Was ist NIST-Konformität? Ein praktischer Leitfaden für IT-Teams und MSPs

Der Begriff „NIST“ wird für verschiedene Dinge verwendet, oft synonym und nicht immer ganz zutreffend. Die Behörde. Das Cybersicherheits-Rahmenwerk. Die Sonderveröffentlichungen der 800er-Reihe. Das Risikomanagement-Rahmenwerk. Das Datenschutz-Rahmenwerk. Zu wissen, um welches „NIST“ es in einem bestimmten Gespräch geht und welches für eine bestimmte Compliance-Verpflichtung tatsächlich relevant ist, ist der erste praktische Schritt bei der Arbeit mit den NIST-Leitlinien.

NIST-Konformität bedeutet im weitesten Sinne die Einhaltung der vom National Institute of Standards and Technology veröffentlichten Richtlinien zur Cybersicherheit und zum Risikomanagement. In der Praxis bedeutet dies in der Regel die Anpassung an eine oder mehrere spezifische NIST-Veröffentlichungen, wie das Cybersecurity Framework (CSF), SP 800-53, SP 800-171 oder andere, je nach regulatorischem Kontext, Branche und den Anforderungen der Kunden, Aufsichtsbehörden oder Versicherer der Organisation.

Dieser Leitfaden dient als Orientierungshilfe. Er erläutert, was das NIST als Organisation ausmacht, welche relevanten Rahmenwerke und Veröffentlichungen es gibt, wann die Einhaltung der NIST-Vorgaben freiwillig und wann sie verpflichtend ist und wie sich diese mit anderen Rahmenwerken vereinbaren lassen, mit denen IT-Teams und MSPs zu tun haben. Eine praxisorientierte, detaillierte Einführung speziell in das am weitesten verbreitete NIST-Rahmenwerk finden Sie im Leitfaden zum NIST Cybersecurity Framework für CSF 2.0.

Was ist NIST?

Das NIST ist eine Bundesbehörde des US-Handelsministeriums. Es wurde 1901 als „National Bureau of Standards“ gegründet, 1988 umbenannt und ist für Messtechnik, industrielle Normen sowie ein breites Spektrum an Technologiebereichen zuständig, darunter Cybersicherheit, fortschrittliche Fertigung und künstliche Intelligenz.

Die Cybersicherheitsaufgaben, mit denen die meisten IT-Teams und MSPs konfrontiert sind, fallen in den Zuständigkeitsbereich des NIST-Labors für Informationstechnologie, das das Cybersicherheits-Framework, das Risikomanagement-Framework, das Datenschutz-Framework sowie verschiedene Sonderpublikationen herausgibt, in denen spezifische Kontrollmaßnahmen, Prozesse und Bewertungsmethoden detailliert beschrieben werden. Die NIST-Leitlinien enthalten bewusst keine Vorgaben hinsichtlich der zu verwendenden Tools. Sie geben vor, welche Ergebnisse zu erzielen sind, nicht aber, welches Produkt zu kaufen ist.

Der Grund dafür, dass die NIST-Leitlinien über ihre direkte Anwendbarkeit auf US-Bundesbehörden hinaus ein solches Gewicht haben, liegt darin, dass sie durch Verweis in eine lange Liste anderer Regulierungssysteme und kommerzieller Rahmenwerke übernommen wurden. Das CMMC für Rüstungsunternehmen basiert auf SP 800-171. Auch in den Datenschutzgesetzen der Bundesstaaten wird in den Sicherheitsstandards häufig auf das NIST Bezug genommen. Cyber-Versicherer verlangen zunehmend die Übereinstimmung mit den NIST-Vorgaben als Voraussetzung für den Versicherungsschutz. Selbst Organisationen, die keine direkte Verpflichtung gegenüber dem NIST haben, arbeiten oft trotzdem auf die NIST-Standards hin, da ihr größter Kunde, ihr Versicherer oder ihre Aufsichtsbehörde diese als Bezugspunkt nutzt.

