Fragebogen zur Cybersicherheitsbewertung des Unternehmens

Was das NIST fordert

Das NIST fordert, dass die Unternehmensmission klar dokumentiert ist und die Cybersecurity-Entscheidungen leitet. Maßnahmen zum Schutz der Assets müssen mit den strategischen Zielen der Organisation übereinstimmen, damit Sicherheitsinvestitionen an den tatsächlichen Geschäftsprioritäten ausgerichtet sind.

Praktische Beispiele

Dokument zur Unternehmensmission mit Bezug zur Cybersicherheit, Strategieplan mit Sicherheitszielen, Vorstandspräsentation, die Mission und Cyberrisiko verknüpft.

Was das NIST fordert

Die Organisation muss alle internen Stakeholder (Mitarbeiter, Management, Vorstand) und externen Stakeholder (Kunden, Partner, Aufsichtsbehörden) identifizieren und deren Erwartungen an die Cybersecurity verstehen. Dies ermöglicht es, die Sicherheitsstrategie auf die konkreten Bedürfnisse derjenigen abzustimmen, die von der Organisation abhängig sind.

Praktische Beispiele

Stakeholder-Register mit den jeweiligen Sicherheitserwartungen, Protokolle von Besprechungen mit Kunden/Partnern zur Cybersicherheit, Analyse der von Schlüsselkunden geforderten Sicherheitsanforderungen.

Was das NIST fordert

Das Framework fordert das vollständige Verständnis und die Einhaltung aller gesetzlichen, regulatorischen und vertraglichen Verpflichtungen im Bereich Cybersecurity, einschließlich DSGVO, NIS2, DORA und branchenspezifischer Anforderungen. Nichteinhaltung kann erhebliche Bußgelder, zivil- und strafrechtliche Haftung sowie Reputationsschäden nach sich ziehen.

Praktische Beispiele

Register der anwendbaren Vorschriften (DSGVO, NIS2, DORA, branchenspezifische Regulierungen), aktualisierte Compliance-Checkliste, regelmäßige Rechtsberatung zu Cyber-Pflichten, Verfahren zur Überwachung regulatorischer Änderungen.

Was das NIST fordert

Die Organisation muss wissen, welche ihrer Dienste und Fähigkeiten für externe Parteien (Kunden, Partner, Lieferkette) kritisch sind. Dies ermöglicht es, Schutzprioritäten festzulegen und das gewährleistete Maß an Zuverlässigkeit und Sicherheit transparent zu kommunizieren.

Praktische Beispiele

Verzeichnis der an Dritte erbrachten kritischen Dienste mit entsprechenden Sicherheits-SLAs, Mitteilungen an Kunden zur Sicherheitslage, mit Kunden geteilte Sicherheitszertifizierungen (z. B. ISO 27001).

Was das NIST fordert

Das NIST fordert die Erfassung der externen Abhängigkeiten der Organisation: Cloud-Dienste, IKT-Anbieter, kritische Infrastrukturen, Konnektivität. Zu verstehen, von wem man abhängig ist, ist unerlässlich, um Unterbrechungsrisiken zu bewerten und angemessene Geschäftskontinuitätspläne zu definieren.

Praktische Beispiele

Übersicht externer Abhängigkeiten (Cloud-Anbieter, ISP, kritische Lieferanten), Auswirkungsanalyse bei Nichtverfügbarkeit jedes externen Dienstes, Notfallpläne für wesentliche Abhängigkeiten.

Was das NIST fordert

Die Ziele des Risikomanagements müssen formell definiert und mit den wichtigsten Stakeholdern (Management, Vorstand, Bereichsverantwortliche) abgestimmt sein. Dies gewährleistet einen gemeinsamen und kohärenten Sicherheitsansatz und vermeidet fragmentierte oder widersprüchliche Entscheidungen.

Praktische Beispiele

Vom Vorstand genehmigtes Dokument zur Risikomanagement-Strategie, Protokolle der Sitzungen zur Zielfestlegung, formelle Risikoappetit-Erklärung.

Was das NIST fordert

Die Risikobereitschaft (wie viel Risiko die Organisation zu akzeptieren bereit ist) und die Risikotoleranz (spezifische Schwellenwerte je Risikotyp) müssen in schriftlichen Erklärungen formalisiert, der gesamten Organisation kommuniziert und regelmäßig überprüft werden. Ohne diese Parameter bleiben Sicherheitsentscheidungen subjektiv.

Praktische Beispiele

Schriftliche Erklärung zu Risikoappetit und Risikotoleranz je Risikotyp (z. B. „maximal akzeptables Restrisiko: mittel"), Kommunikation an alle Bereichsverantwortlichen.

Was das NIST fordert

Das Cyber-Risikomanagement darf kein isolierter Prozess sein, sondern muss in das unternehmensweite Risikomanagement (ERM) integriert werden. Vorstand und Management müssen das Cyber-Risiko zusammen mit finanziellen, operativen und reputationsbezogenen Risiken betrachten, um fundierte Entscheidungen über die Ressourcenzuweisung treffen zu können.

Praktische Beispiele

Risikoregister, das Cyberrisiken neben finanziellen und operativen Risiken enthält, integrierte Berichterstattung an den Vorstand, ERM-Rahmenwerk, das Cybersicherheit explizit einschließt.

Was das NIST fordert

Das NIST fordert, dass die Organisation eine klare strategische Ausrichtung zu den Optionen der Risikobehandlung definiert und kommuniziert: mindern, akzeptieren, übertragen (Versicherung) oder vermeiden. Dieser Entscheidungsrahmen ermöglicht schnelle und konsistente Reaktionen bei neu auftretenden Risiken.

Praktische Beispiele

Entscheidungsmatrix zur Risikobehandlung (mindern/akzeptieren/übertragen/vermeiden), Leitlinien für Bereichsverantwortliche, Eskalationskriterien an das Management.

Was das NIST fordert

Es müssen strukturierte Kommunikationskanäle für Cyber-Risiken auf allen Ebenen der Organisation bestehen, einschließlich solcher aus der Lieferkette. Risikoinformationen müssen ohne Barrieren oder Verzögerungen von der operativen Ebene zum Management und umgekehrt fließen.

Praktische Beispiele

Definierte Kommunikationskanäle (z. B. monatlicher CISO-Bericht an den Vorstand, interne Warnmeldungen, Sicherheits-Newsletter), Verfahren zur Meldung von Risiken aus der Lieferkette, regelmäßige bereichsübergreifende Besprechungen.

Was das NIST fordert

Das Framework fordert eine standardisierte und wiederholbare Methodik zur Berechnung, Dokumentation und Priorisierung von Cybersecurity-Risiken. Ohne eine einheitliche Methodik wird die Risikobewertung subjektiv und zeitlich nicht vergleichbar, was eine Fortschrittsmessung unmöglich macht.

Praktische Beispiele

Dokumentierte Risikobewertungsmethodik (z. B. basierend auf ISO 27005 oder FAIR), standardisierte Bewertungsvorlagen, einheitliche Risikoklassifizierungsskala, zentrales Verwaltungswerkzeug.

Was das NIST fordert

Strategische Chancen (positive Risiken), die sich aus der Cybersecurity ergeben, müssen identifiziert und berücksichtigt werden. Eine starke Sicherheitsposition kann zum Wettbewerbsvorteil, zum Differenzierungsmerkmal am Markt und zum Enabler neuer digitaler Initiativen werden.

Praktische Beispiele

Analyse der aus der Sicherheit resultierenden Geschäftsmöglichkeiten (z. B. Zertifizierungen als Wettbewerbsvorteil), Business Case für Investitionen in Cybersicherheit, Fallstudien gewonnener Kunden dank der Sicherheitslage.

Was das NIST fordert

Die Führungsebene der Organisation muss die Verantwortung für das Cyber-Risiko übernehmen und aktiv eine Sicherheitskultur fördern. Das bedeutet, dass CEO, Vorstand und oberes Management die Cybersecurity nicht an die IT delegieren, sondern sie als strategische Priorität betrachten und mit bewusstem Verhalten vorangehen.

