NIST CSF: Was ist das NIST Cybersecurity Framework?
Das Cybersecurity Framework der US-Bundesbehรถrde fรผr Standards und Technologie (NIST) ist ein freiwillige Richtlinie, mit deren Hilfe Organisationen ihre momentane IT-Sicherheit analysieren, Ziele fรผr den Schutz der eigenen IT setzen und die Implementierung von Sicherheitsmaรnahmen messen kรถnnen. In unserem รberblick erfahren Sie, was es mit dem NIST CSF auf sich hat und wie das Rahmenkonzept mit Standards wie NIST 800-53, 800-171 und ISO 27001 zusammenhรคngt. Auรerdem sehen wir uns an, wozu das Cybersecurity Framework in der Praxis verwendet werden kann.
Grundlagen: Was ist das NIST Cybersecurity Framework?
Das Cybersecurity Framework (CSF) ist eine Richtlinie des National Institute of Standards and Technology (NIST), die Organisationen dabei helfen soll, ein genaueres Bild ihrer IT-Security zu entwickeln und sich Ziele fรผr die Verbesserung der Informationssicherheit zu setzen. Auรerdem dient das Dokument als gemeinsamer Anhaltspunkt, um Risiken und Schutzmaรnahmen in der Informationssicherheit vergleichbar und kommunizierbar zu machen โ ganz gleich, ob es um den Austausch mit anderen Unternehmen oder die Abstimmung mit internen Entscheidungstrรคgern geht.
Das NIST Cybersecurity Framework wurde ursprรผnglich entwickelt, um die Sicherheit in kritischen Infrastrukturen zu verbessern. Es dient also einem รคhnlichen Zweck, wie die KRITIS-Verordnung in Deutschland, basiert allerdings auf Freiwilligkeit. Seit seiner Verรถffentlichung im Jahr 2014 wurde das CSF von vielen Unternehmen, รถffentlichen Einrichtungen und staatlichen Behรถrden aufgegriffen bzw. als Grundlage fรผr die Entwicklung eigener Informationssicherheitsprogramme herangezogen.
Achtung: Das NIST Framework ist nicht zu verwechseln mit der NIS2 Richtlinie der EU.
Gibt es das NIST Cybersecurity Framework auch auf Deutsch?
Das NIST Cybersecurity Framework ist zwar in mehreren Sprachen verfรผgbar, leider gibt es jedoch keine deutsche รbersetzung des Standards. Organisationen, die das Dokument fรผr ihr Sicherheitsprogramm heranziehen wollen, mรผssen entweder das englische Original oder eine der verfรผgbaren รbersetzungen verwenden.
Aufbau des Cybersecurity Framework
Der Kern des NIST CSF besteht aus fรผnf Funktionen, die ein erfolgreiches Sicherheitsprogramm abdecken muss: Identify, Protect, Detect, Respond, Recover โ zu Deutsch also Identifizieren, Schรผtzen, Erkennen, Reagieren, Wiederherstellen. Diese fรผnf Gebiete sind wiederum unterteilt in Kategorien, die grรถรere Themen wie Asset Management oder Angriffserkennung behandeln, und Unterkategorien, welche konkrete Ziele vorgeben (z.B. “Notfall- und Wiederherstellungsplรคne werden getestet”).
Darรผber hinaus unterscheidet das Cybersecurity Framework zwischen vier Stufen, die die Umsetzung von Schutzmaรnahmen und Risikomanagement im Unternehmen messen:
Stufe 1: Partiell โย Kaum Bewusstsein fรผr Risiken, kein formales Risikomanagement, Entscheidungen um die Informationssicherheit werden ad-hoc, uneinheitlich und ohne Berรผcksichtigung von Geschรคftszielen und aktuellen Gefรคhrdungen getroffen.
Stufe 2: Risikobasiert โย Es gibt ein Bewusstsein fรผr Informationssicherheitsrisiken, jedoch keine etablierten Prozesse oder Richtlinien. Schutzmaรnahmen werden nicht konsequent angewendet.
Stufe 3: Wiederholbar โย Schutzmaรnahmen und Prozesse rund um das Risikomanagement werden vom Management abgesegnet, als offizielle Richtlinie etabliert, intern kommuniziert und bei Bedarf aktualisiert.
