Das National Institute of Standards and Technology (NIST) hat Version 2.0 seines Cybersecurity Framework (CSF) veröffentlicht und es damit zum ersten Mal seit 2014 aktualisiert. Die neue Version erweitert den Anwendungsbereich, um alle Organisationen, nicht nur kritische Infrastrukturen, beim Management von Cybersicherheitsrisiken zu unterstützen.

Ziel des Rahmenwerks ist es, Cybersicherheitsrisiken zu verstehen, zu bewerten, zu priorisieren und zu kommunizieren.

Das NIST Cybersecurity Framework Version 2.0 bringt einige wichtige Änderungen für Sicherheitsverantwortliche. Die neue Funktion „Govern“ unterstreicht die Bedeutung der Cybersicherheit für die Verwaltung und das Risikomanagement. Ein Thema, das auch mit der Implementierung von NIS2 an Bedeutung gewinnt. Erweiterte Richtlinien und konkrete Umsetzungsbeispiele erleichtern die Anwendung im OT-Bereich. Zusätzliche Ressourcen unterstützen die Sicherheit der Lieferkette und die globale Anwendbarkeit stellt sicher, dass internationale Standards berücksichtigt werden. Diese Aktualisierungen verbessern den Schutz und das Management von OT-Infrastrukturen erheblich.

Die Detektionsfunktion wurde neu strukturiert und erweitert. Die Anforderungen sind nun wesentlich umfassender. Dies unterstreicht die zunehmende Bedeutung der Anomalieerkennung für die Unternehmenssicherheit.

Alle Neuheiten auf einen Blick

Erweiterter Anwendungsbereich

Gilt für alle Organisationen, nicht nur für kritische Infrastrukturen.

Neue “Govern”-Funktion

Fügt "Govern" als sechste Funktion neben "Identify", "Protect", "Detect", "Respond", und "Recover" hinzu.

Erweiterte Basisanleitung

Enthält umfassendere Leitlinien für die Umsetzung.

Neue Ressourcen

Enthält Schnellstartanleitungen und Umsetzungsbeispiele, die auf verschiedene Zielgruppen zugeschnitten sind.

Globale Anwendbarkeit

Anpassungen für die internationale Nutzung, um den globalen Cybersicherheitsanforderungen gerecht zu werden.

CSF 2.0-Referenzwerkzeug

Vereinfacht die Implementierung mit einem durchsuchbaren und exportierbaren Katalog der wichtigsten Anleitungen in menschenlesbaren und maschinenlesbaren Formaten.

Aufschlussreiche Referenzen

Bietet einen durchsuchbaren Katalog, der zeigt, wie Maßnahmen dem CSF zuzuordnen sind, mit Querverweisen zu über 50 anderen Cybersicherheitsdokumenten, einschließlich der eigenen Ressourcen des NIST.

Schwerpunktthema “Governance”

Cybersecurity wird als wichtiges Unternehmensrisiko hervorgehoben und neben Finanzen und Ruf in die Überlegungen der Unternehmensführung einbezogen.

Unterstützung für Lieferketten

Zusätzliche Ressourcen und Anleitungen zur Sicherung der Lieferketten.

Maßgeschneiderte Wege

Bietet spezifische Vorgehensweisen und Ressourcen für verschiedene Arten von Organisationen, darunter kleine Unternehmen, Enterprise Risk Manager und solche, die sich auf die Sicherheit der Lieferkette konzentrieren.

Wie ist das NIST Cybersecurity Framework (CSF) 2.0 aufgebaut?

Das Rahmenwerk ist in drei Bereiche unterteilt: Das CSF Core, die CSF Organizational Profiles und die CSF Tiers. Das Ziel dieses Rahmenwerks ist es, Cybersicherheitsrisiken zu verstehen, zu bewerten, zu priorisieren und zu kommunizieren.

Was ist der CSF Core?

Der CSF-Core ist in verschiedene Funktionen unterteilt, deren Ergebnisse dann in Kategorien und Unterkategorien gruppiert werden. Der Kern besteht aus den folgenden Funktionen, die die Minimierung von Cybersicherheitsrisiken unterstützen sollen: GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND, and RECOVER.

 

GOVERN

Diese Funktion ist für die Verwaltung der Cyber-Security-Strategie, -Richtlinien und -Risiken für die Organisation zuständig. Dabei richtet sie sich nach dem jeweiligen Auftrag. Sie integriert die Cybersicherheit in das allgemeine Risikomanagement und ist für die Zuweisung von Rollen, Zuständigkeiten und die Überwachung von Richtlinien verantwortlich.

IDENTIFY

Die Organisation ist sich ihrer Cybersicherheitsrisiken bewusst, indem sie ihre Anlagen und Lieferanten kennt. Dies ermöglicht es ihr, Prioritäten zu setzen und Wege zur Verbesserung von Richtlinien und Praktiken zu finden.

PROTECT

Die Funktion beinhaltet Maßnahmen zum Schutz der Assets der Organisation sowie zur Verringerung des Risikos von Cybersicherheitsvorfällen. Dazu zählen Identitätsmanagement, Schulungen, Datensicherheit, Plattformsicherheit und technologische Ausfallsicherheit.

