Bild: goSecurity

Die NIST Cybersecurity Framework Themen.

Ausgabe 04 | 2025 Security Industriemagazin

Ein Leitfaden für IT-Sicherheit

Andreas Wisler, Dipl. Ing FH goSecurity AG

Das NIST Cybersecurity Framework (CSF) 2.0 ist eine überarbeitete Version des beliebten Frameworks zur Verbesserung der Cybersicherheit. Die aktuelle Version wurde am 26. Februar 2024 veröffentlicht und wurde um aktuelle Themen wie Cloud oder AI erweitert.

Cybersecurity Frameworks helfen dabei, den Schutz von Informationen in Unternehmen zu bewerten und Pläne zur Verbesserung zu erstellen. Das NIST CSF wurde 2018 in Version 1.1 veröffentlicht, basierend auf einer Anordnung von US-Präsident Obama aus 2014. In diesem Artikel werfen wir einen detaillierten Blick auf die Änderungen gegenüber Version 1.1, erklären die Struktur des Frameworks und gehen auf seine Kernbestandteile Governance, Indentifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen ein. Zudem wird das Tier-Modell vorgestellt und die praktische Anwendung des CSF erläutert. Abschliessend vergleichen wir NIST CSF 2.0 mit anderen etablierten Standards.

Änderungen

Die Version 2.0 bringt eine Reihe wichtiger Anpassungen mit sich:

  • Governance als eigenständige Funktion: Ein neuer Schwerpunkt liegt auf der Unternehmensführung und der strate-gischen Einbettung von Cyber-sicherheit in Geschäftsprozesse.
  • Erweiterte Tiers: Die Definition der CSF-Tiers wurde klarer gefasst, um eine bessere Differenzierung des Sicherheitsniveaus in Organisationen zu ermöglichen.
  • Bessere Integration mit anderen Frameworks: CSF 2.0 erleichtert die Verbindung mit ISO 27001, COBIT und anderen etablierten Normen.
  • Fokus auf kleinere Unternehmen: Neue Quick-Start Guides und Implementierungshilfen erleichtern die Nutzung für KMUs.
  • Detaillierte Online-Ressourcen: NIST bietet ergänzende Implementierungsbeispiele, Referenzmaterialien und Community-Profile.

Struktur

Das CSF 2.0 besteht aus drei Hauptkomponenten:

  1. CSF Core: Enthält sechs Hauptfunktionen: Govern, Identify, Schützen, Detect, Respond und Recover.
  2. CSF Profiles: Organisationen können eigene Profile erstellen, um ihren aktuellen und gewünschten Sicherheitsstatus zu definieren.
  3. CSF Tiers: Eine vierstufige Reifegradbewertung, die hilft, das Sicherheitsniveau zu bestimmen.

CSF Core

1. Governance (GV): Governance als Grundpfeiler

  • Definiert Richtlinien, Verantwortlichkeiten und Risiken
  • Beinhaltet Cybersecurity-Strategien und die Verwaltung von Lieferkettenrisiken

2. Identify/Identifizieren (ID): Ri-siken und Assets identifizieren

  • Verwaltung von IT-Assets (Hardware, Software, Daten, Services)
  • Risikobewertungen und Verbesserungspotenziale analysieren

3. Protect/Schützen (PR): Schutzmassnahmen umsetzen

  • Identitäts- und Zugriffsmanagement (IAM)
  • Plattform- und Netzwerk-sicherheit
  • Mitarbeiterschulungen und Sicherheitsmassnahmen

4. Detect/Erkennen (DE): Bedrohungen erkennen

  • Kontinuierliche Überwachung von Systemen
  • Analyse von Sicherheitsvorfällen

5. Respond/Reagieren (RS): Reaktion auf Vorfälle

  • Vorfallsanalyse und Management
  • Kommunikation mit internen und externen Stakeholdern

6. Recover/Wiederherstellen (RC): Wiederherstellung nach Angriffen

  • Implementierung von Wiederherstellungsplänen
  • Kommunikation und Evaluierung nach Vorfällen

Das Framework verfügt insgesamt über die erwähnten 6 Funktionen, 22 Kategorien mit gesamthaft 106 Subkategorien (Tabelle 1).