Die NIST-Reihe von Leitfäden zur Cybersicherheit

Das NIST-Portfolio zur Cybersicherheit gliedert sich in eine kleine Anzahl übergeordneter Rahmenwerke und eine größere Anzahl detaillierter Veröffentlichungen.

Das NIST Cybersecurity Framework (CSF) ist das am weitesten verbreitete Rahmenwerk. Ursprünglich im Jahr 2014 für kritische Infrastrukturen veröffentlicht, ist die aktuelle Version CSF 2.0 (Februar 2024), die den Anwendungsbereich auf alle Organisationen ausweitete, neben den ursprünglichen fünf Funktionen (Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen) eine neue Funktion „Govern“ hinzufügte und die Leitlinien zum Risikomanagement in der Lieferkette erheblich erweiterte. Das CSF ist das Rahmenwerk, auf dem die meisten Organisationen ihr Sicherheitsprogramm aufbauen. Eine praxisorientierte Einführung in die sechs Funktionen, Stufen und Profile von CSF 2.0 finden Sie im speziellen CSF 2.0-Leitfaden.

Das NIST Risk Management Framework (RMF) ist ein strukturierter Prozess zur Steuerung von Sicherheits- und Datenschutzrisiken über den gesamten Lebenszyklus der Systementwicklung hinweg. Während das CSF die zu erreichenden Ziele vorgibt, liefert das RMF den Prozess, um diese zu erreichen: Systeme kategorisieren, Kontrollmaßnahmen auswählen, umsetzen, bewerten, genehmigen und überwachen. Das RMF ist gemäß FISMA für Informationssysteme der US-Bundesbehörden verbindlich vorgeschrieben und wird zunehmend als Prozessgerüst in Sicherheitsprogrammen der Privatwirtschaft eingesetzt.

Das NIST-Datenschutz-Framework ist das datenschutzorientierte Pendant zum CSF. Es ist ähnlich aufgebaut (Kern, Profile, Implementierungsebenen) und soll Organisationen dabei helfen, Datenschutzrisiken parallel zu ihren Cybersicherheitsrisiken zu identifizieren und zu bewältigen. Es lässt sich nahtlos auf das CSF und DSGVO abbilden, was es für Organisationen nützlich macht, die in verschiedenen Rechtsräumen tätig sind.

Die NIST-Reihe „Special Publications“ (SP) enthält detaillierte technische und verfahrenstechnische Leitlinien, auf die in den übergeordneten Rahmenwerken Bezug genommen wird. Insbesondere die 800er-Reihe ist diejenige, mit der IT-Teams am häufigsten zu tun haben.

Die NIST SP 800-Reihe: Wichtige Veröffentlichungen

Die 800er-Reihe ist umfangreich (Hunderte von Publikationen), doch nur eine kleine Auswahl davon deckt den Großteil der praktischen Arbeit typischer IT-Teams und MSPs ab.

SP 800-53 ist der Katalog der Sicherheits- und Datenschutzmaßnahmen für Informationssysteme der US-Bundesbehörden. Er enthält über tausend Maßnahmen, die in 20 Maßnahmenfamilien gegliedert sind, und dient als Grundlage für die Umsetzung, auf die sich die Unterkategorien des CSF beziehen. Die meisten anderen US-amerikanischen Cybersicherheitsstandards auf Bundesebene leiten sich aus SP 800-53 ab oder sind darauf abgestimmt.

SP 800-171 ist der Teil der SP 800-53-Kontrollmaßnahmen, der für kontrollierte, nicht klassifizierte Informationen (CUI) gilt, die in nicht-föderalen Systemen gespeichert sind. Er umfasst 110 Sicherheitsanforderungen in 14 Kontrollfamilien. CMMC Level 2, das Zertifizierungssystem für die US-amerikanische Verteidigungsindustrie, baut direkt auf SP 800-171 auf. Für MSPs, die Verteidigungsunternehmen oder deren Subunternehmer betreuen, ist SP 800-171 das zentrale Referenzdokument.

