Eine Kurzanleitung zum NIST Cybersecurity Framework

Jeden Monat gibt es eine neue Form des Cyberangriffs. Während ein Unternehmen den aktuellen Ransomware- oder Phishing-Angriff abwehrt, taucht am Horizont ein neuer und bösartigerer Angriff auf. Die beste Verteidigung ist eine formale Strategie für die Cyber-Resilienz, sowohl zur Abwehr von Angriffen als auch zur Bewältigung und Wiederherstellung von Angriffen, die durchbrechen. Das vom National Institute of Standards and Technology (NIST) [1] dokumentierte Cybersecurity Framework enthält praktische Richtlinien und Standards für Behörden und Privatunternehmen, um die Risiken von Cyberangriffen zu bewältigen und die Cyber-Resilienz zu erhalten.

Was ist das NIST Cybersecurity Framework?

Das NIST-Rahmenwerk wurde ursprünglich für kritische Infrastruktursysteme entwickelt, kann aber auf Organisationen in jedem Sektor angewendet werden. Unternehmen können auf freiwilliger Basis so viel von dem Rahmenwerk umsetzen, wie es für ihr aktuelles Geschäftsumfeld praktisch und kostengünstig ist.

Dies ist nicht der einzige Rahmen für die Cybersicherheit. Mit Hilfe allgemeiner Rahmenwerke wie den Normen der Internationalen Organisation für Normung (ISO) 27001 und 27002 kann ein Unternehmen seinen Kunden und Partnern gegenüber seine Bereitschaft zur Cybersicherheit nachweisen. Andere Rahmenwerke für die Cybersicherheit schützen Daten in bestimmten Sektoren wie dem Finanz-, Energie- und Gesundheitswesen.

Das NIST Cybersecurity Framework soll Unternehmen dabei helfen, Risiken zu bewerten und zu managen sowie diese Strategie an interne und externe Interessengruppen zu kommunizieren. Es soll die Kommunikation im gesamten Unternehmen erleichtern - von den Endbenutzern bis hin zur Chefetage. Unternehmen können das Rahmenwerk auch zur Kommunikation und Koordinierung von Risikomanagementaktivitäten mit Geschäftspartnern in ihrer gesamten Lieferkette nutzen.

Warum Ihr Unternehmen ein Cybersecurity Framework braucht
Die heutige Abhängigkeit von Technologie und vernetzten Systemen erhöht die Anfälligkeit für Cyberangriffe. Darüber hinaus ist es in der aktuellen Umgebung von entscheidender Bedeutung, die Sicherheit von Benutzer- und Kundendaten zu gewährleisten. Das NIST Cybersecurity Framework kann die Schwachstellen von Cyberangriffen, die private Daten preisgeben, minimieren.

Unternehmen können das NIST Cybersecurity Framework nutzen, um Geschäftsziele mit Sicherheitszielen zu verbinden, indem sie entweder ein neues Cybersicherheitsprogramm erstellen oder ein bestehendes verbessern. Darüber hinaus ist das Rahmenwerk flexibel, so dass Unternehmen das implementieren können, was ihren Geschäftsfachleuten und ihrer Risikotoleranz entspricht.

Die Anwendung des Rahmenwerks wird nicht alle Risiken beseitigen, aber im Falle eines Angriffs wird der Plan zur Cyber-Resilienz Unternehmen helfen, zu reagieren und sich zu erholen. Und da ein Unternehmen oft nur so sicher ist wie seine Partner in der Lieferkette, kann das NIST Cybersecurity Framework dabei helfen, Anforderungen zum Schutz vor Cyberangriffen mit Partnerunternehmen festzulegen.

The NIST Cybersecurity Framework Explained
Das NIST entwickelt das Cybersecurity Framework in Zusammenarbeit mit der Industrie im Rahmen des Cybersecurity Enhancement Act von 2014 kontinuierlich weiter. Die ursprüngliche Zielgruppe waren Organisationen mit kritischer Infrastruktur, wie z. B. Versorgungsunternehmen, das Transportwesen und das Gesundheitswesen, aber jetzt kann jedes Unternehmen die Empfehlungen und Strategien des NIST Cybersecurity Framework nutzen. Tatsächlich haben Unternehmen auf der ganzen Welt dieses Rahmenwerk implementiert, [2] und das NIST hat kürzlich seine Bemühungen verstärkt, seine Tools auf kleine und mittlere Unternehmen auszuweiten. [3] Das Rahmenwerk konzentriert sich auf globale Standards und bewährte Verfahren und ist technologieneutral.

Als Rahmenwerk für die Widerstandsfähigkeit gegenüber Cyberangriffen legt das NIST Cybersecurity Framework eine Reihe von Aktivitäten fest, mit denen bestimmte Ergebnisse bei der Minderung von Cyberrisiken und der Wiederherstellung nach Angriffen erzielt werden sollen.

