Das National Institute of Standards and Technology (NIST) hat 2014 das erste NIST Cybersecurity Framework (NIST CSF) entwickelt, um Betreiber kritischer Infrastrukturen (wie Staudämmen und Kraftwerken) mit einer Suite nicht bindender Standards bei der Stärkung ihrer Cyber-Sicherheitsmaßnahmen zu unterstützen.
Seit 2014 hat sich die Cyber-Sicherheitslage stark verändert. Im März 2024 veröffentlichte das NIST das Cybersecurity Framework 2.0, um diesen Veränderungen Rechnung zu tragen.
Das aktualisierte NIST CSF 2.0 wendet sich an ein deutlich breiteres Publikum, das Sicherheitsverantwortliche in Organisationen aller Art und in Lieferketten einschließt. Damit reagierte das NIST auf die veränderte Bedrohungslage und die steigende Anzahl von Angriffen auf Unternehmen aller Größenordnungen in verschiedenen Sektoren.
Die neue Version spiegelt also die Tatsache wider, dass Cyber-Bedrohungen nun in allen Bereichen der Wirtschaft allgegenwärtig sind. Wir empfehlen allen Unternehmen und Institutionen, die neuen, umfassenderen Empfehlungen des NIST zu befolgen, denn das NIST CSF 2.0 bestätigt eine Grundidee: Jeder muss die Cyber-Sicherheit ernst nehmen.
Selbst in den USA ist die Compliance mit dem NIST CSF 2.0 nur in einzelnen Sektoren Pflicht und in anderen freiwillig. Deshalb fragt man sich mancherorts vielleicht, ob die Umsetzung nicht bindender ausländischer Normen den erforderlichen Aufwand wirklich wert ist. Angesichts der zahlreichen Risiken in der digitalen Geschäftswelt bejahen wir diese Frage.
Das NIST CSF 2.0 definiert einen flexiblen, risikobasierten Ansatz, der die vorhandenen Risikomanagementprozesse in Unternehmen ergänzen soll.
Durch die Implementierung des NIST CSF 2.0 können Unternehmen ermitteln, in welchen Bereichen sie ihre Cyber-Sicherheitsprozesse verbessern sollten. Das Framework führt Organisationen durch die Bewertung der aktuellen Praktiken, die Festlegung von Zielen, die Erstellung eines Plans zur Umsetzung der identifizierten Verbesserungen und die Messung des Fortschritts bei der Verwirklichung der eigenen Cyber-Sicherheitsziele.
Das NIST CSF 2.0 erleichtert Organisationen zudem die Auswahl und Implementierung von Best Practices für die Cyber-Sicherheit, die auf ihre spezifischen Bedürfnisse, Schwächen und Ressourcen abgestimmt sind. Es bringt Standards und Leitlinien aus verschiedenen Quellen in Einklang und erleichtert Unternehmen damit die Nutzung von Best Practices aus verschiedenen Cyber-Sicherheitsstandards und -vorschriften.
Durch die Einhaltung des NIST CSF 2.0 können Unternehmen von verschiedenen Vorteilen profitieren:
Besseres Risikomanagement: Das Framework hilft Unternehmen, Cyber-Risiken besser zu verstehen, zu handhaben und zu reduzieren.
Einhaltung von Vorschriften: Die Umsetzung des NIST CSF 2.0 kann die Einhaltung verschiedener anderer Cyber-Sicherheitsvorschriften und Branchenstandards erleichtern.
Wettbewerbsvorteil: Eine robuste, auf das NIST CSF 2.0 abgestimmte Cyber-Sicherheitsinfrastruktur kann das Kundenvertrauen stärken und somit zum Wettbewerbsvorteil für Unternehmen werden.
Kosteneinsparungen: Die Prävention und Eindämmung von Cyber-Vorfällen durch bessere Cyber-Sicherheitspraktiken kann Unternehmen erhebliche Kosten ersparen.
Das NIST Cybersecurity Framework (CSF) 2.0 enthält mehrere wichtige Neuerungen, um umfassendere, inklusivere Empfehlungen für den Umgang mit Cyber-Sicherheitsrisiken zu geben, die für den privaten und den öffentlichen Sektor und andere Organisationen relevant sind. Eine der wichtigsten Verbesserungen im CSF 2.0 ist die überarbeitete Klassifizierung von Cyber-Sicherheitsergebnissen, die nun universell anwendbar ist. Das ermöglicht einen flexibleren Ansatz, der in Organisationen jeder Größenordnung, in allen Branchen und unabhängig vom Reifegrad der Cyber-Sicherheit genutzt werden kann, um die eigenen Bemühungen um die Cyber-Sicherheit besser zu verstehen, zu bewerten, zu priorisieren und zu beschreiben.
