Edward Amoroso

(Anmerkung der Redaktion: Dieser Artikel ist ein Gastbeitrag von Ed Amoroso, CEO und Gründer von TAG).

Cybersecurity-Experten, die für Bundesbehörden in den Vereinigten Staaten arbeiten, wissen, dass sie lernen müssen, verschiedene Akronyme wie FedRAMP, FISMA, RMF und so weiter zu entschlüsseln. Sie müssen dies tun, weil die Standards und Rahmenwerke, für die diese Akronyme stehen, den Teams des öffentlichen Sektors, die mit dem Schutz von Daten, Systemen und Netzwerken vor Cyber-Bedrohungen betraut sind, bei ihrer Entscheidungsfindung helfen sollen.

Auf der Ebene des Sektors werden die Dinge spezifischer. Verteidigungsministerien müssen mit ihren eigenen lokalen Akronymen umgehen, wie z.B. CMMC. Behörden des Gesundheitswesens müssen sich mit Akronymen wie HIPAA auseinandersetzen. Und die Finanzbehörden müssen sich mit Akronymen wie GLBA auseinandersetzen. Natürlich gelten diese Rahmenwerke allgemein für Organisationen des öffentlichen und privaten Sektors, aber niemand wird die damit verbundene Komplexität bestreiten.

Die Herausforderung, die wir bei unserer Forschungs- und Beratungstätigkeit bei TAG festgestellt haben, besteht darin, dass es bei so vielen verschiedenen Standards und Rahmenwerken zwangsläufig zu Überschneidungen von Richtlinien, Mandaten, Anforderungen und bewährten Verfahren kommt. Dies schafft ein Umfeld, in dem die Behörden nicht nur technische Anforderungen, sondern auch Compliance-Berichte, Erwartungen an die Unternehmensführung und Risikobewertungen mit jeweils eigenen Fristen und Durchsetzungsmechanismen bewältigen müssen.

Als ob dies nicht schon genug wäre, hat die dynamische Natur von Cyber-Bedrohungen, wie Angriffe auf die Lieferkette und Schwachstellen in kritischen Infrastrukturen, zu weiteren gesetzgeberischen und exekutiven Maßnahmen geführt, wie z.B. die Executive Order 14028 zur Verbesserung der Cybersicherheit der Nation, die regierungsweite Initiativen wie die Einführung von Zero Trust und eine verbesserte Sicherheit der Software-Lieferkette vorschreibt, die häufig von Einrichtungen wie dem Government Accountability Office (GAO) geprüft werden.

Angesichts dieser Herausforderung bei der Einhaltung von Vorschriften lautet die Frage, die TAG-Analysten am häufigsten von den Teams der Behörden auf Bundes- und Kommunalebene gestellt wird, wie folgt: Wie kann man am besten ein effektives Cybersicherheitsprogramm entwickeln, das die Reibungsverluste im Umgang mit so vielen unterschiedlichen Rahmenwerken und Standards minimiert? Unsere Antwort beruht auf drei wichtigen Komponenten der Cybersicherheitsstrategie, die wir für Teams im öffentlichen Sektor als die besten ansehen.

Erstens empfehlen wir dringend, sich für die Automatisierung zu engagieren. Moderne regulatorische Verpflichtungen können nur durch eine formale Disziplin der Governance, Risk und Compliance (GRC) erfüllt werden. Die gute Nachricht ist, dass es hervorragende kommerzielle Plattformen für Regierungsteams gibt, die ohne große Schwierigkeiten in jede Art von bestehendem Compliance-Programm eingeführt werden können, auch in solche, die manuell durchgeführt werden.

Zweitens empfehlen wir einen risikobasierten Ansatz für alle Sicherheitsentscheidungen. Dazu gehört ein gutes Verständnis der tatsächlichen Sicherheitsprobleme, die für die jeweilige Behörde unmittelbar relevant sind. Das vielleicht beste Beispiel hierfür ist Microsoft Active Directory (AD), das wir bei TAG als den vielleicht wichtigsten Aspekt eines jeden Cyber-Risiko-Programms betrachten. Jedes Angriffsteam wird es auf AD abgesehen haben, daher müssen sich die Programme der Bundesbehörden mit dieser Art von grundlegendem, praktischem Risiko befassen.