Praktische Beispiele

Formelle Ernennung des CISO oder Cybersicherheitsverantwortlichen, Tagesordnung des Vorstands mit regelmäßigem Punkt Cybersicherheit, Verhaltenskodex mit Bezug zur IT-Sicherheit, Programm zur Sicherheitskultur.

Was das NIST fordert

Jede Rolle im Zusammenhang mit dem Cyber-Risikomanagement muss formell definiert, dokumentiert und kommuniziert werden. Die Mitarbeiter müssen genau wissen, was in Bezug auf Sicherheit von ihnen erwartet wird, und die Entscheidungsbefugnisse müssen klar sein, um Verantwortungslücken zu vermeiden.

Praktische Beispiele

Organigramm mit Cybersicherheitsrollen, Stellenbeschreibungen mit Sicherheitsverantwortlichkeiten, RACI-Matrix für Sicherheitsprozesse, formelle Kommunikation der Rollen an alle Mitarbeitenden.

Was das NIST fordert

Die Ressourcen (Budget, Personal, Werkzeuge, Schulungen) müssen der Risikostrategie und den definierten Rollen angemessen sein. Eine Sicherheitsrichtlinie ohne Ressourcen für deren Umsetzung ist wirkungslos. Das NIST fordert eine Abstimmung zwischen Sicherheitszielen und konkreten Investitionen.

Praktische Beispiele

Genehmigtes, dediziertes Budget für Cybersicherheit, Einstellungs-/Schulungsplan für das Sicherheitsteam, Inventar der Sicherheitswerkzeuge und -dienste, Gap-Analyse Ressourcen vs. Bedarf.

Was das NIST fordert

Cybersecurity muss in die HR-Prozesse integriert werden: von der Personalauswahl (Hintergrundüberprüfung) über die Einarbeitung, die Zugriffsverwaltung während des Beschäftigungsverhältnisses bis hin zum sicheren Entzug der Zugriffsrechte bei Ausscheiden. Der menschliche Faktor ist der wichtigste Risikovektor.

Praktische Beispiele

HR-Richtlinie mit Vorabüberprüfung bei Einstellung, verpflichtende Sicherheitsschulung beim Onboarding, Verfahren zum Entzug von Zugängen bei Beendigung des Arbeitsverhältnisses, Vertraulichkeitsklauseln in Arbeitsverträgen.

Was das NIST fordert

Die Organisation muss eine formelle Cybersecurity-Richtlinie haben, die auf ihrem operativen Kontext und ihrer Risikostrategie basiert. Die Richtlinie muss auf allen Ebenen kommuniziert und konsistent angewendet werden. Ohne eine klare Richtlinie werden Sicherheitsentscheidungen willkürlich und inkonsistent.

Praktische Beispiele

Von der Geschäftsleitung genehmigte und im Intranet veröffentlichte Cybersicherheitsrichtlinie, Richtlinie zur akzeptablen Nutzung von IT-Ressourcen, Passwortrichtlinie, Richtlinie zur Datenklassifizierung.

Was das NIST fordert

Die Cybersecurity-Richtlinie ist kein statisches Dokument: Sie muss regelmäßig überprüft und aktualisiert werden, um Veränderungen in der Bedrohungslandschaft, der Technologie, den regulatorischen Anforderungen und der Unternehmensmission widerzuspiegeln. Das NIST empfiehlt mindestens jährliche Überprüfungen oder Überprüfungen nach wesentlichen Vorfällen.

Praktische Beispiele

Register der Richtlinienüberarbeitungen mit Datum und Begründung, Verfahren zur jährlichen Aktualisierung, Auslöser für außerordentliche Überarbeitung (z. B. nach einem Vorfall oder einer Gesetzesänderung), Kommunikation der Aktualisierungen.

Was das NIST fordert

Die Ergebnisse der Cyber-Risikomanagementstrategie müssen regelmäßig überprüft werden, um festzustellen, ob die eingeschlagene Richtung wirksam ist. Kennzahlen, KPIs und regelmäßige Berichte ermöglichen es dem Management, Entscheidungen auf der Grundlage konkreter Daten statt auf Wahrnehmungen zu treffen.

Praktische Beispiele

Dashboard mit Sicherheits-KPIs (z. B. durchschnittliche Patching-Zeit, Anzahl der Vorfälle, Compliance-Quote), vierteljährlicher Bericht an den Vorstand, Protokolle strategischer Überprüfungen mit Korrekturmaßnahmen.

Was das NIST fordert

Die Risikostrategie muss regelmäßig überprüft werden, um sicherzustellen, dass sie alle Anforderungen und Risiken der Organisation, einschließlich neu entstehender Risiken, angemessen abdeckt. Veränderungen im Geschäft, in der Technologie oder in der Bedrohungslandschaft können eine zuvor wirksame Strategie obsolet machen.

Praktische Beispiele

Jährliche Überprüfung der Risikostrategie, Gap-Analyse hinsichtlich neuer Bedrohungen oder Vorschriften, Aktualisierung des strategischen Sicherheitsplans auf Basis der Ergebnisse des Vorjahres.

Was das NIST fordert

Die Gesamtleistung des Cyber-Risikomanagements muss systematisch bewertet werden. Dazu gehören die Wirksamkeit der Kontrollen, die Reaktionsfähigkeit bei Vorfällen, die Einhaltung der Richtlinien und das Erreichen der definierten Sicherheitsziele.

Praktische Beispiele

Internes/externes Audit der Cybersicherheit, Leistungskennzahlen (z. B. Reaktionszeit bei Vorfällen, Abdeckung der Schwachstellen), Benchmarking mit der Branche, Verbesserungsplan basierend auf den Ergebnissen.

Was das NIST fordert

Das NIST fordert ein strukturiertes Programm für das Cyber-Lieferkettenrisikomanagement (C-SCRM) mit Strategie, Zielen und Prozessen, die mit den Stakeholdern geteilt werden. Angriffe auf die Lieferkette nehmen stark zu und können auch gut geschützte Organisationen über deren Lieferanten kompromittieren.

Praktische Beispiele

Dokumentiertes C-SCRM-Programm mit Zielen und KPIs, vom Management genehmigte Richtlinie zur Lieferkettensicherheit, dediziertes Budget für das Lieferantenrisikomanagement.

Was das NIST fordert

Die Cybersecurity-Rollen für Lieferanten, Kunden und Partner müssen klar definiert und koordiniert sein. Jeder Akteur in der Kette muss wissen, wofür er in Bezug auf Sicherheit verantwortlich ist – sowohl vertraglich als auch operativ.

Praktische Beispiele

Vertragsklauseln, die Sicherheitsverantwortlichkeiten für jeden Lieferanten definieren, RACI-Matrix Lieferant-Organisation, regelmäßige Abstimmungstreffen zur Sicherheit mit Schlüsselpartnern.

Was das NIST fordert

Das Lieferkettenrisikomanagement darf kein separater Prozess sein, sondern muss in die unternehmensweiten Risikomanagementprozesse integriert werden. Die von Lieferanten ausgehenden Risiken müssen mit derselben Methodik bewertet und gesteuert werden, die auch für interne Risiken verwendet wird.

Praktische Beispiele

Lieferkettenrisiken im unternehmensweiten Risikoregister, Integration der Lieferantenbewertung in den Risikobewertungsprozess, einheitliche Berichterstattung über interne Risiken und Lieferkettenrisiken.

Was das NIST fordert

Lieferanten müssen erfasst und nach der Kritikalität der erbrachten Leistung sowie dem Umfang des Zugriffs auf Systeme und Daten der Organisation klassifiziert werden. Ein Lieferant mit privilegiertem Zugang zu kritischen Systemen erfordert ein wesentlich höheres Maß an Überprüfung als einer, der marginale Dienstleistungen erbringt.

