Was ist das NIST Cybersecurity Framework?
Das National Institute of Standards and Technology, kurz NIST, ist eine Behörde des US-amerikanischen Handelsministeriums. Eine der vielen Aufgaben des NIST ist es, Richtlinien für die Cybersecurity von Informationssystemen zu erstellen.
Die Basis dieser Tätigkeit ist das NIST Cybersecurity Framework (Volltext), das 2014 aufgrund einer Executive Order von Präsident Barack Obama erstellt wurde. Eine spätere Executive Order, die 2017 von Präsident Donald Trump erlassen wurde, machte die Einhaltung des NIST Cybersecurity Framework für alle Bundesbehörden und alle Unternehmen in ihrer Lieferkette verbindlich.
„Die Förderung von Innovation und industrieller Wettbewerbsfähigkeit der USA durch die Weiterentwicklung der Messwissenschaft, der Standards und der Technologien, um die wirtschaftliche Sicherheit und die Lebensqualität zu verbessern.“
Das NIST Cybersecurity Framework wurde 2004 ins Leben gerufen, um die Sicherheit der kritischen Infrastrukturen der USA zu verbessern, d. h. der Anlagen, Systeme und Funktionen, die als lebenswichtig gelten. Es definiert 16 kritische Infrastruktursektoren, darunter:
- Chemie
- Kommerzielle Einrichtungen
- Kommunikation
- Kritische Fertigung
- Staudämme
- Rüstungsindustrie
- Notfalldienste
- Energie (einschließlich Versorgungsunternehmen)
- Finanzdienstleistungen
- Lebensmittel und Landwirtschaft
- Staatliche Einrichtungen
- Gesundheitsunternehmen und öffentliches Gesundheitswesen
- Informationstechnologie
- Kernreaktoren, radioaktives Material und Abfall
- Transportsysteme
- Wasser- und Abwassersysteme
Die US-Regierung hat NIST im Jahr 2017 als verbindlichen Standard für die Sicherheit aller staatlichen Informationssysteme festgelegt.
Die in NIST festgelegten Best Practices, Standards und Empfehlungen sind zwar nicht verpflichtend, werden aber auch von nicht-bundesstaatlichen Behörden und Unternehmen in großem Umfang genutzt, um Cyberangriffe zu erkennen, aufzudecken und auf sie zu reagieren.
Darüber hinaus werden die Richtlinien des Frameworks auch zur Vorbeugung und Wiederherstellung nach einem Angriff verwendet. Die Verwendung des NIST Cybersecurity Framework hilft nicht-bundesstaatlichen Organisationen, die optimale Sicherheit ihrer Systeme zu gewährleisten und der Öffentlichkeit zu versichern, dass die Sicherheit eine hohe Priorität hat.
Das NIST Cybersecurity Framework besteht aus drei Abschnitten: Kernkomponenten des Frameworks, Implementierungsebenen und Profile. Jeder dieser Abschnitte ist in fünf Cybersecurity-Bereiche unterteilt:
- Identifizieren
- Schützen
- Erkennen
- Reagieren
- Wiederherstellen
Das Rahmenwerk beschreibt spezifische Maßnahmen aus diesen fünf Bereichen, um das Cybersecurity-Risiko zu mindern. Die Kategorien und Unterkategorien enthalten die Best Practices für die Sicherheit und Reaktionspläne auf Vorfälle. Das NIST Cybersecurity Framework gibt auch Empfehlungen für die erfolgreiche Wiederherstellung nach einem Ransomware-Angriff.
Erste Schritte mit dem NIST Cybersecurity Framework
Das NIST Cybersecurity Framework ist eines der am weitesten verbreiteten Cybersecurity-Frameworks in den USA. Seine Umsetzung erfordert jedoch einigen Aufwand. Den Anfang macht eine eingehende Prüfung der fünf grundlegenden Elemente.
