In diesem Artikel erläutern wir, wie wir unsere Rapid Security Assessment- und GV.PO-Pakete entwickelt haben, um speziell KMU bei der Sicherheitsbewertung und -Optimierung zu unterstützen. Wir erläutern, wie wir die strategische Ausrichtung mit der technischen Umsetzung in Einklang bringen, um praktische Lösungen anzubieten. Wir geben Einblicke, wie Unternehmen ihre Sicherheitslage realistisch einschätzen, gezielte Massnahmen ableiten und ihre Widerstandsfähigkeit schrittweise stärken können. Darüber hinaus zeigen wir auf, wie das NIST Cybersecurity Framework (CSF) in der Praxis funktioniert, was sich in den letzten zehn Jahren geändert hat, welche Herausforderungen besonders KMU betreffen und wie unsere beiden Pakete konkrete, anpassungsfähige Unterstützung bieten.

Mit NIST CSF schnell und effektiv die Sicherheit bewerten

Vor zehn Jahren begannen wir, die NIST CSF als Grundlage für unser Rapid Security Assessment zu verwenden. Damals war das Framework für uns in erster Linie ein Werkzeug, um Ordnung in eine oft verwirrende Welt zu bringen. Die Sicherheitsanforderungen wurden immer komplexer. Viele Organisationen wussten nicht, wo sie anfangen sollten. Der Rahmen half uns, ein gemeinsames Verständnis zu schaffen und spezifische Lücken zu identifizieren. Heute, nach vielen Jahren praktischer Anwendung, hat sich unsere Herangehensweise an den Rahmen erheblich verändert. Wir sehen ihn nicht als starres Raster, sondern als modularen Aufbau, den wir je nach Unternehmensgrösse, Branche und Risikoprofil individuell anpassen. Dieser Ansatz bietet insbesondere für kleine und mittlere Unternehmen Vorteile. Diese Unternehmen verfügen selten über umfassende Sicherheitsressourcen. Sie brauchen pragmatische Lösungen, die schnell greifen. Unser Ansatz verzichtet bewusst auf komplexe Reifegradmodelle oder langwierige Audits. Stattdessen setzen wir auf präzise Bewertungen, konkrete Handlungsempfehlungen und verständliche Sprache. Ziel ist es, Sicherheit greifbar und praktikabel zu machen, auch ohne eigene Sicherheitsabteilung oder langjährige Erfahrung im Bereich der Cybersecurity.

Wie funktionieren Rapid Security Assessments (RSA)

Rapid Security Assessments (RSA) ist ein Ansatz zur schnellen und präzisen Bewertung der Sicherheitslage eines Unternehmens. Die Methode basiert auf dem NIST CSF und ist bewusst so aufgebaut, dass sie in kurzer Zeit umsetzbare Erkenntnisse liefert. Der Schwerpunkt liegt nicht auf technischen Details, sondern auf der systematischen Bewertung von Risiken. Wir kombinieren strukturierte Interviews, Dokumentenanalyse und gezielte technische Überprüfungen. Anstatt einer starren Checkliste zu folgen, passen wir unseren Ansatz an die spezifischen Bedürfnisse jeder Organisation an und verwenden gegebenenfalls reduzierte oder massgeschneiderte Prüfungen zur Bewertung der CSF-Kontrollen. Unsere Arbeit mit den Kunden ist sehr kooperativ. In Workshops und Diskussionen ermitteln wir gemeinsam mit dem Unternehmen, welche Bedrohungen wirklich relevant sind. Faktoren wie die Branche, das Geschäftsmodell und die aktuelle Bedrohungslage spielen dabei eine wichtige Rolle. Auf dieser Grundlage erstellen wir einen prägnanten Bericht mit klar priorisierten Empfehlungen. So erhalten Unternehmen nicht nur ein Sicherheitsinventar, sondern auch eine konkrete Grundlage für fundierte Entscheidungen. Das Rapid Security Assessment (RSA) hilft Unternehmen, begrenzte Ressourcen effektiv zu verteilen und dort zu investieren, wo der grösste Nutzen erzielt werden kann.