Praktische Beispiele

Lieferantenregister mit Kritikalitätsklassifizierung (hoch/mittel/niedrig), dokumentierte Klassifizierungskriterien, regelmäßige Überprüfung der Klassifizierung.

Was das NIST fordert

Cybersecurity-Anforderungen müssen explizit in Verträge mit Lieferanten und Dritten aufgenommen werden. Klauseln über Mindestsicherheitsstandards, Meldepflichten bei Sicherheitsverletzungen, Auditrecht und SLAs für die Vorfallreaktion sind für ein wirksames Risikomanagement unerlässlich.

Praktische Beispiele

Vertragsvorlage mit Standard-Sicherheitsklauseln, Mindestsicherheitsanforderungen für Lieferanten (z. B. ISO 27001, SOC 2), vorvertragliche Prüfliste.

Was das NIST fordert

Bevor formelle Beziehungen mit neuen Lieferanten eingegangen werden, fordert das NIST eine Sorgfaltsprüfung (Due Diligence) zur Bewertung der Sicherheitslage. Dies umfasst die Überprüfung von Zertifizierungen, die Analyse der Sicherheitspraktiken und die Bewertung der organisatorischen Stabilität des Lieferanten.

Praktische Beispiele

Vorvertragliches Due-Diligence-Verfahren, Sicherheitsfragebogen für neue Lieferanten, Überprüfung der Zertifizierungen, Analyse der finanziellen Stabilität des Lieferanten.

Was das NIST fordert

Die Überwachung der von Lieferanten ausgehenden Risiken endet nicht mit der anfänglichen Sorgfaltsprüfung, sondern muss während der gesamten Dauer der Geschäftsbeziehung fortgesetzt werden. Die Risiken müssen regelmäßig neu bewertet werden, insbesondere bei wesentlichen Veränderungen beim Lieferanten oder in der Bedrohungslandschaft.

Praktische Beispiele

Kontinuierliches Monitoring der Lieferanten (z. B. Security Rating), regelmäßige Audits kritischer Lieferanten, Neubewertung des Risikos nach Vorfällen oder wesentlichen Änderungen beim Lieferanten.

Was das NIST fordert

Kritische Lieferanten müssen in die Vorfallreaktions- und Wiederherstellungspläne eingebunden werden. Im Falle eines Vorfalls ist die zeitnahe Zusammenarbeit mit Lieferanten häufig entscheidend für die Eindämmung und Wiederherstellung. Gemeinsame Übungen stellen sicher, dass die Verfahren funktionieren.

Praktische Beispiele

Incident-Response-Plan, der die Rollen der Lieferanten einschließt, gemeinsame Übungen (Tabletop-Exercises), Notfallkommunikationsverfahren mit kritischen Lieferanten.

Was das NIST fordert

Die Sicherheitspraktiken der Lieferkette müssen während des gesamten Lebenszyklus der beschafften Produkte und Dienstleistungen überwacht werden – von der Anschaffung bis zur Außerbetriebnahme. Das NIST fordert, dass diese Überwachung in bestehende Risikomanagementprogramme integriert wird.

Praktische Beispiele

Überwachung von Patches und Schwachstellen in Lieferantenprodukten, Sicherheitsüberprüfung über den gesamten Lebenszyklus (Beschaffung, Nutzung, Außerbetriebnahme), KPIs zur Lieferkettensicherheit.

Was das NIST fordert

Die Risikomanagementpläne müssen vorsehen, was geschieht, wenn eine Partnerschaft oder ein Dienstleistungsvertrag endet. Die sichere Rückgabe oder Vernichtung von Daten, der Entzug von Zugriffsrechten und die Übertragung von Verantwortlichkeiten müssen im Voraus geplant werden.

Praktische Beispiele

Vertragliche Exit-Management-Klauseln, Verfahren zur Rückgabe/Vernichtung von Daten bei Vertragsende, Offboarding-Checkliste für Lieferanten, Überprüfung des Entzugs von Zugängen.

Was das NIST fordert

Das NIST fordert ein genaues und aktuelles Inventar aller von der Organisation verwalteten Hardwaregeräte: Server, PCs, mobile Geräte, Netzwerkkomponenten, IoT. Man kann nicht schützen, was man nicht kennt. Das Inventar muss Eigentümer, Standort, Status und Kritikalität jedes Assets umfassen.

Praktische Beispiele

CMDB oder aktualisiertes Hardware-Inventar, regelmäßige Netzwerkscans zur Erkennung nicht erfasster Geräte, Kennzeichnung der Assets, Registrierungsprozess für neue Geräte.

Was das NIST fordert

Analog zur Hardware muss sämtliche im Einsatz befindliche Software katalogisiert werden, einschließlich Cloud-Plattformen und SaaS-Dienste. Ein Software-Inventar ermöglicht die Identifikation veralteter Versionen, nicht konformer Lizenzen und nicht autorisierter Anwendungen (Schatten-IT) – grundlegend für das Schwachstellenmanagement.

Praktische Beispiele

Software-Inventar mit Versionen und Lizenzen, Scans zur Erkennung von Schatten-IT, Register der abonnierten SaaS- und Cloud-Dienste, Genehmigungsprozess für neue Software.

Was das NIST fordert

Das Framework fordert die Abbildung der Kommunikations- und Datenflüsse innerhalb und außerhalb der Organisation. Zu verstehen, wie Daten zwischen Systemen, Netzwerken und Partnern bewegt werden, ist unerlässlich, um Expositionspunkte zu identifizieren, das Netzwerk zu segmentieren und angemessene Zugangskontrollen anzuwenden.

Praktische Beispiele

Aktuelle Netzwerkdiagramme, Datenflussdiagramme (Data Flow Diagrams), Dokumentation der externen Verbindungen (VPN, API, Verbindungen zu Partnern).

Was das NIST fordert

Jeder von Dritten erbrachte Dienst, der Auswirkungen auf die Sicherheit hat, muss inventarisiert werden. Jeder externe Anbieter stellt einen potenziellen Angriffsvektor dar: Zu wissen, wer was liefert und mit welchem Zugriffsumfang, ist Voraussetzung für das Lieferkettenrisikomanagement.

Praktische Beispiele

Register der IT-/Cloud-Dienstleister mit Angaben zu erbrachten Leistungen, Datenzugriffsniveau, vereinbarten SLAs und laufenden Verträgen.

Was das NIST fordert

Nicht alle Assets haben die gleiche Bedeutung. Das NIST fordert, dass sie nach ihrer Kritikalität für die Unternehmensmission klassifiziert werden. Dies ermöglicht eine verhältnismäßige Zuweisung der Sicherheitsressourcen: Systeme, die sensible Daten verarbeiten, verdienen strengere Schutzmaßnahmen.

Praktische Beispiele

Asset-Klassifizierungsmatrix (kritisch/wichtig/Standard), Bewertung der Auswirkungen bei Kompromittierung, definierte Schutz- und Wiederherstellungsprioritäten.

Was das NIST fordert

Daten sind häufig das wertvollste Asset. Das NIST fordert ein Inventar, das beschreibt, welche Daten verarbeitet werden, wo sie gespeichert sind, wer der Eigentümer ist und welche Sensibilitätsstufe sie haben. Dies ist unerlässlich für den Datenschutz und die DSGVO-Konformität.

Praktische Beispiele

Verzeichnis der Verarbeitungstätigkeiten (gemäß DSGVO), Datenklassifizierung (öffentlich, intern, vertraulich, geheim), Übersicht der Daten-Repositories, Identifikation der Dateneigentümer.

Was das NIST fordert

Jedes Asset muss von der Beschaffung bis zur Außerbetriebnahme sicher verwaltet werden. Das bedeutet dokumentierte Prozesse für die sichere Erstkonfiguration, regelmäßige Patch-Anwendung, Wartung und sichere Entsorgung mit Datenlöschung.

