DE
DE EN FR JA AR ES
Startseite | Blog | NIST Cybersecurity Framework 2.0: Ein Überblick

NIST Cybersecurity Framework 2.0: Ein Überblick

Geschrieben von: Orlaith Traynor

8 min lesen - März 24, 2025

Am 26. Februar 2024 wird die neue NIST Cybersecurity Framework 2.0 wurde vom U.S. National Institute of Standards and Technology (NIST) in Zusammenarbeit mit Interessenvertretern aus Organisationen aller Größenordnungen veröffentlicht.

Das NIST-Framework unterstützt Unternehmen bei der Bewältigung von Cybersecurity-Risiken mit einer Taxonomie von High-Level-Cybersecurity-Ergebnissen, die von jedem Unternehmen verwendet werden können - unabhängig von seiner Größe, seinem Sektor oder seinem Reifegrad. Das Rahmenwerk hilft Organisationen, ihre Cybersicherheitsbemühungen besser zu verstehen, zu bewerten, zu priorisieren und zu kommunizieren, um eine bessere Cybersicherheitslage zu erreichen.

Was ist das NIST CSF 2.0?

Der Anwendungsbereich des NIST CSF 2.0 wurde auch auf globale Cybersicherheitsherausforderungen ausgeweitet und geht damit über den ursprünglichen Fokus auf kritische Infrastrukturen in den USA hinaus. Jetzt können alle Organisationen die NIST-Praktiken nutzen, unabhängig von der Branche.

Der Cyber-Rahmen umfasst die folgenden Komponenten:

  • CSF-Kern. Die Taxonomie der hochrangigen Cybersicherheitsergebnisse, die Organisationen beim Management ihrer Cybersicherheitsrisiken hilft. Die CSF-Kernkomponenten bestehen aus einer Hierarchie von Funktionen, Kategorien und Unterkategorien, die jedes Ergebnis detailliert beschreiben und für alle IT-Systeme gelten.
  • CSF-Organisationsprofile. Erläutert die Mechanismen zur Beschreibung der angestrebten Cybersicherheitslage einer Organisation.
  • CSF-Ebenen. Die Ebenen geben Aufschluss darüber, wie ein Unternehmen seine Cybersicherheitsrisiken einschätzt und welche Prozesse es zur Bewältigung dieser Risiken einsetzt, einschließlich Governance- und Managementpraktiken.
Eine Grafik des NIST CSF 2.0 Rahmenwerks. Quelle.

Warum ist das NIST-Framework für die Einhaltung der Cybersicherheitsvorschriften so wichtig?

Das NIST CSF 2.0 ist weithin als wichtige Ressource für Organisationen, die ihre Cybersicherheitslage verbessern wollen.

Unternehmen können verschiedene Cybersicherheitsstandards mit dem NIST-Framework abbilden, um die gesetzlichen Anforderungen für die Identifizierung, Erkennung und Behebung von Cybersicherheitsvorfällen einzuhalten.

Die NIST-Konformität bietet eine umfassende Grundlage, die mit vielen bestehenden Konformitätsstandards übereinstimmt, wie z. B. GDPR, HIPAA, ISO und CIS-Kontrollen.

Eine Grafik zeigt die Kluft zwischen cybersicheren und gefährdeten Unternehmen im Jahr 2024. Quelle.

Governance ist eine neue Kernfunktion des NIST CSF 2.0

Um das neue NIST Cybersecurity Framework zu entwickeln, arbeitete NIST direkt mit den Interessenvertretern zusammen, um die neuesten Herausforderungen im Bereich der Cybersicherheit anzugehen.

Eine wesentliche Änderung des Rahmens ist die Hinzufügung einer neuen Regieren Funktion. Die neue Schlüsselfunktion unterstützt Unternehmen dabei, fundierte Entscheidungen über Richtlinien und Managementpraktiken zu treffen, die auf eine umfassendere Cybersicherheitsstrategie abgestimmt sind, einschließlich des organisatorischen Kontexts, der Risikomanagementstrategien und des Risikomanagements in der Lieferkette.

NIST 2.0 kann europäische Organisationen bei der Umsetzung bewährter Verfahren im Bereich der Cybersicherheit unterstützen

Die Europäische Union hat die NIS-2-Richtlinie im Oktober 2024 einen einheitlichen Rechtsrahmen zur Gewährleistung der Cybersicherheit in 18 kritischen Sektoren in der EU zu schaffen. Die Richtlinie ist jedoch kein Rahmen an sich, sondern vielmehr, eine Reihe von Anforderungen, die Organisationen einhalten müssen.

