Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Standard · NIST

NIST Cybersecurity Framework — Govern, Identify, Protect, Detect, Respond, Recover

Aktualisiert am 5 Min. Geprüft von: Cenedril-Redaktion
NIST CSFNIST SP 800-53ISO 27001

Ein deutscher Mittelständler will sein Cybersecurity-Programm vor dem Aufsichtsrat darstellen — ohne Vorkenntnisse beim Gremium, ohne Beraterjargon, ohne Excel-Tabellen mit 200 Zeilen. Das CISO-Team wählt das NIST Cybersecurity Framework als Erzählgerüst: sechs Funktionen, jeweils ein Reifegrad-Balken von 1 bis 4, eine Seite Vorstandsbericht. Drei Monate später entscheidet der Aufsichtsrat über das Sicherheitsbudget für das nächste Geschäftsjahr — auf Basis dieser einen Seite. Was nicht in das Framework passt, kommt im Aufsichtsrat nicht an. NIST CSF ist heute das verbreitetste Führungssprache-Framework für Cybersecurity weltweit.

Das NIST Cybersecurity Framework wurde 2014 vom US-amerikanischen National Institute of Standards and Technology auf Auftrag des US-Präsidenten entwickelt — ursprünglich für Betreiber kritischer Infrastrukturen, mittlerweile global eingesetzt. Es ist kostenlos verfügbar, technologieneutral und nicht zertifizierbar. Die aktuelle Version 2.0 erschien im Februar 2024 und brachte als wesentliche Neuerung die Funktion „Govern”.

Was umfasst der Standard?

Das Framework ist in drei Bestandteile gegliedert: den Core (sechs Funktionen mit Kategorien und Subcategories), die Implementation Tiers (Reifegrad-Skala) und die Profiles (Soll-Ist-Vergleich pro Organisation).

Die sechs Funktionen (CSF 2.0)

  • Govern (GV) — Steuern. Cybersecurity-Strategie, Rollen, Risikoappetit, Lieferketten-Steuerung, rechtliche und regulatorische Anforderungen. Neu in Version 2.0 und vor Identify positioniert, weil Steuerung allen anderen Funktionen vorgelagert ist.
  • Identify (ID) — Identifizieren. Asset-Management, Geschäftsumfeld, Risikobewertung, Risikomanagement-Strategie. Was muss überhaupt geschützt werden?
  • Protect (PR) — Schützen. Identitäts- und Zugriffsmanagement, Awareness und Schulung, Datensicherheit, Plattform-Sicherheit, Resilienz-Architektur. Schutzmaßnahmen für die identifizierten Werte.
  • Detect (DE) — Erkennen. Kontinuierliche Überwachung, Erkennung von Anomalien und Vorfällen. Wie schnell wird ein Angriff oder eine Störung bemerkt?
  • Respond (RS) — Reagieren. Reaktionsplanung, Kommunikation, Analyse, Eindämmung, Verbesserung. Was passiert, wenn etwas erkannt wurde?
  • Recover (RC) — Wiederherstellen. Wiederherstellungsplanung, Verbesserungen, Kommunikation. Wie geht der Betrieb nach einem Vorfall weiter?

Jede Funktion gliedert sich in Kategorien (z. B. ID.AM für Asset Management) und Subcategories (z. B. ID.AM-01: Hardware-Inventar wird gepflegt). CSF 2.0 hat 22 Kategorien und rund 100 Subcategories.

Implementation Tiers — Reifegrad-Skala

TierBezeichnungCharakteristik
Tier 1PartialAd-hoc, reaktiv, ohne organisationsweite Steuerung
Tier 2Risk InformedBewusstsein für Risiken vorhanden, Steuerung punktuell
Tier 3RepeatableEtablierte Prozesse, organisationsweit, regelmäßig überprüft
Tier 4AdaptiveKontinuierliche Verbesserung auf Basis von Erfahrungen und Bedrohungslage

Die Tiers sind kein Reifegrad-Ranking im Sinne von „Tier 4 ist besser” — die richtige Stufe hängt vom Geschäftsmodell und der Bedrohungslage ab. Ein Bäckereibetrieb kommt mit Tier 2 aus, eine Bank braucht Tier 3 oder 4.

Profile — Soll-Ist-Vergleich

Ein Current Profile beschreibt den heutigen Zustand pro Subcategory, ein Target Profile den angestrebten Zustand. Die Lücke zwischen beiden ergibt die Roadmap. Profile sind das eigentliche Arbeitsinstrument im Tagesgeschäft.

Anwendungspraxis

NIST CSF wird typischerweise in einem dieser drei Modi eingesetzt:

Reifegrad-Assessment. Eine Organisation bewertet pro Subcategory den aktuellen Tier (1–4), definiert das Soll und erstellt eine priorisierte Roadmap. Beratungsfirmen bieten standardisierte Assessments mit Workshops und Heatmaps an.