Drittens empfehlen wir, dass alle Behörden des öffentlichen Sektors das Cybersecurity Framework (CSF) des National Institute of Standards and Technology (NIST) verwenden. Es basiert auf den umfassenden Anforderungen der NIST Special Publication (SP) 800-53 (Rev. 5) und bietet einen ausgezeichneten Fahrplan für Teams im öffentlichen Sektor, um ihre Sicherheit schrittweise zu verbessern. Das Beste daran ist, dass sich die NIST CSF sehr gut mit der Fülle der zuvor aufgeführten Akronyme kombinieren lässt.

In den verbleibenden Abschnitten konzentrieren wir uns auf das NIST CSF, das jetzt in der Version 2.0 vorliegt, und wir argumentieren, dass es eine ausgezeichnete Wahl ist, um ein Programm zur Einhaltung von Vorschriften im Cyberspace aufzubauen. Wir beziehen uns oft auf das Rahmenwerk, weil praktisch jede Sicherheitsanforderung, auf die wir in der Vielzahl der Akronyme gestoßen sind, in gewissem Maße von NIST abgedeckt wird. Das macht es zu einer guten Grundlage - auch für private und nicht-amerikanische Sicherheitsteams.

Was ist das NIST CSF 2.0?

Das NIST CSF 2.0, das im August 2023 veröffentlicht wird, baut auf der ursprünglichen Version von 2014 (CSF 1.0) auf und hilft Organisationen bei der Verwaltung und Reduzierung von Cybersicherheitsrisiken. Das ursprüngliche Rahmenwerk umfasste fünf Kernfunktionen - Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen -, die einen Lebenszyklusansatz für die Cybersicherheit bieten. Viele Cybersicherheitsprogramme wurden um diese Funktionen herum organisiert, obwohl wir der Meinung sind, dass dies vielleicht nicht der beste Ansatz ist.

Abbildung 1. Darstellung des NIST CSF 1.0

Diese NIST CSF-Funktionen sind in Kategorien und detailliertere Unterkategorien unterteilt, die informativen Referenzen wie NIST Special Publications und ISO-Normen zugeordnet sind. Der CSF 2.0 behält die Flexibilität und Zugänglichkeit seines Vorgängers bei, so dass Organisationen aller Größen und Branchen seine Umsetzung auf ihre spezifischen Risikoumgebungen, Ressourcen und Geschäftsziele abstimmen können.

Eine wichtige Neuerung des CSF 2.0 ist die stärkere Konzentration auf die Governance als neue Kategorie unter der Funktion "Identifizieren", die die Bedeutung von Führung, Cybersicherheitsstrategie und Unternehmensrichtlinien beim Management von Cyberrisiken anspricht. Eine weitere wichtige Ergänzung ist die Erweiterung der Leitlinien für das Management von Risiken in der Lieferkette, was die wachsende Bedeutung des Risikomanagements für Dritte im Bereich der Cybersicherheit widerspiegelt.

Das NIST CSF 2.0 enthält auch Aktualisierungen, um es an die modernisierten NIST-Standards anzupassen, wie z.B. Aktualisierungen der kryptographischen Kontrollen und erweiterte Überlegungen zu aufkommenden Technologien wie Cloud, künstliche Intelligenz und operative Technologie. Diese Änderungen machen das Rahmenwerk relevanter für die aktuelle Bedrohungslandschaft und die verschiedenen Technologieumgebungen, mit denen Unternehmen heute konfrontiert sind.