Stufe 4: Adaptiv โย Sicherheitsmaรnahmen werden regelmรครig an neue Bedrohungen und gewonnene Erkenntnisse aus dem laufenden Betrieb angepasst. Das Risikomanagement folgt formalen Prozessen und hat die stetige Verbesserung der Informationssicherheit zum Ziel.
Ist das Cybersecurity Framework verpflichtend?
Nein, das Cybersecurity Framework ist eine freiwillige Richtlinie. In den USA sind lediglich Bundesbehรถrden zur Umsetzung des Frameworks verpflichtet. Darรผber hinaus bildet das CSF die Grundlage fรผr einige Regularien auf Bundestaaten-Ebene. Zum Teil ziehen auch andere Lรคnder das Framework fรผr die Entwicklung ihrer Cybersecurity-Gesetze heran, beispielsweise im Fall von Israels Cyber Defense Doctrine.
Der Grund fรผr die internationale Verwendung des Cybersecurity Framework liegt im hohen Renommee und der fรผhrenden Position von NIST: Obwohl es sich bei dem Insitut um eine US-Behรถrde handelt, kommt ihm bei der Auswahl und Entwicklung von Standards eine globale Rolle zu. Nehmen wir das Thema Kryptographie als Beispiel: Die Entwicklung von Prozessen von Post-Quanten-Kryptographie basiert maรgeblich auf eine Ausschreibung durch NIST.
Cybersecurity Framework: Wie funktioniert die Zertifizierung?
Anders als Normen wie ISO 27001 gibt das Cybersecurity Framework keine Mindestanforderungen vor, die Organisationen erfรผllen mรผssen. Stattdessen kรถnnen Firmen das Dokument nutzen, um sich eigene Ziele zu setzen, indem sie Schutzmaรnahmen und Implementierungsstufen zu einem individuellen Zielprofil verbinden. Dieser Zugang soll die flexible Nutzung des CSF bei der Planung und Verbesserung von IT-Sicherheitsprogrammen in einem breiten Anwenderkreis erlauben.
Entsprechend gibt es keine offizielle Zertifizierung fรผr NIST CSF Compliance, auch wenn einige Dienstleister externe Audits fรผr die Implementierung der Schutzziele anbieten.
NIST CSF 2.0: Timeline des Updates
Um gestiegenen Anforderungen im Bereich IT-Sicherheit und der breiten Verwendung des Cybersecurity Framework gerecht zu werden, arbeitet die Behรถrde fieberhaft an einer neuen Version des Standards: dem CSF 2.0. Inzwischen ist ein erster Entwurf der Richtlinie รถffentlich verfรผgbar. Final wird das Update frรผhestens Ende 2024. Der genaue Zeitplan ist auf der Website des Instituts abrufbar.
Geplante รnderungen in NIST CSF 2.0
Anpassung an des Dokuments an die breite Nutzung in der Privatwirtschaft
Aktualisierung der Empfehlungen an neueste Gefahren und Best Practices
Genauere Darstellung des Zusammenhangs mit anderen NIST Standards
Stรคrkerer Fokus auf die Absicherung von Lieferketten
Einfรผhrung einer neuen, sechsten Funktion (Governance), welche Rollen, Verantwortungen und Policies in einem Kapitel vereint
NIST CSF vs. 800-53
NIST SP 800-53 etabliert verpflichtende Sicherheitsmaรnahmen fรผr Organisationen mit Zugang zu IT-Systemen der US-Bundesbehรถrden, wie sie der Federal Information Security Modernization Act (FISMA) fordert. Neben den Behรถrden selbst gilt die Regelung auch fรผr viele Zulieferer und Dienstleister mit รถffentlichen Auftrรคgen. Welche der รผber 1.000 Sicherheitsmaรnahmen betroffene Firmen umsetzen mรผssen, hรคngt von dem Schutzbedarf des jeweiligen Systems ab (niedrig, moderat, hoch).