Zudem enthält das NIST CSF 2.0 einen erweiterten Kernbereich, der nun auch neu aufkommende Technologien und Bedrohungen abdeckt; überarbeitete Implementierungsstufen mit Anleitungen zur Verbesserung des Reifegrads der Cyber-Sicherheit und verbesserte Profile, dank derer das Framework sich nun leichter an spezifische Anforderungen und Ziele anpassen lässt. Außerdem wurde das sehr umfassende Feedback diverser Stakeholder in das CSF 2.0 eingearbeitet, um sicherzustellen, dass das Framework in der äußerst dynamischen Bedrohungslandschaft von heute relevant und nützlich bleibt.
Darüber hinaus stellt NIST neben dem CSF 2.0 nun auch ergänzende Ressourcen wie Tools und Anleitungen zur Verfügung, die den Einsatz und die Anwendung des Frameworks in verschiedenartigen Umgebungen erleichtern sollen. Diese Ressourcen sind nur ein Teil der Bemühungen des NIST, die Verständlichkeit und Benutzerfreundlichkeit des Frameworks für ein sehr breites Publikum zu verbessern und die universelle Bedeutung und Anpassbarkeit von Cyber-Sicherheitspraktiken zu betonen.
Zusammenfassend lässt sich also sagen, dass das CSF 2.0 auf der soliden Grundlage seiner Vorgängerversion aufbaut und sich nun mit einem strukturierten, aber flexiblen Ansatz für das Management von Cyber-Sicherheitsrisiken, der an die Anforderungen verschiedener Organisationen angepasst werden kann, an ein breiteres Publikum wendet. Durch die Bereitstellung eines universell anwendbaren Standards und praktischer Ressourcen will das NIST Organisationen dabei helfen, ihr Cyber-Sicherheitsniveau effektiv zu verbessern, um der dynamischen Bedrohungslage besser gewachsen zu sein.
Die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) soll die Cyber-Resilienz in allen EU-Mitgliedsländer verbessern. Ebenso wie das NIST CSF 2.0 zielt sie darauf ab, einen risikobasierten Ansatz und die Nutzung von Best Practices in der Cyber-Sicherheit zu fördern.
Allerdings muss die NIS-2-Richtlinie in den EU-Mitgliedsländern in nationales Recht umgesetzt werden, ist im Gegensatz zum NIST CSF 2.0 also bindend und schreibt spezifische Anforderungen und Pflichten vor, die in der EU agierende Unternehmen und Institutionen erfüllen müssen. In der EU agierende Unternehmen, die Kunden in den USA haben und/oder einen Teil ihrer Betriebsprozesse dort ausführen, unterliegen möglicherweise sowohl dem NIST CSF 2.0 als auch der NIS-2-Richtlinie.
Das NIST Cybersecurity Framework 2.0 besteht aus drei Hauptkomponenten: einem Kernbereich, den Implementierungsstufen und den Profilen. Jede dieser Komponenten trägt entscheidend dazu bei, dass Unternehmen eine robuste Cyber-Sicherheitsinfrastruktur entwickeln können, die ihren spezifischen Herausforderungen und Bedürfnissen gerecht wird.
