Barracuda full logo

NIST veröffentlicht aktualisiertes Cybersecurity Framework 2.0

Themen:
26. März. 2024
|
Tony Burgess

Das U.S. National Institute of Standards and Technology (NIST) ist seit langem eine nützliche Quelle für Ressourcen, um Cybersicherheitsteams bei der Bewertung von Anforderungen, der Planung von Investitionen und der Implementierung von Best Practices zu unterstützen. Im Jahr 2013 veröffentlichte es das NIST Cybersecurity Framework (CSF) als primäre Quelle für Leitlinien zur Einführung effektiver Cybersicherheitspraktiken.

Bereits im Jahr 2022 haben wir einen Blogbeitrag veröffentlicht, der Ihnen helfen sollte, sich in den im CSF angebotenen Leitlinien zurechtzufinden und diese umzusetzen. Und im Jahr 2023 wurde in einem anderen Beitrag darüber berichtet, dass das NIST an einer größeren Aktualisierung des CSF arbeitet.

Nun kommt die Nachricht, dass der Aktualisierungsprozess abgeschlossen ist und CSF 2.0 offiziell veröffentlicht wurde. Werfen wir also einen Blick darauf, was sich geändert hat und wie sich diese Änderungen auf Ihre Bemühungen auswirken können, bewährte Verfahren für die Cybersicherheit zu verstehen, zu implementieren und zu pflegen.

Drei wichtige Änderungen

Die wichtigsten Updates in CSF 2.0 lassen sich in drei Kategorien einteilen:

  1. Zielgruppe
  2. Änderungen an Kernfunktionen
  3. Berücksichtigung von Datenschutzbelangen und neuen Technologien wie künstliche Intelligenz (KI)

Zielgruppe

Bei seiner Veröffentlichung im Jahr 2013 war das ursprüngliche NIST CSF speziell und ausdrücklich dazu gedacht, Organisationen, die kritische Infrastruktursysteme in den USA verwalten, dabei zu helfen, ihre Sicherheit gegen Cyberangriffe zu erhöhen. Die allgemeine Anfälligkeit dieser Systeme wurde (richtigerweise) als wichtiger strategischer Nachteil angesehen, und das CSF wurde geschaffen, um diese Anfälligkeit zu beheben und abzumildern.

Natürlich waren die im CSF enthaltenen Hinweise auch für eine viel breitere Zielgruppe wertvoll und nützlich, aber es könnte eine Herausforderung sein, Empfehlungen zu identifizieren und umzusetzen, die für eine Organisation, die nicht mit dem Schutz kritischer Infrastrukturen befasst ist, relevant sein könnten.

Das CSF 2.0 ist für eine viel breitere Zielgruppe gedacht, und das ist die treibende Kraft hinter einigen der Änderungen, die wir in dem Dokument gesehen haben:

  • Insgesamt sind die Empfehlungen allgemeiner gehalten, damit sie von Unternehmen jeder Größe oder Branche leichter umgesetzt werden können.
  • Das NIST hat eine Vielzahl zusätzlicher Ressourcen zur Verfügung gestellt, um Organisationen dabei zu helfen, ihre eigenen Bedürfnisse leichter zu definieren und entsprechende Pläne zu erstellen. Dazu gehören eine Reihe von Schnellstartanleitungen, Vorlagen und vorformatierte Organisations- und Gemeinschaftsprofile, eine ziemlich umfassende Sammlung von FAQs, informative Referenzen und mehr.
  • Das CSF 2.0 ist so organisiert, dass es sich an der Nationalen Cybersicherheitsstrategie orientiert, die im März 2023 von Präsident Biden unterzeichnet wurde.

