Der Inside-Out-Sicherheits Blog Blog   /  

Was ist das NIST-Framework für Cybersecurity?

What is the NIST Cybersecurity Framework? | Varonis

Das NIST-Framework für Cybersecurity wird vom National Institute of Standards and Technology veröffentlicht und ständig aktualisiert. Es handelt sich um ein hilfreiches Framework, das Unternehmen als Modell nutzen und befolgen können, um ihre Sicherheitslage zu verbessern und auszubauen.

In diesem Artikel gehen wir auf die wichtigsten Aspekte des Frameworks ein, warum Sie es verwenden sollten und wie Sie es auf Ihr Unternehmen anwenden können.

So können Unternehmen vom NIST-Framework profitieren

Das NIST-Framework besteht aus bewährten Richtlinien, Prinzipien, Verfahren und Methoden. Diese sind an einer US-Regierungsverordnung ausgerichtet und sollen die Cybersicherheit für verschiedene Unternehmen verbessern. Unternehmen können folgendermaßen von dem Framework profitieren:

  • Anleitung: Eine detaillierte Erläuterung von Sicherheitsgrundsätzen und -prioritäten
  • Breite Abdeckung: Das Framework geht über die reine Prävention hinaus und bietet Unternehmen Werkzeuge und Fähigkeiten, um sich aktiv zu schützen.
  • Zugänglichkeit: Sie erhalten einen Leitfaden für die Umsetzung, der für jede Organisation gilt – unabhängig davon, ob Sie bereits mit einem Framework arbeiten oder nicht.
  • Flexibilität: Alle Organisationen – ob groß, klein, neu oder alt – werden im Framework berücksichtigt. 
  • Kosteneffizient: Die Umsetzung ist so konzipiert, dass kosteneffiziente Maßnahmen im Rahmen des Frameworks Vorrang haben.

Die Kernfunktionen des NIST-Frameworks

Das NIST-Framework besteht aus fünf Funktionen, die die Grundlage für das Risikomanagement und den angemessenen Schutz in einer Organisation bilden.

Darin sind auch die Tools und Prozesse aufgeführt, aus denen sich die Komponente zusammensetzt, damit Sie mögliche Lücken in Ihrer Organisation identifizieren können.

IDENTIFIZIEREN

Hierbei geht es darum, die Cybersicherheitsanforderungen Ihres Unternehmens zu verstehen, die Aspekte Ihrer Umgebung und Ihres Unternehmens zu verstehen (z. B. Assets, Partner, Geräte, Software) und die Parteien, die Software und die Abteilungen zu identifizieren, die am Cybersecurity-Risikomanagement Ihres Unternehmens beteiligt sind.

Von dort aus können Sie weiter die wichtigsten Bedrohungen identifizieren, die aufgrund Ihrer Umgebung und potenzieller Schwachstellen das größte Risiko für Ihr Unternehmen darstellen. 

Zu den empfohlenen Tools für diese Komponente zählen die Asset-Transparenz und -verwaltung sowie Bedrohungsinformationen und Alarme.

Zu den Prozessen und Richtlinien im Rahmen dieser Komponente gehören ein dokumentiertes Risikotoleranz-Framework, ein Risikomanagement für Drittanbieter/Lieferanten und klare Kommunikationslinien darüber, wer für welchen Aspekt der Cybersecurity verantwortlich ist.

Schützen

Die Schutzkomponente gilt als herkömmliche Cybersecurity-Verteidigung und -Schutz. Hier priorisieren Unternehmen, welche Assets geschützt werden müssen, über das Identitätsmanagement, die durchgesetzte Authentifizierung und die Einschränkung von Berechtigungen und Zugriff.

Weitere Schritte sind Schulungen zum Sicherheitsbewusstsein, die Nutzung der Netzwerksegmentierung und eine Datenschutzrichtlinie, um Leaks, Fehlkonfigurationen oder versehentliche Offenlegung zu verhindern.

Erkennen

Hier kann das Framework wirklich helfen, da es die wichtigsten Schritte abdeckt und über die reine Prävention hinaus Orientierungshilfen bietet. In dieser Komponente sollten Sie Tools und Prozesse priorisieren, die unerwünschte Eindringlinge oder anomales Verhalten erkennen.

Am besten geht das mit kontinuierlichen Überwachungs- und Erkennungstools für verschiedene Aspekte Ihres Unternehmens wie Endpoints, E-Mail und Ihr Netzwerk. Die hilfreichsten Tools sollten bekannte Bedrohungen markieren und gleichzeitig erkennen, ob eine autorisierte Person in Ihr Netzwerk eingedrungen ist oder ob ein Insider sich verdächtig verhält.