Übergeordnetes Strukturierungsraster. Bestehende Maßnahmen (z. B. aus ISO 27001) werden auf CSF-Subcategories gemappt, um eine einheitliche Berichtssprache gegenüber dem Aufsichtsrat oder gegenüber US-Geschäftspartnern zu haben.

Lieferanten-Bewertung. Einige Großunternehmen verlangen von Lieferanten eine Selbstbewertung nach NIST CSF — ohne externes Assessment, aber mit dokumentierten Profilen.

Mapping zu anderen Standards

StandardVerhältnis zu NIST CSF
ISO/IEC 27001Strukturell ähnlich; offizielle Mappings ordnen jede Subcategory ISO-Kontrollen zu
NIST SP 800-53Detaillierter US-Kontrollkatalog; CSF mappt auf SP 800-53 als Informative Reference
NIST SP 800-171Schutz unklassifizierter, vertraulicher US-Bundesinformationen; basiert auf SP 800-53
CIS ControlsKonkrete technische Maßnahmen; CIS-Mapping-Tabellen zu CSF-Subcategories sind verfügbar
BSI IT-GrundschutzInhaltliche Überschneidungen; BSI hat eigene Mapping-Hilfen veröffentlicht
DORANIST CSF eignet sich als organisierendes Raster für die DORA-Anforderungen an ICT-Risikomanagement
CMMC (Cybersecurity Maturity Model Certification)Verbindlicher US-DoD-Standard für Verteidigungslieferanten, basiert auf NIST SP 800-171

Implementierungs-Aufwand

Erstes Reifegrad-Assessment: 4–8 Wochen mit externer Begleitung, je nach Organisationsgröße und Datenverfügbarkeit. Workshops mit 4–8 Schlüsselpersonen, Auswertung und Aufbereitung als Aufsichtsrats-Bericht.

Aufbau eines CSF-basierten Programms (KMU): 6–12 Monate, dann 0,2–0,5 FTE für die laufende Pflege der Profile und Reifegrad-Updates.

Aufbau eines CSF-basierten Programms (Mittelstand und größer): 12–24 Monate für die initiale Roadmap-Umsetzung, danach 1–3 FTE für laufenden Betrieb (oft kombiniert mit ISMS-Funktion).

Wiederkehrende Kosten: Jährliche Reifegrad-Updates, externe Validierung (optional, typisch alle 2–3 Jahre), Schulungen, Werkzeuge für Profile-Pflege. Die NIST-Dokumente selbst sind kostenlos.

Verwandte Standards

  • ISO/IEC 27001: Zertifizierbarer ISMS-Standard; gut kombinierbar mit CSF als Berichts-Layer.
  • CIS Controls: Konkrete technische Umsetzung der NIST-CSF-Subcategories.
  • BSI IT-Grundschutz: Detailtiefe Maßnahmenkataloge mit CSF-Mapping-Hilfen.
  • DORA: Europäische ICT-Resilienz-Verordnung; CSF eignet sich als strukturierendes Raster.

Quellen

Häufig gestellte Fragen

Brauche ich ein NIST-CSF-Zertifikat?

Es gibt kein offizielles NIST-CSF-Zertifikat. Das Framework dient als Strukturierungs- und Reifegradinstrument; eine prüfbare Konformitätsaussage ist nicht vorgesehen. Wer einen formalen Nachweis braucht, kombiniert NIST CSF mit einem zertifizierbaren Standard — typischerweise ISO 27001. Einige Audit-Firmen bieten NIST-CSF-Reifegrad-Assessments als Beratungsleistung an, das ist aber kein anerkanntes Prüfsiegel.

Wie unterscheidet sich CSF 2.0 von Version 1.1?

Die wichtigste Änderung: die neue Funktion Govern (GV) wurde vor Identify gestellt. Sie bündelt Themen wie Cybersecurity-Strategie, Rollen und Verantwortlichkeiten, Lieferketten-Steuerung und Risikoappetit. Außerdem gibt es jetzt Quick-Start-Guides für KMU, ein verbessertes Profile-Konzept und stärkere Bezüge zu Privacy- und Lieferketten-Themen. Die Grundstruktur (Funktionen, Kategorien, Subcategories) bleibt erhalten.

Wie verhält sich NIST CSF zu NIST SP 800-53?

NIST CSF ist das übergeordnete Steuerungsframework, NIST SP 800-53 ist der detaillierte Kontrollkatalog (rund 1.000 Controls) für US-Bundesbehörden. CSF mappt auf SP 800-53 als Informative References. Wer keine US-Behörde ist, nutzt typischerweise CSF zur Strukturierung und greift bei Bedarf einzelne SP-800-53-Controls als Umsetzungs-Hinweis auf, ohne den vollen Katalog umsetzen zu müssen.