Praktische Beispiele

Lifecycle-Management-Verfahren für Hardware und Software, Härtungsprozess für neue Systeme, Patch-Plan, Verfahren zur sicheren Außerbetriebnahme (z. B. NIST SP 800-88 zur Datenbereinigung).

Was das NIST fordert

Das NIST fordert einen systematischen Prozess zur Identifizierung von Schwachstellen. Es genügt nicht zu wissen, dass sie existieren: Sie müssen validiert, nach Schweregrad klassifiziert (zum Beispiel mit dem CVSS-System) und erfasst werden, um prioritär die kritischsten beheben zu können.

Praktische Beispiele

Regelmäßige Schwachstellenscans (mindestens vierteljährlich), jährliche Penetrationstests, Verfolgung relevanter CVEs, Prozess zur Priorisierung und Behebung von Schwachstellen.

Was das NIST fordert

Bedrohungsinformationen (Threat Intelligence) ermöglichen es, Bedrohungen vorherzusehen. Die Organisation muss Informationsquellen nutzen: Bulletins nationaler CERTs, Herstellerhinweise, Feeds mit Kompromittierungsindikatoren, mit Branchenorganisationen (ISAC) geteilte Informationen.

Praktische Beispiele

Abonnement von CERT-Bulletins (z. B. BSI, CERT-Bund), Bezug von Threat-Intelligence-Feeds, Teilnahme an branchenspezifischen ISACs, Monitoring der Herstellerhinweise.

Was das NIST fordert

Das NIST fordert eine vollständige Katalogisierung der Bedrohungen – sowohl externer (Cyberkriminelle, Hacktivisten, staatliche Akteure) als auch interner (böswillige Mitarbeiter, menschliche Fehler). Jede Bedrohung muss mit Motivation, Fähigkeiten und potenziell betroffenen Assets dokumentiert werden.

Praktische Beispiele

Bedrohungsregister mit Profilen relevanter Angreifer für die Branche, Analyse interner Bedrohungen (Insider Threats), regelmäßige Bewertung der Bedrohungslandschaft.

Was das NIST fordert

Für jede Kombination aus Bedrohung und Schwachstelle muss die Organisation die Ausnutzungswahrscheinlichkeit und die Auswirkungen im Erfolgsfall (finanziell, operativ, reputationsbezogen, rechtlich) abschätzen. Diese Analyse, typischerweise in einer Risikomatrix, ermöglicht fundierte Entscheidungen über die Ressourcenzuweisung.

Praktische Beispiele

Eintrittswahrscheinlichkeits-/Auswirkungsmatrix für Risikoszenarien, Bewertung der finanziellen, operativen und reputationsbezogenen Auswirkungen, dokumentierte Angriffsszenarien mit Wahrscheinlichkeitsschätzungen.

Was das NIST fordert

Nach der Analyse von Bedrohungen und Schwachstellen fordert das NIST die Bestimmung des Restrisikos und dessen Nutzung zur Priorisierung von Maßnahmen. Die Organisation muss ihre Risikobereitschaft definieren und die Ressourcen auf die Risiken konzentrieren, die diesen Schwellenwert überschreiten.

Praktische Beispiele

Risikoregister mit berechnetem Restrisiko je Szenario, Abgleich mit dem definierten Risikoappetit, priorisierter Behandlungsplan, Risikobewertungs-Dashboard.

Was das NIST fordert

Für jedes identifizierte Risiko ist eine dokumentierte Entscheidung erforderlich: mindern, akzeptieren, übertragen (z. B. Cyber-Versicherung) oder vermeiden. Jede Entscheidung muss in einem Risikobehandlungsplan mit Verantwortlichen, Fristen und Stakeholder-Kommunikation nachverfolgt werden.

Praktische Beispiele

Risikobehandlungsplan mit Maßnahmen, Verantwortlichen und Fristen, formelle Risikoakzeptanz mit Unterschrift des Managements, Cyber-Versicherungspolicen, Statusberichterstattung zu den Maßnahmen.

Was das NIST fordert

Änderungen an der IT-Infrastruktur und Ausnahmen von Richtlinien sind Momente erhöhten Risikos. Das NIST fordert einen Change-Management-Prozess, der die Sicherheitsauswirkungen vor der Implementierung von Änderungen bewertet. Ausnahmen müssen genehmigt, dokumentiert und befristet sein.

Praktische Beispiele

Change-Management-Prozess mit Sicherheitsbewertung, Register der Richtlinienausnahmen mit Genehmigung und Ablaufdatum, regelmäßige Überprüfung aktiver Ausnahmen.

Was das NIST fordert

Die Organisation muss einen strukturierten Prozess haben, um Schwachstellenmeldungen aus internen und externen Quellen (Sicherheitsforscher, Hersteller) zu empfangen, zu analysieren und darauf zu reagieren. Dies umfasst ein Verfahren zur verantwortungsvollen Offenlegung (Responsible Disclosure).

Praktische Beispiele

E-Mail-Adresse oder Portal zur Meldung von Schwachstellen, veröffentlichtes Verfahren zur verantwortungsvollen Offenlegung (Responsible Disclosure), interner Prozess zur Analyse und Beantwortung der Meldungen.

Was das NIST fordert

Vor dem Erwerb und Einsatz von Hard- und Software fordert das NIST die Überprüfung ihrer Authentizität und Integrität. Gefälschte oder manipulierte Produkte können Hintertüren oder Schadsoftware enthalten, die die Sicherheit der gesamten Infrastruktur gefährden.

Praktische Beispiele

Überprüfung der Authentizität von Hardware-/Softwarelieferanten, Kontrolle digitaler Signaturen der Software, Beschaffung ausschließlich über autorisierte Kanäle, Überprüfung der Firmware-Integrität.

Was das NIST fordert

Kritische Lieferanten müssen vor der Beschaffung im Hinblick auf das Risiko bewertet werden. Die vorvertragliche Sorgfaltsprüfung muss die Überprüfung der Sicherheitslage, der Zertifizierungen, der finanziellen Stabilität und der Vorfallreaktionsfähigkeit umfassen.

Praktische Beispiele

Sicherheitsfragebogen vor der Beschaffung, Überprüfung der Lieferantenzertifizierungen, Analyse des Security Ratings, dokumentierte Due Diligence vor Vertragsunterzeichnung.

Was das NIST fordert

Das NIST fordert, dass die Ergebnisse von Bewertungen (Audits, Assessments, Überprüfungen) systematisch analysiert werden, um Verbesserungsbereiche zu identifizieren. Jede Bewertung muss konkrete und nachverfolgbare Empfehlungen mit Verantwortlichen und Fristen für deren Umsetzung hervorbringen.

Praktische Beispiele

Auditbericht mit Empfehlungen und Maßnahmenplan, Nachverfolgung der Umsetzung der Empfehlungen, Überprüfung der implementierten Verbesserungen.

Was das NIST fordert

Sicherheitstests und Übungen (Penetrationstests, Red Teaming, Tabletop-Übungen) müssen zur Identifikation von Verbesserungen eingesetzt werden. Die Einbindung der Lieferanten in diese Aktivitäten ist wichtig, um die Resilienz der gesamten Wertschöpfungskette zu überprüfen.

Praktische Beispiele

Ergebnisse der Penetrationstests mit Korrekturmaßnahmen, Erkenntnisse aus Sicherheitsübungen, nach gemeinsamen Tests mit Lieferanten umgesetzte Verbesserungen.

Was das NIST fordert

Der tägliche Betrieb ist eine wertvolle Quelle für Verbesserungen. Wiederkehrende Probleme, Beinahe-Vorfälle und Ineffizienzen in den Sicherheitsprozessen müssen systematisch erfasst und analysiert werden, um einen kontinuierlichen Verbesserungszyklus zu speisen.

Praktische Beispiele

Register der Erkenntnisse aus dem täglichen Betrieb, Analyse von Beinahe-Vorfällen, Verbesserungsvorschläge des Betriebsteams, regelmäßige Überprüfung der Sicherheitsprozesse.