Kernfunktionen

Das ursprüngliche CSF identifizierte fünf Kernfunktionen:

  • Identifizieren – Entwicklung eines organisatorischen Verständnisses, um Cybersecurity-Risiken für Systeme, Menschen, Assets, Daten und Fähigkeiten zu handhaben.
  • Schützen – Entwicklung und Umsetzung geeigneter Sicherheitsvorkehrungen, um die Bereitstellung kritischer Dienste sicherzustellen.
  • Erkennen – Entwicklung und Umsetzung geeigneter Maßnahmen zur Erkennung von Cybersecurity-Vorfällen.
  • Reagieren – Entwicklung und Umsetzung geeigneter Maßnahmen, um auf einen erkannten Cybersecurity-Vorfall zu reagieren.
  • Wiederherstellen – Entwicklung und Umsetzung geeigneter Maßnahmen zur Aufrechterhaltung der Pläne für die Belastbarkeit und zur Wiederherstellung von Fähigkeiten oder Diensten, die durch einen Vorfall im Bereich der Cybersicherheit beeinträchtigt wurden.

CSF 2.0 führt eine sechste Funktion ein: „Regulieren“. Diese Funktion befasst sich mit organisatorischen Fragen, der Festlegung von Erwartungen auf organisatorischer Ebene, der Risikomanagementstrategie und Richtlinien zur Rationalisierung von Schlüsselprozessen. Die anderen fünf Funktionen wurden ebenfalls umstrukturiert, wobei mehrere Kategorien in die Funktion Regulieren verschoben wurden.

Das ursprüngliche CSF verwies zwar auf die Bedeutung einer effektiven Organisationsstruktur, um den Informationsaustausch und die Zusammenarbeit zwischen Gruppen zu ermöglichen und zu fördern, die allzu oft voneinander getrennt sind – z. B. IT und Sicherheit –, doch es enthielt kaum konkrete Anleitungen, um dies zu erreichen. Wenn man bedenkt, wie wichtig diese Themen für den Erfolg oder Misserfolg von Cybersicherheitsprojekten sein können, ist das Hinzufügen von Regulieren als Kernfunktion eine sehr willkommene Verbesserung.

Datenschutz und neue Technologien

Das ursprüngliche CSF befasste sich nicht mit KI, und zwar aus dem einfachen Grund, dass sich KI noch nicht als bedeutender Faktor für die Cybersicherheit erwiesen hatte, sowohl in Bezug auf Bedrohungen als auch auf die Sicherheitsüberwachung. Und auch Datenschutzbedenken wurden in diesem Dokument weitgehend ignoriert.

Seitdem hat NIST zwei neue Rahmendokumente veröffentlicht:

Das CSF 2.0 ist so konzipiert, dass es zusammen mit diesen anderen Rahmenwerken verwendet werden kann. So können Unternehmen einen einheitlichen Prozess zur Verbesserung der umfassenden Cybersicherheit, zur Stärkung des Datenschutzes und zur Bewältigung neuer technologischer Risiken einsetzen.

Willkommene Verbesserungen

Das übergreifende Thema meines Blogbeitrags aus dem Jahr 2022 über das NIST CSF war, dass das Dokument für die meisten Sicherheitsteams, insbesondere in der Kategorie der KMU, ziemlich entmutigend und schwierig zu navigieren ist, dass es aber dennoch von immensem Wert ist, wenn es systematisch zur Unterstützung bei bestimmten Projekten eingesetzt wird.

Ich freue mich, Ihnen mitteilen zu können, dass das aktualisierte CSF 2.0 diese Schwierigkeit weitgehend behebt. Die Umstrukturierung der Kernfunktionen und die Hinzufügung der Regulieren-Funktion sowie die Fülle an begleitenden Dokumenten und Ressourcen bedeuten, dass es jetzt für Teams mit begrenztem Personal und begrenzten Ressourcen viel einfacher ist, die Empfehlungen zu nutzen und Best Practices zu implementieren sowie iterative Prozesse einzurichten, um im Laufe der Zeit kontinuierliche Verbesserungen zu erzielen. 

Journey Notes abonnieren
Tony Burgess

Der Veteran Tony Burgess ist seit zwanzig Jahren in der IT-Sicherheitsbranche tätig und Senior Copywriter von Barracuda für Content und Customer Marketing. In dieser Funktion beschäftigt er sich mit komplexen technischen Themen und fasst seine Erkenntnisse in verständlicher, nützlicher und von Menschen lesbarer Prosa zusammen.

Hier können Sie sich auf LinkedIn mit Tony vernetzen.

Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.