Die ständige Zunahme von Cyber-Bedrohungen stellt kleine und mittlere Unternehmen (KMU) und ihre IT-Abteilungen vor grosse Herausforderungen. Oft fehlt es den KMU an Bewusstsein, Mitteln und Ressourcen im Bereich der Cybersicherheit. Wie können KMU sich ausreichend schützen und ihre Sicherheit verbessern? Ein mögliches Werkzeug kann das NIST Cybersecurity Framework sein. 6 Gründe, warum ein solches Framework sinnvoll sein kann, wie es angewendet und implementiert wird.
Was ist ein NIST Cybersecurity Framework?
Das NIST Cybersecurity Framework (NIST CSF) des National Institute of Standards and Technology (NIST) ist ein Rahmenwerk, welches Richtlinien und Standards zur Verbesserung der Cyber-Resilienz enthält. Es soll Unternehmen helfen potenzielle Cybersicherheitsrisiken zu verstehen, zu bewerten und zu verwalten. Das NIST-CSF kann branchenunabhängig eingesetzt werden und ist technologieneutral.
Warum ist ein NIST-CSF für KMU sinnvoll?
- Strukturierte Herangehensweise:
Das Framework unterstützt das Unternehmen mit einem strukturierten Ablauf, um seine Schwachstellen zu identifizieren.
- Risikomanagement:
Das Unternehmen erhält eine Übersicht über ihre Schwachstellen und Risiken und kann diese managen.
- Bewusstsein für Cybersicherheit:
Es wird ein allgemeines Verständnis für Cybersicherheit im Unternehmen geschaffen.
- Anpassungsfähig und flexibel:
Das Framework kann den eigenen Bedürfnissen angepasst werden. Es lässt sich in bestehende Sicherheitsstandards integrieren.
- Kontinuierliche Verbesserung:
Die Cybersicherheit kann regelmässig gezielt überprüft und verbessert werden.
- Kosteneffizienz:
Das Framework basiert auf Best Practices und unterstützt dabei kosteneffiziente Lösungen zu identifizieren. Es können sinnvolle Massnahmen anhand der eigenen Prioritäten und des Budgets getroffen werden, um Risiken zu mindern.
Aufbau des NIST-CSF
Zentraler Bestandteil des Frameworks sind die 5 Kernfunktionen Identify, Protect, Detect, Respond und Recover. Jede Funktion unterteilt sich in weitere Kategorien. Insgesamt sind 23 Kategorien definiert, welche total 108 Aktivitäten enthalten.
- Identifizieren (Identify)
Die erste Funktion beschäftigt sich mit der Identifizierung und Bestimmung der IT-Security-Risiken für alle Unternehmenswerte einschliesslich Personal, Systeme und Informationen.
- Schützen (Protect)
In der zweiten Funktion geht es um die Implementierung von geeigneten Sicherheitsvorkehrungen und Massnahmen zum Schutz der identifizierten Systeme und Ressourcen.
- Erkennen (Detect)
Die Funktion «Detect» umfasst das Definieren und Implementieren von Aktivitäten, die es ermöglichen das Auftreten eines Cybersicherheit-Vorfalles schnell zu erkennen.
- Reagieren (Respond)
Diese Funktion beinhaltet die Definition von geeigneten Massnahmen, sollte es zu einem Sicherheitsvorfall kommen, um die Auswirkungen des Vorfalls einzudämmen.
- Wiederherstellen (Recover)
Diese Funktion beinhaltet das Wiederherstellen der Systeme, Ressourcen, Services und Funktionen nach einem Sicherheitsvorfall.
Anwendung des Frameworks
Im Rahmen eines Assessments wird eine Selbstbeurteilung aller 108 Aktivitäten durchgeführt. Jede Aktivität wird mit einem Reifegrad bewertet, der die aktuelle Situation im Unternehmen darstellt. Daraus resultiert eine Übersicht der grössten Risiken und Schwachstellen. Aus diesen Erkenntnissen können gezielte Massnahmen und Empfehlungen für das Unternehmen in verschiedenen Bereichen abgeleitet werden.
Empfehlung für eine Implementierung
Für ein KMU kann die Implementierung initial aufwendig sein. Daher empfiehlt es sich das erste Assessment von einem Sicherheitsexperten begleitet durchzuführen. Der Fokus bei der Durchführung sollte nicht nur auf der IT-Abteilung liegen, sondern auf allen Ebenen der Geschäftsprozesse. Ein weiterer wichtiger Punkt ist die korrekte Durchführung des Assessments. Es handelt sich um eine Selbstbeurteilung, daher sollte man die Beurteilung so ehrlich wie möglich durchführen. Nur so können effektive Massnahmen abgeleitet werden. Nach der Implementierung empfiehlt es sich, dass Assessment in regelmässigen Abständen zu wiederholen.
Fazit und weitere Unterstützung
Das Framework bietet insgesamt einen guten Leitfaden als Grundlage, um die Cybersicherheit und Cyber-Resilienz im KMU zu verbessern und das Bewusstsein für Cybersicherheit zu fördern. Dies hat auch der Wirtschaftsverband Suissedigital erkannt und einen kostenlosen Online-Test auf Basis des NIST-Frameworks für KMU zu Verfügung gestellt. Eine weitere Unterstützung im Kampf gegen Cyberkriminalität für KMU bietet die Informationsplattform ITSec4KMU.
