Wer sich mit IT-Security professionell befasst, der wird wohl früher oder später auch über den Begriff NIST und dessen Cyber-Security Framework stolpern. Innerhalb Deutschlands wird man als IT-Sicherheitsexperte überwiegend mit dem BSI-Grundschutz und entsprechende Verbänderichtlinien zu tun haben. Bei internationalen oder amerikanischen Projekten kann es aber sein, dass hier die Anforderungen des Cybersecurity Framework der NIST berücksichtigt werden müssen und man macht dem Grunde nach auch nichts verkehrt, wenn man es auf deutsche Projekte anwendet, nur wird die Akzeptanz eine andere sein.
Wer ist die NIST?
Die NIST ist das „National Institute of Standards and Technology“ in den USA, vergleichbar mit dem Deutschen Institut für Normung (DIN). Somit stellt die NIST eine Bundesbehörde der US-amerikanischen Regierung dar, welche sich mit Normungen und Standardisierungen befasst bzw. herausgibt. Somit ist es nur zwangsläufig, dass hier auch ein Rahmenwerk (Framework) definiert wird, mit welchem die IT-Security insbesondere für kritische Infrastrukturen, aber auch für alle anderen Unternehmen, hergestellt werden kann.
Das Cyber-Security Framework kurz erklärt
Derzeit steht auf der Regierungs-Webseite des NIST das Cybersecurity Framework in der Version 1.1 zum Download als PDF in englischer Sprache zur Verfügung. Es können auch verschiedene Übersetzungen heruntergeladen werden; Deutsch ist aber noch nicht dabei. Das Rahmenwerk soll Unternehmen unterstützen bei der Umsetzung und Management der IT-Sicherheit/Informationssicherheit. Das Rahmenwerk verfolgt einen risikobasierten Ansatz und besteht aus drei Teilen:
- Framework Core
- Framework Implementation Tiers
- Framework Profile
Praktische Umsetzung des NIST Cybersecurity Framework
Wie bereits oben erwähnt bildet das NIST nur ein theoretisches Grundgerüst, welches in die betriebliche Praxis überführt werden muss. Und hier wird knifflig bzw. kommt Standardisierung an Ihre Grenzen. Denn jeder Betrieb hat andere Rahmenbedingungen, nutzt andere Tools und hat eigene betriebliche Prozesse definiert. Und so muss man bei der Umsetzung des NIST ebenfalls eigene auf die Firma zugeschnittene Prozesse definieren, zum Beispiel beim Thema Incident Response. Da man innerbetrieblich oftmals nicht das notwendige Knowhow und die erforderlichen Ressourcen hat, sollte man auf einen zuverlässigen IT-Dienstleister zurückgreifen. Ein solcher IT Dienstleister Hamburg ist die Sentinel-IT aus Hamburg, welche neben IT-Security-Beratungen noch ein großes Spektrum an IT-Dienstleistungen abgedeckt, wie Storage-, Serverlösungen, Vor-Ort-Service u.v.m.
Mit einem solchen IT-Dienstleister erfolgt dann die schrittweise systematische Umsetzung und besonders wichtig die Dokumentation der Ergebnisse.
Die drei Teile des Frameworks
Die Definition der drei Teile ist noch sehr abstrakt. Meisten wird es deutlicher was gemeint ist, wenn man versucht die Theorie in die Praxis umzusetzen.
Framework Core
Das Kern-Rahmenwerk setzt sich zum Ziel eine Sammlung von Sicherheitsaktivitäten, erforderlichen Ergebnissen und anzuwendende Referenzen zusammenzutragen. Als Referenzen gelten auch alle Industrie-Standards und -normen, Richtlinien von Verbänden. Dabei soll zum Thema Informationssicherheit eine ebenenübergreifende Kommunikation möglich werden von der Geschäftsführung bis zum Techniker. Der Framework Core gibt hier 5 Funktionen vor, die gleichzeitig und fortlaufend im Betriebslebenszyklus anzuwenden sind:
- Identifizieren (Identify),
- Schützen (Protect),
- Erkennen (Detect),
- Reagieren (Respond),
- Wiederherstellen (Recover)
Für jede dieser Funktionen werden dann Kategorien und ggf. Unterkategorien festgelegt, welche dann in Zusammenhang mit informativen Beispielen aus Richtlinien, Normen sowie good old practise gestellt werden.
