NIST CSF Glenfis Banner

NIST – Next Generation Cyber Security Framework CSF 1.1

Die Unternehmen fangen an, so richtig in die Industrie 4.0 durchzustarten. Machine Learning, Internet of Things und grenzenlose Mobilität sollen es ermöglichen, von überall mit Maschinen und Verarbeitungsprozessen zu kommunizieren und auszutauschen. Der Besteller beeinflusst den Produktionsprozess und ist laufend über den Status informiert. Mit agilen Methoden sollen immer neue Features zugänglich und damit für den Endverbraucher noch attraktiver zu erscheinen.

Kapersky Realtime Map

Kaspersky Realtime Map

Über Gefahren redet man dabei nicht so gerne und trotzdem sind diese real. Denn wo man mit Daten kommuniziert, da sind diese auch grundsätzlich beeinflussbar und damit ein inhärentes Risiko für alle am Prozess beteiligten Personen und Unternehmen. Cyberattacken werden vom World Economic Forum seit Jahren schon als globales Risiko betrachtet (Global Risks Landscape 2017). Eindrücklich auch die «realtime Map» der aktuell aus dem Kaspersky Lap aufgezeichneten Cyber-Angriffe rund um den Globus (Cyberthreat Real-Time MAP).

Obama Barak sei Dank gibt es ein Sektor-übergreifendes Cyber Security Framework NIST CSF. In seiner Executive Order 13636 (link) hat er im 2013 den Auftrag erteilt, die Cyber-Security bei kritischen Infrastruktur-Systemen wie Transportwesen, Kommunikationsinfrastrukturen, Energie, Gesundheitswesen, Finanz-, Health- oder Nahrungsindustrie aber auch die Regierungsinstanzen zu verbessern. NIST, das «National Institute of Standards and Technology» hat daraufhin das NIST CSF – Cyber Security Framework entwickelt, welches im Februar 2014 in seiner ersten Version vorgelegen hat (Link). Mittlerweile ist das NIST CSF gerade wegen diesem Sektor-übergreifenden Ansatz für alle privatwirtschaftlichen Organisationen und Unternehmen ein unverzichtbares Rahmenwerk beim Aufbau eines ganzheitlichen Cyber-Security und -Resilience Ansatzes geworden.

NIST CSF Funktionen, Kategorien, Sub-Kategorien

NIST CSF Funktionen, Kategorien, Sub-Kategorien

Das NIST CSF besteht aus 3 Kernkomponenten: Das Framework Core, die Implementierungs-Tiers sowie der Ansatz zur Erstellung von Ist- und Soll-Profilen zur Unterstützung bei der Implementierung. Der Aufbau des Rahmenwerks ermöglicht es Cybersecurity-Spezialisten einerseits mit einer relativ allgemeinen und generischen Grundstruktur Technologie und Industrie-übergreifend eine gemeinsame Sprache zu definieren und andererseits aber durch die stufenweise Konkretisierung ein Customizing für ihre spezifischen Bedürfnisse zu ermöglichen. Das ist eminent wichtig in der vernetzten Welt, in welcher wir uns heute bewegen. Sicherheit muss integriert gewährleistet werden und die gesamte Supply-Chain mitberücksichtigen.

Der «Core», respektive Kern des Frameworks beinhaltet Funktionen, Kategorien, Sub-Kategorien und Informations-Referenzen. Die Funktionen beinhalten die Grundlagen eines ganzheitlichen Cyber-Security-Ansatzes wie Identify (organisatorisches Verständnis, Identifikation business-kritischer Assets, Systeme, Daten ect.), Protect (Schutzmassnahmen zur sicheren Bereitstellung der Services), Detect (Identifizieren von Cybersecurity-Events), Respond (rechtzeitiges Agieren und Reagieren auf einen Security Events zur Eindämmung des Schadens) sowie Recover (die Fähigkeit, Widerstandsfähig zu bleiben und die notwendigen Capabilities im Unternehmen so rasch wie möglich wieder herzustellen). In den Kategorien und verstärkt in den Sub-Kategorien werden die wichtigen Prozesse, Kontrollen und Massnahmen definiert, welche umzusetzen sind. Zur weiteren Umsetzung und Unterstützung verweisen die Informations-Referenzen auf bestehende Industrie-Standards und Best Practices wie COBIT 5, ISO27001, CIS CSC, ISA 62443, oder NIST SP 800-53. Durch diese Layerung kann ein gemeinsames Verständnis über alle Sektoren und Branchen hinweg im Umgang mit Cybersecurity-Risiken gewonnen werden.