Die NIST CSF 2.0 Framework kann EU-Staaten unterstützen und Organisationen zur Umsetzung der NIS-2-Richtlinie. Das NIST hat viele Umsetzungsbeispiele von Organisationen unterschiedlicher Größe und aus verschiedenen Sektoren, um die besten Praktiken im Bereich der Cybersicherheit zu unterstützen.

Was sind die 5 Säulen des NIST CSF 2.0?

Der NIST-Rahmen ist in 5 Kernfunktionen aus Version 1.1 gegliedert, plus die neue Regieren Funktion wurde in Version 2.0 hinzugefügt.

Ein Überblick über die NIST CSF 2.0 Kernfunktionen und Kategoriebezeichnungen. Quelle.

Die Kernfunktionen des NIST CSF 2.0 sind:

  • Regieren-Regierungsfunktion liefert Ergebnisse für die Fähigkeit der Organisation, die fünf anderen Funktionen zu erreichen und zu priorisieren. Um das Cybersecurity-Risiko zu verringern, ist es wichtig, den breiteren organisatorischen Kontext für nachhaltige Ergebnisse zu berücksichtigen, einschließlich der Festlegung einer Cybersecurity-Strategie, der Berücksichtigung des Cybersecurity-Risikomanagements in der Lieferkette (einschließlich Rollen, Zuständigkeiten und Befugnisse) und der Einhaltung von Cybersecurity-Vorschriften durch Regulierungsbehörden.
  • Identifizieren Sie-Die Funktion Identifizieren fordert Organisationen auf, ihre aktuelle Cybersicherheitsbedrohungslandschaft zu betrachten und Bereiche zu identifizieren, die innerhalb der Richtlinien, Pläne, Prozesse, Verfahren und Managementpraktiken verbessert werden können.
  • Schützen Sie-Die Funktion "Schutz" befasst sich mit Schutzmaßnahmen zur Verwaltung des Cyberrisikos des Unternehmens und verhindert, dass Schwachstellen ausgenutzt werden. Es ist wichtig, sich mit Bereichen wie Identitätsmanagement, Zugriffskontrolle, Datensicherheit, Plattformsicherheit und Ausfallsicherheit der Infrastruktur zu befassen.
  • Erkennen Sie-Die Erkennungsfunktion bestimmt, wie schnell Unternehmen eine potenzielle Bedrohung entdecken und negative Ereignisse analysieren können, die auf Cyberangriffe hindeuten. Diese Funktion unterstützt eine erfolgreiche Reaktion auf Vorfälle und Wiederherstellungsaktivitäten zur besseren Eindämmung von Bedrohungen.
  • Antworten Sie-Die Funktion "Reagieren" enthält Richtlinien für Maßnahmen, die nach Aufdeckung einer Bedrohung zu ergreifen sind, um Cyber-Bedrohungen einzudämmen. Sie umfasst das Management von Vorfällen, die Analyse, die Schadensbegrenzung, die Berichterstattung und die Kommunikation von Cyberangriffen.
  • Wiederherstellen-Die Wiederherstellungsfunktion hilft Unternehmen, die von einem Cyberangriff betroffenen Anlagen und Abläufe zu identifizieren und unterstützt sie bei der Rückkehr zum normalen Betrieb.

Die wichtigsten Vorteile der Implementierung des NIST CSF 2.0

Mit dem Aufkommen neuer technologischer Anwendungen wie KI entstehen auch neue Risiken für den Datenschutz und die Cybersicherheit. Der Rahmen wurde entwickelt, um diesen Risiken zu begegnen.

Ein Diagramm, das die Verteilung von Cyber-Vorfällen in Organisationen weltweit bis September 2024 zeigt. Quelle.

Die Umsetzung des NIST CSF 2.0 kann Organisationen dabei helfen:

  • Erfüllung gesetzlicher Anforderungen: NIST CSF 2.0 ist mit Standards wie ISO, HIPAA und GDPR abgestimmt und hilft Unternehmen, verschiedene Compliance-Anforderungen zu erfüllen.
  • Verbesserung der Transparenz der Lieferkette: Bewältigung moderner Cyberrisiken, Förderung des Vertrauens zwischen Unternehmen, Kunden und Dienstleistern.
  • Aufbau einer widerstandsfähigen Strategie für das Management von Cyberrisiken: Das NIST CSF 2.0 bietet Unternehmen einen Ausgangspunkt für die Entwicklung ihrer Strategie zum Management von Cybersecurity-Risiken. Nutzen Sie die Richtlinien, um TTPs (Tactics, Techniques, and Protocols) zu erstellen, die mit den Zielen des Unternehmens übereinstimmen.
  • Anpassungsfähig und flexibel für alle Organisationen: Die anpassungsfähige Struktur des NIST CSF 2.0 bedeutet, dass jede Organisation die Empfehlungen umsetzen kann - von kleinen Unternehmen bis hin zu Großunternehmen.
  • Zukunftssicherheit für Ihr Unternehmen: Organisationen und Behörden, die das NIST-Framework verwenden, sind widerstandsfähiger gegenüber sich entwickelnden Cyber-Bedrohungen und fördern so ein nachhaltiges Wachstum.

Ein Bauunternehmen verlor $550.000 durch einen Keylogging-Angriff

Mitarbeiter von ein kleines Bauunternehmen mit ihrer benutzerspezifischen ID in die Systeme des Unternehmens eingeloggt. Kurze Zeit später wurde der Inhaber benachrichtigt, dass die Cyberkriminellen innerhalb einer Woche sechs Überweisungen von den Bankkonten des Unternehmens in Höhe von insgesamt $550.000 an eine unbekannte Quelle vorgenommen hatten.

Es wurde aufgedeckt, dass Cyberkriminelle Key-Logging-Malware auf den Systemen des Unternehmens installiert hatten, um Bankdaten zu erbeuten. Die Bank war nur in der Lage, $200.000 abzurufen, was zu einem Verlust von $350.000 führte. Das Bauunternehmen verfügte über keinerlei Cybersicherheitsprogramme oder -pläne, um einen Angriff zu verhindern.

Das NIST CSF 2.0 Framework hätte das Unternehmen bei der Umsetzung unterstützen können:

  • Benachrichtigungen für Transaktionen: Richten Sie Transaktionswarnungen für alle Bankkonten ein, damit Sie benachrichtigt werden, wenn eine Transaktion durchgeführt wird.
  • Eingeschränkter Zugang: Stellen Sie sicher, dass sensible Konten nur den Mitarbeitern zur Verfügung stehen, die den Zugang für ihre Funktion benötigen. Die regelmäßige Änderung von Passwörtern ist wichtig, um das Risiko zu verringern.
  • Grundsätze des Risikomanagements: Bewertung des Cybersicherheitsrisikos, z. B. durch eine Risikobewertung zur Bestimmung der Risikotoleranz.
  • Plan zur Reaktion auf Zwischenfälle: Unternehmen mit einem Plan zur Reaktion auf Zwischenfälle erzielen bessere Ergebnisse im Bereich der Cybersicherheit.
  • Ausbildung der Mitarbeiter: Die Schulung des Personals für die Reaktion auf Vorfälle wie Phishing trägt dazu bei, negative Auswirkungen auf die Cybersicherheit abzumildern.

Ein Hotel verlor $1 Million durch eine Phishing-Bedrohung

Die CEO eines Boutique-Hotels erkannten, dass sie Opfer eines Überweisungsbetrugs geworden waren, als das Hotel nicht über die Mittel verfügte, um die laufenden Ausgaben zu bezahlen. Einige Wochen vor dem Angriff hatte der Geschäftsführer auf einen bösartigen Link in einer E-Mail geklickt, von der er glaubte, sie stamme vom Finanzamt.

Durch einen Social-Engineering-Phishing-Angriff gelang es den Cyberkriminellen, die Anmeldedaten des Geschäftsführers abzufangen, wodurch sie vollen Zugang zu den internen Systemen des Unternehmens erhielten. Das Unternehmen verlor $1 Million auf ein Konto in China.

Um einen weiteren Angriff zu verhindern, kann das Unternehmen das NIST CSF 2.0 Framework nutzen:

  • Schulung der Mitarbeiter über Phishing-Risiken: Die Mitarbeiter müssen sich der Gefahren bewusst sein, die mit dem Anklicken bösartiger Links und verdächtiger E-Mail-Anhänge verbunden sind, sie müssen wissen, wie sie betrügerische E-Mails erkennen können, und an regelmäßigen Sicherheitsschulungen teilnehmen.
  • Umsetzung strenger Überweisungsprotokolle: Dazu gehören die Multi-Faktor-Authentifizierung (MFA) und andere sekundäre Formen der Validierung von Überweisungen.
  • Einen Reaktionsplan für Cybervorfälle haben: Die Umsetzung eines Notfallplans stellt sicher, dass das Unternehmen selbst im Falle eines Angriffs reagieren kann, ohne weitere potenzielle Verluste hinnehmen zu müssen.