NIST CSF vs. 800-171
Wie 800-53 betrifft auch SP 800-171 den Schutz sensibler Daten aus der รถffentlichen Verwaltung. Konkret befasst sich der Standard mit geschรผtzten Informationen, die jedoch nicht unter die obersten Geheimhaltungsstufen wie vertraulich, geheim oder streng geheim fallen. Entsprechend gilt die Regelung auch fรผr Organisationen, die keinen Zugang zu IT-Systemen zu staatlichen IT-Systemen haben, sondern geschรผtzte Informationen in ihrer eigenen IT speichern und verarbeiten. SP 800-171 baut auf den Sicherheitsanforderungen fรผr moderaten Schutzbedarf aus SP 800-53 auf und deckt im Wesentlichen einen Teilbereich der umfassenderen Richtlinie ab.
ISO 27001: Anforderungen an das Access Management
In unserem Whitepaper erfahren Sie alles รผber die ISO Vorbereitung, wichtige Dokumente und die Vorgaben an das Identity und Access Management.
NIST CSF vs. ISO 27001
Auf den ersten Blick haben das Cybersecurity Framework und ISO 27001 viel gemeinsam: beide Normen sind freiwillige Sicherheitsstandards, die von vielen Organisationen zur Verbesserung ihrer Informationssicherheit herangezogen werden. Tatsรคchlich gibt es fรผr die meisten Forderungen in NIST CSF Entsprechungen in ISO 27001.
Allerdings gibt einige wesentliche Unterschiede zwischen den beiden Sicherheitsstandards: ISO 27001 ist international anerkannt und setzt die Zertifizierung durch eine akkreditierte Teststelle voraus. Entsprechend kann ein ISO-Zertifikat auch auรenwirksam zur Bestรคtigung der eigenen Informationssicherheit verwendet werden.
ISO 27001 unterscheidet sich darรผber hinaus durch seine weniger technische Ausrichtung, mit stรคrkerem Fokus auf organistorische Kontrollen wie die interne Audits und die Schulung von Mitarbeitern. Im Zentrum der ISO-Norm steht der Aufbau eines Informationssicherheits-Managementsystems (ISMS), das nicht nur Schutzmaรnahmen definiert sondern auch klar regelt, wer fรผr ihre Umsetzung, Kontrolle, Auswertung und Verbesserung verantwortlich ist.
Ein Vorteil des NIST CSF im Vergleich zu der ISO 27000 Serie liegt in der Tatsache, dass die Richtlinie kostenlos verfรผgbar ist. Fรผr Organisationen, die erstmals eine geregelte Sicherheitsstrategie aufbauen mรถchten, bietet das Dokument also einen guten Ausgangspunkt.
Cybersecurity Framework: Die 5 Kernfunktionen
Der sogenannte Framework Core von NIST CSF setzt sich aus fรผnf Funktionen zusammen, die eine effektive Informationssicherheitsstrategie unbedingt abdecken muss: Identify, Protect, Detect, Respond, Recover โ also das Identifizieren der zu schรผtzenden Ressourcen, die Absicherung gegen Bedrohungen, die Erkennung von Angriffen, die Reaktion auf Sicherheitsvorfรคlle und die Wiederherstellung der eigenen Systeme.
Die fรผnf Kernfunktionen sind wiederum in mehrere Kapitel unterteilt, welche grรถรere Themen wie Governance oder Risikomanagement behandeln. Jedes Kapitel enthรคlt konkrete Vorgaben wie z.B. “Schwachstellen werden identifiziert und dokumentiert”. Alles in allem umfasst das Cybersecurity Framework 108 Anforderungen in 23 Bereichen.
Firmen mรผssen allerdings nicht jede Vorgabe des Frameworks umsetzen, sondern sich anhand des Dokuments eigene Ziele setzen und die enthaltenen Maรnahmen an ihre eigenen Anforderungen, IT-Systeme und Risikotoleranzen anzupassen.
Identify (ID)
Die Funktion Identify (Identifizieren) hat zum Ziel, auf Organisationsebene ein klares Bild von Sicherheitsrisiken zu etablieren. Es geht dabei nicht um die Identifikation von Bedrohungen, sondern von gefรคhrdeten Ressourcen wie IT Systemen, Benutzerkonten und sonstigen Assets. Ein genaues Inventar aller Bestandteile der eigenen IT ist entscheidend, um fundierte Entscheidungen hinsichtlich des Risikomanagements treffen zu kรถnnen, sicherzustellen, dass Schutzmaรnahmen einheitlich in allen Bereichen angewendet werden und nach einem Angriff kontrollieren zu kรถnnen, welche Daten verloren oder kompromittiert wurden.