- Identifizieren
Identifizieren und bewerten Sie Cybersecurity-Risiken für Systeme, Vermögenswerte, Daten und Ressourcen. Zu dieser Funktion gehören: - Schützen
Bewerten Sie bestehende Cybersecurity-Verfahren und -Prozesse, um einen angemessenen Schutz der Vermögenswerte des Unternehmens zu gewährleisten. Zu dieser Funktion gehören: - Erkennen
Das „Erkennen“-Element definiert, entwickelt und implementiert die geeigneten Cybersecurity-Maßnahmen, um Bedrohungen und Schwachstellen schnell zu erkennen. Zu dieser Funktion gehören: - Reagieren
Dieses Element unterstützt Unternehmen bei der Bewertung ihrer geplanten Reaktion auf einen Cyberangriff oder ihrer Methode zum Erkennen von Bedrohungen. Zu dieser Funktion gehören: - Wiederherstellen
Das Element „Wiederherstellen“ hilft Unternehmen bei der Bewertung ihrer Cybersecurity-Richtlinien, um sicherzustellen, dass sie über Pläne zur Wiederherstellung und Behebung der durch einen Cyberangriff verursachten Schäden verfügen. Zu dieser Funktion gehören:
- Vermögensverwaltung (ID.AM)
- Geschäftsumfeld (ID.BE)
- Governance (ID.GV)
- Risikobeurteilung (ID.RA)
- Risikomanagementstrategie (ID.RM)
- Risikomanagement in der Lieferkette (ID.SC)
- Sensibilisierung und Schulung (PR.AT)
- Datensicherheit (PR.DS)
- Identitätsverwaltung, Authentifizierung und Zugriffskontrolle (PR.AC)
- Prozesse und Verfahren zum Schutz von Informationen: (PR.IP)
- Wartung (PR.MA)
- Schutztechnologien (PR.PT)
- Anomalien und Ereignisse (DE.AE)
- Erkennungsprozess (DE.DP)
- Kontinuierliche Überwachung der Sicherheit (DE.CM)
- Analyse (RS.AN)
- Kommunikation (RS.CO)
- Verbesserungen (RS.IM)
- Schadensbegrenzung (RS.MI)
- Reaktionsplanung (RS.RP)
- Kommunikation (RC.CO)
- Verbesserungen (RC.IM)
- Wiederherstellungsplanung (RC.RP)
Die wichtigsten NIST-Sonderveröffentlichungen
Neben dem NIST Cybersecurity Framework veröffentlichte das NIST mehr als 200 spezielle Publikationen über das Cybersecurity-Risikomanagement, wie z. B. Risikobewertungen, Identitätszugangskontrolle, Verwaltung von Schutztechnologien und Reaktion auf ein Cybersecurity-Ereignis. Die folgenden Publikationen des NIST über das Cybersecurity Framework werden am häufigsten verwendet.
NIST Sonderveröffentlichung (SP) 800-30
NIST SP 800-30, ein Leitfaden für die Durchführung von Risikobewertungen, enthält Anleitungen für die Bewertung und Verwaltung von Cyberrisiken. Er behandelt Kontrollen und Kontrollgrundlagen, die auf Branchenempfehlungen und -standards basieren. NIST SP 800-30 hilft Unternehmen auch dabei, Cyberrisiken so darzustellen, dass sie für Führungsteams verständlich sind.
NIST Sonderveröffentlichung (SP) 800-37
NIST SP 800-37, Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy (Risikomanagement-Framework für Informationssysteme und Organisationen: Ein Systemlebenszyklus-Ansatz für Sicherheit und Datenschutz), beschreibt das Risikomanagement-Framework (RMF). Es enthält außerdem Richtlinien zur Anwendung des RMF auf Informationssysteme und Organisationen. NIST SP 800-37 enthält einen detaillierten, sechsstufigen Prozess für das Management von Sicherheits- und Datenschutzrisiken.
NIST Sonderveröffentlichung (SP) 800-53
NIST SP 800-53, Security and Privacy Controls for Information Systems and Organizations (Sicherheits- und Datenschutzkontrollen für Informationssysteme und Organisationen), enthält die erforderlichen Kontrollen zur Umsetzung des NIST Cybersecurity-Frameworks. NIST SP 800-53 enthält über 1.000 Kontrollen in zwanzig Kontrollfamilien.
Durch die Implementierung der in NIST 800-53 festgelegten Sicherheitskontrollen erfüllen Unternehmen die Sicherheitsanforderungen des Federal Information Security Modernization Act (FISMA). Darüber hinaus erfüllt die Implementierung der NIST 800-53-Kontrollen die Anforderungen der Federal Information Processing Standard Publication 200 (FIPS 200), die für alle Bundesbehörden und Einrichtungen in ihrer Lieferkette verbindlich sind.
NIST Sonderveröffentlichung (SP) 800-122
NIST SP 800-122, Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) (Leitfaden zum Schutz der Vertraulichkeit personenbezogener Daten), enthält Empfehlungen für den Umgang mit personenbezogenen Daten. Er bietet außerdem praktische, kontextbezogene Anleitungen zur Identifizierung dieser Daten.
NIST SP 800-122 enthält auch Anleitungen zur Bestimmung des für den jeweiligen Fall angemessenen Schutzniveaus und empfiehlt Schutzmaßnahmen. Darüber hinaus gibt NIST SP 800-122 Hinweise für die Entwicklung von Reaktionsplänen bei Verstößen, die personenbezogene Daten betreffen.
