NIST Cybersecurity Framework 2.0: Aktualisierte Leitlinien gegen Cybercrime
Weil sich die IT-Angriffslandschaft stetig ändert, will das US-amerikanische Institute of Standards and Technology sein Cybersecurity-Framework aktualisieren.
Das NIST hat erste Änderungen für die geplante Überarbeitung seines Cybersecurity-Frameworks 2.0 vorgestellt. In der finalen Fassung sollen Unternehmen und kritische Infrastrukturen aktualisierte Leitlinien und bewährte Verfahren gegen Cybercrime finden. Diese Empfehlungen sind dafür gedacht, dass Chief Information Security Officers (CISOs) sie in Firmen umsetzen, um etwa Netzwerke effektiver vor Attacken zu schützen. Die Verantwortlichen wollen das Framework nun mit weiteren Anmerkungen ausbauen - die finale Fassung wird im Winter 2024 erwartet.
Die beabsichtigten Änderungen des Cybersecurity-Frameworks 2.0 sind ab sofort einsehbar. Das NIST verspricht sich davon Feedback von CISOs, um im Sommer 2023 einen ersten Entwurf fertigstellen zu können. Dafür erhoffen sie sich unter anderem Antworten auf Fragen, ob die Änderungen der aktuellen Cybercrime-Landschaft gerecht werden und ob es noch weitere Vorschläge zum Schutz von IT-Systemen gibt.
Die Aktualisierung
Das erste Cybersecurity-Framework hat das NIST Ende 2013 veröffentlicht. 2018 gab es die erste Aktualisierung auf die Ausgabe 1.1. Da die IT-Bedrohungslandschaft in stetigem Wandel ist, hat sich das NIST nun für eine signifikante Überarbeitung entschieden.
Die erste Version des Frameworks richtete sich noch ausschließlich an kritische Infrastrukturen. Version 1.1 ging in die Breite und enthält auch Empfehlungen für Bildungseinrichtungen und kleine und große Unternehmen. Im Konzeptpapier von Version 2.0 finden sich vor allem Hinweise zu aktuellen Bedrohungen wie Supply-Chain-Attacken. Das NIST ist darüber hinaus bestrebt, die internationale Nutzung des Frameworks voranzutreiben.
IT-Security ist auch Chefsache
Den Kern der Richtlinien bilden immer noch die Punkte Identifizieren, Absichern, Aufdecken, Reagieren und Wiederherstellen. Diese sollen ergänzt werden um etwa die Bewertung von Cybersicherheitsrisiken und deren Auswirkungen. Außerdem geht es um die Rollen und Verantwortlichkeiten im Bereich der Cybersicherheit. Wichtig sei auch, dass sich die Führungsebenen von Unternehmen den Sicherheitsrisiken bewusst sind.
Zusätzlich wurde das Framework um etwa Datenschutz und Vorstellungen von Zero-Trust-Schutzkonzepten erweitert. Zur Diskussion steht noch, das Rahmenwerk technologie- und herstellerneutral zu halten.
Klarer im Text herausgestellt, dass sich das Security-Framework 2.0 noch in der Konzeptphase befindet.
(des)