Vom Rahmenkonzept zum flexiblen Werkzeug

Von Anfang an sahen wir den NIST CSF nicht als endgültiges Modell, sondern als Ausgangspunkt. Wir waren uns bewusst, dass kein Unternehmen vollständig in ein vorgegebenes Raster passt. Deshalb haben wir den Ansatz frühzeitig so erweitert, dass er an reale Geschäftsprozesse und Unternehmensgrössen angepasst werden kann. In der Praxis bedeutet das, dass wir von Fall zu Fall entscheiden, welche Teile des Rasters vertieft untersucht werden müssen und wo eine grobe Einordnung ausreicht. Manchmal genügt ein Name, ein Kommentar oder die Reihenfolge der Einträge, um zu erkennen, wo mehr Aufmerksamkeit erforderlich ist. In der Regel reichen einige wenige spezifische Fragen aus, um zu erkennen, ob ein Thema bereits gut behandelt wird oder ob weitere Massnahmen erforderlich sind. Das Ziel ist es, kritische Themen schnell sichtbar zu machen, damit die nächsten Schritte priorisiert werden können, ohne interne Ressourcen unnötig zu belasten. Unser Ansatz ist anpassbar und richtet sich nach der tatsächlichen Komplexität und den Anforderungen der Umgebung, sei es eine gezielte Bewertung eines Identitätsanbieters oder eine breitere Sicht auf die gesamte Infrastruktur. Wir haben uns schon früh an den NIST-Standards orientiert, so dass die Einführung des NIST CSF ein naheliegender Schritt war. In komplexeren Szenarien nutzen wir ergänzende Modelle wie das Secure Control Framework (SCF). Damit können verschiedene Standards wie ISO 27001, PCI-DSS oder NIST 800-53 miteinander verknüpft werden. Dies schafft eine Grundlage für Organisationen, die nicht nur die Sicherheit verbessern, sondern auch gesetzliche Anforderungen erfüllen müssen. Durch diesen flexiblen Einsatz von Methoden entsteht ein Gesamtbild, das technische, organisatorische und strategische Aspekte gleichermassen berücksichtigt. Das ist genau das, was unsere Kunden schätzen: Eine Methode, die sich anpasst, nicht andersherum.

Was sich in zehn Jahren geändert hat

Die Cybersicherheit unterscheidet sich heute grundlegend von der vor zehn Jahren. Damals lag der Schwerpunkt auf Virenschutz, Netzwerksegmentierung und Zugangskontrollen. Heute sind Unternehmen mit komplexen Angriffsketten, Industriespionage, Desinformationskampagnen und professionell organisierten Angreifergruppen konfrontiert. Die Bedrohungslandschaft ist dynamischer, globaler und unvorhersehbarer geworden. Gleichzeitig hat das Management erkannt, dass Cybersicherheit ein strategisches Thema ist. Es geht nicht mehr nur um den Schutz einzelner Systeme, sondern um die Sicherung der Geschäftsgrundlage. Dieser Wandel spiegelt sich in den Rahmenwerken wieder. Das NIST CSF wurde in seiner aktuellen Version 2.0 um die Funktion Govern erweitert und betont, dass Sicherheit nicht nur eine technische, sondern auch eine Managementaufgabe ist. Die Funktion Govern verknüpft die strategische Kontrolle mit den technischen Prozessen und bietet eine breitere Sicht auf das Sicherheitsmanagement.

Der blosse Schutz von Vermögenswerten reicht nicht mehr aus, die Unternehmensführung muss die Richtung der Cybersicherheit aktiv definieren, verwalten und weiterentwickeln. Heute sind Begriffe wie NIST CSF, CIS und SCF in den IT- und Compliance-Abteilungen aller Branchen Standard. Was früher erklärungsbedürftig war, ist heute Grundwissen. Andere Modelle, wie die CIS Controls, haben sich ebenfalls weiterentwickelt. Sie sind jetzt in Version 8 mehr auf reale Angriffsszenarien und moderne Technologien abgestimmt. Ihre Struktur ist stärker aufgabenorientiert, mit Umsetzungshilfen und Reifegradgruppen, die Organisationen dabei helfen, sie je nach ihrer Grösse und ihren Fähigkeiten einzusetzen.
Der SCF hat sich als übergreifender Standard durchgesetzt. Er fungiert als Metamodell, das verschiedene Standards und Best Practices vereint, eine umfassende Sicht ermöglicht und regulatorische Anforderungen wie ISO 27001, NIST 800-53, SOC 2 und PCI DSS überbrückt. Dadurch wird die Cybersicherheit nicht nur besser kontrollierbar, sondern auch überprüfbar.
Wir stellen fest, dass die Funktion Protect in vielen Unternehmen gut etabliert ist, mit Massnahmen wie Zugangskontrollen, Endpunktschutz und Verschlüsselung. Gleichzeitig wird zunehmend in die Funktionen Identify und Detect investiert, die für das Verständnis von Risiken, die Inventarisierung von Systemen und die frühzeitige Erkennung von Bedrohungen entscheidend sind. Fortgeschrittene Funktionen wie automatisierte Reaktion, Integration von Cyber-Bedrohungsdaten und die Verankerung der Cybersicherheit auf Managementebene befinden sich bei vielen Unternehmen noch in der Entwicklung. Diese Lücke stellt sowohl eine Herausforderung als auch eine Chance für gezielte Verbesserungen dar.

