US-Standardisierungsbehörde veröffentlicht Richtlinien zum Schutz kritischer IT-Systeme

Die US-Standardisierungsbehörde NIST hat ein Richtlinienpapier zum Schutz kritischer Infrastruktur vor Cyberangriffen herausgegeben. Das Dokument (PDF) gibt Firmen und Behörden Strukturen an die Hand, mit denen sie ihre Abläufe verbessern können. Es ist dabei äußerst allgemein gehalten, was wohl darauf beruht, dass die Richtlinien der größtmöglichen Zahl von unterschiedlichen Organisationen von Nutzen sein sollen.

Das NIST-Papier teilt Sicherheitsaktivitäten grob in fünf Kategorien ein: Identifizieren, Absichern, Aufdecken, Reagieren und Wiederherstellen. Organisationen sind angehalten, ihre eigenen Unterkategorien zu jedem Schritt zu entwerfen. Somit soll Mitarbeitern eine Referenz zur Verfügung stehen, mit Hilfe derer sie an jedem Punkt eines Sicherheitszwischenfalls wissen, welche Arbeitsabläufe zu befolgen sind. Zusätzlich dazu dienen die Schritte Identifizieren und Wiederherstellen dazu, die Infrastruktur auf den Ernstfall vorzubereiten und danach den Schaden zu begrenzen.

Der Auftrag für das sogenannte Preliminary Cybersecurity Framework war durch Präsident Obamas Executive Order vom Februar ergangen. Das Dekret des Präsidenten hatte dazu aufgerufen, die kritische Infrastruktur der USA gegen Angriffe aus dem Internet abzusichern. Sicherheitsexperten weisen seit Langem darauf hin, dass Kontrollsysteme für industrielle Abläufe und kritische Infrastruktur oft nicht genügend abgesichert sind und somit als Ziel für Angriffe attraktiv werden. Erst letzte Woche hatten drei Forscher auf einen Schlag 25 Sicherheitslücken in verschiedenen Systemen in Nordamerika publik gemacht.

Momentan befindet sich das Papier in der Prüfungsphase. Die Behörde will in den nächsten Tagen eine offizielle 45-tägige Konsultationsphase eröffnen, während der Sicherheitsexperten aufgerufen sind, Kommentare zu äußern. (fab)