NIST Sonderveröffentlichung (SP) 800-125
NIST SP 800-125, Guide to Security for Full Virtualization Technologies (Leitfaden zur Sicherheit für vollständige Virtualisierungstechnologien), enthält Empfehlungen zur Bewältigung der Sicherheitsherausforderungen im Zusammenhang mit vollständigen Server- und Desktop-Virtualisierungstechnologien. NIST 800-125 definiert die Virtualisierung für den Einsatz in der Regierung und umreißt die Sicherstellung der Härtung und Bereitstellung von virtuellen Systemen.
NIST Sonderveröffentlichung (SP) 800-171
Gemäß NIST SP 800-171, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations (Schutz kontrollierter, nicht klassifizierter Informationen in nicht-bundesstaatlichen Systemen und Organisationen), ist die Einhaltung der Vorschriften für jede Organisation, die mit dem US-Verteidigungsministerium (DoD) zusammenarbeitet, verpflichtend. Sie gilt für alle nicht-bundesstaatlichen Informationssysteme und Organisationen, die Vertragspartner des DoD sind und kontrollierte, nicht klassifizierte Informationen (CUI) verarbeiten, speichern oder übertragen. Gemäß NIST SP 800-171 müssen diese Einrichtungen die Mindestsicherheitsstandards erfüllen, die im Defense Federal Acquisition Regulation Supplement (DFARS) festgelegt sind, um ihre DoD-Verträge zu behalten.
NISTIR 8170
NISTIR 8170, Approaches for Federal Agencies to Use the Cyber Security Framework (Ansätze für Bundesbehörden zur Nutzung des Cyber Security Framework), ist eine weitere NIST-Veröffentlichung des NIST und beschreibt acht Ansätze für die Nutzung des NIST Cybersecurity Frameworks:
- Integrieren Sie das Unternehmens- und Cybersecurity-Risikomanagement, indem Sie allgemein verständliche Risikobegriffe benutzen.
- Verwalten Sie die Cybersecurity-Anforderungen mit einem Konstrukt, das die Integration und Priorisierung von Anforderungen ermöglicht.
- Integrieren Sie Cybersecurity- und Beschaffungsprozesse durch die Kommunikation von Anforderungen und Prioritäten in einer gemeinsamen, schnörkellosen Sprache.
- Bewerten Sie die Cybersecurity Ihres Unternehmens anhand einer standardisierten und unkomplizierten Messskala und Kriterien zur Selbstbewertung.
- Verwalten Sie das Cybersecurity-Programm, indem Sie festlegen, welche Ergebnisse gemeinsame Kontrollen erforderlich machen und die Arbeit und Verantwortung für diese Ergebnisse aufteilen.
- Behalten Sie den Überblick über Cybersecurity-Risiken, indem Sie eine standardisierte Unternehmensstruktur verwenden.
- Melden Sie Cybersecurity-Risiken mit einer universellen und verständlichen Struktur.
- Nehmen Sie Anpassungen vor, indem Sie einen umfassenden Abgleich der Cybersecurity-Anforderungen durchführen.
Häufig gestellte Fragen über das NIST Cybersecurity Framework
Wie verbessert das NIST Cybersecurity Framework die Sicherheit?
Das NIST Cybersecurity Framework hilft Unternehmen, kritische Systeme und Daten zu schützen, indem es Anleitungen zur Erhöhung des Sicherheitsbewusstseins und zur Vorbereitung auf den Ernstfall bietet. Dieses flexible Modell unterstützt Sicherheitsverbesserungen, indem es Unternehmen bei Folgendem hilft:
- Neue Anforderungen im gesamten Unternehmen zu kommunizieren
- Ein neues Cybersecurity-Programm und neue Anforderungen zu erstellen
- Den aktuellen Stand der implementierten Cybersecurity-Maßnahmen zu bestimmen, indem ein Profil erstellt wird
- Neue, potenzielle Cybersecurity-Standards und -richtlinien zur Verbesserung der Cybersecurity zu identifizieren
Gibt es eine Zertifizierung für das NIST Cybersecurity Framework?
Es gibt keine Zertifizierung für das NIST Cybersecurity Framework, aber es gibt eine NIST-Zertifizierung für die Cybersecurity-Implementierung. Dieses Zertifikat bescheinigt die Fähigkeit eines Unternehmens, die Best Practices und Standards der NIST zu nutzen, um die für eine robuste Cybersecurity erforderliche Struktur, Governance und Politik umzusetzen.