DETECT

Die Lösung identifiziert und analysiert potenzielle Cybersecurity-Angriffe und Kompromittierungen. Sie erkennt Anomalien und Indikatoren für eine Kompromittierung sofort und unterstützt eine wirksame Reaktion auf Vorfälle und Wiederherstellungsmaßnahmen.

RESPOND

Die Lösung ergreift Maßnahmen, sobald ein Cybersicherheitsvorfall entdeckt wird, und konzentriert sich dabei auf die Eindämmung seiner Auswirkungen. Zu den Funktionen gehören Vorfallsmanagement, Analyse, Schadensbegrenzung, Reporting und Kommunikation.

RECOVER

Die Funktion ermöglicht die rechtzeitige Wiederherstellung der betroffenen Assets und Abläufe nach einem Cybersecurity-Vorfall. Zudem werden die Auswirkungen minimiert und eine effektive Kommunikation während der Wiederherstellung gewährleistet.

Das Framework sieht vor, dass alle Maßnahmen zur Unterstützung der Funktionen GOVERN, IDENTIFY, PROTECT und DETECT kontinuierlich durchgeführt werden. 

Hingegen sollten Maßnahmen zur Unterstützung der Funktionen RESPOND und RECOVER jederzeit einsatzbereit sein, um im Notfall sofort auf Cybersicherheitsvorfälle reagieren zu können.

 

Was sind die CSF Profiles?

Das CSF Organizational Profile definiert den aktuellen oder gewünschten Cyber-Sicherheitsstatus einer Organisation auf der Grundlage der Ergebnisse der Core-Analyse. Es dient als Leitfaden für Maßnahmen unter Berücksichtigung der Zielsetzung der Organisation, der Erwartungen der Stakeholder, der mnöglichen Bedrohungen und der Bedürfnisse. Jedes Organizational Profile enthält eines oder beide der folgenden Profile:

 

Was sind die CSF Tiers?

Die CSF Tiers bieten Organisationen einen Leitfaden zur Verbesserung ihres Cybersicherheits-Risikomanagements. Sie können als eine Skala von grundlegenden bis hin zu fortgeschrittenen Praktiken betrachtet werden, die das Risikomanagement von Organisationen regeln und bestehende Methoden ergänzen. Bei höheren Risiken oder Anforderungen wird empfohlen, zu höheren Stufen überzugehen, wobei die Kosteneffizienz zu berücksichtigen ist. Die CSF-Stufen sind wie folgt kategorisiert:

 

Tier 1 | Partial

Auf der untersten Ebene agieren Unternehmen reaktiv mit minimalen Schutzmaßnahmen und verfügen über keine proaktiven Strategien zur Risikominderung. Risiken für die Lieferketten und externe Stakeholder werden häufig vernachlässigt.

Tier 2 | Risk 
Informed

Unternehmen der zweiten Ebene sind sich der Hauptrisiken wie Schadsoftware und staatlich gesponserte Angriffe bewusst und haben einige Schutzmaßnahmen ergriffen. Sie verfügen jedoch nicht über eine einheitliche Strategie mit kohärenten Richtlinien für alle Abteilungen und haben Schwierigkeiten, die Risiken in ihrer Lieferkette wirksam anzugehen.

Tier 3 | Repeatable

Unternehmen der dritten Stufe verfügen über solide und wiederholbare Informationssicherheitsverfahren mit einheitlichen Richtlinien und einem umfassenden Überblick über ihre Datenumgebung. Sie aktualisieren ihre Prozesse kontinuierlich, um neuen Risiken zu begegnen, reagieren schnell auf Vorfälle und bewältigen Risiken effektiv über die gesamte Lieferkette hinweg. Unternehmen sollten laut NIST nicht unter dieser Stufe liegen.

Tier 4 | Adaptive

Die höchste Sicherheitsstufe umfasst adaptive Strategien, die fortschrittliche Technologien wie maschinelles Lernen für Erkennung und Reaktion, SIEM-Systeme und adaptive Richtlinien nutzen. Diese Stufe der Sicherheitsbereitschaft ist in stark regulierten Sektoren wie dem Finanzsektor, dem Gesundheitswesen und kritischen Infrastrukturen von entscheidender Bedeutung, um hochentwickelten Bedrohungen wirksam begegnen zu können.

Schreiben Sie uns!

Wir freuen uns, Ihnen unverbindlich 
weiterhelfen zu können.
 

  • Haben Sie Fragen?
  • Benötigen Sie mehr Informationen?
  • Möchten Sie eine Demo anfordern?
Jetzt Nachricht schicken

Quellen

1. National Institute of Standards and Technology (2024) The NIST Cybersecurity Framework (CSF) 2.0. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Cybersecurity White Paper (CSWP) NIST CSWP 29, 3ff: https://doi.org/10.6028/NIST.CSWP.29, aufgerufen am April 26, 2024.

 

News und Aktuelles

Eric Heindl

Cybersecurity Analyst, OMICRON

Eric Heindl beschreibt sich selbst als IT-Mann mit einem Herz für OT-Cybersecurity. In seiner Rolle als Cybersecurity Analyst analysiert er Schwachstellen in OT/IT-Netzwerken, gibt Schulungen zu Cybersecurity-Aspekten von Webanwendungen und Websites und demonstriert Cyberangriffe auf Umspannwerke und Energiebetreiber.