Cyberbedrohungen
Das Cybersecurity Framework 2.0 betont Governance
Das Cyber Security Framework bietet seit zehn Jahren einen Rahmen als Hilfestellung für die Arbeit von Sicherheitsverantwortlichen. In der neuen Version hat die Governance eine wesentlich prominentere Position. Was bedeutet das für die Sicherheit?
Save to Folio
Am 26. Februar 2024 veröffentlichte das National Institute of Standards and Technology (NIST) die offizielle Version 2.0 des Cyber Security Framework (CSF). Das CSF besteht aus einer Reihe von Leitlinien und Best Practices als Hilfe bei der Verringerung von Cyberrisiken und bei der Verbesserung der Sicherheitslage. Das Framework ist in Pfeiler oder „Funktionen“ unterteilt, und jede Funktion hat „Kategorien“, die spezifische Ergebnisse beschreiben. Obwohl es von einem Normungsgremium stammt, handelt es sich nicht um eine technische Norm, sondern eben um ein Framework.
Einsatz des CSF
Im Gegensatz zu einigen sehr präskriptiven NIST-Standards (z. B. Krypto-Standards wie FIPS-140-2) ähnelt das CSF-Framework den ISO 27001-Zertifizierungsrichtlinien. Es zielt darauf ab, allgemeine Anforderungen festzulegen für die Bestandsaufnahme des Sicherheitsrisikos, die Entwicklung und Implementierung kompensierender Kontrollmechanismen und die Umsetzung eines übergreifenden Prozesses zur Gewährleistung einer kontinuierlichen Verbesserung der sich ändernden Sicherheitsanforderungen.
Es geht um eine Übersicht für Sicherheitsverantwortliche, mit der sie Schutzkategorien identifizieren können, die nicht gut gemanagt werden. Alle Aktionen, eingesetzten Technologien und Prozesse im Bereich der Cybersicherheit lassen sich bildlich gesprochen in Behältnisse einordnen und dann nach Behältern suchen, in denen zu wenig, zu viel sich wiederholende Aktivität stattfindet und andere Anforderungen nicht ausreichend erfüllt werden. Die CSF-Hierarchie besteht darin, dass Funktionen viele Kategorien enthalten - oder anders gesagt, es gibt große Behälter, die kleinere enthalten.
Neu in der Version 2.0
Die bemerkenswerteste Änderung in der neuen Version ist die Einführung der Governance als sechster Pfeiler im CSF-Framework. Damit kommt der Governance eine wesentlich größere Bedeutung zu, da sie nicht mehr nur in den vorherigen fünf Kategorien erwähnt wird, sondern nun eine eigene Funktion darstellt.
Laut NIST bezieht sich die Govern-Funktion auf die Art und Weise, wie die Strategie, die Erwartungen und die Richtlinien einer Organisation für das Management von Cybersicherheitsrisiken festlegt, kommuniziert und überwacht. Dies ist eine positive und notwendige Entwicklung, denn wenn die Governance schwach ist, beschränkt sich dies häufig nicht auf eine einzelne Funktion (z. B. IAM), sondern kann systemisch sein.
Die Governance steht im Zusammenhang mit einem breiteren Paradigmenwechsel, der der Cybersicherheit im geschäftlichen Kontext als ein operatives Risiko hohe Relevanz beimisst. Die Erwartung daran ist, dass die Cybersicherheit in die umfassendere Risikomanagement-Strategie des Unternehmens integriert wird und eine besondere Verantwortlichkeit und Aufsicht erfordert.
In den verbleibenden fünf Kategorien gibt es einige andere Neuzuordnungen und kleinere Änderungen. Die Version 1.0 des CSF wurde 2014 veröffentlicht, die Version 1.1 im Jahr 2018. Seitdem hat sich in Sachen Sicherheit viel getan. Die Aktualisierung 2.0 beweist, dass eine Überprüfung stattgefunden hat.
Als Framework hat sich der CISO-Bereich nicht radikal verändert. Ja, die Technologie hat sich stark weiterentwickelt, aber die größte Entwicklung in der Rolle des CISOs liegt im Bereich der Governance: eine stärkere Interaktion mit der Geschäftsleitung und dem Vorstand, während einige Aktivitäten an den operativen Bereich abgegeben wurden.
Auswirkungen
Die Aktualisierung des NIST CSF bietet Sicherheitsverantwortlichen eine neue Chance, Gespräche mit Geschäftsführern über die sich entwickelnden Bedürfnisse zu beginnen oder wieder aufzunehmen.
- Am stärksten betroffen sind Auditoren und Berater, die Änderungen an ihren Vorlagen und Arbeitsprodukten vornehmen müssen, um sie an die Version 2.0 anzupassen.
- CISOs und Sicherheitsverantwortliche werden einige ähnliche Änderungen vornehmen müssen, um die Einhaltung der Vorschriften zu verfolgen und zu melden.
- Aber insgesamt wird die größte Auswirkung (abgesehen von einigen zusätzlichen Honoraren für Cybersecurity-Beratung) darin bestehen, dass die Relevanz des CSF erhöht wird, was neue Anhänger gewinnen könnte, sowohl durch Sicherheitsverantwortliche, die sich selbst durch die CSF-Brille betrachten, als auch durch das Management, das dasselbe von den CISOs verlangt.
