Inhalte

Einleitung

Im Zeitalter der Digitalisierung muss Cybersicherheit nicht als lästige Pflicht, sondern als ein wesentlicher Bestandteil der operationellen Stabilität eines jeden Unternehmens gesehen werden. Aufgrund täglich neuer und immer raffinierter werdender Bedrohungen ist es unerlässich geworden, sich zum Schutz der eigenen Assets über konventionelle Sicherheitsmaßnahmen hinaus auf strategischer Ebene mit der Thematik zu befassen.

Das Cybersecurity Framework des National Institute of Standards and Technology (NIST) stellt dafür einen vorstrukturierten und frei skalierbaren Ansatz für das Management dieser Risiken bereit. In seiner neuesten Fassung – NIST CSF 2.0 – wurden die bewährten Praktiken vertieft und um die neuesten Erkenntnisse aus Wissenschaft und Forschung ergänzt.

Tools wie ADOGRC spielen bei der erfolgreichen Umsetzung einer ganzheitlichen Strategie für Cybersecurity eine entscheidende Rolle. Sie greifen wesentliche Aspekte von Rahmenwerken wie NIST CSF 2.0 auf und bieten dafür technische Unterstützung. Dies erlaubt es den allgemeinen Sicherheitsstandard zu erhöhen, relevante Prozesse schlank sowie transparent zu gestalten und die Einhaltung relevanter Compliance-Vorgaben sicherzustellen.

Was ist das NIST Cybersecurity Framework 2.0?

Definition und Zielsetzung

Das NIST Cybersecurity Framework (CSF) umfasst Empfehlungen und Strategien zur Verbesserung der Cybersicherheit in allen Bereichen einer Organisation. Das Rahmenwerk inkludiert diesbezüglich Leitlinien, die strukturierte und messbare Methoden zur Identifizierung, Bewertung und Verwaltung von Cybersicherheitsrisiken umfassen. In der kürzlich vorgestellten Version – dem CSF 2.0 – wurden durch das National Institute of Standards and Technology (NIST) unter anderem neue Best Practices integriert, bestehende Richlinien ergänzt und weitere Verweise zu Inhalten aus anderen Rahmenwerken hinzugefügt.

Die Zielsetzungen des NIST CSF 2.0 betreffen:

  • Reduktion der Komplexität von Cybersicherheit, indem klare und übersichtliche Strukturen geschaffen werden, die für alle Mitarbeiter eines Unternehmens zugänglich sind, von Applikationsverantwortlichen bis C-Level.
  • Aufbau einer fundierten Entscheidungsgrundlage zum effizienten Einsatz von Ressourcen hinsichtlich Vermeidung, Identifikation und Bewältigung von Cybersicherheits-Vorfällen.
  • Zum Schutz der unternehmerischen Vermögenswerte – von Kernprozessen, Anwendungen bis hin zu Daten – vor externen wie internen Bedrohungen.

Bestandteile und deren Aufgaben

Das NIST CSF 2.0 untergliedert sich in die folgenden sechs Kernfunktionen: Govern, Identify, Protect, Detect, Respond, and Recover. Diese zielen darauf ab in ihrer Gesamtheit einen einen ganzheitlichen Ansatz zur Bewältigung von Cybersicherheitsrisiken zu ermöglichen.

The six core functions of the NIST CSF 2.0 (credit: N. Hanacek/NIST)

Die sechs Kernfunktionen des NIST CSF 2.0 (Quelle: N. Hanacek/NIST)
Quelle: https://www.nist.gov/image/nist-cybersecurity-framework-20-draft

Funktion Aufgabe
Govern Definition, Kommunikation und Monitoring von Strategie, Erwartungen und Richtlinien des Unternehmens an das Management von Cybersecurity-Risiken.
Identify Priosisieren von Cybersicherheitsinitiativen nach ganzheitlicher Betrachtung, unter Berücksichtigung von Risiken sowie den davon betroffenen Assets.
Protect Umsetzung von Schutzmaßnahmen zur Minderung von Cybersecurity-Risiken sowie nachhaltige Sicherung essentieller Unternehmenswerte, unter anderem Kernprozesse und -anwendungen.
Detect Durch geeignete Maßnahmen wird sichergestellt, dass Vorfälle im Bereich der Cybersicherheit frühzeitig erkannt und vollständig analysiert werden können.
Respond Aufbau eines umfassenden Maßnahmenkatalogs zur Eindämmung und Bewältigung eingetretener Vorfälle – inklusive Analyse, Eingrenzung, Reporting und Kommunikation.
Recover Umgehende Wiederherstellung von Prozessen und Assets, die von Cybersicherheitsvorfällen betroffen waren – dabei werden Auswirkungen möglichst gering gehalten und die Kommunikation transparent gestaltet.

Jede der sechs Kernfunktionen wird darüber hinaus in Kategorien und Subkategorien unterteilt, die jeweils detaillierte und direkt umsetzbare Beispiele umfassen. Diese betreffen Stakeholder, Prozesse, Applikationskataloge sowie empfohlene Kommunikationskanäle.

NIST CSF 2.0 Core Structure (credit: cyberframework@nist.gov)

Aufbau und Struktur des NIST CSF 2.0 (Quelle: cyberframework@nist.gov)
Quelle: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf (Fig. 1., P. 3)

Das NIST CSF 2.0 beschreibt dabei nicht nur etablierte Best Practices im Bereich Cybersicherheit, sondern bietet ebenso Empfehlungen für kontinuierliche Verbesserungsprozesse, um sich an neue Bedrohungen und technologische Entwicklungen laufend flexibel anzupassen.

