Das National Institute of Standards and Technology (NIST) ist ein US-amerikanisches Forschungsinstitut, das Best Practices für Bundesbehörden und andere Organisationen entwickelt, testet und empfiehlt, beispielsweise im Bereich Online-Sicherheit. Metriken, Messungen und Vorschriften, wie die Bundesstandard zum Schutz von Informationen, werden vom NIST erstellt, um die Zuverlässigkeit und Sicherheit der entwickelten Technologien zu verbessern.
Alle Bundesorganisationen sind verpflichtet, beim Umgang mit vertraulichen Bundesdaten die vom NIST festgelegten Standards für ihren jeweiligen Bereich einzuhalten. Die vom NIST festgelegten Standards und Vorschriften sind international anerkannt. Das bedeutet, dass jede Organisation, die die NIST-Standards für ihren Geschäftsbereich einhält, die korrekte Anwendung ihrer Technologie gewährleisten kann. NIST-Standards und -Vorschriften wurden für viele MINT-Fächer (Naturwissenschaften, Technik, Ingenieurwesen und Mathematik) entwickelt, von der Astrophysik bis zur Cybersicherheit.
Warum sollten Sie versuchen, konform zu sein?
Eine der vielen Fragen, die sich Organisationen stellen, lautet: Warum sollte ich die Standards und Vorschriften des NIST einhalten? Der Hauptgrund dafür ist der hohe Testaufwand, der in die Veröffentlichungen gesteckt wird. Wochen, Monate und manchmal Jahre lang werden die Themen der NIST-Veröffentlichungen getestet, bevor sie veröffentlicht werden. Dadurch wird sichergestellt, dass die in den Standards vorgeschlagenen Methoden und Praktiken zum Zeitpunkt der Erstellung des Dokuments auf dem neuesten Stand sind und den verfügbaren Methoden entsprechen. Die Forschung wird von einem Team von Fachleuten auf ihrem Gebiet durchgeführt, sodass die veröffentlichten Veröffentlichungen sowohl informativ als auch technisch äußerst präzise sind.
Ein weiterer Grund für die Einhaltung der NIST-Standards ist die deutlich höhere Sicherheit der Infrastruktur und neuer Technologien Ihres Unternehmens. Ziel der Veröffentlichung von NIST-Publikationen ist es, ein sichereres Umfeld für Behörden und Unternehmen zu schaffen. Je mehr Organisationen diese Standards einhalten, desto weniger Sicherheitslücken und Schwachstellen können von Angreifern ausgenutzt werden.
Für die Zusammenarbeit mit der Bundesregierung sind bestimmte Vorschriften, wie beispielsweise der Federal Information Protection Standard (FIPS), erforderlich. Das bedeutet, dass jedes Unternehmen, das sich um Bundesaufträge bewirbt, FIPS 140-2-konform sein muss. Je nach Tätigkeitsbereich der Organisation müssen zudem möglicherweise weitere Vorschriften eingehalten werden.
Compliance kann Ihrem Unternehmen auch einen Wettbewerbsvorteil verschaffen. Unternehmen, die die bundesstaatlichen Sicherheitsstandards einhalten, sind für Kunden attraktiver als Unternehmen, die die Standards nicht einhalten. Dieselben Kunden vertrauen darauf, dass Ihr Unternehmen auch in Zukunft ein ebenso sicheres Produkt oder eine ebenso sichere Dienstleistung anbietet, und sichern sich so zukünftige Aufträge mit Stammkunden. Manche Unternehmen verlangen die Einhaltung bestimmter Vorschriften, wenn sie als Zulieferer auftreten möchten. Eine dieser Organisationen ist die US-Bundesregierung.
Wer muss NIST-konform sein?
Alle Auftragnehmer, Lieferanten, Subunternehmer und Bundesbehörden müssen die NIST-Standards und -Vorschriften einhalten, wenn sie mit der US-Bundesregierung zusammenarbeiten möchten. Dies liegt an den sensiblen Daten, die von Unternehmen, die mit der Regierung zusammenarbeiten, bearbeitet, gespeichert und verarbeitet werden.
Ein unsachgemäßer Umgang mit den Daten kann zu Sicherheitslücken führen, die Angreifern Zugriff auf streng geheime Informationen oder Dienste ermöglichen. Bestimmte Organisationen und lokale Behörden verlangen von Unternehmen, die mit ihnen zusammenarbeiten möchten, möglicherweise die Einhaltung bestimmter NIST-Standards und -Vorschriften.
Wie erfüllen Sie Vorschriften und Standards?
Eine der einfachsten Möglichkeiten, die NIST-Vorschriften einzuhalten, besteht darin, die in den NIST-Publikationen festgelegten Anforderungen zu erfüllen. Diese Anforderungen sind für jede Publikation spezifisch. Das bedeutet, dass die Einhaltung der Anforderungen einer Publikation nicht die Einhaltung aller NIST-Publikationen garantiert.