Was noch fehlt

Trotz erheblicher Fortschritte gibt es nach wie vor Schwächen bei der Umsetzung. Vor allem die Funktion Govern im NIST CSF wird häufig unterschätzt. Viele Organisationen reduzieren sie auf das Schreiben von Richtlinien und übersehen dabei ihre Rolle als strategischer Motor einer effektiven Cybersicherheit. Govern bedeutet nicht nur Dokumentation, sondern aktive Kontrolle. Es verbindet die operative Sicherheit mit strategischen Zielen und stellt sicher, dass die Initiativen aufeinander abgestimmt und nicht isoliert sind.
In kleinen und mittleren Unternehmen wird Govern oft als eine Sammlung von Richtlinien missverstanden, die abgeheftet werden, anstatt eine lebendige Verbindung zwischen Management und technischen Teams zu sein. Ähnlich wie CP- und CPS-Dokumente in einer Public-Key-Infrastruktur sollte Governance nicht als Endpunkt betrachtet werden, sondern als Architektur, die die Grundlage und Richtung aller Aktivitäten definiert.
Ein gut definierter Governance-Rahmen bindet die Geschäftsziele an die Cybersicherheitsbemühungen, klärt die Verantwortlichkeiten und treibt die kontinuierliche Verbesserung durch messbare, anpassbare Richtlinien voran.

Branchen wie das Bank- und Versicherungswesen, die pharmazeutische Industrie, die Automobilbranche und das Militär betrachten die Cybersicherheit als strategisches Gut und verfügen über strenge Governance-Verfahren.
Im Gegensatz dazu betrachten viele kleinere Unternehmen die Cybersicherheit immer noch als reine IT-Angelegenheit. Ihnen fehlt zuweilen das Verständnis dafür, dass zu einer guten Unternehmensführung die Eigenverantwortung des Managements, klare Verantwortungsstrukturen und eine regelmässige Bewertung der Effektivität gehören. Ohne diesen übergreifenden Rahmen geraten viele Initiativen ins Stocken oder verlieren sich in technischen Details. Eine strukturierte Governance schafft jedoch Klarheit, baut Vertrauen zu den Beteiligten auf und ermöglicht die nachhaltige Entwicklung der Sicherheitsstrategie.

Nicht nur grosse Unternehmen sind betroffen

Cybersecurity-Risiken betreffen nicht mehr nur internationale Konzerne oder technologiegetriebene Unternehmen. Kleine und mittlere Unternehmen (KMU) werden zunehmend zur Zielscheibe. Der Grund dafür ist einfach: Grosse Unternehmen investieren massiv in die Sicherheit, wodurch kleinere, weniger geschützte Organisationen attraktiver werden. Angreifer sind nicht nur auf der Suche nach Daten, sondern auch nach Zugangspunkten, die sie für weitere Angriffe nutzen können. Dazu auch das Stichwort Supply Chain Security. Die Vorstellung, dass zu klein oder uninteressant zu sein, Schutz bietet, ist überholt.

Gesundheitssektor

Der Gesundheitssektor ist eine der am stärksten betroffenen Branchen. Laut enisa betrafen 76 Prozent der gemeldeten Cybervorfälle in der EU im Jahr 2021 medizinische Einrichtungen oder forschungsorientierte Unternehmen. Dazu gehörten Webangriffe, Systemeinbrüche und menschliches Versagen. Angreifer haben es in der Regel auf Patientendaten, Forschungsergebnisse oder Geschäftsgeheimnisse abgesehen. In der pharmazeutischen Industrie, wo Innovation von entscheidender Bedeutung ist, kann ein erfolgreicher Angriff erhebliche Folgen haben. Unternehmen müssen daher nicht nur ihre Technologie auf den neuesten Stand bringen, sondern auch starke organisatorische Sicherheitsvorkehrungen treffen. Eine wichtige Initiative auf europäischer Ebene ist der Europäische Gesundheitsdatenraum, der 2022 ins Leben gerufen wurde, um den Schutz und die Verwaltung von Patientendaten zu verbessern.

Banken- und Versicherungen

Auch im Finanzsektor hat das Risiko zugenommen. Zwischen Januar 2023 und Juni 2024 wurden im europäischen Finanzsektor 488 öffentlich bekannte Vorfälle registriert enisa. Der Gesetzgeber reagierte darauf mit dem “Digital Operational Resilience Act” (DORA), der im Dezember 2022 verabschiedet wurde und darauf abzielt, die Widerstandsfähigkeit des Sektors in ganz Europa zu harmonisieren. Versicherungsunternehmen, Banken und Finanzdienstleister müssen nun sicherstellen, dass sie nicht nur über wirksame Sicherheitsmassnahmen verfügen, sondern auch Vorfälle schnell erkennen, melden und darauf reagieren können. Diese Anforderungen machen deutlich: Sicherheit ist kein Wettbewerbsvorteil mehr – sie ist eine Grundvoraussetzung für den Betrieb.