• Das Framework Core umfasst fünf Funktionen: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Innerhalb jeder Funktion gibt es Kategorien und Unterkategorien, die aus Aktivitäten und empfohlenen Referenzen bestehen, die Standards und Praktiken zur Erreichung der Ziele jeder Funktion beschreiben.
• Vier Implementierungsebenen definieren den Grad, in dem eine Organisation das Rahmenwerk implementiert - von grundlegenden Implementierungen (Ebene 1) bis hin zu fortgeschrittenen und agilen Sicherheitsplänen (Ebene 4).
• Profile beschreiben den aktuellen und den gewünschten Stand der Sicherheit. Das Ist-Profil stellt die bestehenden Praktiken und Standards eines Unternehmens dar, während das Soll-Profil die Cybersicherheitsresilienz beschreibt, die das Unternehmen erreichen möchte.

Im nächsten Abschnitt werden die drei Komponenten ausführlicher erläutert.

Schlüsselfunktionen eines NIST Cybersecurity Framework

Entscheidend für das NIST Cybersecurity Framework sind die fünf Kernfunktionen, die gleichzeitig und kontinuierlich ausgeführt werden sollen:

1. Identifizieren: Bei dieser Funktion identifiziert ein Unternehmen seine kritischen Ressourcen und die mit diesen Ressourcen verbundenen Risiken. Beispielsweise könnte das Unternehmen bei Ransomware-Angriffen die Benutzer als Hauptrisiko für den Zugang identifizieren - insbesondere Benutzer, die von unterwegs arbeiten - und auch die zu schützenden Unternehmensdaten priorisieren. Zu den Kategorien dieser Funktion gehören Asset Management, Geschäftsumfeld, Governance, Risikobewertung und Risikomanagementstrategie.
2. Schutz: Hier entwickelt das Unternehmen Schutzmaßnahmen, um die kontinuierliche Bereitstellung von Geschäftsfunktionen zu gewährleisten. Am Beispiel von Ransomware-Angriffen kann das Unternehmen mehrere Maßnahmen ergreifen, z. B. Stärkung der E-Mail-Sicherheit durch Schulung der Benutzer, Warnung vor dem Öffnen verdächtiger E-Mails, Implementierung künstlicher Intelligenz zur Überprüfung und Aussortierung von Phishing-E-Mails, bevor sie an die Benutzer zugestellt werden, und Verwendung einer zweistufigen Authentifizierung, um Angreifern den Diebstahl von Anmeldedaten zu erschweren. Und um die Daten zu schützen, kann das Unternehmen Offsite-Backups erstellen. Zu den Kategorien unter Protect gehören Identitätsmanagement und Zugangskontrolle, Sensibilisierung und Schulung, Datensicherheit, Prozesse und Verfahren zum Informationsschutz, Wartung und Schutztechnologie.
3. Detect: Für diese Funktion entwickelt das Unternehmen Methoden, um ein Eindringen oder einen Angriff zu entdecken. So kann das Unternehmen beispielsweise Benutzeranmeldungen auf Anomalien überwachen oder nach Ransomware-Trojanern Ausschau halten. Im Idealfall kann der Ransomware-Trojaner entdeckt werden, bevor er seine Nutzlast abwirft. Zu den Kategorien für Detect gehören Anomalien und Ereignisse, kontinuierliche Sicherheitsüberwachung und Erkennungsprozesse.
4. Reagieren: Nach einem erfolgreichen Angriff muss das Unternehmen darauf vorbereitet sein, die entsprechenden Beteiligten zu benachrichtigen und das Eindringen zu stoppen. Nach einem Ransomware-Angriff zum Beispiel sollte ein Unternehmen mit Offsite-Datensicherungen in der Lage sein, zu reagieren, ohne das Lösegeld zu zahlen. Die Kategorien hier sind Reaktionsplanung, Kommunikation, Analyse, Schadensbegrenzung und Verbesserungen.
5. Recover: In diesem Schritt stellt ein Unternehmen alle beschädigten Ressourcen wieder her, um den normalen Betrieb wiederherzustellen. Bei einem Ransomware-Angriff bedeutet dies die Wiederherstellung der Daten von einem externen Backup und die Bereinigung der Benutzergeräte. Kategorien sind Wiederherstellungsplanung, Verbesserungen und Kommunikation.

