NIST aktualisiert das Cybersicherheits-Framework

Das National Institute of Standards and Technology (NIST) ist dabei, das technologieneutrale Cybersecurity Framework (CSF) zu aktualisieren, um eine umfassendere Anleitung zur Bewältigung eines breiteren Spektrums von Anforderungen bereitzustellen.

Insbesondere sieht das CSF 2.0 zusätzliche Beispiele für die Anwendung von CSF auf die Incident Response und die Wiederherstellung, das Identitätsmanagement, die Governance und das Risikomanagement in der Lieferkette vor. Darüber hinaus plant das NIST, spezifischen Standards oder Anwendungsfällen CSF-Musterprofile zuzuweisen, z. B. für eine Zero-Trust-IT-Umgebung.  Es sind jedoch keine Änderungen am Framework erforderlich, um die Prinzipien der Zero-Trust-Architektur (ZTA) zu berücksichtigen. Nichtsdestotrotz ermutigt das NIST sicherheitshalber zu Kommentaren und Überprüfungen.

Das NIST plant jedoch, einfache Vorlagen für die Umsetzung der von ihm definierten Profile zu erstellen, um das Rahmenwerk für eine breitere Palette von Unternehmen zugänglicher zu machen. Darüber hinaus werden weitere Anleitungen für die Messung und Bewertung von Risiken bereitgestellt.

Schließlich plant das NIST, die Beziehung zwischen CSF und anderen NIST-Frameworks für Cybersecurity und Datenschutz zu klären, darunter das Risk Management Framework, das Privacy Framework, das National Initiative for Cybersecurity Education Workforce Framework for Cybersecurity und das Secure Software Development Framework.

Das CSF wurde 2013 ins Leben gerufen und seitdem nur einmal geringfügig aktualisiert, sodass eine weitere Anweisung notwendig ist, um die Relevanz des Frameworks deutlich zu machen. Die Cybersecurity-Landschaft hat sich in den letzten zehn Jahren dramatisch verändert, beginnend mit dem Aufkommen von Ransomware, Cloud Computing, Remote-Arbeit und in jüngster Zeit mit Angriffen auf Software-Lieferketten. Das NIST hat in dieser Zeit mehrere Frameworks entwickelt, um diese spezifischen Herausforderungen an die Cybersecurity anzugehen. Doch jetzt sind Bemühungen im Gange, das CSF in einer Weise zu aktualisieren, die viele dieser Konzepte einbezieht.

Inwieweit Unternehmen das CSF für wertvoll halten, hängt natürlich von ihrem allgemeinen Reifegrad im Bereich Cybersecurity ab. Zumindest bietet das CSF ein gemeinsames Lexikon zur Beschreibung von Cybersecurity-Funktionen und -Prozessen. Es gibt auch Unternehmen, die die Cybersecurity nicht besonders ernst nehmen, eine Liste relativ leicht zu befolgender erforderlicher Prozesse und Funktionen. In Ermangelung eines solchen Frameworks werden viele wertvolle Stunden damit vergeudet, sicherzustellen, dass die Sicherheitsteams verschiedener Unternehmen über dieselbe Sache sprechen. Daher sucht das NIST nun aktiv nach Vorschlägen zur Erweiterung des Rahmenwerks, die sich als wertvoll erweisen könnten, wenn sich digitale Prozesse über die Grenzen eines Unternehmens hinaus ausbreiten.

Ebenso wichtig ist, dass es ein Forum bietet, in dem Cybersecurity-Experten miteinander in Kontakt treten können. Eines der größten Probleme der Unternehmen heutzutage ist der Aufbau von Vertrauen im Zeitalter der digitalen Geschäftstransformation. Cybersicherheitsteams, die bereits vor der Einführung dieser Prozesse miteinander vertraut sind, tragen wesentlich zu einem angemessenen Maß an Vertrauen bei.

Unabhängig von der Motivation benötigen Cybersicherheitsteams sowohl formelle als auch informelle Kommunikationswege zur Verbesserung der Zusammenarbeit. Cyberkriminelle Banden sind organisierter denn je, und der einzige Weg, sie effektiv zu bekämpfen, ist der Austausch von Informationen. Das CSF ist zwar nicht speziell auf diese Anforderung ausgerichtet, aber es könnte als ein wichtiges Mittel zur Erreichung eines viel größeren Ziels dienen.