Um die Konformität Ihres Unternehmens mit aktuellen und zukünftigen Veröffentlichungen des National Institute of Science and Technology zu gewährleisten, sollten Sie das Cybersecurity Framework des NIST nutzen. Das NIST Cybersecurity Framework garantiert nicht die Konformität mit allen aktuellen Veröffentlichungen, sondern stellt einen Satz einheitlicher Standards dar, die für die meisten Unternehmen anwendbar sind.
Das NIST Cybersecurity Framework wurde entwickelt, um die Cybersicherheit von Organisationen zu verbessern, Datenschutzverletzungen zu verhindern und die Wirksamkeit der eingesetzten Cybersicherheitstaktiken zu erhöhen. Durch die Implementierung einheitlicher Standards verstehen Organisationen, die dem Cybersecurity Framework folgen, bereits die Infrastruktur und Cybersicherheitstaktiken anderer Organisationen, die das Cybersecurity Framework nutzen. Das Cybersecurity Framework gliedert sich in fünf Phasen, den sogenannten Framework Core:
-
Identifikation
Die Identifizierungsphase unterstützt die ordnungsgemäße Funktion des restlichen Framework-Kerns. Sie schafft Transparenz über die Funktionsweise der aktuell verwendeten Tools und priorisiert Maßnahmen zur Sicherung kritischer Infrastrukturen. Unternehmen, die diese Phase implementieren, identifizieren alle Software und Systeme, die für die Infrastruktur des Unternehmens von entscheidender Bedeutung sind.
Dies hilft, nicht autorisierte Geräte im Netzwerk zu finden, wie z. B. das Telefon eines Mitarbeiters, das auf seine E-Mails zugreift und als Angriffsvektor für Bedrohungsakteure genutzt werden könnte. Das Verständnis der in Ihrer Infrastruktur beteiligten Systeme hilft dabei, zu identifizieren, wo die meisten sicheren Daten gespeichert sind, und diese dann für den Schutz priorisiert werden können. Nicht alle Daten innerhalb einer Organisation können geschützt werden, daher haben sichere Daten Priorität. Asset-Management, Risikobewertung und Risikomanagementstrategie sind Aufgaben, die in die Phase „Identifizieren“ fallen.
-
Schützen
In der Schutzphase geht es darum, die Anzahl von Sicherheitsverletzungen und anderen Cybersicherheitsvorfällen in Ihrer Infrastruktur zu reduzieren. Außerdem geht es darum, den Schaden zu minimieren, der durch eine Sicherheitsverletzung entsteht. Dies kann die Implementierung von Sicherheitssystemen zur Verhinderung oder Erkennung von Datenverlusten bedeuten, wie z. B. Intrusion Prevention Systems oder andere Cybersicherheitstools. Identitätszugriffs- und -verwaltung (IAM), Schulungen und Datensicherheit sind nur einige der Prozesse, die unter den Schutz fallen.
-
Entdecken
Diese Phase hilft bei der Erkennung eines Eindringlings, sobald ein Verstoß auftritt, da kein Sicherheitssystem 100 % sicher ist. Sobald ein Angreifer in die Infrastruktur Ihres Unternehmens eindringt, muss er rechtzeitig erkannt und bekämpft werden, damit er nicht genug Zeit hat, Daten zu stehlen oder Clientsysteme zu kompromittieren. Je länger es dauert, einen Eindringling zu erkennen, desto mehr Daten könnten kompromittiert werden. Ereignisse, Überwachung und Erkennung sind Teil der Erkennungsphase.
-
Reagieren
In der Reaktionsphase geht es darum, wie ein Unternehmen auf eine Sicherheitsverletzung reagieren muss. Diese Richtlinien helfen bei der Entwicklung und Umsetzung eines Plans zur Reaktion auf eine Sicherheitsverletzung. Wenn die Sicherheitsverletzung nicht abgesichert ist und der Angreifer freie Hand im Unternehmen hat, kann sich die Verletzung immer weiter verschlimmern. Reaktionsplanung, Kommunikation, Analyse, Schadensbegrenzung und Verbesserungen sind die Schritte der Reaktionsphase.
-
Entspannung
Die letzte Phase, die Wiederherstellung, befasst sich mit den Folgen einer Sicherheitsverletzung. Hier wird ein Plan zur Notfallwiederherstellung erstellt und umgesetzt. Im Rahmen des Wiederherstellungsplans sollte eine Sicherung aller Datenbanken und Infrastruktur vorhanden sein. Diese Phase umfasst die Wiederherstellungsplanung, Kommunikation und Verbesserungen für die Zukunft.