Aus welchen drei Teilen besteht das NIST Cybersecurity Framework?
Das NIST Cybersecurity Framework besteht aus drei Teilen: Kern, Implementierung und Profil. Ziel dieser Teile ist es, einen strategischen Überblick über die Cybersecurity-Risiken in einem Unternehmen zu geben.
Der Kern besteht aus einer Reihe von Maßnahmen, die erforderlich sind, um verschiedene Sicherheitsniveaus zu erreichen. Diese sind in vier Kategorien unterteilt.
- Funktionen
Die fünf Funktionen decken die meisten Cybersecurity-Funktionen ab. Sie lauten Identifizieren, Erkennen, Schützen, Reagieren und Wiederherstellen. - Kategorien
Jede Funktion enthält Kategorien, die erforderliche Aufgaben spezifizieren (z. B. die Implementierung von Software-Updates, die Installation von Antiviren- und Antimalware-Programmen und Zugriffskontrollrichtlinien, um die Funktion „Schützen“ auszuführen). - Unterkategorien
Diese enthalten die Aufgaben, die mit den Kategorien verbunden sind (z. B. das Aktivieren von automatischen Updates in Systemen zur Unterstützung der Kategorie „Software-Updates implementieren“). - Informative Referenzen
In dieser unterstützenden Dokumentation wird erläutert, wie die in den verschiedenen Funktionen, Kategorien und Unterkategorien beschriebenen Aufgaben auszuführen sind.
Der Abschnitt über die Implementierung des NIST Cybersecurity Frameworkbesteht aus vier Ebenen, die beschreiben, wie ein Unternehmen die NIST-Kontrollen implementiert hat und wie genau ihre Cybersecurity-Risikomanagement-Abläufe den Richtlinien entsprechen. Je höher die Ebene ist, desto besser erfüllt das Unternehmen die Anforderungen.
- 1. Ebene – Teilweise
Auf der ersten Stufe verfügen Unternehmen über keine koordinierte Cybersecurity oder entsprechende Prozesse. Unternehmen der ersten Ebene räumen der Cybersecurity keine Priorität ein. Das liegt in der Regel daran, dass es ihnen an Zeit, Personal oder Geld fehlt. - 2. Ebene – Über Risiken informiert
Unternehmen der zweiten Ebene des NIST Cybersecurity Frameworks sind sich einiger Risiken bewusst und planen, darauf zu reagieren, um Compliance-Anforderungen zu erfüllen. Trotz dieser Bemühungen sind sich Unternehmen der zweiten Ebene nicht aller Sicherheitsprobleme bewusst oder begegnen diesen nicht schnell genug. - 3. Ebene – Wiederholbar
Unternehmen der dritten Ebene verfügen über klar definierte und regelmäßig wiederholbare Cybersecurity-Prozesse. Die Geschäftsleitung dieser Unternehmen unterstützt die Umsetzung von Best Practices in den Bereichen Risikomanagement und Cybersecurity. Unternehmen, die die dritte Ebene erreicht haben, sind gut darauf vorbereitet, Cybersecurity-Risiken und -Bedrohungen zu begegnen sowie Schwachstellen in ihren Umgebungen zu erkennen und zu beheben. - 4. Ebene – Adaptiv
Auf der obersten Ebene des NIST Cybersecurity Frameworks implementieren und aktualisieren Unternehmen der vierten Ebene proaktiv Cybersecurity-Maßnahmen. Diese Unternehmen nutzen fortschrittliche adaptive Cybersecurity-Praktiken, um kontinuierlich risikoreiche Verhaltensweisen oder Ereignisse zu bewerten, um sich vor Bedrohungen zu schützen oder sich an diese anzupassen, bevor sie eintreten.
Die Profile des NIST Cybersecurity Frameworks beschreiben die aktuellen Cybersecurity-Maßnahmen eines Unternehmens und helfen dabei, strategische Sicherheitspläne zu entwickeln. Diese Profile sollen Unternehmen dabei helfen, Schwachstellen zu identifizieren und die nächste Implementierungsstufe zu erreichen. Die Profile stimmen außerdem die Funktionen, Kategorien und Unterkategorien mit den Anforderungen, der Risikotoleranz und den Ressourcen des Unternehmens ab.
Was sind NIST-Sonderveröffentlichungen?
NIST-Sonderveröffentlichungen enthalten detaillierte Spezifikationen zu bestimmten Themen – oft zur Klärung eines Themas. NIST verfügt über Hunderte Sonderveröffentlichungen, darunter Richtlinien, Empfehlungen und Referenzmaterialien. Sie lassen sich in drei Kategorien einteilen:
- SP 500 – Informationstechnologie (relevante Dokumente)
- SP 800 – Computersecurity
- SP 1800 – Praxisleitfaden für Cybersecurity
Ist die Einhaltung des NIST Cybersecurity Frameworks verpflichtend?