Was das NIST fordert

Vorfallreaktionspläne und andere Cybersecurity-Pläne müssen lebende Dokumente sein: definiert, den Nutzern kommuniziert, regelmäßig getestet und auf Basis der gewonnenen Erkenntnisse verbessert. Ein nicht getesteter Plan ist kaum mehr als eine Absichtserklärung.

Praktische Beispiele

Getesteter und aktualisierter Incident-Response-Plan, Disaster-Recovery-Plan, Business-Continuity-Plan, Register der durchgeführten Überprüfungen und Tests mit Ergebnissen.

Was das NIST fordert

Alle digitalen Identitäten (Benutzer, Dienste, Geräte) müssen zentral verwaltet werden, mit dokumentierten Prozessen für Erstellung, Änderung und Deaktivierung. Die Organisation muss die vollständige Kontrolle darüber haben, wer und was Zugang zu ihren Systemen hat.

Praktische Beispiele

Zentrales Identity-Management-System (Active Directory, Entra ID usw.), Prozess zur Einrichtung/Deaktivierung von Benutzerkonten, regelmäßige Überprüfung aktiver Konten.

Was das NIST fordert

Identitäten müssen verifiziert und den Anmeldedaten kontextbezogen zugeordnet werden: Ein Zugriff auf kritische Daten von einem externen Netzwerk erfordert strengere Überprüfungen als ein Zugriff auf nicht sensible Ressourcen aus dem internen Netzwerk.

Praktische Beispiele

Adaptive, kontextbasierte Authentifizierung (Standort, Gerät, Uhrzeit), differenzierte Verifizierungsstufen für Zugriffe mit hoher/niedriger Kritikalität, Identitätsüberprüfung bei Zurücksetzung von Anmeldedaten.

Was das NIST fordert

Das NIST fordert, dass alle Benutzer, Dienste und Hardware vor dem Zugriff auf Ressourcen authentifiziert werden. Die Multi-Faktor-Authentifizierung (MFA) wird dringend empfohlen, insbesondere für privilegierte Zugänge und Fernzugriffe.

Praktische Beispiele

Multi-Faktor-Authentifizierung (MFA) für alle kritischen und Remote-Zugriffe aktiv, Passwortrichtlinie (Komplexität, Rotation), Zertifikate zur Authentifizierung von Diensten und Geräten.

Was das NIST fordert

Identitätsbestätigungen (Token, Zertifikate, föderierte Anmeldedaten) müssen während der Übertragung geschützt und zum Zeitpunkt der Verwendung verifiziert werden. Die Kompromittierung eines Identitätsmechanismus kann den unbefugten Zugang zu allen verbundenen Systemen ermöglichen.

Praktische Beispiele

Verschlüsselt geschützte Sitzungstoken, digitale Zertifikate für die Identitätsföderation, Token-Validierung beim Ressourcenzugriff, sichere Protokolle (OAuth 2.0, SAML).

Was das NIST fordert

Zugriffsberechtigungen müssen dem Prinzip der geringsten Berechtigung (jeder Benutzer hat nur die unbedingt erforderlichen Zugänge) und der Funktionstrennung (keine Einzelperson hat die vollständige Kontrolle über einen kritischen Prozess) folgen. Die Berechtigungen müssen regelmäßig überprüft werden.

Praktische Beispiele

Zugriffsberechtigungsmatrix je Rolle, vierteljährliche Zugriffsüberprüfung (Access Review), Anwendung des Prinzips der geringsten Berechtigung, Funktionstrennung bei kritischen Prozessen.

Was das NIST fordert

Der physische Zugang zu Rechenzentren, Serverräumen, Netzwerkschränken und anderen kritischen Assets muss kontrolliert, überwacht und protokolliert werden. Die physischen Sicherheitsmaßnahmen müssen dem Risiko und dem Wert der geschützten Assets angemessen sein.

Praktische Beispiele

Zugangskarten für Sicherheitsbereiche, Protokollierung physischer Zutritte, Videoüberwachung der Rechenzentren, Besucherbegleitungsverfahren, elektronische Schlösser für Netzwerkschränke.

Was das NIST fordert

Alle Mitarbeiter müssen eine rollengerechte Cybersecurity-Schulung erhalten. Dazu gehören das Erkennen von Phishing, der sichere Umgang mit Passwörtern, das Erkennen verdächtiger Verhaltensweisen und die bei einem Vorfall zu befolgenden Verfahren.

Praktische Beispiele

Jährliche verpflichtende Cybersicherheitsschulung für alle Mitarbeitenden, regelmäßige Phishing-Simulationen, Informationsmaterial im Intranet, Sensibilisierungskampagnen.

Was das NIST fordert

Personen mit spezialisierten Rollen (IT-Administratoren, Entwickler, Sicherheitsanalysten) müssen spezifische und aktuelle technische Schulungen zu den für ihre Aufgaben relevanten Bedrohungen und Sicherheitspraktiken erhalten.

Praktische Beispiele

Technische Schulungen für IT-Administratoren (z. B. Systemsicherheit, Härtung), Schulungen für Entwickler zu sicherem Programmieren (OWASP), Sicherheitszertifizierungen für Schlüsselrollen.

Was das NIST fordert

Gespeicherte Daten (auf Festplatten, in Datenbanken, Backups, Wechseldatenträgern) müssen durch Verschlüsselung, Zugriffskontrollen und Integritätsmechanismen geschützt werden. Der Schutz ruhender Daten ist grundlegend, um den Verlust der Vertraulichkeit bei physischem Diebstahl oder unbefugtem Zugriff zu verhindern.

Praktische Beispiele

Festplattenverschlüsselung (BitLocker, FileVault), Datenbankverschlüsselung für sensible Daten, Zugriffskontrolle auf Dateien und Repositories, Data-Loss-Prevention-Richtlinien (DLP).

Was das NIST fordert

Daten während der Übertragung (über interne Netzwerke, Internet, VPN) müssen durch kryptografische Protokolle (TLS, IPsec) geschützt werden. Das NIST fordert, dass sensible Kommunikation während der Übertragung weder abgefangen noch verändert werden kann.

Praktische Beispiele

TLS/HTTPS für alle Web-Kommunikation, VPN für Remote-Verbindungen, Verschlüsselung sensibler E-Mails, IPsec für Site-to-Site-Verbindungen.

Was das NIST fordert

Auch Daten während der Verarbeitung (im Arbeitsspeicher, Cache, während der Berechnung) müssen geschützt werden. Techniken wie Speicherverschlüsselung und Prozesszugriffskontrolle tragen zum Schutz der Daten während der aktiven Verarbeitung bei.

Praktische Beispiele

Anwendungsspeicherschutz, Zugriffskontrolle auf laufende Prozesse, sichere Verarbeitungsumgebungen für sensible Daten (z. B. sichere Enklaven, Confidential Computing).

Was das NIST fordert

Backups müssen regelmäßig erstellt, geschützt (verschlüsselt und mit eingeschränktem Zugriff), sicher aufbewahrt (auch an einem externen Standort) und regelmäßig auf Wiederherstellbarkeit getestet werden. Ein nicht getestetes Backup ist kein zuverlässiges Backup.

Praktische Beispiele

Automatische tägliche Backups mit Verschlüsselung, Off-Site-Kopien oder in separater Cloud, regelmäßige Wiederherstellungstests (mindestens halbjährlich), Backup-Aufbewahrungsrichtlinie, unveränderliche Backups.

Was das NIST fordert

Das NIST fordert Konfigurationsmanagement-Praktiken: Sicherheitsbaselines für alle Systeme, Härtungsprozesse, zentralisiertes Konfigurationsmanagement und Überwachung von Abweichungen. Fehlkonfigurationen gehören zu den häufigsten Ursachen für Schwachstellen.

Praktische Beispiele

Sichere Konfigurationsbaseline für Server und Arbeitsplatzrechner (CIS Benchmarks), zentrales Konfigurationsmanagement, Überwachung von Abweichungen von der Baseline, Härtungsprozess.

