NIST Cybersecurity Framework: Version 2.0 verstehen und implementieren

Aktualisiert am

June 16, 2025

/

10 min Lesezeit

Zuhause

/

Alle Beiträge

/

NIST Cybersecurity Framework: Version 2.0 verstehen und implementieren

Das NIST Cybersecurity Framework (NIST CSF), insbesondere die neueste Version 2.0, dient als nützliche Grundlage für das Management und die Reduzierung von Cyberrisiken. Seit den letzten Aktualisierungen umfasst das Framework moderne Sicherheitspraktiken und betont die Bedeutung von Governance, wodurch es für Unternehmen, die ihre Vermögenswerte und Betriebsabläufe schützen möchten, relevanter denn je ist.

Dieser Artikel untersucht das NIST CSF und beleuchtet dessen wichtigste Komponenten, wobei ein besonderer Schwerpunkt auf der neuesten Version 2.0 liegt. Außerdem werden Best Practices für die Implementierung des NIST CSF vorgestellt und aufgezeigt, wie die Squalify-Plattform dieses Framework integriert, um Unternehmen bei der Entwicklung und Umsetzung effektiver Programme zur Verbesserung der Cybersicherheit zu unterstützen.

Wichtige Erkenntnisse

  • Das NIST Cybersecurity Framework (CSF) ist ein Tool für Unternehmen zum Management und zur Reduzierung von Cybersicherheitsrisiken.
  • Die neuesten Aktualisierungen des NIST Cybersecurity Framework (NIST CSF Version 2.0) umfassen die Hinzufügung der Funktion „Govern“, die die Bedeutung der organisatorischen Governance in der Cybersicherheit hervorhebt.
  • Die sechs Kernfunktionen des NIST CSF (Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen und Steuern) bieten einen umfassenden Ansatz für den Aufbau und die Verbesserung von Programmen zur Verbesserung der Cybersicherheit.
  • Die Squalify-Plattform integriert die Ergebnisse des NIST CSF effektiv, um die Quantifizierung und das Management von Cyberrisiken zu verbessern. Sie bietet Unternehmen eine standardisierte und bewährte Methode zur Bewertung der Informationssicherheit, die für Benchmarking und die Planung von Verbesserungen im Bereich Cybersicherheit verwendet werden kann.

Übersicht über das NIST Cybersecurity Framework

Was ist das NIST Cybersecurity Framework?

Das NIST Cybersecurity Framework (NIST CSF) ist eine Sammlung von Richtlinien, Best Practices und Standards, die vom National Institute of Standards and Technology (NIST) erstellt wurden, um Unternehmen bei der Verwaltung und Reduzierung von Cybersicherheitsrisiken zu unterstützen. Es bietet eine einheitliche Methode und Sprache für den Umgang mit Cybersicherheitsrisiken. Es ist ein hervorragender Ausgangspunkt für Unternehmen, um ein robustes Sicherheitsframework aufzubauen.

Das NIST CSF wurde 2014 eingeführt und hat sich weltweit zu einem allgemein anerkannten Standard für den Umgang mit Cyberrisiken entwickelt. Es bietet einen flexiblen und effektiven Ansatz, der von Unternehmen jeder Größe, Branche und Reifegrad angepasst werden kann. Dieses Framework ist besonders wichtig für US-Unternehmen und solche, die mit der US-Regierung Geschäfte machen, da es häufig in Vorschriften und Regierungsverträgen erwähnt wird.

Im Jahr 2024 veröffentlichte das NIST die Version 2.0 des Frameworks, die aktualisierte Leitlinien und Praktiken enthält, um den sich wandelnden Bedrohungslandschaft und den technologischen Fortschritten gerecht zu werden. Mit dieser Version wurde auch eine sechste Funktion eingeführt, „Govern“ (Verwalten), die die Bedeutung der organisatorischen Governance in der Cybersicherheit hervorhebt, nicht nur der technischen Kontrollen.