Viele Faktoren wirken sich darauf aus, welche Stufe des Cybersicherheitsrahmens ein Unternehmen einführen wird. Das Risikoniveau und die Risikotoleranz eines Unternehmens, gesetzliche Anforderungen, Anforderungen an die Sicherheit der Lieferkette und geschäftliche Zwänge sind nur einige davon. Die vier Stufen sind:

• Stufe 1, teilweise: Kennzeichnend für diese Stufe ist ein informeller und reaktiver Ansatz im Umgang mit Cybersicherheitsrisiken, bei dem Unternehmen von Fall zu Fall reagieren, ohne sich mit Geschäftspartnern abzustimmen.
• Tier 2, Risk Informed: Risikobewusstsein, aber kein unternehmensweites Programm. Eingeschränkte Zusammenarbeit mit Geschäftspartnern.
• Stufe 3, wiederholbar: Das Risikomanagement wird als unternehmensweite Richtlinie festgelegt und regelmäßig überprüft. In dieser Stufe arbeiten die Unternehmen über Vereinbarungen mit den Partnern in der Lieferkette mit externen Stellen zusammen.
• Stufe 4, Anpassungsfähig: Unternehmen dieser Stufe verbessern kontinuierlich die Cybersicherheitspraktiken im gesamten Unternehmen und setzen fortschrittliche Technologien ein, um den sich ändernden Bedrohungen zu begegnen. Sie überwachen proaktiv ihre Lieferkettenumgebung, mit der sie formelle Vereinbarungen getroffen haben.

Das NIST Cybersecurity Framework Profile eines Unternehmens repräsentiert die Sicherheitsumgebung und Risikotoleranz eines Unternehmens.

• Aktuelles Profil: Die Selbsteinschätzung eines Unternehmens bezüglich seiner Bereitschaft zur Cybersicherheit, die Schwachstellen in seinen Richtlinien und Verfahren aufdecken kann.
• Zielprofil: Gewünschter Stand der Cybersicherheitsbereitschaft eines Unternehmens.

Durch den Vergleich des aktuellen Profils mit dem Zielprofil kann ein Unternehmen die Kosten und den Nutzen seiner Cybersicherheitsaktivitäten messen und einen Aktionsplan entwickeln, um das Zielprofil zu erreichen.

Wie Sie mit Ihrem Cybersecurity Framework beginnen können

Wenn Sie daran interessiert sind, einen neuen Rahmen für die Cybersicherheit in Ihrem Unternehmen zu schaffen oder Ihre derzeitigen Cybersicherheitspraktiken zu verbessern, können Sie dies in wenigen Schritten tun:

1. Ermitteln Sie den Auftrag Ihres Unternehmens und die Ressourcen, die geschützt werden müssen. Berücksichtigen Sie auch alle rechtlichen und datenschutzrechtlichen Anforderungen und ermitteln Sie die damit verbundenen Bedrohungen. Beschreiben Sie anhand dieser Informationen Ihre Prioritäten und bewerten Sie Ihre Risiken und Risikotoleranz.
2. Entwickeln Sie Ihr aktuelles Profil. Führen Sie die bereits eingeführten Praktiken sowie die erreichten oder teilweise erreichten Ergebnisse auf. Führen Sie eine Risikobewertung durch, um die Wahrscheinlichkeit eines Ereignisses und die daraus resultierenden Auswirkungen zu ermitteln. Es ist wichtig, über aktuelle Bedrohungen auf dem Laufenden zu sein.
3. Entwickeln Sie Ihr Zielprofil. Ermitteln Sie für alle Schwachstellen, die im aktuellen Profil aufgedeckt wurden, zusätzliche Praktiken und Standards, die umgesetzt werden sollen. Wenn das Zielprofil mit der derzeitigen Personalausstattung nicht zu erreichen ist, sollten Sie zusätzliche Ressourcen in Betracht ziehen.
4. Kommunizieren Sie bei jedem Schritt den Stand des Cybersicherheitsrisikos an interne und externe Interessengruppen.

Die Quintessenz

Die Implementierung eines Cybersicherheitsrahmens ist keine Aufgabe, die "einfach so" erledigt werden kann. Cyberkriminelle ruhen sich nicht aus und ein Unternehmen auch nicht. Die Risikobewertung sollte in regelmäßigen Abständen wiederholt werden, da das Erreichen von Cybersicherheitsresilienz ein fortlaufender Prozess ist. Mithilfe des NIST Cybersecurity Framework können Unternehmen feststellen, wo ihre Sicherheitsschwachstellen liegen und wie sie Cyberangriffe begrenzen und bewältigen können.

[1] " Framework for Improving Critical Infrastructure Cybersecurity ," National Institute of Standards and Technology

[2] " NIST markiert den fünften Jahrestag des beliebten Cybersecurity Framework ," National Institute of Standards and Technology

[3] " Ressourcen für kleine und mittlere Unternehmen ," National Institute of Standards and Technology