Wie können Unternehmen das NIST CSF 2.0 in ihre Cybersicherheitsstrategie integrieren?

NIST CSF 2.0 kann von jeder Unternehmensgröße implementiert werden, von kleinen Unternehmen bis hin zu Großunternehmen mit seinen umfangreiche informative Ressourcen.

Die Kurzanleitung für das Risikomanagement im Unternehmen ist eine kostenlose Ressource, die Unternehmen bei der Bewertung ihrer Risikotoleranz hilft, indem sie Risiken im gesamten Unternehmen in einem gemeinsamen Registerformat erfasst.

Diagramm, das zeigt, wie Unternehmensorganisationen ihr Risikomanagement mit NIST CSF 2.0 verbessern können. Quelle.

Hier erfahren Sie, wie Sie mit der Umsetzung des NIST CSF 2.0 beginnen können:

  • Verstehen Sie den Rahmen: Tauchen Sie ein in das NIST Cybersecurity Framework 2.0, einschließlich seiner fünf Kernfunktionen: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Achten Sie besonders auf die neue Funktion "Govern", die sich auf Governance und Risikomanagement konzentriert.
  • Einbindung von Führungskräften und Interessengruppen: Gewinnung des Engagements der Unternehmensführung und Einbeziehung der wichtigsten Interessengruppen, um die Übereinstimmung mit den Unternehmenszielen und den gesetzlichen Anforderungen sicherzustellen.
  • Bewertung des aktuellen Zustands: Führen Sie eine umfassende Bewertung der aktuellen Cybersicherheitslage Ihres Unternehmens durch und ermitteln Sie Stärken, Schwächen, Risiken und Lücken bei der Einhaltung von Vorschriften.
  • Definieren Sie einen Zielzustand: Legen Sie auf der Grundlage der Risikotoleranz Ihres Unternehmens, der rechtlichen Anforderungen und der geschäftlichen Prioritäten klare Ziele für die gewünschte Cybersicherheit fest.
  • Entwickeln Sie einen Fahrplan: Erstellen Sie einen umsetzbaren Plan, um Lücken zu schließen und Ihren Zielzustand zu erreichen. Dieser sollte nach Prioritäten geordnete Initiativen, Zeitpläne und die Zuweisung von Ressourcen enthalten.
  • Implementierung von Kontrollen und Prozessen: Einführung oder Verbesserung von Sicherheitsmaßnahmen, -richtlinien und -verfahren, die mit den NIST 2.0-Richtlinien übereinstimmen.
  • Überwachung und Messung der Fortschritte: Verwenden Sie Messgrößen, um Fortschritte zu verfolgen, die Effektivität zu messen und eine kontinuierliche Verbesserung sicherzustellen. Überprüfen und verfeinern Sie Ihre Strategie regelmäßig, um sie an die sich verändernden Bedrohungen und Anforderungen anzupassen.
  • Laufende Schulung und Sensibilisierung: Informieren Sie Ihre Mitarbeiter über Cybersicherheitsrisiken und bewährte Verfahren, um eine Sicherheitskultur zu fördern.

Wie können kleine Unternehmen das NIST CSF 2.0 umsetzen?

Unternehmen, die über keine bestehende Cybersicherheitsstrategie verfügen, können mit der Umsetzung des NIST CSF 2.0 anhand von Vorlagen und Informationen beginnen, die das NIST zur Verfügung stellt.

Die Quick Start Guide für kleine Unternehmen macht Vorschläge für jede der 6 Kernfunktionen, um kleine Unternehmen durch den Prozess der Schaffung einer Cybersicherheitsinfrastruktur zu führen.