SP 800-30 liefert die Methodik für die Durchführung von Risikobewertungen im Bereich der Cybersicherheit. Während die meisten Rahmenwerke lediglich die Durchführung einer Risikobewertung vorschreiben, zeigt 800-30 konkret auf, wie eine solche Bewertung auf eine Weise durchgeführt wird, die vertretbar und überprüfbar ist.

SP 800-37 ist das Verfahrensdokument für das Risikomanagement-Rahmenwerk (RMF). Es führt durch die sechs RMF-Schritte (Vorbereitung, Kategorisierung, Auswahl, Umsetzung, Bewertung, Genehmigung, Überwachung) und dient als praktischer Leitfaden für Organisationen, die ein RMF-konformes Programm betreiben.

SP 800-61 befasst sich mit dem Umgang mit Sicherheitsvorfällen in der IT. Es dient als Referenzdokument für die Einrichtung eines Programms zur Reaktion auf Sicherheitsvorfälle und wird häufig in gesetzlichen Vorschriften zitiert, die die Fähigkeit zur Reaktion auf Sicherheitsvorfälle vorschreiben.

SP 800-137 befasst sich mit der kontinuierlichen Überwachung der Informationssicherheit. Es schafft den Rahmen für ein ständiges Bewusstsein hinsichtlich des Sicherheitsstatus, der Schwachstellen und der Bedrohungen – eine Vorgehensweise, die die einmalige Implementierung von Kontrollmaßnahmen in ein nachhaltiges Sicherheitsprogramm umsetzt.

Es gibt Dutzende weiterer Veröffentlichungen der 800er-Reihe, die spezifische Themen behandeln, von Cloud Computing (SP 800-144) über industrielle Steuerungssysteme (SP 800-82) bis hin zum Identitätsmanagement (SP 800-63). Für die meisten IT-Teams und MSPs decken die sechs oben genannten Veröffentlichungen den Großteil der täglichen NIST-Referenzarbeit ab, wobei weitere herangezogen werden, sobald spezifische Anforderungen auftreten.

Wenn die Einhaltung der NIST-Vorgaben freiwillig statt verpflichtend ist

Für nicht-föderale Organisationen ist die Einhaltung der NIST-Standards technisch gesehen freiwillig. In der Praxis verschwimmt die Grenze zwischen freiwillig und verpflichtend jedoch schon seit Jahren.

Die NIST-Leitlinien sind für US-Bundesbehörden gemäß dem FISMA (Federal Information Security Modernization Act) unmittelbar verbindlich; dieses Gesetz verpflichtet die Behörden, Informationssicherheitsprogramme zu entwickeln, zu dokumentieren und umzusetzen, die den NIST-Standards und -Leitlinien entsprechen.

Für Auftragnehmer und Subunternehmer des Bundes, die mit kontrollierten, nicht als geheim eingestuften Informationen umgehen, ist dies aufgrund vertraglicher Weitergabeverpflichtungen zwingend vorgeschrieben. Das CMMC-Programm, das schrittweise in die Verträge des Verteidigungsministeriums integriert wird, macht die Einhaltung der SP 800-171-Vorgaben zur Voraussetzung für die Bietungsberechtigung bei den meisten Verteidigungsaufträgen.

Durch die Übernahme in zahlreiche bundesstaats- und branchenspezifische Rechtsrahmen ist dies faktisch verbindlich. Die Cybersicherheitsverordnung des New Yorker Finanzministeriums (23 NYCRR 500), die Leitlinien zur HIPAA-Sicherheitsvorschrift sowie verschiedene bundesstaatliche Datenschutzgesetze verweisen alle auf NIST-Veröffentlichungen als maßgebliche Quellen.

