Was versteht man unter dem NIST Cybersecurity Framework? (CSF)?
Was bedeutet NIST CSF? Das NIST (National Institute of Standards and Technology) CSF (Cybersecurity Framework) besteht aus Standards, Richtlinien und bewährten Verfahren, die Unternehmen für das Cybersecurity-Risikomanagement umsetzen können. Das NIST ist Teil des US-Handelsministeriums und hat die Aufgabe, Unternehmen dabei zu helfen, ihr Cybersecurity-Risiko zu minimieren.
Was ist das National Institute of Standards and Technology (NIST)?
Das National Institute of Standards and Technology, kurz NIST, ist die zentrale Behörde der US-Regierung für Technologie- und Sicherheitsstandards. Es wurde 1901 als Bureau of Standards gegründet, eine nationale Behörde für Gewichte, Maße und wissenschaftliche Standards. Im Jahr 1988 nahm die Behörde den Namen NIST an, um ihre sich entwickelnde Aufgabe als eine auf den technologischen und wissenschaftlichen Fortschritt ausgerichtete Behörde zu unterstreichen.
Im Rahmen der modernen Behördenarbeit hat das NIST den Auftrag, einige kritische, mit der Technologie verbundene Bereiche abzudecken. Zu diesen Bereichen gehören Standards und Anforderungen, die US-Bundesbehörden und Auftragnehmer erfüllen müssen. Diese sind in der “Special Publication” beschrieben, die auf der NIST-Website frei zugänglich ist.
Einige wichtige Bereiche, die das NIST abdeckt, sind:
- Cybersicherheit auf nationaler Ebene: Wenn US-Bundesbehörden neue Technologien einführen, ist der Schutz sensibler Informationen von größter Bedeutung. Außerdem legt der Federal Information Security Modernization Act von 2014 strenge technische und risikobasierte Sicherheitsanforderungen fest, die die Behörden und ihre Partner erfüllen müssen.
Diese Anforderungen werden vom NIST im Rahmen seiner Sonderveröffentlichungen, insbesondere der NIST 800-Serie und der Federal Information Processing Standards (FIPS)-Dokumentation, recherchiert, erstellt, gepflegt und aktualisiert oder außer Kraft gesetzt. Die Executive Order 14028 und nachfolgende Memoranden schreiben Zero Trust als Mandat für alle US-Bundesbehörden vor.
- Staatliche Bereitstellung von Cloud-Diensten: Neben den alltäglichen Technologien, die die meisten Behörden nutzen, verwenden immer mehr Ämter und externe Auftragnehmer Cloud- oder Managed Services für die Datenverarbeitung. Um solche Partnerschaften zu unterstützen, hat das NIST auch spezielle Standards entwickelt, um die Nutzung von Cloud Computing im föderalen Kontext zu regeln.
- Reifegrad: Einige Bereiche, wie z. B. das Cloud-Management und der Technologieeinsatz im Verteidigungssektor, wurden in Reifegrade (engl. Maturity Levels) eingeteilt, wobei verschiedene Organisationen je nach ihren Anforderungen, Interessengruppen und Auftraggebern unterschiedliche Reifegrade erreichen können.
- Kryptographie: Kryptographie ist ein zentraler Bestandteil der meisten Sicherheitsstandards, und durch die FIPS-Veröffentlichungen legt das NIST die Mindestanforderungen für die Verschlüsselung fest.
- Identitäts- und Zugriffsmanagement: Im Rahmen der NIST 800-Serie legt die Organisation Standards für die ordnungsgemäße Verwendung von Authentifizierungstechnologien (Authentication Assurance Levels) und Identitätsüberprüfung (Identity Assurance Levels) fest – auch bekannt als .
- Risiko: Angesichts der zunehmenden Komplexität und Raffinesse moderner Cybersecurity-Bedrohungen arbeitet das NIST hart daran, die Compliance-Standards in Richtung eines risikobasierten Modells voranzutreiben, bei dem das Wissen über Schwachstellen und Sicherheitssysteme an die Stelle von Checklisten tritt. Dies führt zu einem Ansatz des integrierten Risikomanagements.
Die NIST-Standards bilden somit die Grundlage für einige wirksame nationale Vorschriften, darunter:
- FISMA: Jede US-Bundesbehörde muss die FISMA-Sicherheitsstandards erfüllen. Dazu gehört auch die Implementierung digitaler Sicherheit, Sicherheitsrichtlinien und ‑verfahren. Diese Standards leiten sich ausdrücklich von NIST-Standards wie NIST Special Publication 800-53, NIST SP 800-18, FIPS 200 und FIPS 140 (sowie vielen anderen) ab.
- FedRAMP: Jeder Cloud-Service-Provider, der auf eine Ausschreibung einer US-Bundesbehörde antwortet, muss die Mindestanforderungen von FedRAMP erfüllen. FedRAMP ist in verschiedene Reifegrade unterteilt, die durch FIPS 199 und NIST SP 800-60 definiert sind. FedRAMP bezieht seine Sicherheitskontrollen aus NIST SP 800-53 und NIST SP 800-53B.