FAQs

  1. Was sind die wichtigsten Unterschiede zwischen NIST CSF 1.1 und 2.0? Das NIST Cybersecurity Framework 2.0 baut auf der vorherigen Version 1.1 aus dem Jahr 2018 auf. Das aktualisierte NIST-Rahmenwerk hat einen breiteren Fokus, der branchenübergreifend angewendet werden kann, einschließlich neuer Rahmenrichtlinien für Governance.
  2. Wie hilft das NIST CSF 2.0 Unternehmen bei der Erfüllung gesetzlicher Anforderungen? Das NIST CSF 2.0 hilft Unternehmen bei der Einhaltung gesetzlicher Vorschriften, indem es Cybersicherheitspraktiken den Vorschriften zuordnet, sich auf das Risikomanagement konzentriert und kontinuierliche Verbesserungen fördert. Die Anpassungsfähigkeit und der strukturierte Ansatz des Frameworks erleichtern die Anpassung an verschiedene regulatorische Standards und die Gewährleistung der Compliance.
  3. Können kleine Unternehmen von der Übernahme des NIST CSF 2.0 profitieren? Das NIST-Rahmenwerk hilft kleinen Unternehmen, Risiken zu erkennen und zu mindern, das Vertrauen von Kunden und Partnern zu stärken, gesetzliche Anforderungen effizient zu erfüllen und die Widerstandsfähigkeit gegen Cyber-Bedrohungen zu erhöhen - ohne dass dafür umfangreiche Ressourcen erforderlich sind.
  4. Welche Ressourcen stehen zur Verfügung, um bei der Umsetzung zu helfen? NIST bietet einen durchsuchbaren Katalog mit informativen Referenzen die es den Nutzern ermöglicht, die Leitlinien des Rahmenwerks mit mehr als 50 anderen Cybersicherheitsdokumenten zu verknüpfen. Die Website CSF 2.0-Referenz-Tool vereinfacht die Art und Weise, wie Organisationen das Rahmenwerk implementieren können, indem es den Nutzern ermöglicht, Daten und Details aus dem CSF-Kernleitfaden in menschenlesbaren und maschinenlesbaren Formaten zu durchsuchen und zu exportieren.
  5. Wie verbessert die "Govern"-Funktion die Bemühungen um die Einhaltung der Vorschriften? Die zusätzliche Govern-Funktion im NIST CSF 2.0 stärkt die Bemühungen zur Einhaltung der Vorschriften, indem sie klare Rollen, Verantwortlichkeiten und Prozesse für die Verwaltung von Cybersicherheitsrisiken festlegt. Durch die Implementierung von Governance-Strategien können Unternehmen die regulatorischen Anforderungen besser erfüllen und haben die Aufsicht über die Cybersicherheitspraktiken.
  6. Welche Rolle spielt die Echtzeit-Bedrohungsanalyse bei der Einhaltung der Vorschriften? Das NIST CSF 2.0-Framework ermöglicht es Unternehmen, proaktiv auf Bedrohungen und Schwachstellen im Bereich der Cybersicherheit zu reagieren, indem es aktuelle Erkenntnisse liefert. Die Entwicklung einer Strategie zur Überwachung und Reaktion auf Risiken in Echtzeit gewährleistet den Schutz sensibler Daten und die Einhaltung von Vorschriften.

Verwalten Sie Ihre Cybersicherheitsrisiken mit NIST CSF 2.0

Um kritische Infrastrukturen angesichts der sich ständig weiterentwickelnden Cyber-Bedrohungen zu schützen, müssen Unternehmen einen anpassungsfähigen Ansatz für ihre Cybersicherheitsmaßnahmen wählen.

Das NIST CSF 2.0 stellt einen entscheidenden Fortschritt in der Cybersicherheitspraxis dar und bietet einen flexiblen und proaktiven Ansatz für das Risikomanagement und die Einhaltung von Vorschriften. Die hinzugefügte Govern-Funktion befähigt Unternehmen jeder Größe, ihre Cybersicherheit zu stärken und kritische Vermögenswerte zu schützen.

Sicherstellung der Einhaltung der Cybersicherheit mit den Lösungen von CybelAngel

Die umfassende EASM-Plattform von CybelAngel kann Ihre gesamte IT-Infrastruktur in Echtzeit überwachen und Bedrohungen erkennen.

Sehen Sie, wie Sie CybelAngel in Verbindung mit dem NIST CSF 2.0 Framework für eine unvergleichliche Abdeckung nutzen können.

Demo anfordern

Über den Autor

Orlaith Traynor

Orlaith ist eine in Paris ansässige B2B-Content-Marketing-Strategin, die sich auf Cybersicherheit und Technologie spezialisiert hat und über fundierte Kenntnisse in SEO, AEO, Redaktionsplanung und CMS-Management verfügt. Als Content-Leiterin bei Unternehmen wie CybelAngel und PhantomBuster unterstützt sie Technologiemarken bei der Entwicklung von Content-Strategien, die die organische Sichtbarkeit und das Vertrauen der Käufer in wettbewerbsintensiven Märkten fördern.

lies alle Artikel