Reagieren

Hier sollten Sie im Rahmen eines umfassenden Reaktionsplans für den Fall einer Kompromittierung oder eines erfolgreichen Angriffs Prioritäten bei der Kommunikation, Schadensbegrenzung, Analyse und Nachuntersuchung setzen.

Indem Sie vorausschauend planen, können Sie proaktiv bleiben und die erforderlichen Schritte identifizieren, mit denen Sie schneller reagieren und den Schaden reduzieren können, den ein Angriff in Ihrem Netzwerk anrichtet.

Dazu kann auch die Hinzuziehung eines externen Reaktions- und Wiederherstellungsteams gehören, das die erforderliche forensische Analyse durchführt. So können Sie verstehen, wie es zu dem Angriff gekommen ist, und so das Risiko einer erneuten Kompromittierung verringern.

Wiederherstellen

Dies kann fast als Erweiterung oder Kombination mit der Reaktionsphase betrachtet werden. Hier benutzen Sie die Erkenntnisse, Informationen und Analysen aus der Reaktion, um Ihre Wiederherstellungsstrategie und -prozesse zu verbessern.

Die Wiederherstellung umfasst die interne und externe Kommunikation, z. B. die Verwaltung von PR-, Kunden- und anderer Stakeholder-Kommunikation, die Wiederherstellung der vollen Funktionalität aller vom Angriff betroffenen Bereiche und die Ermittlung von Verbesserungsmöglichkeiten, falls ein Teil Ihres Netzwerks stark beeinträchtigt wurde.

Komponenten des NIST-Frameworks

Es gibt drei Komponenten des NIST-Frameworks, dank derer möglichst viele Unternehmen es übernehmen können. 

Kern

Der NIST-Kern umfasst die oben beschriebenen Funktionen sowie Kategorien, Unterkategorien und informative Referenzen. Diese Funktionen sollten gleichzeitig und kontinuierlich ausgeführt werden – es handelt sich weniger um eine Checkliste als um eine Anleitung, um bestimmte Cybersicherheitsergebnisse und -ziele zu erreichen.

Implementierungsebenen

Die Implementierungsebenen geben an, wie eine Organisation ihr Cybersicherheitsrisiko einschätzt und wie sie entsprechend reagieren sollte. Sie entsprechen nicht der Reife eines Unternehmens, sondern reflektieren eher den betrieblichen und organisatorischen Bedarf an Cybersecurity-Risikomanagement und welche Ressourcen vernünftigerweise zugeteilt werden können.

Die Komponenten, aus denen eine Ebene besteht, sind: 

  • Risikomanagementprozess
  • integriertes Risikomanagementprogramm
  • externe Beteiligung.

Ebene 1: Partiell

Diese Ebene konzentriert sich ad hoc auf die Cybersecurity und ist sich in den meisten Fällen der Risiken nicht bewusst, die für ihr Unternehmen bestehen. Dies ist eine sehr reaktive Positionierung, bei der Cybersecurity nur dann berücksichtigt, wenn sie aktiv gebraucht wird.

Ebene 2: Risikobasiert

Das Bewusstsein für Cybersecurity-Risiken ist ausgeprägter und es werden entsprechend den Bedürfnissen des Unternehmens mehr Ressourcen dafür bereitgestellt. Allerdings ist es nicht formalisiert, es gibt nur wenige Prozesse, und die Überlegungen bleiben weitgehend intern. Daher wird das Risikomanagement für Dritte oder Lieferanten immer noch nicht berücksichtigt.

Ebene 3: Wiederholbar

Eine Organisation dieser Ebene verfügt über stärker formalisierte Richtlinien und Verfahren. Diese werden auf der Grundlage neuer Informationen und sich ändernder Prioritäten im Risikomanagement ständig aktualisiert.

Die Unternehmensführung beteiligt sich an diesen Diskussionen, und externe Parteien (z. B. Lieferanten und Partner) werden als Teil der allgemeinen Cybersicherheitsstrategie betrachtet, um sicherzustellen, dass es Kontrollen und Richtlinien gibt, die sich mit dem Drittparteirisiko befassen.

Ebene 4: Adaptiv

Unternehmen dieser Ebene erforschen und finden ständig neue Bedrohungen, Schwachstellen und Exploits und reagieren entsprechend, indem sie in neue Tools, Lösungen und Produkte investieren, die sie vor neuen Bedrohungen schützen können.