Im Rahmen der Cyber-Versicherung wird dies aus kommerziellen Gründen zunehmend verlangt. Die Versicherer sind von der risikobasierten Bewertung anhand von Fragebögen dazu übergegangen, Nachweise für die Übereinstimmung mit einem anerkannten Cybersicherheits-Rahmenwerk zu verlangen, wobei das CSF das Rahmenwerk ist, nach dem am häufigsten gefragt wird. Unternehmen, die ihre Cyber-Versicherung im Jahr 2026 verlängern, sollten damit rechnen, dass sie zur Übereinstimmung mit dem CSF befragt werden.

Die freiwillige Anpassung ist auch der vorherrschende Weg für Organisationen des privaten Sektors, die ein strukturiertes Cybersicherheitsprogramm anstreben, aber keinen konkreten regulatorischen Anknüpfungspunkt haben. Die ausdrückliche Ausweitung des CSF 2.0 auf alle Organisationen hat dies erleichtert. Das Rahmenwerk ist nicht mehr ausschließlich auf kritische Infrastrukturen ausgerichtet und kann nun auch von Kleinunternehmen, mittelständischen Firmen und MSPs selbst genutzt werden.

Wie sich NIST mit HIPAA, PCI-DSS, ISO 27001 und den CIS-Kontrollen in Einklang bringt

NIST überschneidet sich in erheblichem Maße mit anderen Rahmenwerken, an deren Umsetzung eine Organisation wahrscheinlich bereits arbeitet. Der häufigste Fehler bei der Umsetzung besteht darin, diese als separate Programme zu behandeln, die auf getrennten Kontrollmechanismen basieren.

Die HIPAA-Sicherheitsvorschriften orientieren sich eng an den NIST-Leitlinien. Das Ministerium für Gesundheit und Soziales verweist in seinen Sicherheitsrichtlinien ausdrücklich auf NIST-Veröffentlichungen, und Organisationen, die die Anforderungen der HIPAA-Sicherheitsvorschriften erfüllen, haben im Gesundheitswesen in der Regel bereits den größten Teil der Arbeit zur Anpassung an den CSF geleistet.

PCI-DSS für die Zahlungskartenabwicklung weist erhebliche Überschneidungen mit NIST SP 800-53 auf, insbesondere in den Bereichen Zugriffskontrolle, Verschlüsselung, Schwachstellenmanagement und Reaktion auf Sicherheitsvorfälle. Ein Händler oder Dienstleister, der ein tragfähiges PCI-Programm betreibt, ist gut aufgestellt, um dieses auf das CSF auszuweiten.

ISO 27001 ist die internationale Norm für Managementsysteme zur Informationssicherheit. Sie folgt ebenso wie das CSF einem risikobasierten und ergebnisorientierten Ansatz, ergänzt diesen jedoch um eine formale Managementsystemstruktur, die im Hinblick auf eine Zertifizierung auditierbar ist. Das CSF und ISO 27001 sind in hohem Maße kompatibel, und viele Organisationen setzen beides ein: das CSF als strategischen Rahmen und ISO 27001 als zertifizierbares Managementsystem.

CIS Controls v8.1 ist ein nach Prioritäten geordneter, verbindlicher Katalog von 18 Sicherheitsmaßnahmen, der weitgehend den Funktionen und Kategorien des CSF entspricht. CIS Controls ist für Organisationen, die noch keine Erfahrung mit strukturierter Sicherheitsarbeit haben, oft der einfachere Einstieg, da es konkrete Maßnahmen in der Reihenfolge ihrer Priorität vorschreibt, während das CSF lediglich Ziele vorgibt, ohne Maßnahmen vorzuschreiben. Eine Organisation, die CIS Controls implementiert, hat damit bereits einen wesentlichen Teil der Arbeit zur Anpassung an das CSF geleistet.

Das Muster ist bei all diesen Fällen dasselbe. Eine einzige zugrunde liegende Kontrollarchitektur sollte mehrere Rahmenwerke abdecken. Bei einer intelligenten Umsetzung werden die Kontrollen einmalig den Anforderungen der Rahmenwerke zugeordnet und die entsprechenden Nachweise wiederholt verwendet, anstatt parallele Compliance-Programme zu betreiben, die jeweils einen eigenen Verwaltungsaufwand erfordern.