- CMMC: Die Cybersecurity Maturity Model Certification (CMMC) ist ein Reifegradmodell für den Umgang mit Controlled Unclassified Information (CUI) im Verteidigungssektor. Dieser Standard steht im Einklang mit NIST SP 800-171 und NIST SP 800-172.
- HIPAA: Der HIPAA (Health Insurance Portability and Accountability Act) ist technisch gesehen kein föderaler Sicherheitsstandard in der gleichen Weise wie FISMA oder FedRAMP. Er gilt für Anbieter und Partner im Gesundheitswesen, wird aber vom US-amerikanischen Gesundheitsministerium (Department of Health and Human Services, HHS) verwaltet und geleitet.
Der Standard ist offen gehalten, um die Flexibilität zu fördern. Konkrete Vorschläge für die Umsetzung der Richtlinien im Rahmen der HIPAA Security Rule sind im NIST SP 800-66 zu finden.
- Risikomanagement: Risikomanagement ist zwar keine allumfassende Anforderung für Behörden, doch die Risikobewertung ist ein kleinerer Teil fast aller Vorschriften, und ihre Bedeutung nimmt weiter zu. Das NIST Risk Management Framework (RMF) dient als Leitfaden für das Management von Sicherheitsrisiken und die Einhaltung von Vorschriften, wie in mehreren Veröffentlichungen, nämlich SP 800-37 und SP 800-39, beschrieben.
Was ist das NIST Cybersecurity Framework?
Abgesehen von der Arbeit auf staatlicher Ebene und im Verteidigungsbereich sind die NIST-Vorschriften nicht bindend. Außerdem hilft die Sammlung von Publikationen den Unternehmen nicht unbedingt dabei, ein besseres Verständnis für ihre Cybersicherheit zu entwickeln.
Deshalb ist das Cybersecurity Framework (CSF) ein ganzheitlicher Ansatz für die Cybersicherheit, der Organisationen innerhalb und außerhalb der Regierungsbehörden hilft, die Kontrolle über ihre Sicherheit umfassender zu übernehmen. Das bedeutet, potenzielle Risiken zu verstehen, die Risikobewertung als organisationsweites Verfahren zu integrieren und Bedrohungen für die Infrastruktur zu reduzieren.
Der Kern des NIST CSF
Das Herzstück oder der „Kern“ des CSF beinhaltet insgesamt fünf Prioritäten, um die sich alle Aspekte drehen. Diese umfassen:
- Identifizieren: Ein Unternehmen sollte in der Lage sein, alle relevanten inhaltlichen Ressourcen und Systeme zu identifizieren, zu inventarisieren und zu kategorisieren. Dazu gehören Software, Hardware, Netzwerke, Daten, Benutzer und alle speziellen Systeme oder Dienstleistungen externer Anbieter.
Darüber hinaus muss ein Unternehmen die wichtigsten Rollen und Zuständigkeiten in Bezug auf die Cybersicherheit ermitteln und darlegen, welche Rolle sie bei Richtlinien, Verfahren und Entscheidungsfindung spielen.
- Schützen: Unternehmen sollten Sicherheitsvorkehrungen für die inventarisierten (identifizierten) Inhalte und Systeme implementieren. Dazu gehören die Implementierung von Identity & Access Management (IAM), der Schutz von Daten zur Gewährleistung von Integrität und Vertraulichkeit (z. B. Verschlüsselung), die Einrichtung von Zugriffskontrollen auf Ordner- und Dateiebene, die sich an den Rollen und Privilegien der einzelnen Benutzer orientieren, sowie die Entwicklung von Richtlinien für Schulungen, Upgrades und Patches für Geräte sowie Governance.
- Erkennen: Schutz ist wichtig, aber ebenso wichtig ist die Erkennung. Sichere Systeme sollten automatisierte Auditing- und Protokollierungsmaßnahmen, kontinuierliche Überwachungstechnologien (einschließlich Scans aller physischen und digitalen Netzwerke) und die laufende Erkennung von Sicherheitsanomalien implementieren.
- Reagieren: Sobald ein Problem entdeckt wird, müssen das System und die verantwortlichen Parteien sofort in Aktion treten, um darauf zu reagieren. Dazu gehört, dass nach der Entdeckung von Anomalien Maßnahmen zur Schadensbegrenzung ergriffen werden. Diese können aus dem Einsatz von Gegenmaßnahmen und der Beseitigung von Schwachstellen, der Durchführung von Problemanalysen und Änderungen am System auf der Grundlage dieser Analysen bestehen.
- Wiederherstellen: Jedes Unternehmen muss in der Lage sein, sich schnell und sicher von einer Sicherheitsanomalie zu befreien. “Wiederherstellung” bedeutet, dass alle Systeme, die vom Netz genommen wurden, wiederhergestellt werden, dass die Sicherheit der betroffenen Systeme gewährleistet wird, dass Verbesserungen nach dem Vorfall vorgenommen werden und dass die relevanten Beteiligten innerhalb und außerhalb des Unternehmens über die Probleme und die Anforderungen zur Wiederherstellung informiert werden.
Wie kann Ihr Unternehmen das Cybersecurity Framework umsetzen?
