Schutz kritischer Infrastrukturen: NIST veröffentlicht Cybersecurity Framework 1.1
Die aktualisierten Empfehlungen des National Institute of Standards and Technology sollen sich fĂĽr kleine und groĂźe Firmen gleichermaĂźen effizient umsetzen lassen.
Die US-Bundesbehörde National Institute of Standards and Technology (NIST) hat seine Sicherheitsempfehlungen für kritische Infrastrukturen in der Version 1.1 veröffentlicht. Das Richtlinienpapier soll Behörden helfen, ihre IT-Infrastruktur effizient abzusichern und sich im Ernstfall korrekt zu Verhalten. Neben kritischen Infrastrukturen richtet sich das Cybersecurity Framework auch an öffentliche und private Firmen.
Den Kern der Empfehlungen bilden die Punkte Identifizieren, Absichern, Aufdecken, Reagieren und Wiederherstellen. Insgesamt ist das Dokument allgemein gehalten und geht nicht allzu sehr in die Tiefe. So will das NIST sicherstellen, dass möglichst viele Einrichtungen mit verschiedenen Anforderungen von den Richtlinien profitieren – das soll nun mit Version 1.1 noch effektiver klappen.
Update in Version 1.1
Aktualisierungen gibt es beispielsweise in den Bereichen Authentifizierung, Identität, der Offenlegung von Vorfällen und wie Unternehmen IT-Sicherheit in der gesamten Produktionskette sicherstellen können.
Dabei empfiehlt das NIST etwaige von Drittanbietern ins Produktionssystem gebrachte Dienstleistungen und Hard- und -Software quartalsweise zu überprüfen. Schließlich sind von Drittanbietern eingeschleppte Sicherheitslücken oft Einfallstore für erfolgreiche Angriffe. Eine Echtzeitüberwachung wäre an dieser Stelle natürlich noch effektiver.
Außerdem sollen die Empfehlungen nun skalierbarer und somit einfacher in bestehende Sicherheitsstrukturen implementierbar sein – das war in der Vergangenheit oft ein Knackpunkt.
Weltweit relevant
Das Cybersecurity Framework richtet sich an US-Behörden und -Firmen. Da die Sicherheitsempfehlungen globalen Charakter haben, nehmen beispielsweise Italien und Uruguay die NIST-Empfehlungen als Basis für eigene. Hierzulande veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) ähnliche Dokumente.
Ende 2013 hat das NIST die erste Version des Cybersecurity Framework veröffentlicht. Zwischenzeitlich haben sie Feedback von Firmen und Behörden gesammelt, um die Sicherheitsempfehlungen den jeweiligen Bedürfnissen besser anzupassen und auf den aktuellen Stand zu bringen. (des)