Warum das NIST CSF für moderne Unternehmen wichtig ist

Das NIST Cybersecurity Framework bietet viele Vorteile für Unternehmen, die ihre Cybersicherheitsmaßnahmen verbessern möchten. Hier sind einige wichtige Gründe, warum das NIST CSF wichtig ist:

  1. Das NIST CSF behandelt alle kritischen Aspekte des Cyber-Risikomanagements und verfolgt einen umfassenden Ansatz zur Risikosteuerung.
  2. Es ist anpassungsfähig, sodass Unternehmen das NIST-Framework an ihre spezifischen Anforderungen und ihren Reifegrad anpassen können.
  3. Obwohl das NIST CSF insbesondere für US-amerikanische Unternehmen relevant ist, wird es weltweit anerkannt und genutzt.
  4. Das NIST Cybersecurity Framework (CSF) ist ein frei zugänglicher, transparenter und offener Standard. Es vereinfacht die Einhaltung einer Reihe von Vorschriften zur Cybersicherheit und zum Datenschutz und erleichtert damit die Einhaltung gesetzlicher Vorschriften für ein effektives Management von Cyberrisiken.
  5. Wichtige Komponenten des NIST Cybersecurity FrameworkDas NIST Cybersecurity Framework besteht aus drei Hauptkomponenten: den Kernzielen, die die Anforderungen definieren, den Organisationsprofilen, die diese Ziele in den Kontext spezifischer Branchen und Technologien stellen, und den Stufen, die ein Mittel zur Bewertung des Reifegrades der Umsetzung der Ziele bieten. Durch das Verständnis und die Nutzung dieser Komponenten können Sie das NIST Cybersecurity Framework effektiv implementieren, um die Cybersicherheit und Widerstandsfähigkeit Ihrer Organisation zu verbessern.

Das National Institute of Standards and Technology (NIST) bietet eine Reihe von Ressourcen und Leitfäden, wie beispielsweise den NIST Cybersecurity Framework Guide for Small Businesses, um das NIST CSF für Organisationen mit begrenzten Ressourcen zugänglich zu machen.

The NIST Cybersecurity Framework 2.0 core functionalities.
Die Kernfunktionen des NIST Cybersecurity Framework 2.0.

Kernfunktionen des NIST CSF

Der Kern umfasst eine Reihe von angestrebten Cybersicherheitszielen, die in sechs Funktionen unterteilt sind:

  • Steuern: Überwachung und Steuerung des gesamten Cybersicherheitsprogramms, einschließlich Strategie, Rollen und Risikobewertungen (in Version 2.0 eingeführt).
  • Identifizieren: Verständnis und Management von Cybersicherheitsrisiken für Systeme, Daten und Fähigkeiten.
  • Schützen: Implementierung von Sicherheitsvorkehrungen zur Gewährleistung der Bereitstellung kritischer Dienste.
  • Erkennen: Entwicklung von Mechanismen zur Identifizierung von Cybersicherheitsvorfällen.
  • Reagieren: Planung von Maßnahmen zur Bewältigung erkannter Cybersicherheitsvorfälle.
  • Wiederherstellen: Aufbau von Resilienz und Wiederherstellung von Diensten, die von Cybersicherheitsvorfällen betroffen sind.

Jede Funktion umfasst Kategorien und Unterkategorien, die die verschiedenen Aspekte des Cybersicherheitsmanagements detailliert beschreiben.

NIST Cybersecurity Framework-Profile

Ein „Profil” im Kontext des NIST CSF ist ein Dokument, das verdeutlicht, wie Funktionen, Kategorien und Unterkategorien des Frameworks innerhalb einer Organisation angewendet werden. Die Anpassung eines Profils innerhalb des NIST hilft Ihnen, Ihre Cybersicherheitspraktiken an spezifische Geschäftsziele und Anforderungen anzupassen. Profile können besonders nützlich sein, wenn Sie mit Stakeholdern über Ihre Cybersicherheitsmaßnahmen und -fortschritte kommunizieren.