Für Bundesbehörden und alle Unternehmen in der Lieferkette einer Bundesbehörde ist die Einhaltung vorgeschrieben. Für alle anderen Einrichtungen wird sie empfohlen, ist aber optional.
Was haben NIST SP 800-53 und FISMA miteinander zu tun?
Die Einhaltung von NIST SP 800-53, Security and Privacy Controls for Federal Information Systems, hilft Unternehmen bei der Erfüllung der Anforderungen des Federal Information Security Modernization Act (FISMA) mit einer neunstufigen Checkliste.
- Kategorisieren Sie die Daten und Informationssysteme, die geschützt werden müssen.
- Ermitteln Sie eine anwendbare Baseline für die Mindestkontrollen, die zum Schutz dieser Informationen erforderlich ist.
- Bewerten Sie die Sicherheitskontrollen, um festzustellen, ob Sie Ihre Baseline-Kontrollen verfeinern müssen und um sicherzustellen, dass sie korrekt implementiert sind, wie vorgesehen funktionieren und die Sicherheitsanforderungen des Unternehmens erfüllen.
- Dokumentieren Sie die Details des Entwurfs, der Entwicklung und der Implementierung der Baseline-Kontrollen in einem Sicherheitsplan.
- Implementieren Sie Sicherheitskontrollen.
- Überwachen Sie die Leistung der implementierten Kontrollen.
- Ermitteln Sie das Risiko basierend auf einer Bewertung der Sicherheitskontrollen.
- Geben Sie das Informationssystem für die Verarbeitung frei, wenn Sie festgestellt haben, dass alle identifizierten Risiken akzeptabel sind.
- Überwachen Sie die Sicherheitskontrollen im Informationssystem und in der Umgebung kontinuierlich, um Effektivität, Änderungen am System oder der Umgebung und die Einhaltung der Vorschriften sicherzustellen und zu berücksichtigen.
Was ist der Unterschied zwischen ISO 27001 und dem NIST Cybersecurity Framework?
Das sind die drei Unterschiede zwischen NIST und ISO 27001:
- Zertifizierung
- Cost
- Use cases
- Das NIST Cybersecurity Framework ist ein selbstzertifiziertes Framework, das keine externe Zertifizierung erfordert.
- ISO 27001 bietet eine weltweit anerkannte Zertifizierung auf der Grundlage eines Audits durch Dritte.
- Das NIST Cybersecurity Framework ist kostenlos.
- Der Zugriff auf die ISO 27001-Dokumentation ist für Unternehmen kostenpflichtig.
- Das NIST Cybersecurity Framework eignet sich am besten für Unternehmen, die eine Cybersecurity-Strategie entwickeln, bestimmte Schwachstellen beheben oder auf Datenschutzverletzungen reagieren wollen.
- IISO 27001 ist die beste Wahl für Unternehmen mit einem ausgereiften Cybersecurity-Programm, die die ISO-Zertifizierung anstreben, um ihr Engagement für Sicherheit zu unterstreichen.
Das NIST Cybersecurity Framework: Ein Sicherheitsmultiplikator
Das NIST Cybersecurity Framework bietet nicht nur unvergleichliche Sicherheitsrichtlinien, sondern unterstützt Unternehmen auch bei der Einhaltung vieler anderer Sicherheits- und Datenschutzrichtlinien, z. B. ISO 27001 der Internationalen Organisation für Normung und dem Health Insurance Portability and Accountability Act (HIPAA).
Das NIST Cybersecurity Framework dient auch als Grundlage für andere Vorschriften, wie den Payment Card Industry Data Security Standard (PCI DSS), den Sarbanes-Oxley Act (SOX), die New York State Department of Financial Services Cybersecurity Regulation (NYDFS 23 NYCRR Part 500) und den National Association of Insurance Commissioners (NAIC) Model Law Act.
Viele Unternehmen profitieren vom NIST Cybersecurity Framework. Es bietet nicht nur zahlreiche Richtlinien, die die Sicherheit erhöhen und den Schutz vor Cyberangriffen verbessern, sondern wird von NIST auch stets am aktuellen Stand gehalten. Seit seiner Einführung im Jahr 2014 wurde das NIST Cybersecurity Framework kontinuierlich aktualisiert, um Veränderungen der Technologie und der Bedrohungslandschaft zu berücksichtigen.