KMUs in der Europäische Union (EU)

Mit der Einführung der NIS2-Richtlinie werden nun auch kleine und mittlere Unternehmen stärker in die Verantwortung genommen. Die Richtlinie trat im Oktober 2024 in Kraft und verlangt eine verbesserte Cyber-Resilienz in allen Sektoren, einschliesslich KMU. Obwohl detaillierte Daten nur begrenzt verfügbar sind, ist allgemein anerkannt, dass KMU aufgrund ihrer begrenzten Ressourcen häufig mit Herausforderungen im Bereich der Cybersicherheit konfrontiert sind. Je nach Branche und Bedeutung für die kritische Infrastruktur müssen sie ähnliche Anforderungen erfüllen wie grosse Unternehmen. Dazu gehören ein strukturiertes Risikomanagement, klar definierte Verantwortlichkeiten, Meldepflichten und technische Schutzmassnahmen.
Für viele KMU stellt dies sowohl eine Herausforderung als auch eine Chance dar, ihre Sicherheitsstrategien zu verbessern und ihre Zukunftsfähigkeit zu sichern. Um diesen Übergang zu unterstützen, bietet der NIST CSF 2.0 Quick Start for SME praktische, skalierbare Leitlinien, die auf kleine und mittlere Unternehmen zugeschnitten sind. Die Umsetzung des NIST Cybersecurity Framework 2.0 hilft KMU bei der Anpassung an die NIS2-Anforderungen, indem es einen modularen Ansatz für Cybersicherheit fördert. Es fördert ein klares Verständnis der Risiken, definiert Verantwortlichkeiten, strukturiert Compliance-Massnahmen und fördert kontinuierliche Verbesserungen – alles wesentliche Elemente für die Erfüllung der NIS2-Verpflichtungen.

Angreifer entwickeln sich weiter, KMUs sollten das auch

In den Anfängen digitaler Angriffe konzentrierten sich Cyberkriminelle hauptsächlich auf einfache Täuschungsmanöver, Identitätsdiebstahl oder schnelle finanzielle Gewinne. Diese Angriffe waren oft opportunistisch, technisch einfach und breit angelegt. Heute sieht die Situation ganz anders aus. Angreifer gehen viel strukturierter, strategischer und professioneller vor. Sie nutzen gezielte Spionage, Social Engineering, technische Raffinessen und automatisierte Schwachstellenscans, um genau die Systeme anzugreifen, die den grössten Nutzen bieten. Dies gilt zunehmend auch für kleinere Unternehmen.
Waren KMU früher durch ihre vermeintliche Bedeutungslosigkeit geschützt, sind sie heute attraktive Ziele. Cyberkriminelle haben ihren Fokus auf Datendiebstahl verlagert, insbesondere auf proprietäre Informationen und geistiges Eigentum. Besonders gefährdet sind Branchen wie Fertigung, Maschinenbau und spezialisierte Entwicklungsdienstleistungen. KMU werden zunehmend als wertvolle Einstiegspunkte in grössere Ökosysteme oder als unzureichend geschützte Träger hochsensibler Daten angesehen.

Bedrohungsstatistiken zeigen, dass Cyberangriffe in Europa zwischen 2022 und 2023 um 57 Prozent zugenommen haben. Davon waren 41 Prozent Phishing-Angriffe, 40 Prozent webbasierte Angriffe und 39 Prozent betrafen generische Malware. Darüber hinaus standen 45 Prozent der Vorfälle in Verbindung mit Akteuren aus China und 39 Prozent mit Akteuren aus Russland, was auf ein hohes Mass an Koordination und geopolitische Motive hindeutet.
Gleichzeitig fehlen vielen KMU die personellen und finanziellen Ressourcen, um einen robusten Schutz aufzubauen. Im Gegensatz zu Unternehmen aus den Bereichen Pharma, Banken oder Versicherungen verfügen KMU oft weder über das nötige Budget noch über Fachpersonal. Das macht sie besonders anfällig, obwohl sie denselben Risiken ausgesetzt sind. KMU müssen sich nicht nur selektiv, sondern strukturell weiterentwickeln. Sie benötigen ein realistisches Verständnis der Bedrohungen, gezielte Risikobewertungen und priorisierte Schutzmassnahmen. Der Erfolg hängt nicht von den teuersten Tools ab, sondern von den richtigen – kostengünstig, strategisch ausgewählt, korrekt konfiguriert und kontinuierlich gewartet. Durch die Kombination von technischen Abwehrmassnahmen, organisatorischem Bewusstsein und fokussierter Governance kann die Angriffsfläche erheblich reduziert und die Widerstandsfähigkeit langfristig gestärkt werden.

Unsere Dienstleistungen entwickeln sich ständig weiter

In der Vergangenheit waren viele Analysen manuell, zeitaufwändig und konnten Wochen dauern. Heute kann mit den richtigen Tools das, was früher Wochen dauerte, viel schneller erledigt werden. Wir verwenden moderne Tools, die viele Aufgaben beschleunigen, strukturieren und verfeinern. Dazu gehören automatisierte Scans, vordefinierte Regelsätze und KI-gestützte Analyse-Tools.
Plattformen wie beispielsweise OpenSCAP ermöglichen automatisierte Überprüfungen auf Basis von CIS-Benchmarks. Künstliche Intelligenz hilft mittlerweile sogar beim Entwurf erster Versionen von Sicherheitsrichtlinien. Diese Technologien ermöglichen uns schnellere und genauere Ergebnisse, entlasten unsere Teams und bieten unseren Kunden einen klaren Mehrwert.

