Unkategorisiert

ENTWURF – Was ist das NIST Cybersecurity Framework?

Das NIST Cybersecurity Framework ist zahlreichen Unternehmen als Richtlinie für Cybersicherheitsrisiken bekannt. Hierbei handelt es sich um ein besonderes System, welches Unternehmen dabei unterstützen soll eventuelle Risiken im Bereich der Sicherheit von Informationen behilflich zu sein. Dieses System ist freiwillig und dient lediglich als Information. Das NIST Cybersecurity Framework wird in drei Kategorien unterteilt, „Core“, „Profile“ und „Tiers“. Im Bereich Core werden Aspekte, Aktivitäten, Referenzen und Ergebnisse bezüglich der Cybersicherheit ins Auge gefasst. Der Komplexitätsgrad eines Unternehmens und das Sicherheitsrisiko werden durch „Tiers“ beurteilt. Das Framework wird in fünf Kategorien unterteilt.

  • Identify
  • Protect
  • Detect
  • Respond
  • Recover

Risikomanagement ist ebenso ein großes Thema, wie es Phishing ist. Bei der Cybersecurity liegt der Schwerpunkt auf dem organisatorischen Verständnis. Das Cyberrisiko soll möglichst minimiert werden. Es wird eine Risikostrategie für das Unternehmen entwickelt und sämtliche Aktivitäten priorisiert und zugleich identifiziert. In einem weiteren Bereich werden sämtliche Prozesse verwaltet und überwacht. Weiter werden die Risikotoleranzen und Risikoentscheidungen genau ausgewertet.

Risikomanagement – Risiken erkennen, analysieren, bewerten und kontrollieren

Das NIST Cybersecurity Framework soll letztendlich die Risiken eines Cyberangriffes minimieren bzw. komplett vermeiden. Es sollen Ausfallrisiken vermieden werden, ebenso wie Compliance-Risiken und Marktrisiken. Cybersecurity kann als zentraler Baustein für Gefahren, Bedrohungen und Risiken bewertet werden. Es ist wichtig als Unternehmen, dass man sich auf externe Anspruchsgruppen proaktiv einstellt. Für das Risikomanagement ist in der Regel die Geschäftsleitung eines Unternehmens zuständig. In der Regel werden drei unterschiedliche Risikoanalyse Methoden in einem Unternehmen angewandt. Die Entscheidung fällt meistens zwischen der Monte Carlo Simulation, der Entscheidungsbaumanalyse und der Sensitivitätsanalyse.
In den meisten Fällen kommt es zum Angriff auf Passwörter. Es wird jedoch auch immer wieder gerne der Wlan-Zugang gehackt oder auch zu Anrufen von Kriminellen. Sehr schnell kann man hier in eine Falle tappen. Unternehmen sind besonders häufig von solchen angriffen betroffen.

Cyberkriminalität nimmt immer mehr zu

In den meisten Fällen verfolgen Cyberkriminelle eine ganz einfache Methode, denn sie beschaffen sich zu Anfang alle relevanten Informationen zu einem Unternehmen. Sie nehmen jedoch nicht nur den Hauptsitz eines Unternehmens genau unter die Lupe, sondern auch sämtliche Zweigniederlassungen. Die Kriminellen beschaffen sich im nächsten Schritt sämtliche Passwörter und Zugangsdaten, was häufig über Phishing geschieht. Im nächsten Schritt wird eine schadhafte Software verbreitet, die dem Unternehmen einen großen Schaden bereiten kann. Sind in dem Unternehmen Sicherheitslücken vorhanden, so nutzen Hacker diese und verschaffen sich Zugang. Ein Hacker verschafft sich über die Verbreitung weiterer Schadsoftware weiter Zugang im System. Es wird eventuell die Produktion lahm gelegt und das Unternehmen so erpresst. Ist das Unternehmen mit anderen Unternehmen vernetzt können auch diese Firmen von dem Cyberangriff betroffen sein.

NIST Cybersecurity Framework sollte daher für kleine, mittelständische und auch große Unternehmen ein absolutes Muss sein. Der Schaden, der ansonsten durch eine Cyberattacke ausgeführt werden könnte, kann enorm sein. Wichtig ist, dass man die Schwachstellen in seinem Unternehmen herausfindet und erkennt, damit man diese beheben kann. Fragen Sie sich, ob Ihre IT-Umgebung richtig gesichert ist und vermeiden Sie Sicherheitslücken in Ihrem System. Die Bedrohungen von Cyberangriffen ändern sich immer wieder und Unternehmen müssen genau darauf vorbereitet sein. Wichtig bei der Cybersicherheit ist jedoch auch, dass man stets Gesetze und Vorschriften einhält und hier immer auf dem neusten Stand ist.