Es können auch Community-Profile erstellt werden, die dokumentieren, wie das Framework auf bestimmte Interessengemeinschaften angewendet werden kann. Diese Communities können sich auf bestimmte Technologien oder Branchen beziehen. Beispiele für Community-Profile finden Sie auf der NIST-Website.

Reifegrade der Cybersicherheit

Das NIST CSF verwendet Stufen, um den Reifegrad der Cybersicherheit zu kommunizieren. Diese Stufen reichen von Stufe 1 (teilweise) bis Stufe 4 (adaptiv) und stehen für unterschiedliche Niveaus der Strenge und Konsistenz Ihrer Cybersicherheitspraktiken:

  • Stufe 1 (Teilweise): Informelle, ad hoc durchgeführte Cybersicherheitsmaßnahmen.
  • Stufe 2 (risikobewusst): Einige formelle Cybersicherheitspraktiken, die jedoch nicht konsequent angewendet werden.
  • Stufe 3 (wiederholbar): Formelle, konsistente Cybersicherheitspraktiken mit einigen Verbesserungsprozessen.
  • Stufe 4 (adaptiv): Fortgeschrittene, adaptive Cybersicherheitspraktiken mit kontinuierlicher Verbesserung und Optimierung.

Die Bewertung Ihrer aktuellen Stufen und angestrebten Zielstufen hilft Ihnen, Verbesserungsmöglichkeiten zu identifizieren und die Entwicklung eines ausgereifteren Cybersicherheitsprogramms zu steuern.

Die Kernfunktionen des NIST CSF im Detail

In der Vergangenheit definierte das NIST Cybersecurity Framework fünf Kernfunktionen, um Unternehmen bei der Verwaltung und Minimierung von Cybersicherheitsrisiken zu unterstützen. Jede Funktion umfasste spezifische Maßnahmen und Best Practices zur Erreichung wichtiger Cybersicherheitsziele. In der aktualisierten Version 2.0 wurde zusätzlich zu den bestehenden Kernfunktionen „Govern“ als sechste Komponente aufgenommen.

Govern

Die Funktion „Govern“ überwacht und steuert das gesamte Cybersicherheitsprogramm und stellt sicher, dass alle Aktivitäten mit den strategischen Zielen und regulatorischen Anforderungen Ihres Unternehmens übereinstimmen. Diese Funktion, die in Version 2.0 des NIST Cybersecurity Framework eingeführt wurde, betont die Bedeutung von Governance für ein effektives Management von Cybersicherheitsrisiken. Zu den wichtigsten Aktivitäten gehören:

  • Entwicklung einer umfassenden Cybersicherheitsstrategie, die den Ansatz für das Management von Cybersicherheitsrisiken beschreibt.
  • Klare Zuweisung und Dokumentation der Rollen und Verantwortlichkeiten der am Cybersicherheitsprogramm beteiligten Personen.
  • Regelmäßige Bewertung der Cybersicherheitsrisiken, um potenzielle Auswirkungen zu verstehen und Maßnahmen zur Risikominderung zu priorisieren.
  • Erstellung und Pflege von Richtlinien, die die Cybersicherheitspraktiken regeln und die Einhaltung der relevanten Vorschriften gewährleisten.
  • Implementierung von Mechanismen zur Überwachung der Wirksamkeit des Cybersicherheitsprogramms und Vornahme von Anpassungen nach Bedarf.
  • Sicherstellung, dass Cybersicherheitsrisiken im Zusammenhang mit der Lieferkette des Unternehmens gemanagt werdeN

Durch die Implementierung der Governance-Funktion kann Ihr Unternehmen sicherstellen, dass Ihre Cybersicherheitsmaßnahmen strategisch aufeinander abgestimmt und gut koordiniert sind. Diese Funktion trägt dazu bei, die Verantwortlichkeit zu wahren, die Transparenz zu verbessern und eine Kultur der kontinuierlichen Verbesserung im Cybersicherheitsmanagement zu fördern.