Unterkapitel der Identify-Funktion:
Asset Management
Business Environment
Governance
Risk Assessment
Risk Management
Supply Chain
Protect (PR)
In diesem Kapitel des Cybersecurity Framework finden sich Best Practices fรผr die Absicherung der eigenen IT, welche dazu beitragen, das Risiko eines erfolgreichen Angriffs zu minimieren. Neben dem Einsatz angemessener Sicherheitssysteme zรคhlen dazu auch organisatorische Prozesse und Bewusstseinsbildung. IT-Sicherheit wird fรคlschlicherweise oft als rein technische Aufgabe betrachtet. In Wahrheit mรผssen alle Abteilungen an einem Strang ziehen, um den Schutz sensibler Daten und Systeme zu gewรคhrleisten.
Ein wesentlicher Abschnitt dieser Funktion widmet sich dem Thema Zugriffskontrolle (Access Control): Unberechtigte Zugriffe auf digitale Ressourcen wie auch physische Zugriffspunkte zu verhindern ist beim Schutz von IT-Systemen von entscheidender Bedeutung. Dazu mรผssen Organisationen Benutzerkonten, Berechtigungen und Zugangsdaten aktiv managen. Sowohl bei der initialen Vergabe als auch bei der laufenden Kontrolle ist auf die Einhaltung des Least Privilege Prinzips sowie der Funktionstrennung zu achten. Auรerdem mรผssen Firmen riskante Zugriffe mittels Multi-Faktor-Authentifizierung absichern.
Weitere Unterkapitel der Protect-Funktion:
Awareness & Training
Data Security
Information Protection
Maintenance
Protective Tech
NIST Compliance รberblick
In unserem englischen Whitepaper erfahren Sie alles zu den erforderlichen Maรnahmen hinsichtlich der Zugriffskontrolle im NIST CSF und SP 800-53.
Detect (DE)
Die Maรnahmen des Detect-Kapitels versetzen Unternehmen in die Lage, Angriffe und sonstige Sicherheitsvorfรคlle zuverlรคssig zu identifizieren. Die Angriffserkennung ist entscheidend, um zeitnah reagieren zu kรถnnen und so im schlimmsten Fall den Schaden fรผr das eigene Netzwerk zu minimieren. Um relevante Vorfรคlle vom normalen IT-Betrieb unterscheiden zu kรถnnen, mรผssen Firmen als ersten Schritt zulรคssige Nutzerverhalten und geeignete Schwellenwerte definieren.
Unterkapitel der Detect-Funktion:
Anomalies & Events
Security Monitoring
Detection Processes
Respond (RS)
Der Abschnitt Respond deckt die notwendigen Schritte ab, die nach der Erkennung eines Angriffs zu setzen sind. Es gilt, die Bedrohung umgehend zu eliminieren und durch Analysen der befallenen Systeme sicherzustellen, dass die Spuren der Attacke restlos beseitigt wurde und eine neuerliche Kompromittierung ausgeschlossen werden kann. Damit die Reaktion im Ernstfall ohne Verzรถgerung erfolgt, mรผssen lange for dem eigentlichen Angriff ein Notfallplan entwickelt, gestestet und verbessert werden.
Unterkapitel der Respond-Funktion:
Response Planning
Communications
Analysis
Mitigation
Improvements
Recover (RC)
Nach einem Angriff auf das Firmennetzwerk muss die volle Funktionsfรคhigkeit der eigenen IT wiederhergestellt werden. Selbst im besten Fall, dass ein Cyberangriff schnell identifiziert, gestoppt und behoben werden konnte, kรถnnen einige Gerรคte und Ressourcen zeitweilig nicht verfรผgbar sein, wรคhrend das Notfallteam sicherstellt, dass diese vollstรคndig bereinigt wurden. In Vorbereitung auf den Notfall mรผssen Organisationen in einem Wiederherstellungsplan dokumentieren, wie der Recovery-Prozess ablaufen soll.
Unterkapitel der Recover-Funktion:
Recovery Planning
Improvements
Communications
NIST CSF Software: Welche Lรถsungen brauche ich?