Die Risiken der digitalen Transformation minimieren

Die digitale Transformation eines jeden Unternehmens sollte stets von Erfolg gekrönt sein. Mit der zunehmenden Digitalisierung begeben sich Unternehmen auch immer mehr in eine angreifbare Situation. Das Unternehmen muss permanent wachsam sein und Risikolücken direkt schließen. Wer ist aber genau die NIST? Hierbei handelt es sich um die National Institute of Standards and Technology. Dieses Unternehmen ist vergleichbar mit dem Institut für Normung aus Deutschland. Die NIST gilt als theoretisches Grundgerüst in der Cyberkriminalität und kann dabei helfen Risiken zu minimieren. Wichtig beim Cybersecurity ist, dass nicht nur eine Vorsorge getroffen wird, sondern auch im Nachhinein Verbesserungsstrategien entwickelt werden.

Unternehmen wissen oftmals gar nicht das sie der Cyberkriminalität zum Opfer gefallen sind

Im Prinzip kann man davon sprechen, dass es drei unterschiedliche Arten von Unternehmen gibt. Zum Einen das Unternehmen, welches Opfer einer Cyberattacke wurde, das Unternehmen, welches zwar Opfer wurde, dies aber gar nicht gemerkt hat und das Unternehmen, welches NIST Cybersecurity Framework beherzt hat. Cyberkriminelle setzen ihre gesamte Energie darin, dass sie Daten von Unternehmen sich aneignen und später für ihre Zwecke verwenden. Keine Firma, egal, ob klein oder groß, möchte eine Angriffsfläche bieten. Sie, als Unternehmensinhaber sollten sich bereits vor einem möglichen Angriff die Fragen stellen, wie sicher Ihre Software ist und wie Sie mögliche Verbesserungen vornehmen können? Haben Sie bereits einen Angriff festgestellt, dann sollten Sie zuerst die Nerven behalten. Es nützt niemandem etwas, wenn Sie in Panik ausbrechen.

Es ist wichtig, dass Sie über eine Art Checkliste verfügen aus der hervorgeht, was Sie im Falle der Fälle für Maßnahmen ergreifen sollten. Wichtig ist, dass Ihre Experten den Angriff analysieren.
Sie sollten sich über das Gefährdungsrisiko jederzeit bewusst sein. Haben Sie alle erforderlichen Maßnahmen durchgeführt und glauben Ihr Unternehmen sei sicher, lassen Sie sich nicht täuschen. Eine hochwertige Software, die nicht einmal das geringste Schlupfloch bietet gibt es nicht. Cyberkriminelle entwickeln sich immer weiter und werden besser, dass sollten Sie auch werden. Große Unternehmen haben nicht ohne Grund eine eigene Abteilung, die sich täglich um die Sicherheit bemüht. Es müssen immer wieder neue Maßnahmen ergriffen werden, die Sicherheit muss stets verbessert werden und Überprüfungen sollten in regelmäßigen abständen stattfinden.

Computerkriminalität wird hart bestraft

Leider werden Cyberkriminelle nur recht selten zur Stecke gebracht, da sie einfach über die neuste und beste Technik verfügen. In vielen Fällen befinden sich die Kriminellen im Ausland und sie ändern regelmäßig ihre Masche. Wer jedoch dennoch erwischt wird, der muss mit einer hohen Strafe rechnen. Es kommt letztendlich immer auf den Schweregrad der Kriminalität an. Das Strafmaß kann mit einer Freiheitsstrafe von bis zu 10 Jahren geahndet werden. Besonders hart bestraft werden:

  • Ausspähen von Daten nach
  • Abfangen von Daten
  • Vorbereiten des Ausspähens und Abfangens von Daten
  • Computerbetrug
  • Fälschung beweiserheblicher Daten
  • Täuschung im Rechtsverkehr bei Datenverarbeitung
  • Datenveränderung
  • Computersabotage

Viele Unternehmen sind häufig der Auffassung, dass kein Krimineller etwas mit den Daten anfangen kann, gerade bei kleinen Unternehmen ist dies der Fall. Stellen Sie sich jedoch nur mal vor, dass ein Hacker sämtliche Kundendaten von Ihnen erspäht hat. Er kann nicht nur Sie erpressen, sondern auch alle Ihre Kunden und letztendlich fällt dies auf Sie und Ihr Unternehmen zurück. Das NIST Cybersecurity Framework kann Ihnen und Ihrem Unternehmen eine große Unterstützung bieten, wenn Sie sich mehr Sicherheit wünschen.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.