Eine häufig gestellte Frage lautet: Warum externe Beratung in Anspruch nehmen, wenn moderne Tools so viel automatisieren? Die Antwort lautet Erfahrung. Tools können Daten verarbeiten, aber sie können keine Muster mit der Tiefe menschlicher Erfahrung erkennen. Unser Team verfügt über mehr als 30 Jahre praktische Erfahrung mit verschiedenen Technologien – von TCP/IP-Stacks auf OS/2, Windows 3.11, AS400 und Novell bis hin zu SIEM-Entwicklung, Containerisierung, softwaredefinierten Netzwerken und Cloud-Infrastrukturen.

Wir erkennen Fehler schnell, weil wir sie selbst gemacht und bereits gelöst haben.

Zu wissen, wo man suchen muss und was wirklich wichtig ist, macht den Unterschied zwischen einer blossen Erledigung einer Aufgabe und einer guten Ausführung aus. Es geht nicht nur darum, Werkzeuge einzusetzen, sondern auch darum, das grosse Ganze zu verstehen, Schwachstellen zu priorisieren und Massnahmen in der richtigen Reihenfolge umzusetzen.

Fazit

Die Cybersicherheit hat sich in den letzten zehn Jahren erheblich weiterentwickelt. Das NIST CSF spielt dabei eine zentrale Rolle, da es als flexible, modulare Struktur dient, die an die Grösse und das Risikoprofil des Unternehmens angepasst werden kann. Die Einführung von Governance-Funktionen in Sicherheitsstrategien, wie vom NIST CSF gefordert, zeigt, dass Cybersicherheit nicht nur als technisches Problem, sondern als strategische Unternehmensaufgabe betrachtet werden muss. Insbesondere KMUs profitieren von pragmatischen und schnell umsetzbaren Sicherheitsbewertungen, wie sie beispielsweise im Rahmen der Rapid Security Assessments (RSA) angeboten werden. Unternehmen, die sich nicht nur auf technische Lösungen verlassen, sondern auch ihre organisatorische und strategische Ausrichtung an die aktuelle Bedrohungslage anpassen, stärken langfristig ihre Widerstandsfähigkeit. Die erhöhte Bedrohungslage, insbesondere durch professionell organisierte Angreifer, zeigt, dass sich kein Unternehmen, egal wie gross oder klein, vor Cyberangriffen sicher fühlen kann. Daher ist es für Unternehmen wichtig, ein robustes Governance-Modell zu etablieren, das Cybersicherheit auf allen Ebenen integriert. Dies wird durch massgeschneiderte Dienstleistungen wie das RSA-Paket und das GV.PO-Paket für KMU unterstützt. Wir beraten Sie gerne!

Ein Information Technology Security Assessment ist eine Sammlung von Methoden, Prozeduren und Dokumenten, um Schwachstellen und Risiken innerhalb einer Organisation sowie der schon eingebrachten Controls ausfindig zu machen. Bedeutet dies, dass wir gemütlich durch das Unternehmen spazieren und zwischendurch den Fragenkatalog ausfüllen können?

Nicht wirklich. Die Analyse eines Objekts ist zwar grundsätzlich eine einfache Tätigkeit: Anhand einer Checkliste die Richtigkeit der Prüfpunkte identifizieren. Doch viele Objekte sind sehr komplex und in umso komplexere Umgebungen eingebettet. Normalerweise hat man aber nicht Monate zur Verfügung, um die entsprechende Analyse voranzutreiben.

Es existieren viele verschiedene Werkzeuge, die einen Auditor bei seiner Arbeit unterstützen können. Mein bevorzugtes Mittel, es bietet die optimale Balance zwischen Komplexität und Komplettheit, ist das NIST Cybersecurity Framework (NIST-CSF).

Das NIST Cyber Security Framework

CSF wurde ursprünglich entwickelt, um exponierten Unternehmen zur Verfügung zu stehen. Der Inhalt des Frameworks ist aber grundsätzlich für jede Organisation anwendbar, die sich um das Thema Cybersecurity bemüht.

Das CSF beinhaltet Implementation Tiers, das eine übersichtliche Messung der organisatorischen Cybersecurity erlaubt und damit die Sicht auf die Sicherheit messbar und nach Risiken sortiert ermöglicht.

Die fünf Framework Core Functions werden unten aufgezeigt. Diese Funktionen sind nicht streng linear anzuwenden. Sie führen ebenso nicht zu einem strengen statischen Resultat. Stattdessen können diese Funktionen parallel und zeitgleich durchgeführt werden, um mit hoher Dynamik dem Thema Cybersecurity zu begegnen.

Rapid Security Assessment (RSA)

Ein Security Assessment besteht aus dem Lesen verschiedener Dokument, dem Verstehen der Infrastruktur und der zugrunde liegenden Prozesse, der Identifikation der Abweichungen der vorgesehenen und etablierten Controls, der Prüfung der Etablierung der beschriebenen Prozesse und der Dokumentation sowie Rapportierung der Unterschiede. Selbst die allgemeine Prüfung eines einzelnen Servers kann mehrere Tage in Anspruch nehmen.