Was das NIST fordert

Software muss mit Sicherheitspatches aktuell gehalten, bei Erreichen des Lebenszyklus-Endes (End-of-Life) ersetzt und entfernt werden, wenn sie nicht mehr benötigt wird. Veraltete Software erhält keine Updates mehr und wird zu einem leichten Angriffsziel.

Praktische Beispiele

Patch-Management-Prozess mit SLAs (z. B. kritische Patches innerhalb von 72 Stunden), Software-Inventar mit End-of-Support-Daten, Ablösungsplan für veraltete Software.

Was das NIST fordert

Hardware muss gewartet, bei Überalterung ersetzt und sicher außer Betrieb genommen werden (mit Datenlöschung). Das NIST fordert, dass der Hardware-Lebenszyklus risikoangemessen verwaltet wird.

Praktische Beispiele

Hardware-Wartungsplan, Überwachung des Gerätezustands, Verfahren zum Austausch veralteter Hardware, sichere Außerbetriebnahme mit zertifizierter Datenlöschung.

Was das NIST fordert

Sicherheitsprotokolle müssen von allen kritischen Systemen erzeugt und für die kontinuierliche Überwachung sowie forensische Untersuchungen verfügbar gemacht werden. Die Protokolle müssen vor Manipulation geschützt und für einen den regulatorischen und betrieblichen Anforderungen angemessenen Zeitraum aufbewahrt werden.

Praktische Beispiele

Zentrale Protokollierung über SIEM, Logging-Richtlinie für alle kritischen Systeme, Aufbewahrung der Protokolle für mindestens 12 Monate, Schutz der Protokolle vor Manipulation.

Was das NIST fordert

Die Organisation muss Kontrollen implementieren, um die Installation und Ausführung nicht autorisierter Software zu verhindern: Anwendungswhitelisting, Gruppenrichtlinien, Kontrolle der Installationsrechte. Nicht autorisierte Software ist ein häufiger Malware-Vektor.

Praktische Beispiele

Application Whitelisting auf kritischen Systemen, Gruppenrichtlinien zur Blockierung nicht autorisierter Installationen, Überwachung laufender Anwendungen, Skriptkontrolle.

Was das NIST fordert

Die Softwareentwicklung muss Sicherheitspraktiken integrieren (Secure SDLC): Code-Review, Sicherheitstests, Abhängigkeitsanalyse, Schwachstellenmanagement. Sicherheit muss von der Entwurfsphase an berücksichtigt und nicht nachträglich hinzugefügt werden.

Praktische Beispiele

Dokumentierter sicherer SDLC-Prozess, Code-Review mit Sicherheitsfokus, SAST-/DAST-Scans in der CI/CD-Pipeline, Verwaltung von Abhängigkeiten und Schwachstellen in Drittanbieter-Bibliotheken.

Was das NIST fordert

Netzwerke müssen durch Firewalls, Segmentierung, Intrusion-Detection-Systeme und Netzwerkzugangskontrollen vor unbefugtem Zugriff geschützt werden. Das NIST fordert, dass die Netzwerkarchitektur so gestaltet ist, dass die laterale Ausbreitung im Falle einer Kompromittierung begrenzt wird.

Praktische Beispiele

Perimeter- und interne Firewalls, Netzwerksegmentierung (VLAN, Mikrosegmentierung), IDS/IPS, NAC (Network Access Control), DMZ für exponierte Dienste.

Was das NIST fordert

Technische Assets müssen vor Umweltbedrohungen geschützt werden: Brände, Überschwemmungen, Stromausfälle, extreme Temperaturen. Rechenzentren und Serverräume müssen über Umweltschutzsysteme (USV, Klimatisierung, Detektoren, Brandschutzsysteme) verfügen.

Praktische Beispiele

USV und Notstromgeneratoren für Rechenzentren, redundante Klimaanlage, Rauch- und Wassermelder, Brandschutzsysteme, Überspannungsschutz.

Was das NIST fordert

Die Infrastruktur muss so konzipiert sein, dass sie sowohl unter normalen als auch unter widrigen Bedingungen Resilienz gewährleistet. Redundanz, automatisches Failover, geografische Verteilung und Hochverfügbarkeitsarchitekturen tragen dazu bei, den Betrieb auch während eines Vorfalls aufrechtzuerhalten.

Praktische Beispiele

Hochverfügbarkeitsarchitektur (Clustering, Load Balancing), automatisches Failover, geografische Verteilung kritischer Systeme, regelmäßige Tests der Resilienzmechanismen.

Was das NIST fordert

Die Organisation muss eine ausreichende Ressourcenkapazität (Bandbreite, Rechenleistung, Speicher) vorhalten, um die Dienstverfügbarkeit auch unter hoher Last oder während eines Angriffs zu gewährleisten. Die Kapazitätsplanung muss Stress-Szenarien und anomale Lastspitzen berücksichtigen.

Praktische Beispiele

Dokumentierte Kapazitätsplanung, Überwachung der Ressourcenauslastung, automatische Skalierung (Autoscaling) für Cloud-Dienste, regelmäßige Lasttests.

Was das NIST fordert

Netzwerke müssen in Echtzeit überwacht werden, um anomale Aktivitäten, Eindringversuche und verdächtige Kommunikation zu erkennen. Werkzeuge wie IDS/IPS, SIEM und NDR ermöglichen die zeitnahe Identifizierung potenzieller Sicherheitsvorfälle.

Praktische Beispiele

SIEM mit aktiven Korrelationsregeln, IDS/IPS im kontinuierlichen Monitoring, NDR (Network Detection and Response), DNS-Verkehrsüberwachung, Alarme bei verdächtigen Verbindungen.

Was das NIST fordert

Die physische Umgebung (Rechenzentren, Serverräume, Sicherheitsbereiche) muss mit Videoüberwachungssystemen, Zugangssensoren und Alarmanlagen überwacht werden, um physische Eindringversuche oder nachteilige Umweltereignisse zu erkennen.

Praktische Beispiele

Rund-um-die-Uhr-Videoüberwachung der Rechenzentren, Temperatur-/Feuchtigkeitssensoren, Einbruchmeldeanlage, Echtzeitüberwachung physischer Zutritte.

Was das NIST fordert

Die Aktivitäten der Benutzer und die Technologienutzung müssen überwacht werden, um anomales Verhalten zu erkennen: ungewöhnliche Zugriffe, massive Datenübertragungen, Nutzung nicht autorisierter Werkzeuge. Die Verhaltensanalyse (UEBA) ist ein wirksames Instrument in diesem Bereich.

Praktische Beispiele

UEBA (User and Entity Behavior Analytics), Überwachung privilegierter Zugriffe (PAM), Alarme bei anomalem Verhalten (Zugriffe außerhalb der Arbeitszeiten, Massendownloads, Zugriffe von ungewöhnlichen Standorten).

Was das NIST fordert

Die Aktivitäten und Dienste externer Anbieter mit Zugang zu den Systemen der Organisation müssen überwacht werden. Anomale Zugriffe, ungeplante Änderungen und verdächtiges Verhalten seitens der Lieferanten können auf eine Kompromittierung in der Lieferkette hinweisen.

Praktische Beispiele

Überwachung der VPN-/Remote-Zugriffe von Lieferanten, Protokollierung der Lieferantenaktivitäten auf den Systemen, Alarme bei anomalen Operationen von Lieferantenkonten, regelmäßige Protokollüberprüfung.

Was das NIST fordert

Hardware, Software, Laufzeitumgebungen und Daten müssen auf nicht autorisierte Änderungen, Schadsoftware, Leistungsanomalien und Kompromittierungsindikatoren überwacht werden. Integritätsüberwachung und Endpunkterkennung sind zentrale Instrumente.

Praktische Beispiele

EDR (Endpoint Detection and Response) auf allen Endpunkten, File-Integrity-Monitoring auf kritischen Systemen, Überwachung von Konfigurationsänderungen, Antimalware-Scans.