Vorteile durch die Umsetzung der NIST CSF 2.0 Prinzipien

Das NIST CSF 2.0 bestärkt Unternehmen darin, Cybersicherheitsrisiken als Bestandteil des Geschäftsprozessmanagement zu verstehen. Nur durch einen holistischen Ansatz ist gewährleistet, dass sicherheitsrelevante Aspekte in allen Geschäftstätigkeiten berücksichtigt werden und einen umfassenden Überblick über potenzielle Schwachstellen erlauben. Dadurch wird ein proaktives und vorausschauendes Risikomanagement ermöglicht.

Wesentliche Vorteile

  • Ganzheitliches Risikomanagement: Durch den Einbezug von Cybersicherheit in das Risikomanagement des Unternehmens wird eine einheitliche und transparente Methodik ermöglicht.
  • Einhaltung von Compliance-Vorgaben: Effiziente Umsetzung und Dokumentation von regulatorischen Anforderungen.
  • Effiziente Betriebsabläufe: Durch optimierte Prozesse werden Fehlerhäufigkeit, Kosten und benötigte Ressourcen reduziert.
  • Transparenz erhöhen: Verbessern der Möglichkeiten zum Monitoring, um die Erkennungs- und Reaktionszeiten zu verkürzen.
  • Skalierbarkeit: Flexible Adaption, in Abhängigkeit des Unternehmenswachstums und der damit verbundenen Bedrohungen.
  • Security als Teil der Unternehmenskultur: Verankerung von (Cyber-)Sicherheit als grundlegender Bestandteil der Unternehmenswerte.

Mit ADOGRC Cybersecurity gemäß NIST CSF 2.0 umsetzen

ADOGRC unterstützt Organisationen dabei, die im NIST Cybersecurity Framework 2.0 enthaltenen Vorgaben umzusetzen – unter Einbezug aller Möglichkeiten, die eine moderne GRC-Suite bietet. Diese reichen von automatisierten Workflows und revisionssichere Historien bis hin zu individualierbaren, personalisierten Dashboards. Ein solches Tool leistet somit einen wertvollen Beitrag, um die Prozesse zur Cybersicherheit in einem Unternehmens zu etablieren und optimieren.

  • Lückenlose Umsetzung: Durch eine an NIST CSF 2.0 angelehnte Abbildung von Funktionen und Kategorien innerhalb von ADOGRC wird ein nahtloses Cybersicherheitsmanagement über verschiedene Geschäftsprozesse hinweg ermöglicht.
  • Einheitliche Bewertungsmethodik: ADOGRC bietet Vorlagen zur Risikobewertung, die konform mit den Funktionen, Kategorien und Subkategorien des NIST CSF 2.0 sind.
  • Transparente Risikoportfolios: Potenzielle Risiken werden direkt ersichtlich und erlauben erste Rückschlüsse – eine graphische Risikomatrix umfasst darüber hinaus alle betroffenen Assets.
  • Kataloge an Sofortmaßnahmen: Beispiele, zusammengefasst aus unterschiedlichen Standards und Normen, ermöglichen die unverzügliche Umsetzung relevanter Initiativen.
Examples of control objectives in ADOGRC – derived from the NIST CSF 2.0 categories and subcategories of the "Govern" function

Exemplarische Abbildung von Kontrollzielen in ADOGRC – abgelteitet von den NIST CSF 2.0
Kategorien und Subkategorien der Funktion „Govern“

Options for tracking measures in ADOGRC that relate to the function "Govern"

Beispielhafter Katalog an Maßnahmen, gegliedert in Anlehnung an die Kategorien und Subkategorien der Funktion „Govern“

Zusammenfassung

Cybersecurity Management in ADOGRC konform zu NIST CSF 2.0 aufzubauen ermöglicht es Unternehmen anhand von umfassenden Vorlagen und Best Practices ihr Risikomanagement nachhaltig zu verbessern. Das Rahmenwerk bietet eine etablierte Struktur für den wirksamen Umgang mit Cybersicherheit, während ADOGRC dessen Umsetzung auf allen Ebenen einer Organisation einfach zugänglich unterstützt. Mit Hilfe der vorkonfigurierten Workflows, Echtzeit-Analysen und der Möglichkeit Risiken mit Assets aller Art zu verknüpfen, decken Organisationen heutige Sicherheitsanforderungen ab und wappnen sich ebenso für künftige Bedrohungen.

Beides wird ebenso zur Administration und Bewertung von Risikokatalogen eingesetzt, wie zum Testen von Kontrollen und der Protokollierung deren Durchführung. Durch diese Optimierung und Automatisierung ist sichergestellt, dass Aufgaben und Benachrichtigungen effizient und einheitlich im Unternehmen verteilt werden. Zudem ermöglicht das integrierte Berechtigungskonzept von ADOGRC den Schutz von sensibler Information nach dem Need-to-know-Prinzip und stellt sicher, dass Aufgaben nur von Personen mit dediziert zugewiesenen Rollen ausgeführt werden können.

Sind Sie daran interessiert, die NIST Cybersecurity Framework 2.0 Prinzipien mit Hilfe von ADOGRC umzusetzen? Fordern Sie eine persönliche Demo mit einem:r unserer Expert:innen an und entdecken Sie, welchen Beitrag das geeignete Tool zu Ihrer Cybersicherheit leisten kann.

Diesen Bericht teilen!

Verwandte Beiträge

Kanton Bern führt ADONIS zur Verbesserung der Verwaltungsprozesse ein

24. April 2024

BOC Group wird als bedeutender Anbieter von DTO-Lösungen in der SPARK-Matrix 2024 ausgezeichnet

19. April 2024

Jetzt für unseren kostenlosen Newsletter anmelden

Fachartikel zu brandaktuellen Themen, Informationen zu Webinaren und regionalen Events
sowie Ankündigungen neuer Produktversionen.