Mit den Implementation-Tiers und den Profilen können Umsetzungsziele definiert werden, welche der aktuellen und geforderten Maturität der Organisation entspricht. Es macht nämlich keinen Sinn, sich eine hohe Reife zu verordnen, wenn der Aufwand zur Erreichung dieses Zustandes den Risiken nicht gerecht werden. NIST CSF ist also kein vorschreibender Standard, sondern hilft den Organisationen besser zu artikulieren, welchen Zielzustand sie erreichen möchten. Das ist ganz praktisch, um auf die unterschiedlichen Bedürfnisse von grossen oder kleineren Unternehmen einzugehen.

Neue Version NIST 1.1

Nun liegt ein Draft der neuen Version NIST CSF 1.1 vor (Link). NIST hat die breite Community aufgerufen und um Input und Feedback geben. Eine Zusammenfassung dieser Kommentare sind hier nachzulesen (Link). Die definitive Verabschiedung ist im ersten Halbjahr 2018 vorgesehen.

Die neue Version will insbesondere den neuen technologischen Entwicklungen Rechnung tragen. Hier insbesondere auch im Umfeld von IoT – dem Internet der Dinge. Hier sind verschiedenste Akteure beteiligt wie Gerätehersteller, Netzanbieter, Cloud-Anbieter, Unternehmen und Verbraucher – aus allen unterschiedlichsten Industriesektoren. Das NIST CSF muss für IoT anwendbar sein und helfen, Bedrohungsprofile und Use Cases rund um IoT abzubilden. Ein zentrales Thema dabei ist auch immer, wie der Erfolg von Cybersecurity gemessen werden soll.  Ideen wie Bug-Bounty oder Offenlegung von erkannten Sicherheitslücken wurden diskutiert.

Ein weiterer Schwerpunkt liegt in der Erkennung von Risiken in der gesamten Supply Chain. Es wurde eine eigene Kategorie (ID.SC) eingeführt, um Prozesse zur Erkennung, Bewertung und Steuerung von Risiken in der Lieferantenkette einzurichten. Dieser Abschnitt SCRM (Supply Chain Risk Management) ist eine zusätzliche Kategorie zum bestehenden Risk Management und liefert eine allgemeine Sprache um die Komplexität im Zusammenhang der Supply-Chain besser zu erklären. Es ist vorgesehen, in einer späteren Version 2.0 das Thema in allen bestehenden Kategorien über alle Funktionen hinweg zu adressieren.

SCRM - Supply Chain Risk Management

SCRM – Supply Chain Risk Management

Für alle Interessierten habe ich hier ein paar hilfreiche Links zusammengestellt:

  • Aktuelles Cybersecurity Framework NIST CSF 1.0 (link)
  • Draft Cybersecurity Framework 1.1 (link)
  • Excel-Liste mit allen Funktionen, Kategorien, Sub-Kategorien und Referenzen (link)
  • NIST 1.1 tackles cybersecurity metrics, supply chain (link)
  • Mapping ISO27001 und NIST CSF (link)
  • Implementation NIST CSF mit COBIT 5 (link)

Cyber Security und Cyber Resilience sind viel zu ernsthafte Themen, um in der allgemeinen Euphorie der Digitalisierung übersehen zu werden. Vielmehr ist ein integrierter Ansatz von Nöten, um die neuen Chancen mit der Industrie 4.0 auch angemessen abzusichern.

Wir seitens Glenfis nutzen das NIST CSF auch, um bei unseren Kunden eine Standortbestimmung durchzuführen und um die notwendigen Handlungsoptionen auszuarbeiten. Letztlich nützen aber gute Technologien und Prozesse wenig, wenn dem Management und den Mitarbeitern im Unternehmen das Bewusstsein für Cyberrisiken fehlen. Eine gute Möglichkeit dies zu fördern, bildet die Business-Simulation Ocean’s 99. Wir haben hier bereits darüber berichtet (Stell Dir vor, es ist Cyberkrieg – und keiner geht hin).

Das NIST Cyber Security Framework ist eine ausgezeichnete Grundlage, die notwendigen Praktiken im Unternehmen einzurichten.  Soviel Professionalität muss sein.


 

No Comments

Post a Comment