
Im Mai hat das National Institute of Standards and Technology (NIST) seine Richtlinien aktualisiert, um die sensiblen Daten von Unternehmen des privaten Sektors, die mit der Bundesregierung zusammenarbeiten, zu schützen. Das Dokument ist als NIST Special Publication 800-171 (SP 800-171) bekannt und die endgültige Überarbeitung bietet jetzt klare und einfache Anleitungen.
Was ist NIST?
NIST ist eine nicht regulierende Agentur des US-Handelsministeriums. Ihre Aufgabe ist die Förderung der technologischen Innovation und der industriellen Wettbewerbsfähigkeit durch die Weiterentwicklung der Messwissenschaft, der Standards und der Technologie, um die wirtschaftliche Sicherheit zu erhöhen und die Lebensqualität zu verbessern. Die Agentur entwickelt Standards, Messungen und Richtlinien, die von der Bausicherheit bis hin zu Cybersicherheits-Frameworks reichen.
Wer muss NIST SP 800-171 einhalten?
Jede Organisation, die Geschäfte mit der Bundesregierung macht und im Auftrag der Regierung kontrollierte, nicht klassifizierte Informationen (CUI) verarbeitet, ist vertraglich verpflichtet, die Richtlinien NIST SP 800-171 einzuhalten. Daten, die als CUI eingestuft werden, sollten in Ihrem Regierungsvertrag festgelegt werden.
Was sind kontrollierte nicht klassifizierte Informationen (CUI)?
CUI sind Regierungsinformationen, die sensibel sind, aber nicht die Kriterien für eine Klassifizierung erfüllen. Diese Daten müssen mit einem Gesetz, einer Verordnung oder einer Regierungsrichtlinie verknüpft sein. Beispiele für CUI können geistiges Eigentum, kontrollierte technische Informationen, Gesundheitsinformationen von Mitarbeitern, geschützte Geschäftsinformationen, personenbezogene Daten und sensible Informationen für Strafverfolgungsbehörden sein.
In seinen Richtlinien beschreibt NIST Best Practices zum Schutz dieser Daten vor unbefugtem Zugriff, Offenlegung und Verlust. Dies ist wichtig, da Organisationen, die CUI verarbeiten, speichern und übermitteln, oft Regierungsprogramme unterstützen, die kritische Güter wie Waffen und Kommunikationssysteme beinhalten.
Was hat sich gegenüber den bisherigen Richtlinien geändert?
Zuvor waren einige der Formulierungen in den Richtlinien mehrdeutig und stimmten nicht mit der Sprache des Katalogs der Sicherheits- und Datenschutzkontrollen überein, der von Bundesbehörden verwendet wird. Die letzten Aktualisierungen wurden vorgenommen, um die Konsistenz und Benutzerfreundlichkeit zu verbessern, zum Teil auf der Grundlage von Benutzerfeedback zu früheren Entwürfen.
Zu den wichtigsten Aktualisierungen gehören:
- Neustrukturierte Sicherheitsanforderungen zur Anpassung an die Sicherheitskontrollen von SP 800-53
- Organisationsdefinierte Parameter (ODP) zum Anpassen bestimmter Steuerelemente an die spezifischen Anforderungen Ihrer Organisation
- Neue, klarere Tailoring-Kriterien
- Neukategorisierung der Kontrollen auf der Grundlage der neuen Anpassungskriterien
- Zusätzliche Leitlinien zur besseren Unterstützung der Umsetzung und zur Verbesserung der Ergebnisse
Die überarbeiteten Richtlinien sind auch technisch besser kompatibel und in maschinenlesbaren Formaten wie JSON und Excel verfügbar, damit Entwickler von Cybersicherheitstools sie in ihre Anwendungen importieren können.
Die dazugehörigen Bewertungsverfahren wurden ebenfalls aktualisiert. Diese sollen Unternehmen dabei helfen, zu beurteilen, ob sie die Sicherheitsanforderungen erfüllt haben.
Zu den Aktualisierungen der Dokumentation der Bewertungsverfahren gehören:
- Organisationsdefinierte Parameter (ODP) für verbesserte Nachvollziehbarkeit und Nutzbarkeit
- Struktur- und Syntaxänderungen für mehr Einheitlichkeit
- Zusätzliche Hinweise zur Durchführung von Sicherheitsanforderungsbewertungen
Wie wirken sich die NIST-Richtlinien auf kleine und mittlere Unternehmen aus?
Die NIST SP 800-171-Richtlinien haben finanzielle und betriebliche Auswirkungen auf KMUs , die mit behördlichen CUI umgehen.
- Finanzielle Auswirkungen: KMUs, die mit staatlichen CUI umgehen, müssen die Richtlinien einhalten oder riskieren Vertragsstreitigkeiten oder Strafen. KMUs, die nicht im Rahmen von Regierungsverträgen tätig sind, aber Teil der staatlichen Lieferketten sind, unterliegen weiterhin den Anforderungen. Die Einhaltung der Richtlinien bedeutet Investitionen in Infrastruktur, Personal und laufende Wartung. Die Einhaltung von NIST SP 800-171 kann jedoch einen Wettbewerbsvorteil im Wettbewerb um Regierungsaufträge bieten, und Versicherungsträger können Organisationen, die die Standards erfüllen, eine bevorzugte Deckung anbieten.
- Betriebliche Auswirkungen: Die Einhaltung der Standards erfordert die Implementierung umfassender Sicherheitskontrollen, einschließlich Technologie, Prozesse und Schulungen, um CUI zu schützen. Dazu gehören Verschlüsselung, Zugriffskontrollen, Überwachungssysteme und die Fähigkeit zur Incident Response.
Wie können KMU sicherstellen, dass sie NIST SP 800-171-konform sind?
Die Einhaltung von Vorschriften ist eine Herausforderung für KMUs, insbesondere für solche mit begrenzten Ressourcen und Compliance-Fachkenntnissen. Wenn Sie es selbst tun, ist es wichtig, dass Sie Ihren Regierungsvertrag und das NIST SP 800-171-Framework vollständig lesen und das Begleit-Assessment verwenden, um Ihre Kontrollen zu überprüfen.
Viele KMUs entscheiden sich für die Beratung durch Cybersecurity-Experten und Anbieter von Managed Security Services. Wenn Sie diesen Weg einschlagen, stellen Sie sicher, dass Ihre Berater über die neueste Revision von NIST SP 800-171 informiert sind.

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.