Was das NIST fordert

Potenziell nachteilige Ereignisse müssen eingehend analysiert werden, um deren Art, Ursprung und zugehörige Aktivitäten zu verstehen. Die Analyse muss über den einzelnen Alarm hinausgehen, um die Ereigniskette zu rekonstruieren und mögliche laufende Angriffe zu identifizieren.

Praktische Beispiele

SOC-Analysten, die Alarme untersuchen, Analyse-Playbooks je Ereignistyp, forensische Analysewerkzeuge, Dokumentation der Voruntersuchungen.

Was das NIST fordert

Informationen aus verschiedenen Quellen (Protokolle, Alarme, Bedrohungsinformationen, Meldungen) müssen korreliert werden, um ein vollständiges Bild der Ereignisse zu erhalten. Die Korrelation ist grundlegend, um Fehlalarme von tatsächlichen Bedrohungen zu unterscheiden.

Praktische Beispiele

Automatische Korrelation im SIEM von Logs aus Firewall, Endpunkten, Authentifizierung und Anwendungen, Integration externer Quellen (Threat Feeds), Korrelations-Dashboard.

Was das NIST fordert

Die potenziellen Auswirkungen und das Ausmaß eines nachteiligen Ereignisses müssen schnell bewertet werden, um Schwere und Dringlichkeit der Reaktion zu bestimmen. Diese Bewertung leitet die Entscheidungen über Eskalation und Zuweisung von Reaktionsressourcen.

Praktische Beispiele

Vordefinierte Auswirkungsmatrix je Ereignistyp, Verfahren zur schnellen Bewertung des Umfangs, Kriterien zur Bestimmung der Anzahl betroffener Systeme/Daten.

Was das NIST fordert

Informationen über nachteilige Ereignisse müssen unverzüglich an das autorisierte Personal und die automatisierten Systeme weitergeleitet werden. Verzögerungen in der Kommunikation können es einem Angreifer ermöglichen, seine Präsenz im Netzwerk auszuweiten.

Praktische Beispiele

Definierte interne Benachrichtigungsverfahren (wen informieren und wie), Ticketsysteme für Alarme, automatische Verteilung der Alarme an die zuständigen Teams, Notfallkommunikationskanäle.

Was das NIST fordert

Bedrohungsinformationen (Kompromittierungsindikatoren, TTPs der Angreifer, ausgenutzte Schwachstellen) müssen in die Ereignisanalyse integriert werden, um die Erkennungsfähigkeit und das Verständnis des Bedrohungskontexts zu verbessern.

Praktische Beispiele

IoC-Feeds (Indicators of Compromise) im SIEM integriert, Korrelation mit bekannten TTPs (Taktiken, Techniken und Prozeduren) der Angreifer, Anreicherung der Alarme mit Threat-Intelligence-Kontext.

Was das NIST fordert

Die Organisation muss über klare und dokumentierte Kriterien zur Erklärung eines Sicherheitsvorfalls verfügen. Nicht jedes nachteilige Ereignis ist ein Vorfall: Vordefinierte Kriterien vermeiden sowohl die Unterschätzung als auch eine übermäßige Eskalation und gewährleisten verhältnismäßige Reaktionen.

Praktische Beispiele

Dokumentierte Kriterien zur Erklärung eines Vorfalls (z. B. Schweregrad-Schwellenwerte, Ereignistypen), Klassifizierungsmatrix, Eskalationsverfahren vom Ereignis zum Vorfall.

Was das NIST fordert

Wenn ein Vorfall erklärt wird, muss der Reaktionsplan koordiniert ausgeführt werden, unter Einbeziehung auch der relevanten Dritten (Lieferanten, CERT, Behörden). Die Koordination ist für eine wirksame Eindämmung und zur Vermeidung kontraproduktiver Maßnahmen unerlässlich.

Praktische Beispiele

Getesteter und für das Team zugänglicher Incident-Response-Plan, Kontaktliste der einzubeziehenden Dritten (CERT, Rechtsabteilung, kritische Lieferanten, Versicherung), Checkliste zur Planaktivierung.

Was das NIST fordert

Vorfallmeldungen müssen klassifiziert (Art, Schwere, Auswirkungen) und validiert (Bestätigung, dass es sich tatsächlich um einen Vorfall handelt) werden, um eine angemessene und verhältnismäßige Reaktion sicherzustellen. Eine effektive Triage vermeidet Ressourcenverschwendung.

Praktische Beispiele

Dokumentierter Triage-Prozess mit Klassifizierungskriterien (Art, Schweregrad, Auswirkung), Ticketsystem zur Nachverfolgung, SLAs für die Erstvalidierung von Vorfällen.

Was das NIST fordert

Bestätigte Vorfälle müssen nach Art (Malware, Phishing, Datenschutzverletzung, DDoS usw.) kategorisiert und nach Geschäftsauswirkungen, Kritikalität der betroffenen Assets und Ausmaß der Kompromittierung priorisiert werden.

Praktische Beispiele

Vorfallstaxonomie (Malware, Phishing, Datenschutzverletzung, DDoS, Insider), Prioritätsmatrix basierend auf Auswirkung und Dringlichkeit, Kriterien für die automatische Klassifizierung.

Was das NIST fordert

Es müssen klare Eskalationsverfahren bestehen für Vorfälle, die die Fähigkeiten des ersten Reaktionsteams übersteigen, die kritische Assets betreffen, rechtliche oder regulatorische Auswirkungen haben oder Managemententscheidungen erfordern.

Praktische Beispiele

Eskalationsverfahren mit definierten Schwellenwerten (z. B. Vorfälle mit personenbezogenen Daten → DSB, Vorfälle mit finanzieller Auswirkung → CFO), Eskalationsmatrix, 24/7-Notfallkontakte.

Was das NIST fordert

Das NIST fordert vordefinierte Kriterien, um festzustellen, wann es sicher ist, mit den Wiederherstellungsaktivitäten zu beginnen. Ein zu frühes Wiederherstellen – bevor der Angreifer eingedämmt wurde – kann den gesamten Recovery-Prozess gefährden.

Praktische Beispiele

Checkliste vor der Wiederherstellung (Bestätigung der Eindämmung, Überprüfung der Beseitigung, Genehmigung des Managements), objektive Kriterien für die Freigabe zur Wiederherstellung.

Was das NIST fordert

Für jeden Vorfall muss eine gründliche Analyse durchgeführt werden, um festzustellen, was passiert ist, wie der Angriff erfolgte, welche Assets betroffen waren und was die Grundursache (Root Cause) war. Diese Analyse ist grundlegend für die Prävention ähnlicher Vorfälle in der Zukunft.

Praktische Beispiele

Verfahren zur Ursachenanalyse (Root Cause Analysis), forensische Analysewerkzeuge (forensische Abbilder, Protokollanalyse), Vorlage für den Vorfallsbericht, Zeitleiste der Ereignisse.

Was das NIST fordert

Alle während einer Untersuchung durchgeführten Maßnahmen müssen detailliert dokumentiert werden, wobei die Integrität und Herkunft der Aufzeichnungen gewahrt bleiben muss. Die Dokumentation ist sowohl für das organisatorische Lernen als auch für mögliche Gerichtsverfahren unerlässlich.

Praktische Beispiele

Protokollierung der Untersuchungsmaßnahmen mit Zeitstempel und Bearbeiter, Beweismittelkette (Chain of Custody), Werkzeuge zur Sicherstellung der Unveränderlichkeit der Protokolle, dokumentierte forensische Verfahren.

Was das NIST fordert

Die den Vorfall betreffenden Daten und Metadaten (Protokolle, forensische Abbilder, Malware-Artefakte, Zeitleisten) müssen nach Verfahren erhoben und gesichert werden, die ihre Integrität und die Beweiskette gewährleisten – auch im Hinblick auf mögliche rechtliche Schritte.