CSF Profiles
Ein CSF-Profil beschreibt die aktuelle und/oder angestrebte Cybersicherheit. Folgendes Vorgehen gilt es einzuhalten:

Definition des Umfangs
Dokumentieren Sie die grundlegenden Fakten und Annahmen, auf denen das Profil basieren soll. Der Umfang kann die gesamte Organisation oder spezifische Bereiche wie Finanzsysteme oder die Abwehr von Ransomware umfassen.

Sammeln von relevanten Informationen
Erfassen Sie alle notwendigen Daten, darunter Organisationsrichtlinien, Risikomanagement-Prioritäten, BIA-Register, Cybersicherheitsstandards, bestehende Schutzmassnahmen und Rollen innerhalb der Organisation.

Erstellen eines Organisationsprofil
Legen Sie fest, welche Informa-tionen für die ausgewählten Ergebnisse relevant sind, und dokumentieren Sie diese. Berücksichtigen Sie bestehende Risiken und prüfen Sie, ob ein Community-Profil als Grundlage geeignet ist.

Durchführen einer Lückenanalyse und Erstellung eines Aktionsplans
Identifizieren und analysieren Sie die Unterschiede zwischen dem aktuellen und dem Zielprofil. Entwickeln Sie anschliessend einen priorisierten Aktionsplan zur Schliessung dieser Lücken.

Umsetzung des Aktionsplans und Aktualisierung des Profils
Implementieren Sie die geplanten Massnahmen, um die Sicherheitslage zu verbessern. Aktualisieren Sie das Organisationsprofil regelmässig, um kontinuierliche Verbesserungen sicherzustellen.
Organisationsprofile können auch für andere Dinge genutzt werden. Ein aktuelles Profil kann genutzt werden, um die Cybersicherheitsfähigkeiten der Organisation sowie bekannte Verbesserungsmöglichkeiten gegenüber externen Interessengruppen wie Geschäftspartnern oder potenziellen Kunden zu dokumentieren und zu kommunizieren. Zusätzlich kann ein Zielprofil dazu dienen, die Anforderungen und Erwartungen der Organisation bezüglich des Risikomanagements im Bereich Cybersicherheit gegenüber Lieferanten, Partnern und anderen Dritten festzulegen. Weitere Infos mittels nebenstehendem QR-Code.

CSF Tiers
Das CSF-Tier-Modell dient der Bewertung des Cybersicherheits-Reifegrads. Es umfasst vier Stufen:

1. Tier 1: Partial (Ad-hoc-Ansatz) – Sicherheitsmassnahmen sind unkoordiniert und reaktiv.

2. Tier 2: Risk-Informed – Sicherheitsprozesse existieren, sind aber nicht vollständig integriert.

3. Tier 3: Repeatable – Prozesse sind formalisiert, dokumentiert und wiederholbar.

4. Tier 4: Adaptive – Die Organi-sation reagiert proaktiv auf Bedrohungen und passt ihre Strategien kontinuierlich an.

Anwendung
Das NIST CSF wird von Unternehmen und Organisationen genutzt, um ihre Strategie für Cybersicherheit zu gestalten, vorhandene Sicherheitsvorkehrungen zu optimieren oder die Einhaltung von Compliance-Anforderungen sicherzustellen. Es stellt eine geordnete Vorgehensweise für die Risikoanalyse bereit und unterstützt dabei, Schwachstellen frühzeitig zu identifizieren und spezifische Schutzmassnahmen zu ergreifen.
Des Weiteren fungiert es als Basis für den Austausch zwischen technischen und nicht-technischen Interessengruppen, indem es eine einheitliche Sprache im Bereich der Cybersicherheit etabliert. Organisationen haben die Möglichkeit, das Framework zu verwenden, um ihre Sicherheitssituation mit Branchenstandards zu vergleichen und gezielte Schritte zur Stärkung ihrer Widerstandsfähigkeit zu unternehmen. Es kann auch als Leitfaden für die Einhaltung von Vorschriften oder gesetzlichen Bestimmungen dienen, da es mit verschiedenen Compliance-Frameworks wie ISO 27001 oder dem europäischen NIS2-Standard kompatibel ist.
Zusätzlich erlaubt es Firmen, ihre Sicherheitsvorkehrungen in einem fortlaufenden Prozess der Optimierung anzupassen, da es eine anpassungsfähige und erweiterbare Struktur bereitstellt. Besonders für kleine und mittelständische Unternehmen ist dies von Nutzen, die ihre Cybersicherheit effektiv verbessern wollen, ohne eine umfassende IT-Sicherheitsabteilung unterhalten zu müssen. Es hilft auch kritischen Infrastruktursektoren, spezifische Sicherheitsvorkehrungen zu im-plementieren, um ihre Resilienz gegenüber Cyberangriffen zu stärken.
Das NIST CSF 2.0 kann letztendlich auch zur Absicherung von Lieferketten genutzt werden, indem es Firmen unterstützt, die Cybersicherheitsmassnahmen ihrer Partner und Dienstleister zu überprüfen und sicherzustellen, dass diese den notwendigen Sicherheitsstandards gerecht werden.

Vergleich mit anderen Sicherheitsstandards
Die nachfolgende Tabelle vergleicht die wichtigsten Sicherheitsstandards mit dem NIST CSF 2.0 und zeigt die Vor- und Nachteile auf (Tabelle 2).

Fazit
Das NIST Cybersecurity Framework 2.0 ist eine leistungsstarke Methode zur Verbesserung der IT-Sicherheit in Organisationen aller Grössen. Mit seiner flexiblen Struktur eignet es sich für Unternehmen, die ein praxisorientiertes und anpassbares Risikomanagement umsetzen möchten.
Allerdings ist das CSF keine zertifizierbare Norm, weshalb es oft in Kombination mit ISO 27001 genutzt wird. Die Aufnahme von Governance in CSF 2.0 sowie die verbesserten Ressourcen machen es zu einer idealen Wahl für Unternehmen, die ihre Cybersicherheitsstrategie modernisieren möchten.
Mit seiner klaren Struktur, dem Tier-Modell und der Flexibilität in der Anwendung ist das NIST CSF 2.0 ein wertvolles Werkzeug für Unternehmen, um sich gegen die wachsenden Bedrohungen der digitalen Welt zu schützen.
Das NIST CSF 2.0 kann kostenlos in verschiedenen Sprachen, auch in Deutsch, mittels Link heruntergeladen werden.

ZUM AUTOR
Andreas Wisler, Dipl. Ing FH
goSecurity AG
Schulstrasse 11
CH-8542 Wiesendangen
T +41 (0)52 511 37 37
www.goSecurity.ch
wisler@gosecurity.ch

Mai

KUTENO, Bad Salzuflen

Zulieferermesse für die kunststoffverarbeitende Industrie
13. bis 15. Mai
www.kuteno.de

KPA, Bad Salzuflen

Marktplatz für Design, Entwicklung, und Beschaffung von Kunststoffprodukten
13. bis 15. Mai
www.kpa-messe.de

all about automation, Heilbronn

Fachmesse für Industrieautomation
14. und 15. Mai
www.automation-heilbronn.com

Juni

all about automation, Hamburg

Fachmesse für Industrieautomation in Norddeutschland
3. und 4. Juni

www.automation-hamburg.com

Cwieme, Berlin

Internationale Ausstellung und Konferenz für Spulentwicklung, Isolierung und Elektrofertigung
3. bis 5. Juni
www.coilwindingexpo.com