Identifizieren

Die Identifizierungsfunktion hilft Ihnen, den Kontext Ihres Unternehmens zu verstehen und Cybersicherheitsrisiken zu managen. Dazu gehört es, ein detailliertes Verständnis dafür zu entwickeln, wie Cybersicherheitsrisiken für Systeme, Vermögenswerte, Daten und Fähigkeiten gemanagt werden können. Zu den wichtigsten Aktivitäten gehören:

  • Erstellung von Bestandsverzeichnissen für Vermögenswerte;

Durchführung von Schwachstellen-, Bedrohungs- und RisikobewertungenSicherstellung, dass das Unternehmen aus Bewertungen, Tests und anderen Übungen lernt und Verbesserungen vornimmt.

Schützen

Die Schutzfunktion konzentriert sich auf die Implementierung von Sicherheitsvorkehrungen, um die Bereitstellung kritischer Dienste sicherzustellen. Sie wenden Maßnahmen an, um die Auswirkungen potenzieller Cybersicherheitsvorfälle zu begrenzen oder einzudämmen. Zu den wichtigsten Aktivitäten gehören:

  • Einführung von Maßnahmen zur Verwaltung von Identitäten, Authentifizierung und Zugriff
  • Schulungs- und Sensibilisierungsprogramme
  • Schutz von Daten im Ruhezustand, während der Übertragung, bei der Verwendung und in Backups
  • Sicherstellung, dass Technologieplattformen und Infrastruktur sicher und widerstandsfähig aufgebaut, konfiguriert und betrieben werden.

Erkennen

Die Detect-Funktion bezieht sich auf die rechtzeitige Erkennung von Cybersicherheitsvorfällen. Dazu gehört die kontinuierliche Überwachung und Erkennung von Anomalien und Ereignissen, die die Cybersicherheit gefährden könnten. Zu den wichtigsten Aktivitäten gehören:

  • Kontinuierliche Sicherheitsüberwachung von Netzwerken und Benutzeraktivitäten
  • Analyse erkannter Ereignisse, um festzustellen, wann Vorfälle aufgetreten sind.

Reagieren

Die Funktion „Reagieren“ beschreibt, wie Cybersicherheitsvorfälle verwaltet und gemindert werden. Sie stellt sicher, dass Sie über eine Strategie verfügen, um erkannte Cybersicherheitsvorfälle schnell und effektiv zu beheben. Zu den wichtigsten Aktivitäten gehören:

  • Entwicklung und Umsetzung von Plänen zur Reaktion auf Vorfälle
  • Kommunikationsprotokolle während und nach einem Vorfall
  • Analyse der Reaktion, um zukünftige Reaktionen zu verbessern

Durch die effektive Anwendung der Funktion „Reagieren“ können Sie die Auswirkungen von Cybersicherheitsvorfällen begrenzen und so eine schnellere Wiederherstellung und Kontinuität des Betriebs gewährleisten.

Wiederherstellen

Die Funktion „Wiederherstellung“ befasst sich mit der Wiederherstellung von Diensten, die durch einen Cybersicherheitsvorfall beeinträchtigt wurden. Der Schwerpunkt liegt auf der Aufrechterhaltung von Resilienzplänen und der Wiederherstellung von Funktionen oder Diensten. Zu den wichtigsten Aktivitäten gehören:

  • Entwicklung und Umsetzung von Wiederherstellungsplänen
  • Koordination der Wiederherstellungsmaßnahmen mit den Beteiligten
  • Überprüfung und Aktualisierung der Wiederherstellungsstrategien auf der Grundlage früherer Vorfälle

Durch die Konzentration auf die Wiederherstellungsfunktion wird sichergestellt, dass Ihr Unternehmen nach einem Cybersicherheitsvorfall schnell zum normalen Betrieb zurückkehren und Ausfallzeiten und Unterbrechungen minimieren kann.

