fest, wer für die Cybersicherheit verantwortlich ist, wie hoch die Risikobereitschaft der Organisation ist, wie Entscheidungen zur Cybersicherheit eskaliert werden und wie Risiken in der Lieferkette gemanagt werden. Die „Govern“-Funktion bildet das Fundament, auf dem die technischen Funktionen aufbauen. Programme, die diesen Schritt überspringen, bleiben häufig auf Stufe 2 stehen.
Führen Sie eine Bestandsaufnahme des aktuellen Profils durch. Gehen Sie die Kategorien und Unterkategorien durch und halten Sie fest, welche Ergebnisse im Bereich Cybersicherheit derzeit tatsächlich erzielt werden. Dies ist die Maßnahme mit dem unmittelbarsten Nutzen, die jede Organisation ergreifen kann, und die Bestandsaufnahme selbst deckt oft Lücken in der Governance und Erkennungsblindstellen auf, die zuvor niemand bemerkt hatte. Für MSPs ist die Bestandsaufnahme des aktuellen Profils das Ergebnis, das den Rahmen für alle nachfolgenden Gespräche bildet.
Legen Sie ein realistisch umsetzbares Zielprofil fest. Das Zielprofil sollte das regulatorische Umfeld, die vertraglichen Verpflichtungen und die Risikobereitschaft des Unternehmens widerspiegeln und nicht ein unrealistisch hohes Ziel darstellen. Ein Zielprofil, das in allen sechs Funktionen die Stufe 4 anstrebt, ohne dass das entsprechende Budget dafür vorhanden ist, führt eher zu einem Bericht über permanente Lücken als zu einem umsetzbaren Fahrplan.
Priorisieren Sie die Lücken mit dem höchsten Risiko. Für die meisten Organisationen liegt die größte Lücke eher in den Bereichen Erkennung, Reaktion und Steuerung als im Bereich Schutz. Kontinuierliche Überwachungsfunktionen, dokumentierte Runbooks für die Reaktion auf Vorfälle und eine formelle Rechenschaftspflicht im Bereich Governance sorgen im Vergleich zu zusätzlichen präventiven Kontrollen in einem bereits ausgereiften Schutzbereich für eine überproportionale Risikominderung pro Aufwandseinheit.
Nutzen Sie die Plattform-Tools zur Umsetzung der technischen Unterkategorien. Die Kaseya 365 deckt in den meisten Unterkategorien direkt die CSF-Implementierung ab. Kaseya VSA 10 und Datto RMM decken das Asset-Management und das Patch-Management ab (Identifizieren, Schützen). Datto EDR deckt die Endpunkt-Erkennung und -Reaktion ab (Erkennen, Reagieren). Datto BCDR deckt die Wiederherstellung ab (Wiederherstellen). BullPhish ID Sensibilisierungsschulungen BullPhish ID (Schützen). Compliance Manager GRC Governance, Profilverfolgung und Nachweisdokumentation (Steuern). Compliance Manager GRC enthält einen NIST-CSF-2.0-Bewertungsworkflow mit Nachverfolgung des aktuellen und des Zielprofils und ruft technische Nachweise automatisch aus den anderen Plattformkomponenten ab – das ist der Unterschied zwischen der Ausführung eines CSF-Programms in einer Tabellenkalkulation und der Ausführung als operativer Dienst.
Die Organisationen, die den größten Nutzen aus CSF 2.0 ziehen, sind nicht diejenigen mit den höchsten Bewertungen. Es sind diejenigen, die das Rahmenwerk als strukturierten Ansatz für schwierige Gespräche betrachten. Darüber, wer für Entscheidungen zur Cybersicherheit zuständig ist, darüber, wo das Programm wirklich Schwächen aufweist und nicht nur auf dem Papier gut aussieht, darüber, welche Kontrollmaßnahmen ihren Platz verdienen und welche ohne klare Funktion angeschafft wurden. CSF 2.0 sagt Ihnen nicht, was Sie tun sollen. Es sagt Ihnen, was Sie beantworten können sollten. Die Organisationen, die klare Antworten geben können, sind diejenigen, deren Kunden, Prüfer und Versicherer keine weiteren Fragen mehr stellen.
Das Wichtigste in Kürze
- Mit NIST CSF 2.0 wurde eine sechste Funktion – „Govern“ – hinzugefügt und der Anwendungsbereich über kritische Infrastrukturen hinaus auf alle Organisationen ausgeweitet. Dies ist die bedeutendste Aktualisierung des Rahmenwerks seit seiner Veröffentlichung im Jahr 2014.
- Die sechs Funktionen (Steuern, Erkennen, Schützen, Erfassen, Reagieren, Wiederherstellen) bieten einen umfassenden Überblick über den gesamten Lebenszyklus des Cybersicherheits-Risikomanagements. Programme, bei denen der Schwerpunkt zu sehr auf dem Schutz liegt und dabei die Funktionen „Erfassen“ und „Reagieren“ vernachlässigt werden, stellen das häufigste Ungleichgewicht dar.
- CSF-Profile (Ist- und Soll-Zustand) bieten einen strukturierten Ansatz zur Ermittlung von Lücken und zur Förderung der Verbesserungsplanung. Für MSPs ist die Erstellung von Profilen für jede Kundenumgebung eine übersichtliche Methode, um die Arbeit im Bereich der Sicherheitsberatung zu dokumentieren und deren Umfang zu definieren.
- CSF orientiert sich eng an den CIS Controls, der Norm ISO 27001, dem CMMC über SP 800-171 und SOC 2. Eine einzige Kontrollarchitektur sollte mehrere Rahmenwerke abdecken, ohne dass es zu Doppelungen kommt.