Framework Implementation Tiers
Unter diesem Abschnitt erfolgt die Einstufung des Unternehmens oder bestimmte Unternehmensbereiche in 4 Stufen (Tier 1 bis Tier 4). Die Einstufung erfolgt auf Basis eine Kosten-Nutzen-Analyse. Eine höhere Stufe bedeutet, dass man mehr Aufwand, also mehr Prozesse und Maßnahmen, in die Bewältigung der IT-Sicherheit investiert.
- Tier 1: Partiell (Partial)
- Tier 2: Risikobewusst (Risk Informed)
- Tier 3: Wiederholbar (Repeatable)
- Tier 4: Anpassbar (Adaptive)
Unter jeder Stufe/Tier wird definiert, wie
- der Risiko-Management-Prozess (Risk Management Process),
- das integriertes Risikomanagementprogramm (Integrated Risk Management Program)
- und die Einbindung externer Ressourcen und Rahmenbedingungen (External Participation)
abläuft und welcher damit verbundener Aufwand drinsteckt.
Framework Profile
Hier wird eine individuelles Unternehmensprofil geschaffen, wobei es auch mehrere Profile für verschiedene Aspekte des Unternehmens oder Unternehmensbereiche geben kann. Das Profil ist eine Art Kalibrierung der zuvor definierten Funktionen, Kategorien, Unterkategorien auf die eigenen Geschäftsanforderungen und die eigene Risikotoleranz. So ein Profil kann den IST-Zustand widerspiegeln oder einen SOLL-Zustand darstellen. Zeigen sich Abweichungen zwischen IST- und SOLL-Zustand, so ist unter Berücksichtigung der Risiken, Personal, Finanzmittel, Wirtschaftlichkeit, etc. Maßnahmen abzuleiten, um den IST-Zustand an den SOLL-Zustand anzunähern.
Die 5 Kernfunktionen des Frameworks (5 Core Functions)
Identifizieren (Identify)
Beim Identifizieren geht es darum in Bezug auf Cyber-Sicherheit ein Verständnis für das Unternehmen auch in Bezug auf seine Vermögenswerte, technische und technologische Systeme, Menschen, Mitarbeiter, Daten, Fähigkeiten, kritische Funktionen und Prozesse zu bekommen. Das kann u.a. in der Einführung folgender Management-Aufgaben führen:
- Asset-Management
- Risikomanagement
- Lieferkettenmanagement
- Überwachung auf regulatorische Änderungen (neue Gesetze, Richtlinien)
Schützen (Protect)
Unter diesem Schritt werden geeignete Schutzmaßnahmen entwickelt, um seine kritischen Prozesse und Assets zu schützen. Darunter können fallen:
- Zugangskontrollen und Identifizierung von Personen,
- Awareness-Schulungen,
- Anzuwendende Schutzmaßnahmen (Passwortstrategien, User-Policy, Systemhärtungen, etc.)
- v.m.
Erkennen (Detect)
Hier geht es darum Maßnahmen zu etablieren, um einen IT-Sicherheitsvorfall zu erkennen. Diese können ebenfalls abhängig von der jeweiligen Unternehmenssituation sehr weitgreifend sein. Als Beispiele sind zu nennen:
- Objektüberwachung/Videoüberwachung
- Einbruchsmeldeanlagen
- Antivirus-Software
- Anomalie-Erkennungssystem (NIDS)
Reagieren (Respond)
Ist der Worst Case eingetroffen und es wird ein Cybersecurity-Vorfall erkannt, dann gilt es angemessen zu reagieren. Dazu sollte man sich über mögliche Angriffsszenarien bewusst sein und dafür Maßnahmen ableiten, was dann zu tun ist. Dazu zählt u.a.
- Incident Response Plan
- Meldefolgen / Kommunikationswege
- Maßnahmen zur Schadenseingrenzung
- Analyse-Tätigkeiten
- Beweissicherungsmaßnahmen
Wiederherstellen (Recover)
Hier geht es darum, dass man Maßnahmen entwickelt, um die von einem Cybersecurity-Vorfall betroffenen kritischen Anlagenbereiche (Dienste, Dienstleistungen, technologische Prozesse, Produktionsprozesse, o.ä.) wiederherzustellen oder deren Betrieb aufrechtzuerhalten. Als Ergebnis dieser Betrachtungen können
- Recovery Plan
- Meldefolgen / Kommunikationswege
- Verbesserungsstrategien
entwickelt und definiert werden.