Praktische Beispiele

Forensische Sicherungsverfahren (Festplattenabbilder, Speicherabzüge, Netzwerkverkehrserfassung), sichere Aufbewahrung der Beweismittel, Integritäts-Hashwerte der Sicherungen, Register der Beweismittelkette.

Was das NIST fordert

Das Ausmaß des Vorfalls (wie viele Systeme betroffen, welche Daten kompromittiert, welche geschäftlichen Auswirkungen) muss so früh wie möglich geschätzt und dann im Verlauf der Untersuchung validiert werden. Diese Einschätzung leitet operative und kommunikative Entscheidungen.

Praktische Beispiele

Schnelle Bewertung des Umfangs der Kompromittierung (betroffene Systeme, exponierte Daten, betroffene Benutzer), fortlaufende Aktualisierung der Einschätzung im Verlauf der Untersuchung.

Was das NIST fordert

Die betroffenen internen (Management, Vorstand, Mitarbeiter) und externen (Kunden, Behörden, Medien) Parteien müssen gemäß vordefinierten Verfahren über Vorfälle benachrichtigt werden. Die DSGVO und die NIS2 schreiben spezifische Meldepflichten mit genauen Fristen vor.

Praktische Beispiele

Meldeverfahren an die Datenschutzbehörde (innerhalb von 72 Stunden bei Datenschutzverletzungen gemäß DSGVO), Vorlagen für Mitteilungen an Betroffene, Meldeverfahren an branchenspezifische Behörden (z. B. BSI für NIS2).

Was das NIST fordert

Die Informationen über den Vorfall müssen kontrolliert mit den vorgesehenen Parteien geteilt werden: Reaktionsteam, Management, zuständige Behörden, Partner. Die Weitergabe muss Transparenz und Vertraulichkeit abwägen, um die Ermittlungen nicht zu gefährden.

Praktische Beispiele

Rollenbasierter Verteiler für Vorfallsinformationen, sichere Kommunikationsverfahren (verschlüsselte Kanäle), Aktualisierungsvorlagen für das Management und für Partner.

Was das NIST fordert

Der Vorfall muss so schnell wie möglich eingedämmt werden, um seine Ausbreitung zu verhindern. Die Eindämmung kann die Isolierung kompromittierter Systeme, die Sperrung von Konten, die Änderung von Firewall-Regeln oder die Trennung von Netzwerksegmenten umfassen.

Praktische Beispiele

Verfahren zur schnellen Isolierung kompromittierter Systeme (Trennung vom Netzwerk, Sperrung von Konten), Notfall-Firewallregeln, Endpoint-Quarantäne-Werkzeuge.

Was das NIST fordert

Nach der Eindämmung müssen die Ursachen des Vorfalls vollständig beseitigt werden: Entfernung der Schadsoftware, Beseitigung von Hintertüren, Schließung der ausgenutzten Schwachstellen, Bereinigung der kompromittierten Systeme. Eine unvollständige Beseitigung kann zu einem erneuten Auftreten führen.

Praktische Beispiele

Verfahren zur Malware-Entfernung, Bereinigung kompromittierter Systeme, Schließung der ausgenutzten Schwachstellen, Zurücksetzen kompromittierter Anmeldedaten, Überprüfung der Beseitigung von Hintertüren.

Was das NIST fordert

Der Wiederherstellungsteil des Reaktionsplans muss aktiviert werden, sobald Eindämmung und Beseitigung abgeschlossen sind. Der Plan muss Wiederherstellungsprioritäten definieren, die auf der Kritikalität der Systeme und Dienste für das Geschäft basieren.

Praktische Beispiele

Wiederherstellungsplan mit Priorisierung der wiederherzustellenden Systeme, detaillierte Verfahren zur Wiederherstellung aus Backups, Checkliste zur Planaktivierung, benanntes Recovery-Team.

Was das NIST fordert

Die Wiederherstellungsmaßnahmen müssen auf Grundlage der geschäftlichen Auswirkungen ausgewählt, dimensioniert und priorisiert werden. Die für den Betrieb kritischsten Systeme müssen zuerst wiederhergestellt werden, in einer im Plan vordefinierten Reihenfolge.

Praktische Beispiele

Liste der Systeme geordnet nach Wiederherstellungspriorität (Geschäftskritikalität), geschätzte Wiederherstellungszeiten (RTO) je System, benötigte Ressourcen für die Wiederherstellung.

Was das NIST fordert

Bevor Backups oder andere Ressourcen für die Wiederherstellung verwendet werden, muss deren Integrität überprüft werden. Ein vom Angreifer kompromittiertes Backup könnte die Bedrohung in die gerade bereinigten Systeme wieder einführen.

Praktische Beispiele

Verfahren zur Integritätsprüfung der Backups vor der Wiederherstellung (Hashwerte, Wiederherstellungstests), Antimalware-Scan der Backups, Verwendung von Backups aus Zeiträumen vor dem Angriff falls erforderlich.

Was das NIST fordert

Die Wiederherstellung muss die kritischen Funktionen und die Anforderungen des Risikomanagements berücksichtigen, um die Betriebsbedingungen nach dem Vorfall festzulegen. Es kann erforderlich sein, mit eingeschränkter Funktionalität oder zusätzlichen Kontrollen zu arbeiten, während die vollständige Wiederherstellung fortschreitet.

Praktische Beispiele

Bewertung der Betriebsbedingungen nach dem Vorfall, ggf. Betrieb im eingeschränkten Modus, zusätzliche Sicherheitskontrollen während der Wiederherstellungsphase, Kommunikation vorübergehender Einschränkungen.

Was das NIST fordert

Wiederhergestellte Assets müssen überprüft werden, um sicherzustellen, dass sie intakt, funktionsfähig und frei von verbleibenden Kompromittierungen sind. Der normale Betrieb muss bestätigt werden, bevor die Wiederherstellung eines Systems als abgeschlossen betrachtet wird.

Praktische Beispiele

Checkliste zur Überprüfung nach der Wiederherstellung (Datenintegrität, Funktionsfähigkeit der Dienste, Abwesenheit verbleibender Kompromittierungen), Funktionstests, intensives Monitoring der wiederhergestellten Systeme.

Was das NIST fordert

Der formelle Abschluss der Wiederherstellung muss erklärt werden, wenn alle vordefinierten Kriterien erfüllt sind. Die Vorfallsdokumentation muss abgeschlossen werden, einschließlich der gewonnenen Erkenntnisse und Verbesserungsempfehlungen.

Praktische Beispiele

Formelle Kriterien zum Abschluss der Wiederherstellung, Abschlussbericht des Vorfalls (Zeitleiste, Auswirkungen, Maßnahmen, Kosten), Lessons-Learned-Sitzung, Aktualisierung der Pläne auf Basis der gewonnenen Erkenntnisse.

Was das NIST fordert

Die Wiederherstellungsaktivitäten und die Fortschritte bei der Wiederherstellung der betrieblichen Fähigkeiten müssen den betroffenen internen (Management, Mitarbeiter) und externen (Kunden, Partner, Behörden) Parteien regelmäßig kommuniziert werden. Transparenz während der Wiederherstellung erhält das Vertrauen.

Praktische Beispiele

Regelmäßige Statusmeldungen an das Management und die Mitarbeitenden zum Wiederherstellungsfortschritt, Mitteilungen an betroffene Kunden, Fortschrittsberichte an Partner, Recovery-Status-Dashboard.

Was das NIST fordert

Öffentliche Aktualisierungen zur Wiederherstellung nach einem Vorfall müssen mit Sorgfalt gehandhabt werden, unter Verwendung vom Management und der Rechtsabteilung genehmigter Methoden und Botschaften. Die öffentliche Kommunikation muss Transparenz, Verantwortung und den Schutz der Organisation in Einklang bringen.

Praktische Beispiele

Vom Rechts- und Management-Team genehmigte Pressemitteilung oder Website-Aktualisierung, vorab genehmigte öffentliche Kommunikationsstrategie, benannter Pressesprecher.