Die Risikotoleranz ist in der Regel gering, und das Cybersecurity-Risikomanagement ist ein integraler Bestandteil der gesamten Organisation, das bei der Entscheidungsfindung im gesamten Unternehmen eine wichtige Rolle spielt.

Profile

Das Profil verbindet im Wesentlichen den Kern und die Ebenen miteinander, indem es die Funktion innerhalb des Kerns mit den geschäftlichen Anforderungen und Cybersecurity-Zielen auf der Grundlage Ihrer Implementierungsebene abgleicht.

Durch die Kombination dieser beiden Aspekte können Sie eine Roadmap erstellen, die Sie zu Ihren Cybersecurity-Zielen führt. Hierbei muss berücksichtigt werden, was Ihre Organisation bewältigen kann und welche Risikotoleranz sie übernehmen sollte.

Implementierung des NIST-Frameworks

Die Implementierung dieses Frameworks mag angesichts der vielen verschiedenen Komponenten schwierig und einschüchternd wirken. Man sollte jedoch bedenken, dass dieses Framework mit Blick auf Flexibilität und Einfachheit entwickelt wurde. 

NIST bietet eine Schritt-für-Schritt-Anleitung für die Implementierung von Cybersecurity-Frameworks.

Prioritäten setzen und Umfang festlegen

Sie sollten herausfinden, welche Ziele Sie mit Ihrem Unternehmen erreichen möchten und welche Prioritäten Ressourcen und Investitionen erfordern. Dadurch erhalten Sie ein gutes Verständnis dafür, welche Ziele Sie in der Cybersecurity wirklich haben können.

Orientierung

In diesem Schritt können Sie ermitteln, welche Prozesse, Assets, Anforderungen und Ansätze erforderlich sind, um den Umfang Ihres Cybersecurity-Programms zu optimieren. Sie können die Bedrohungen und Schwachstellen, denen Ihr Unternehmen ausgesetzt ist, richtig einschätzen.

Aktuelles Profil erstellen

Wenn Sie ein Profil gemäß den Kategorien und Unterkategorien in den NIST-Framework-Funktionen einrichten, erhalten Sie einen Basiswert zur Messung Ihrer Fortschritte und Erfolge.

Risikobewertung durchführen

Indem Sie sich ein Bild von der Risikotoleranz Ihres Unternehmens, dem Bedarf an Risikomanagement und den verfügbaren Ressourcen machen, können Sie erkennen, in welche Kategorie Sie fallen und welche Ziele und Ergebnisse Sie realistischerweise anstreben sollten.

Erstellen eines Zielprofils

Als Teil der Zielsetzung sollten Sie ein Profil mit zugeordneten Kategorien und Unterkategorien als Ziel haben, das Ihnen hilft, die Richtung für Ihr Programm festzulegen.

Bestimmen, Analysieren und Priorisieren von Lücken

Wenn Sie Ihr aktuelles Profil und Ihr Zielprofil vergleichen, können Sie die Lücken, Schritte und Maßnahmen identifizieren, die erforderlich sind, um Ihr Ziel zu erreichen. Dies wird Ihnen auch bei der Beschaffung und der Suche nach geeigneten Lieferanten und Lösungen helfen.

Aktionsplan implementieren

Inzwischen sollten Sie genau wissen, welche Schritte erforderlich sind, mit wem Sie sprechen müssen und wie Sie Ihre Implementierung angehen können. Jetzt müssen Sie nur noch damit anfangen.

NIST-Prinzipien können in verschiedenen Frameworks verwendet werden 

Das NIST-Framework kann von jeder Organisation verwendet werden, und seine Prinzipien können auch dann genutzt werden, wenn Sie ein anderes Framework oder ein anderes Cybersecurity-Programm implementieren.

Grundlegende Prinzipien wie die Durchführung einer Risikobewertung und die Festlegung von Zielen können Ihnen helfen, Ihre Maßnahmen zu optimieren und zu priorisieren.

Dadurch lassen sich auch wichtige Cybersecurity-Partner leichter einbinden, die Sie besser unterstützen können, wenn Sie klar definierte Ziele und ein gutes Verständnis Ihrer organisatorischen Kapazitäten haben.

Wir sind Varonis.

Seit 2005 schützen wir, mit unserer Datensicherheits- plattform, wertvolle Daten von Unternehmen in aller Welt, vor feindlichen Übergriffen.

Wie Varonis funktioniert