Ein praktischer NIST-Leitfaden für IT-Teams und MSPs

Für Organisationen, die gerade erst anfangen, lässt sich die Arbeit in der Regel in fünf Phasen unterteilen.

Ermitteln Sie die konkrete NIST-Verpflichtung. Handelt es sich bei der Organisation um einen Auftragnehmer der US-Bundesregierung, für den die CMMC-Vorschriften gelten? Um eine Einrichtung des Gesundheitswesens, die der HIPAA unterliegt? Um ein Finanzdienstleistungsunternehmen, das der NYDFS 500 unterliegt? Oder um ein Unternehmen der Privatwirtschaft, das eine freiwillige Anpassung an die Anforderungen anstrebt, um eine Cyberversicherung abzuschließen oder seine geschäftliche Glaubwürdigkeit zu stärken? Die konkrete Verpflichtung bestimmt, welche NIST-Veröffentlichung als primäre Referenz heranzuziehen ist.

Legen Sie den strategischen Rahmen fest. Für die meisten Organisationen lautet die Antwort „NIST CSF 2.0“, da dieser branchenübergreifend einsetzbar ist, die größte externe Anerkennung genießt und sich nahtlos auf andere Verpflichtungen abbilden lässt. Bundesauftragnehmer mit Verpflichtungen im Bereich vertraulicher Informationen (CUI) kombinieren den CSF mit SP 800-171.

Führen Sie eine Bestandsaufnahme des aktuellen Profils in Bezug auf das ausgewählte Rahmenwerk durch. Dokumentieren Sie, welche Ergebnisse im Bereich der Cybersicherheit derzeit tatsächlich erzielt werden, wo Lücken bestehen und welche Lücken für die regulatorischen oder geschäftlichen Verpflichtungen, die die Grundlage für diese Arbeit bilden, am relevantesten sind.

Erstellen Sie ein Zielprofil und einen Fahrplan. Wo soll das Unternehmen stehen, wann soll es dieses Ziel erreichen, wie hoch sind die Kosten und wie sieht die Prioritätenliste für die anstehenden Aufgaben aus?

Wählen Sie Tools, die sich an das Framework anpassen, anstatt ihm zuwiderzulaufen. Die Kaseya 365 implementiert den Großteil der CSF-Unterkategorien direkt. Kaseya VSA 10 und Datto RMM decken das Asset-Management und das Patch-Management ab (Identifizieren, Schützen). Datto EDR deckt die Endpunkt-Erkennung und -Reaktion ab (Erkennen, Reagieren). Datto BCDR deckt die Wiederherstellung ab (Wiederherstellen). BullPhish ID Sensibilisierungsschulungen BullPhish ID (Schützen). Compliance Manager GRC deckt Governance, Profilverfolgung und Evidenzsammlung (Govern) ab, mit integrierten Vorlagen für NIST CSF 2.0, SP 800-171, CMMC und verwandte Frameworks, die die Compliance-Arbeit von einer Tabellenkalkulationsaufgabe in einen kontinuierlichen Betriebsdienst verwandeln.

Wird die NIST-Konformität als einmaliges Projekt betrachtet, wird sie zu einem verstaubten Ordner voller Richtlinien, die nicht der Realität entsprechen. Wird sie hingegen als kontinuierliche Disziplin betrachtet, wird sie zum Bindeglied, das den Rest des Cybersicherheitsprogramms zu einer kohärenten Einheit formt, die standardmäßig audit-, versicherungs- und vertragsbereit ist. Die Organisationen, die den größten Nutzen aus den NIST-Leitlinien ziehen, sind diejenigen, die aufhören, sie als regulatorische Belastung zu betrachten, und anfangen, sie als Blaupause dafür zu sehen, wie ihr Sicherheitsprogramm funktionieren soll.