Abbildung 2. Darstellung des NIST CSF 2.0

Im Vergleich zum CSF 1.0 nimmt die Version 2.0 eine globalere Perspektive ein, indem sie die Anwendbarkeit auf internationale Standards und Rahmenwerke, auch im öffentlichen Sektor, verbessert und damit eine größere Interoperabilität fördert. Darüber hinaus wird ein größerer Schwerpunkt auf Anleitungen zur Umsetzung gelegt, indem verbesserte Ressourcen wie Profile und Umsetzungsbeispiele angeboten werden, um Organisationen bei der effektiven Umsetzung des Rahmens zu unterstützen.

Während das CSF 1.0 eine solide Grundlage bildete, verbessert das CSF 2.0 das Rahmenwerk, indem es die Erfahrungen aus fast einem Jahrzehnt der Anwendung einbezieht, wodurch es umfassender und skalierbarer wird und in der Lage ist, die sich entwickelnden Cybersicherheitsherausforderungen zu bewältigen, mit denen alle Arten von Organisationen heute konfrontiert sind. Im folgenden Abschnitt erfahren Sie, wie das Rahmenwerk im Kontext der Cybersicherheitsherausforderungen von Bundesbehörden funktioniert.

Zuordnung zu den Cyber-Anforderungen des Bundes

Die erste Erkenntnis, die wir den Compliance-Teams der Bundesbehörden vermitteln möchten, ist, dass moderne GRC-Plattformen von guten kommerziellen Anbietern wie ServiceNow, Metric Stream und Archer automatische Unterstützung bei der Durchführung von Mappings von NIST CSF 2.0 auf andere Frameworks bieten. Dies ist eine erstaunlich hilfreiche Funktion, denn sie ersetzt die manuelle Arbeit, an die sich viele von uns erinnern, bevor es solche Plattformen gab.

Dennoch ist es hilfreich, sich anzusehen, wie NIST CSF 2.0 die meisten Anforderungen der Bundesbehörden unterstützt. Unsere nachstehenden Ausführungen müssen jedoch fiktiv betrachtet werden, denn in den USA, wo auf Bundes- und Staatsebene politische Wahlen stattfinden, ändern sich die geltenden Cyberanforderungen, Mandate und Gesetze schnell. Executive Orders zum Beispiel ändern sich im Handumdrehen, so dass die Leser es besser vermeiden sollten, in Berichten wie diesem nach mikroskopischen Zuordnungen zu suchen.

Mit seinem umfassenden Ansatz für das Risikomanagement ist das NIST CSF 2.0 auf die wichtigsten Bundesrichtlinien und -standards abgestimmt, darunter der Federal Information Security Modernization Act (FISMA), das OMB Circular A-130, die Executive Order (EO) 14028 und die Binding Operational Directives (BODs) der CISA. Durch die Integration dieser Richtlinien in das CSF 2.0 Framework können die Behörden ihre Bemühungen zur Einhaltung der Vorschriften straffen und ihre allgemeine Cybersicherheitslage verbessern.

Anpassung an FISMA und NIST SP 800-53

FISMA, der Eckpfeiler der Bundesgesetze zur Cybersicherheit, verlangt von den Bundesbehörden, risikobasierte Informationssicherheitsprogramme zu implementieren. Die oben erwähnten Funktionen des NIST CSF 2.0 - Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen - stimmendirekt mit dem Schwerpunkt von FISMA auf der Kategorisierung von Risiken, der Implementierung von Kontrollen und der Durchführung einer kontinuierlichen Überwachung überein. Die Sicherheitsteams der Bundesbehörden werden von einer solchen Anpassung profitieren.

Das Rahmenwerk orientiert sich auch an der NIST Special Publication (SP) 800-53, die Sicherheits- und Datenschutzkontrollen spezifiziert, die direkt auf Bundessysteme anwendbar sind. So ergänzen beispielsweise die Verbesserungen der Governance in CSF 2.0 den Schwerpunkt von SP 800-53 auf organisatorischen Richtlinien, Rollen und Verantwortlichkeiten. Durch die Verwendung von CSF 2.0 als übergeordnetes Rahmenwerk können die Bundesbehörden sicherstellen, dass ihre Programme auf den detaillierten Anforderungen von SP 800-53 basieren.