Sicherheitsstandards wie das Cybersecurity Framework, ISO 27001 oder der BSI IT-Grundschutz sind in der Regel technologie-neutral geschrieben. Das bedeutet, dass sie zwar konkrete Schutzziele vorgeben, aber keine spezifische Lรถsung vorschreiben. Diese Vorgehensweise soll verhindern, dass Unternehmen durch Sicherheitsstandards gezwungen werden, ein bestimmtes Produkt zu kaufen, und auรerdem sicherstellen, dass Anforderungen als erfรผllt gelten, auch wenn die Umsetzung auf anderem Weg erfolgt.
Der technologie-neutrale Zugang bedeutet aber auch, dass Organisationen das Cybersecurity Framework nicht als Einkaufsliste fรผr benรถtigte Sicherheitslรถsungen verwenden kรถnnen. Stattdessen kann das Framework fรผr die Analyse von Lรผcken der aktuellen Sicherheitsstrategie verwendet werden, wodurch Firmen mรถgliche Verbesserungen identifizieren und geeignete Produkte fรผr ihren individuellen Bedarf auswรคhlen kรถnnen.
Der richtige Technologie-Mix
Wie die Einteilung des CSF in fรผnf Sรคulen klar zeigt, erfordert der effektive Umgang mit Sicherheitsrisiken umfassende Vorbereitung in einer Vielzahl an Aufgabenbereichen. Organisationen, die ihre IT erfolgreich absichern mรถchten, brauchen zwangslรคufig einen Mix an Technologien und Sicherheitslรถsungen, um alle erforderlichen Bereiche abzudecken. Die Auswahl der richtigen Software gestaltet sich dabei kompliziert: die ideale Lรถsung muss nicht nur Sicherheitsanforderungen erfรผllen, sondern sich auch in das bestehende IT-Setup integrieren lassen, ohne dabei das Budget zu sprengen.
Nehmen wir die Zugriffskontrolle als Beispiel: Viele Anbieter erlauben zwar auf dem Papier die parallele Verwaltung von Berechtigungen in unterschiedlichen System wie dem lokalen Active Directory, Azure AD und Microsoft 365. In der Praxis erweist sich die versprochene Schnittstelle aber oft als vรถllig ungeeignet, da die Programmierung und Konfiguration der Anbindung Monate bis Jahre dauern kann und jede Anpassung eine Lawine an Beratungskosten und Zeitaufwand mit sich bringt.
Insbesondere mittelstรคndische Unternehmen verzweifeln an der aufwรคndigen Inbetriebnahme und den laufenden Kosten von Identity und Access Management Lรถsungen, die fรผr Groรkonzerne ausgelegt sind: Mit den personellen und finanziellen Ressourcen eines mittelgroรen Unternehmens lรคsst sich ein Enterprise IAM System schlicht und ergreifend nicht effektiv nutzen.
Wer dieses Problem kennt, versteht auch wie revolutionรคr die vorgefertigten Plugins von tenfold sind: รber die mitgelieferten Schnittstellen von tenfold lassen sich eine Vielzahl von Systemen direkt out-of-the-box in unsere IAM-Lรถsung integrieren. So profitieren Sie in wenigen Tagen von der Automatisierung des User Lifecycle, anstatt Monate oder Jahre mit dem Programmieren eigener Anbindungen zu verschwenden.
NIST Compliance mit tenfold
Benutzerverwaltung und Berechtigungsverwaltung zรคhlen zu den elementaren Aufgaben der IT, um den unberechtigten Zugang zu sensiblen Daten zu verhindern. Kein Wunder also, dass das Cybersecurity Framework dem Thema Access Control, also Zugriffskontrolle, einen eigenen Abschnitt im Kapitel Protect (PR.AC) widmet. Das Thema Zugriffskontrolle umfasst dabei neben der Verwaltung von Zugriffsrechten auch die Kontrolle des physischen Zugangs sowie Implementierung von Remote Access.
Wer wissen mรถchte, welche Anforderungen des NIST CSF sowie der verwandten Standards durch tenfold abgedeckt werden, findet in unserem NIST Compliance Whitepaper (Englisch) eine รผbersichtliche Zusammenfassung der Vorgaben an das Access Management, samt Zuordnung zu den entsprechenden Funktionen in tenfold.
Was macht tenfold zur besten IAM Software fรผr mittelstรคndische Organisationen?