In vielen Fällen ist zur Identifikation von Schwachstellen kein umfangreiches Vorgehen erforderlich. Mit der entsprechenden Erfahrung können punktuelle Prüfungen durchgeführt und so sehr schnell erste Resultate herauskristallisiert werden. Doch wenn man zügig arbeitet, erhöht sich das Risiko für Fehler. Während eines Assessments zeigt man gut und gerne mit dem Finger auf die Fehler anderer Leute und die damit einhergehenden Konsequenzen können nicht immer nur schön sein.

Das Assessment muss zwar schnell vonstattengehen – Es muss aber auch komplett und konsistent ausfallen, während die Resultate messbar bleiben.

Wir messen deshalb den Umfang und die Qualität der geprüften Controls wie folgt:

• Sammlung: Identifikation der Exponiertheit, Vorbereitung des On-Site Assessments und Durchsicht der Dokumente. Gespräch mit dem Fachspezialisten, Heranziehen weiterer Dokumente und, falls erforderlich, Prüfung der einzelnen Systeme.
• Analyse: Nachdem die CAF-Matrix ausgefüllt wurde, können verschiedene Performance-Parameter berechnet werden. Diese helfen beim Beurteilen der Situation und dem Festmachen der idealen Stossrichtung. Genauso wie das CSF in Funktionen und Kategorien unterteil ist, wird auch dieser Schritt in dieser Weise strukturiert.
• Report: Die Durchführung einer Sicherheitsüberprüfung soll die Differenzen der Cybersecurity Controls aufzeigen.

Nicht alle mögen den Regenbogen

Nachdem sämtliche Informationen gesammelt wurden, müssen diese analysiert und priorisiert werden. Dabei gilt es den G-Y-R Code zu jedem einzelnen Control zu bestimmen und das Resultat zu messen. In NIST-CSF finden sich verschiedene Controls, wobei nicht jedes Unternehmen alle diese im Einsatz hat.

Wir haben uns entschiedenen, ein absolutes Minimum der CIS Critical Security Controls einzusetzen. Die CIS-CSC stellen ein empfohlenes Set an Aktionen bereit, die konkret auf heutige Gefahren anwendbar sind.

Das Zuweisen von CIS-CSC zu NIST-CSF macht es möglich, die Performance eines jeden Controls innerhalb von NIST-CSF zu bestimmen:

• Red Area: unter dem minimalen Wert von CIS-CSC
• Yellow Area: zwischen dem minimalen und maximalen Wert von CIS-CSC
• Green Area: über dem maximalen Wert von CIS-CSC

Dank dieser Metrik und dem Verknüpfen der Resultate wird es möglich, Werte, Trends und Performances in den Daten zu erkennen. Dies unterstützt die Entscheidung mit konkreten Daten.

Hier einige Beispiele, wie sie extrapoliert werden können:

Zusammenfassung

Ein Security Assessment ist eine Verkettung verschiedener Aufgaben. Dabei ist die Prüfung eines Unternehmens eine sehr komplexe und schwierige Angelegenheit, die sowohl technisches Verständnis als auch zwischenmenschliches Feingefühl erfordert. Wir haben mit dem Rapid Security Assessment eine Methode entwickelt, um diese Arbeit schnell und zuverlässig erledigen zu können. Dadurch können Investitionen und Aufwände minimiert werden, um strategische und taktische Entwicklungen bezüglich der Sicherheit richtig in Position bringen zu können.

Im Jahr 2013 hat der damalige US-amerikanische Präsident Obama die Verfügung 13636 unterzeichnet. Damit sollte die Leistungsfähigkeit kritischer Infrastrukturen für das Management von Cyberrisiken erhöht werden. Die Verfügung beauftragte das amerikanische National Institute for Standards and Technology (NIST) mit dem Ausarbeiten eines Cybersecurity Frameworks in Zusammenarbeit mit der Privatwirtschaft. Daraus entstand das heute etablierte und weit bekannte NIST Cybersecurity Framework (CSF), welches im Februar 2014 in der Version 1.0 veröffentlicht wurde. Das CSF wurde als lebendes Dokument konzipiert, das im Lauf der Zeit kontinuierlich aktualisiert und erweitert wird. Die Version 1.1 wurde im April 2018 veröffentlicht und geht umfassender auf die Themen Identitätsmanagement und Sicherheit in Lieferketten ein. Im Februar 2024 wurde die Version 2.0 als erste grosse Aktualisierung des CSF veröffentlicht.

Dieser Beitrag geht auf die hauptsächlichen Neuerungen in der aktuellen Version des CSF ein und beleuchtet die wichtigsten Auswirkungen auf die Anwendungspraxis.

Komponenten des CSF

Das CSF enthält auch in der neuen Version die drei Komponenten Core, Tiers und Profiles.