Information security assessment: How we use the NIST cybersecurity framework in the Squalify platform

Information security maturity level

At Squalify, we have integrated the NIST Cybersecurity Framework (CSF) into our approach to assessing information security. Our platform allows you to input your security maturity for each control level (also known as subcategories) to determine the maturity level for each security control. Already done a maturity assessment using the NIST Tiers? We can easily map it to our internal maturity levels.

Übersicht über die Dateneingabe zu den Informationssicherheitskontrollen auf der Squalify-Plattform.

Bei der Quantifizierung des Informationssicherheitsrisikos Ihres Unternehmens mit Squalify haben Sie zwei Möglichkeiten: Sie können entweder den Reifegrad aller Sicherheitskontrollen ermitteln oder sich für eine schnellere Bewertung ausschließlich auf die 28 wichtigsten Kontrollen konzentrieren.

Die Top 28 sind eine fokussierte Untergruppe der NIST-Kontrollen, die auf der Grundlage von Squalify-Expertenanalysen und historischen Verlustdaten für das Management von Cyberrisiken von entscheidender Bedeutung sind. Diese Kontrollen tragen den größten Teil zur Gesamtbewertung der Reife bei. Die Top 28 eignen sich ideal für die Durchführung von Cyber-Risikobewertungen in kürzerer Zeit bei gleichzeitiger Erzielung einer ausreichenden Output-Qualität.

Wir haben uns für den NIST CSF entschieden, weil er ein weltweit anerkannter Standard ist, der Transparenz und eine gemeinsame Sprache für alle Benutzer gewährleistet. Durch die Übernahme des NIST CSF können Sie bereits vorhandene Bewertungen der Sicherheitsreife einfach und schnell wiederverwenden, wenn Sie bereits eine Bewertung anhand des NIST-Frameworks durchgeführt haben. Darüber hinaus erleichtert er die Abstimmung mit anderen Quantifizierungsframeworks, da der NIST CSF weit verbreitet ist und wir Erfahrung mit der Zuordnung anderer Kontrollframeworks zum NIST CSF haben.

Reifegradverbesserung simulieren

Der NIST CSF ist auch in die Simulationsfunktionen von Squalify integriert. Möchten Sie sehen, wie sich die Verbesserung des Reifegrades bestimmter NIST-Kontrollkategorien auf die potenziellen finanziellen Verluste auswirkt? Mit einer Simulation erhalten Sie schnell eine Antwort.

Momentaufnahme der modellierten Simulation eines Großschadens aufgrund einer Verletzung des Datenschutzes.

Gruppenweite Cybersicherheitssteuerung

Für CISOs, die für die Cybersicherheit einer großen Unternehmensgruppe und ihrer Tochtergesellschaften verantwortlich sind, kann die Reifegradbewertung innerhalb der Squalify-Plattform unter Verwendung des NIST CSF zwischen verschiedenen Tochtergesellschaften verglichen werden, um die Leistung zu überwachen und Verbesserungsmöglichkeiten zu identifizieren. Über die Squalify-Dashboards können CISOs schnell Reifegradtrends überprüfen und Tochtergesellschaften für weitere Maßnahmen priorisieren.

Fazit

Das NIST Cybersecurity Framework (NIST CSF) ist ein unschätzbares Werkzeug für Unternehmen, die ihre Cybersicherheit verbessern möchten. Mit der Veröffentlichung der Version 2.0 hat das Framework noch mehr an Relevanz gewonnen, da es moderne Sicherheitspraktiken integriert und die Bedeutung von Governance hervorhebt. Dieses umfassende und flexible Framework eignet sich für eine Vielzahl von Branchen und Reifegraden und ist somit ein unverzichtbarer Bestandteil für jedes Unternehmen, das Cyberrisiken effektiv managen und reduzieren möchte.