Der Kernbereich besteht aus einer Sammlung von Cyber-Sicherheitsmaßnahmen und -zielsetzungen mit dazugehörigen Referenzmaterialien und bildet damit sozusagen das Rückgrat des NIST CSF. Er wurde so konzipiert, dass er in verschiedenen Sektoren universell anwendbar ist und eine standardisierte Sprache und Methodik für die Reaktion auf und das Management von Cyber-Sicherheitsrisiken bereitstellt. Er ist in fünf Funktionsbereiche unterteilt:
Identify (Identifizieren): Entwicklung eines Gesamtbilds der Cyber-Sicherheitsrisiken für die Systeme, Benutzer, Assets, Daten und Fähigkeiten der eigenen Infrastruktur
Protect (Schützen): Implementierung angemessener Schutzmaßnahmen, um die Bereitstellung kritischer Dienste zu gewährleisten und sie vor Cyber-Sicherheitsbedrohungen zu schützen
Detect (Erkennen): Implementierung geeigneter Maßnahmen zur umgehenden Erkennung cybersicherheitsrelevanter Vorfälle
Respond (Reagieren): Implementierung geeigneter Maßnahmen zur Reaktion auf erkannte Cyber-Sicherheitsvorfälle
Recover (Wiederherstellen): Erstellung und Pflege von Plänen, mit denen die Resilienz der Fähigkeiten oder Services der eigenen Organisation gegenüber Cyber-Sicherheitsvorfällen gestärkt bzw. diese Fähigkeiten oder Services nach einem Cyber-Sicherheitsvorfall wiederhergestellt werden können
Diese Bereiche decken das gesamte Spektrum an Aufgaben ab, die erledigt werden müssen, um die digitale Umgebung einer Organisation zu verstehen, ihre Infrastruktur zu schützen, Anomalien zu erkennen, auf Vorfälle zu reagieren und den Normalzustand nach einem Vorfall wiederherzustellen. Der Kernbereich stellt detaillierte Anleitungen für jede dieser Funktionen zur Verfügung und versetzt Organisationen so in die Lage, eine umfassende und anpassbare Cyber-Sicherheitsstrategie zu etablieren.
Die Implementierungsstufen sollen Unternehmen helfen, ihre aktuellen Cyber-Sicherheitspraktiken einzuschätzen und erfolgreich auf den angestrebten Zustand zuzuarbeiten. Die Stufen von 1 (teilweise) bis 4 (anpassungsfähig) spiegeln die Entwicklung des Risikomanagements einer Organisation von einem einfachen, reaktiven zu einem ausgefeilten, proaktiven Ansatz wider.
Auf Stufe 1 befinden sich Unternehmen mit informellen Cyber-Sicherheitspraktiken, die nicht vollständig in das Risikomanagementregime integriert sind. Unternehmen, die Stufe 4 erreicht haben, nutzen hingegen ausgefeilte Prozesse, um Cyber-Sicherheitsrisiken in Echtzeit zu erkennen und abzuwehren und entwickeln diese Prozesse kontinuierlich weiter. Diese Stufen fördern eine fundierte Entscheidungsfindung bezüglich der Zuweisung von Ressourcen, der Priorisierung von Cyber-Sicherheitsmaßnahmen und der Verbesserung von Risikomanagementpraktiken.
Profile sind im Grunde Tools im NIST CSF, mit denen Organisationen die beschriebenen Cyber-Sicherheitspraktiken an ihre spezifischen Anforderungen und Ziele sowie ihre Risikotoleranz anpassen können.
Organisationen erstellen zu Beginn ein Profil namens "Current" (Ist-Zustand), das die vorhandene Cyber-Sicherheitsinfrastruktur beschreibt, und ein Profil namens "Target" (Soll-Zustand), das den angestrebten Zustand darstellt. Durch den Vergleich dieser beiden Profile können Lücken identifiziert, Prioritäten gesetzt und ein entsprechender Aktionsplan entwickelt werden. Profile versetzen Unternehmen in die Lage, die allgemeinen Empfehlungen des Kernbereichs direkt auf ihre individuelle Situation anzuwenden und einen strategischen Ansatz zur Verbesserung ihrer Cyber-Resilienz zu verfolgen.
Die drei Komponenten des NIST Cybersecurity Framework 2.0 fügen sich zu einem skalierbaren und flexiblen Rahmenwerk für die Cyber-Sicherheit zusammen. Der Kernbereich stellt eine umfassende Suite von Maßnahmen und Zielsetzungen bereit, die Implementierungsstufen dienen der Bewertung der vorhandenen Cyber-Sicherheitspraktiken und der gezielten Verbesserung ihres Reifegrads, und die Profile unterstützen die Anpassung des Frameworks an die spezifischen Anforderungen einzelner Organisationen und somit die erfolgreiche Implementierung des NIST CSF 2.0.
Wir empfehlen die folgenden Schritte zur Einrichtung eines erfolgreichen Risikomanagementprogramms für die Cyber-Sicherheit:
Prioritätensetzung: Stimmen Sie Ihre Zielsetzungen bezüglich der Cyber-Sicherheit auf die Geschäftsziele und die Risikomanagementstrategie Ihres Unternehmens ab.
Durchführung von Risikobewertungen: Identifizieren Sie die Cyber-Sicherheitsrisiken, denen Ihre Assets, Daten und Prozesse ausgesetzt sind, und weisen Sie ihnen Prioritäten zu.