Core

Der CSF Core beschreibt erstrebenswerte Resultate oder Sicherheitsziele, die in Funktionen, Kategorien und Subkategorien unterteilt sind. Dabei wird offengelassen, mit welchen Methoden diese Ziele erreicht werden sollen beziehungsweise es ist den Anwendern des CSF überlassen, geeignete Kontrollen umzusetzen. Diese aus den früheren Versionen bekannte Unterteilung wurde in der neusten Version beibehalten, aber es ist eine neue sechste Funktion Govern (siehe weiter unten) hinzugekommen.

Organizational Profiles

Ein CSF Profil dient der Beschreibung des Sicherheitsstands einer Organisation in Bezug auf die Sicherheitsziele des CSF Core. Mit Profilen können diejenigen CSF Kategorien ausgewählt und priorisiert werden, die für eine bestimmte Organisation als am besten geeignet erscheinen, ihre Sicherheitsziele zu erreichen. Mit Profilen kann das CSF auf die spezifischen Bedürfnisse eine Organisation zugeschnitten werden (tailoring), um Massnahmen und Kosten zu priorisieren und einen Vorgehensplan zu entwickeln. Ebenfalls können die Profile für einen Ist-Soll-Vergleich verwendet werden, indem die aktuell erreichten und die künftig zu erreichenden Sicherheitsziele einander in Form von CSF Profilen gegenübergestellt werden.

Tiers

Die vier Stufen (Tiers) Partial, Risk-Informed, Repeatable und Adaptive charakterisieren die Stringenz und die Praxis hinsichtlich des Risikomanagements. Eine Organisation kann die für sie zweckmässige Stufe anhand von Kriterien wie Geschäftsziele, Risikotoleranz und Budget bestimmen.

Wichtigste Änderungen

Anwendungsbereich

Das CSF Version 2.0 beinhaltet mehrere signifikante Änderungen des Umfangs und des Anwendungsbereichs. Das neue Framework richtet sein Augenmerk nicht mehr hauptsächlich auf kritische Infrastrukturen, sondern erweitert seinen Anwendungsbereich auf alle Branchen, Sektoren und Organisationen. Ebenfalls wurde verstärkt darauf geachtet, dass das CSF auch für kleinere Organisationen und solche mit noch wenig fortgeschrittenem Sicherheitsprogramm relevant und anwendbar ist. Dementsprechend wurde seine Bezeichnung verallgemeinert und heisst neu einfach NIST Cybersecurity Framework.

Dem allgemeineren Anwendungsbereich wird auch mit der Erweiterung des zentralen Dokuments um eine Reihe von Online-Ressourcen Rechnung getragen, die regelmässig aktualisiert werden sollen (siehe Abschnitt Hilfreiche Werkzeuge weiter unten). Die jüngste Version hat damit einen lebendigeren Charakter als die recht statischen Vorgängerversionen, nicht zuletzt auch dank der praktischen Hilfestellungen und Umsetzungsbeispiele.

Restrukturierung und eine neue Funktion Govern

Die wahrscheinlich signifikanteste strukturelle Änderung ist die neu hinzugekommene sechste Funktion Govern. Diese neue Funktion soll Anwender darin unterstützen, das Risikomanagement im Bereich der Cybersicherheit besser in ein übergeordnetes, umfassendes Risikomanagement der gesamten Organisation einzubinden. Das Ziel besteht darin, die Zuständigkeit und die Verantwortung für das Management von Cyberrisiken auf Ebene der Geschäftsleitung zu verankern, eine entsprechende risikobewusste Kultur zu schaffen und die Risikokommunikation gegenüber dem Management zu fördern. Diese Betonung der Governance unterstreicht die Bedeutung der Cybersicherheit als eine Quelle von Unternehmensrisiken, die nicht alleinstehend betrachtet werden darf und sich auf gleicher Stufe wie finanzielle oder reputationsbezogene Risiken befinden muss.

Darüber hinaus erweitert das neue CSF die früher in der Funktion Identify enthaltenen Massnahmen für das Risikomanagement von Lieferketten (Supply Chain Risk Management, SCRM) und siedelt diese nun ebenfalls in der neuen Funktion Govern an. Das CSF betont die essenzielle Wichtigkeit des SCRM angesichts der vernetzten und komplexen Beziehungen und Abhängigkeiten in den Lieferketten.

Wie auch in früheren Versionen enthält das CSF eine Beschreibung der Funktionen und der damit anzustrebenden Ziele. Diese Beschreibungen befinden sich neu in der Einleitung und sind in einer etwas mehr praxisorientierten Sprache verfasst. Eine kurze, prägnante Beschreibung der Ziele in einem Satz befindet sich nun auch bei den Funktionen selbst.

Die Restrukturierung betont, dass die Funktionen des CSF nicht einfach lineare Schritte bedeuten, sondern untereinander abhängige Komponenten einer ganzheitlichen Sicherheitsstrategie sind.

Schliesslich gibt es einen praktischen Button auf der ersten Seite der PDF-Version mit einem Link zur Überprüfung nach neuen Versionen des CSF.