Durch die Einführung des NIST CSF können Sie Ihre Sicherheitspraktiken verbessern, die Einhaltung gesetzlicher Vorschriften gewährleisten und Vertrauen bei Ihren Stakeholdern aufbauen. Der strukturierte Ansatz des Frameworks bietet einen klaren Weg zur Verbesserung der Cybersicherheitsresilienz und zur Minderung von Bedrohungen.

Die Squalify-Plattform nutzt das NIST CSF, um robuste Ergebnisse zur Quantifizierung und zum Management von Cyberrisiken zu liefern. Die Fähigkeit von Squalify, den Reifegrad der Sicherheit zu bewerten, macht die Plattform zu einem unverzichtbaren Werkzeug für Unternehmen, die sich für die Aufrechterhaltung einer starken Cybersicherheitsposition engagieren.

Douglas Needham

Head of Consulting

Douglas Needham hat es sich zur Aufgabe gemacht, die komplexe Welt der Informationssicherheit zu entmystifizieren, Fachjargon durch einfache Sprache zu ersetzen und das Positive in der oft allzu zynischen Welt der Cybersicherheit zu sehen. Doug verfügt über mehr als 15 Jahre Erfahrung im Bereich Cybersicherheit für Unternehmen wie Allianz Insurance, EDF und Klarna.

Inhaltsverzeichnis
Newsletter
Du bist startklar.
Danke, dass du dich angemeldet hast.
Etwas ist schief gelaufen. Bitte überprüfen Sie Ihre Eingaben und versuchen Sie es erneut.
Ausgewählte Beiträge
Die gefährliche Limitierung des IBM-Berichts über die Kosten einer Datenschutzverletzung
Teil III der Serie: Wie man Cyber Worst-Case-Szenarien quantifiziert
Pressemitteilung: Squalify expandiert in die USA

Abonnieren Sie unseren Newsletter.

Expertenwissen zum Cyberrisikomanagement
Updates zur der Squalify-Plattform
Aktuelles über Squalify
Du bist startklar. Danke, dass du dich angemeldet hast.
Etwas ist schief gelaufen. Bitte überprüfen Sie Ihre Eingaben und versuchen Sie es erneut.
Mehr Beiträge
Alle Beiträge ansehen

Die gefährliche Limitierung des IBM-Berichts über die Kosten einer Datenschutzverletzung

Aug 5
/
CRQ Essentials
/
3 Minuten Lesezeit

Teil III der Serie: Wie man Cyber Worst-Case-Szenarien quantifiziert

Aug 1
/
CRQ Essentials
/
Lesedauer: 7 Minuten

Pressemitteilung: Squalify expandiert in die USA

Jul 17
/
Platform
/
Lesedauer: 3 Minuten

Machen Sie Cyber-Risikomanagement zu Ihrem Wettbewerbsvorteil

Quantifizieren Sie Risiken, optimieren Sie Sicherheitsinvestitionen und stimmen Sie Cybersicherheit mit den Unternehmenszielen ab — gestützt auf reale Cyber-Verlustdaten.
Termin vereinbaren
Squalify bringt die Quantifizierung von Cyberrisiken in die Vorstandsetage. Unsere CRQ-Plattform versorgt Führungskräfte im Bereich Informationssicherheit und Risikomanagement mit umsetzbaren Erkenntnissen über die unternehmensweiten Cyberrisiken und ermöglicht so fundierte Entscheidungen und eine effektive Governance. Mehr erfahren
Folge uns auf
Funktionen
Quantifizierung von Cyberrisiken
Optimierung der Sicherheitskontrollen
Risikobilanz
Verbesserungssimulation
Steuerung von Tochtergesellschaften
Industrie-Benchmarking
Einhaltung von Cybervorschriften
Unternehmen
Über unsWarum wirPartnerKarriereKontakt
Ressourcen
WissenWhitepapersHäufig gestellte FragenCRQ-EignungstestWorst Case VerlustrechnerLoginTermin vereinbaren
Copyright © 2025 Squalify. Alle Rechte vorbehalten.
ImpressumDatenschutzCookies