Erstellung eines Profils für den Ist-Zustand: Bewerten Sie die derzeitigen Cyber-Sicherheitspraktiken Ihres Unternehmens anhand des Kernbereichs des NIST CSF 2.0.
Erstellung eines Profils für den Soll-Zustand: Legen Sie unter Berücksichtigung der Risikotoleranz und der Prioritäten Ihres Unternehmens fest, welche Ziele Sie erreichen und welche Cyber-Sicherheitspraktiken Sie etablieren möchten.
Implementierung von Aktionsplänen: Nutzen Sie die im NIST Framework enthaltenen Anleitungen, um Pläne zum Schließen der Lücken zwischen Ist- und Soll-Zustand zu entwickeln und umzusetzen.
Kontinuierliche Verbesserung: Überprüfen und aktualisieren Sie die Cyber-Sicherheitspraktiken, Risikobewertungen und Profile Ihres Unternehmens regelmäßig und passen Sie sie gegebenenfalls an neue Risiken und Geschäftsanforderungen an.
Rubrik kann Ihnen helfen, diese neuen Empfehlungen für die Cyber-Sicherheit umzusetzen, insbesondere in den Bereichen Datensicherung und Cyber-Resilienz. Dies sind die Kernkompetenzen von Rubrik und Experten von Rubrik haben die ersten Entwürfe des neuen Frameworks gelesen und Feedback gegeben, das in die endgültige Fassung eingeflossen ist.
Rubrik kann Unternehmen helfen, das Ausmaß und die potenziellen Auswirkungen eines Angriffs zu ermitteln, denn wir können ihnen eine genaue Übersicht darüber geben, welche Daten betroffen sind und wo diese sich befinden. Darüber hinaus versetzt Rubrik IT- und Sicherheitsmanager mit aussagekräftigen Berichten in die Lage, Führungskräfte in gehobenen Positionen auf die Kommunikation mit Kunden, der Öffentlichkeit, Behörden und Regulierungsgremien vorzubereiten.
Rubrik hat eine Funktion zur Erkennung und Überwachung sensibler Daten (Sensitive Data Discovery and Monitoring), die Backup-Snapshots durchsucht und sensible Daten in Dateien und Anwendungen identifiziert. Organisationen können diese Funktion in Kombination mit dem Tool User Access Analysis von Rubrik nutzen, um zu ermitteln, wer auf sensible Daten zugreift, und um die Übernahme von Verantwortung seitens der Eigentümer sensibler Daten zu fördern und sich ihre Unterstützung zu sichern.
Rubrik erstellt unveränderliche Backups, die weder durch Ransomware verschlüsselt noch durch andere Unbefugte verändert werden können. Das Archiv Rubrik Cloud Vault schützt gespeicherte Daten mit Zugriffskontrollen und logischem Air-Gapping. Darüber hinaus enthält die Rubrik Zero Trust Data Security Architecture die Rubrik Secure Data Layer, eine Ebene, auf der zu speichernde Daten verschlüsselt, Prüfsummen erstellt und Daten während ihres gesamten Lebenszyklus validiert werden. Zudem sorgt diese Secure Data Layer mit einer autonomen, fehlertoleranten Reparaturfunktion dafür, dass Daten kontinuierlich verfügbar sind.
Rubrik bietet Datensicherungslösungen der Enterprise-Klasse an, die selbst den höchsten Ansprüchen an Backup- und Wiederherstellungsprozesse gerecht werden. Mit Orchestrated Application Recovery können Benutzer im Rahmen ihrer Vorbereitung auf die Angriffsabwehr Wiederherstellungspläne entwickeln und testen. Dabei können IT-Teams zusammengehörende virtuelle Maschinen in Wiederherstellungsobjekten (Recovery Objects) zusammenfassen, um in den Wiederherstellungsplänen festzuhalten, in welcher Reihenfolge die Geschäftsprozesse im Ernstfall wiederherzustellen sind. Das mit der Wiederherstellung beauftragte Team kann diesen Plänen dann auch entnehmen, wie viel Arbeit (und Zeit) die Wiederherstellung der wichtigsten Geschäftsprozesse beanspruchen würde.
Durch das Implementieren des NIST Cybersecurity Framework 2.0 können Unternehmen ihr Cyber-Sicherheitsniveau und ihre Risikomanagementprozesse verbessern und ihre kritischen Assets und Daten somit effektiver vor aktuellen und zukünftigen Cyber-Bedrohungen schützen.