Hilfreiche Werkzeuge

Das NIST und weitere Organisationen haben verschiedene Online-Ressourcen erarbeitet, die Hilfestellungen und weiterführende Informationen zum besseren Verständnis und zur Einführung und Umsetzung des CSF enthalten. Aufgrund der grossen Zahl an verfügbaren Informationen, Tools, Querverweisen und teilweisen Überlappungen ist es nicht einfach, einen Überblick zu gewinnen. Die wichtigsten Ressourcen sind nachfolgend zusammengestellt.

Referenzen und weiterführende Informationen (Informative References)

Die sogenannten Informative References sind Querverweise, die Beziehungen zwischen dem CSF Core und anderen Ressourcen wie Standards, Richtlinien, Umsetzungshinweisen und weiteren aufzeigen. Diese Ressourcen enthalten vielfach stärker praxisbezogene Informationen als der CSF Core selbst und sind hilfreich für das Verständnis, wie eine Organisation die Resultate des CSF Core erreichen kann. Beispiele für referenzierte Ressourcen sind die CIS Controls oder die NIST Spezialpublikation 800-218 betreffend sicherer Software-Entwicklung. Zusätzlich enthalten die Informative References Umsetzungsbeispiele (Implementation Examples) mit klaren, praxisorientierten Ausführungshinweisen zum Erzielen der Ergebnisse der CSF-Subkategorien.

Diese Referenzen und die Umsetzungshinweise können direkt als Excel-Datei bezogen werden. Zusätzlich gibt es das neue Referenz-Tool, das eine Suche nach Begriffen im CSF Core und in den Umsetzungshinweisen erlaubt und eine Exportmöglichkeit im JSON- oder Excel-Format bietet. Allerdings enthalten die Exporte zwar die Umsetzungshinweise, nicht aber die Querverweise bzw. Informative References. Trotzdem ist das Referenz-Tool eine praktische Möglichkeit, durch das CSF zu navigieren. Das Referenz-Tool basiert auf dem Cybersecurity and Privacy Reference Tool (CPRT), ein übergeordnetes Werkzeug, das neben den Referenzen zum CSF auch viele Referenzen zu anderen NIST Standards enthält.

In Zusammenarbeit mit der Community hat das NIST im Jahr 2019 damit begonnen, die Anwendbarkeit und die Interoperabilität von Informationssicherheitsstandards zu verbessern, indem eine Reihe von informativen Referenzen bereitgestellt werden. Diese können im Online-Referenzkatalog OLIR (Online Informative Reference Catalog) nachgeschlagen und durchsucht werden. Für das CSF enthält OLIR zum Zeitpunkt dieses Beitrags vier Dokumente, unter anderem Querverweise zwischen der vorherigen und der aktuellen Version des CSF sowie Querverweise zwischen den CIS Controls und dem CSF. Durch Klick auf More Details gelangt man zu einer Informationsseite über die Referenz und kann sich einen Vergleichsreport erzeugen lassen, der auch exportiert werden kann. Als besonders nützlich dürfte sich die Aufstellung von Querverweisen zwischen den Versionen 1.1 und 2.0 des CSF erweisen, weil damit direkt ersichtlich ist, welche Kategorien wohin verschoben wurden. Ebenfalls nützlich sind die Mappings zu den CIS Controls und es bleibt zu hoffen, dass weitere folgen werden.

Schnellstart-Anleitungen (Quick-Start Guides, QSGs)

Die Quick Start Guides sind einzelne Dokumente zu bestimmten Themen des CSF. Beispielsweise sind Informationen enthalten, die kleineren Organisationen helfen, ein Informationssicherheitsprogramm zu beginnen und es gibt Hilfestellungen zum Thema Supply Chain Risk Management. Die Quick Start Guides haben selbst eine kleine Anleitung zur besseren Übersicht.

Fazit

Die neue Version macht einen gelungenen Eindruck. Vor allem der breitere Anwendungsbereich auch für kleinere Organisationen mit weniger Ressourcen und der stärkere Fokus auf die Verankerung des Risikomanagements auf Ebene der Organisationsleitung sind wichtige Neuerungen.

Das Risikomanagement von Lieferketten in der Governance anzusiedeln ist ein wichtiger Schritt in die richtige Richtung. Lieferketten sind aus Sicherheitssicht oft unüberschaubar komplex und es muss eindeutig mehr unternommen werden, deren Sicherheit auch von der Geschäftsleitungsebene aus zu steuern.

Die Bestrebungen, das Framework praktischer und dynamischer zu gestalten und die in diesem Zusammenhang neu verfügbaren Online-Ressourcen tragen dazu bei, es als nützliches Werkzeug zu verwenden und nicht als theoretisches starres Konstrukt zu betrachten. Es darf davon ausgegangen werden, dass das neue CSF eine noch grössere Verbreitung und Anwendung erfahren wird, als seine Vorgängerversionen und es bleibt spannend zu verfolgen, welche weiteren Hilfsmittel und Werkzeuge noch entstehen werden.