Einhaltung von Durchführungsverordnungen und Direktiven

NIST CSF 2.0 unterstützt auch die Einhaltung der Executive Order 14028, die nach aufsehenerregenden Sicherheitsverletzungen wie SolarWinds Verbesserungen der Cybersicherheit auf Bundesebene vorschreibt. EO 14028 legt den Schwerpunkt auf eine Zero-Trust-Architektur, eine verbesserte Erkennung von Bedrohungen und eine sichere Softwareentwicklung. Der erweiterte Fokus des Rahmenwerks auf das Risikomanagement in der Lieferkette und aufkommende Technologien steht im Einklang mit diesen Direktiven.

Das CSF 2.0 bietet zum Beispiel Kategorien und Unterkategorien, die sich mit der Sorgfaltspflicht des Anbieters, der kontinuierlichen Überwachung und dem sicheren Software-Lebenszyklusmanagement befassen. Es bietet den Behörden einen strukturierten Weg, die Anforderungen des Zero Trust Maturity Model der CISA umzusetzen und die Software-Lieferkette gemäß EO 14028 zu sichern. (Wir möchten die Leser noch einmal daran erinnern, dass sich EO-Mandate schnell ändern können, insbesondere bei einem Wechsel der Präsidentschaft).

Integration mit den verbindlichen operationellen Richtlinien der CISA

Die Binding Operational Directives (BODs) der CISA, wie z.B. BOD 22-01 über bekannte ausgenutzte Schwachstellen, fordern zeitnahe Maßnahmen zur Minderung bestimmter Risiken. Die Funktionen des CSF 2.0 Detect and Respond ermöglichen es den Behörden, diese Richtlinien durch eine verbesserte Planung der Reaktion auf Vorfälle, eine proaktive Erkennung von Cyber-Bedrohungen und Prozesse zur Verwaltung von Schwachstellen und Risiken umzusetzen.

Darüber hinaus entspricht der Schwerpunkt des Rahmenwerks auf kontinuierlicher Verbesserung den Anforderungen der BSB an schnelles und messbares Handeln. Der iterative Ansatz des NIST CSF 2.0 stellt sicher, dass die Behörden ihre Strategien als Reaktion auf die sich entwickelnden CISA-Richtlinien und Bedrohungsdaten anpassen können. In den kommenden Jahren, so prognostizieren wir bei TAG, werden die erheblich gestiegenen Bedrohungen durch Nationalstaaten ein besseres kontinuierliches Management der Bedrohungsdaten durch die Bundesbehörden erfordern.

Unterstützung für den Schutz der Privatsphäre und des Datenschutzes

Die Ausrichtung des NIST CSF 2.0 auf Datenschutz-Frameworks, einschließlich des NIST Privacy Framework, und auf Mandate wie den Privacy Act von 1974 und die CUI-Richtlinien (Controlled Unclassified Information) ermöglicht es Behörden, Datenschutzanforderungen in Verbindung mit Cybersicherheitszielen zu verwalten. Die aktualisierte Governance-Kategorie befasst sich ausdrücklich mit der Notwendigkeit von Richtlinien und Kontrollen, die ein Gleichgewicht zwischen Cybersicherheit und Datenschutz herstellen und es den Behörden ermöglichen, doppelte Compliance-Anforderungen zu erfüllen.

Aktionsplan

Wir hoffen, dass wir Sie davon überzeugen konnten, dass Bundesbehörden die Verwendung des NIST CSF 2.0 als Grundlage für ihr gesamtes Schutzprogramm ernsthaft in Betracht ziehen sollten. Durch die Zuordnung zu FISMA, EO 14028, CISA-Direktiven und anderen Mandaten bietet NIST CSF 2.0 den Bundesbehörden ein kohärentes Rahmenwerk zur Vereinheitlichung der Konformität bei gleichzeitiger Verbesserung der allgemeinen Sicherheitsresilienz. Wir hoffen, dass dieser Leitfaden nützlich war - und wir freuen uns immer, von Ihnen zu hören.

Weitere Ressourcen