Der Vorteil des NIST CSF ist, dass es Ihnen die Möglichkeit gibt, die Kontrolle über Ihre Sicherheitslage zu übernehmen. Auf diese Weise ist die Implementierung kein allzu großes technisches Unterfangen. Vielmehr geht es darum, eine Bestandsaufnahme zu machen: Wo steht Ihr Unternehmen und wo will es hin?
Einige Schritte, die Sie in diesem Sinne unternehmen können, sind:
- Verstehen der NIST-Anforderungen: Sie brauchen kein lexikonartiges Wissen über die NIST-Standards – dafür sind die Sicherheitsexperten da. Stattdessen sollten Sie eine grundlegende Vorstellung von moderner Sicherheit haben, von IAM bis hin zu Verschlüsselung und Risikobewertung.
- Prüfen der Ressourcen des Unternehmens: Machen Sie sich mit der Inventarisierung Ihrer Systeme und Mitarbeiter vertraut. Sie sollten über klar definierte und aktualisierte Organigramme, Datenflussdiagramme und Kataloge der im Unternehmen verwendeten Hardware verfügen, von Servern und Workstations bis hin zu Tablets und Routern.
- Implementierung sicherer Dateiverwaltungs- und Kommunikationsstandards: Nutzen Sie Content-Management- und sichere File-Sharing-Plattformen, die Ihren Sicherheitsanforderungen gerecht werden. Sie müssen das Rad nicht neu erfinden, wenn es um die Implementierung von Technologie geht. Arbeiten Sie einfach mit einem Anbieter zusammen, der Ihre betrieblichen und die gesetzlichen Anforderungen erfüllen kann.
- Umstellung auf ein risikobasiertes Compliance-Profil: Vergessen Sie die Vorstellung, dass Sie mit einer Checkliste arbeiten können, um angemessene Sicherheit zu implementieren. Wenn Sie Verfahren zur Risikobewertung und zum Risikomanagement entwickeln, werden viele der CSF-Anforderungen (Identifizierung von Vermögenswerten, Überwachung usw.) automatisch erfüllt.
- Durchführen regelmäßiger Audits: Sie sollten stets Audits und eine kontinuierliche Überwachung durchführen, um Benutzer-, System- und Dateizugriffsereignisse zu erfassen. Dies ist entscheidend für die Einhaltung von Datenschutzbestimmungen in jeder Branche und unerlässlich, um IT-Systeme zu schützen, auf Anomalien zu reagieren und die Folgen von Angriffen zu beseitigen.
Kiteworks Private Content Network und NIST CSF
Das Kernelement des CSF ist ein grundlegendes Maß an Datensicherheit für gespeicherte Informationen und Daten während der Übertragung. Dies erfordert einen Cybersecurity-Risikomanagement-Ansatz, der sicherstellen soll, dass sensible Informationen durch administrative, technische und physische Sicherheitsvorkehrungen so verwaltet werden, dass ihre Integrität und Vertraulichkeit gewahrt bleibt. Viele IT-, Sicherheits- und Compliance-Verantwortliche planen heute ihre Risikomanagement-Roadmaps und kommunizieren gegenüber ihren Vorständen unter Berücksichtigung des NIST CSF.
Das Kiteworks Private Content Network ermöglicht es Unternehmen, die Prinzipien des NIST CSF auf die Speicher von Inhalten wie Ordner, Dateien und E-Mails anzuwenden. Dazu gehört auch die Festlegung globaler Richtlinien, wie z. B. das Deaktivieren der Übertragung sensibler Inhalte von und zu bestimmten Domains und Ländern (Geofencing). Die E-Mail-Richtlinien-Engine in Kiteworks berücksichtigt die Microsoft MIP-Sensibilitätsstufen wie “öffentlich”, “vertraulich” oder “geheim”.
Durch die oben genannten Zugriffskontrollen ermöglicht Kiteworks es Unternehmen, Datenschutzrichtlinien für bestimmte Inhaltsgruppen bis hin zu einzelnen Dateien auf der Kiteworks-Plattform durchzusetzen. Dies spielt eine wichtige Rolle in ihrer umfassenderen Strategie für das Cybersecurity-Risikomanagement, einschließlich der Fähigkeit, das sogenannte Third-Party-Risiko (TPRM) zu bewältigen. Die Risikomanagement-Governance von Kiteworks erstreckt sich auch auf die Einhaltung gesetzlicher Vorgaben, wie z. B. des Health Insurance Portability and Accountability Act (HIPAA), der General Data Protection Regulation (GDPR/DSGVO) und des Payment Card Industry Data Security Standard (PCI DSS).
Wenn Sie mehr über das Kiteworks Private Content Network und NIST CSF erfahren möchten, buchen Sie noch heute eine individuelle Demo.
Weitere Informationen Resources
- Webinar How Federal Agencies Can Comply With the Zero-trust Data Requirement in EO 14028
- Video How Mandiant Uses Kiteworks to Protect the Sensitive Content That Helps Protect Businesses Worldwide
- Case Study Der Schutz sensibler Inhalte schützt Unternehmen weltweit
- Report Benchmark Your Sensitive Content Communications Privacy and Compliance