S
sicherheit.ai
KI-Sicherheit & Cybersecurity
_
Regulierung

NIST Cybersecurity Framework

Abkürzung: NIST CSF

Vom US-amerikanischen National Institute of Standards and Technology entwickeltes, freiwilliges Rahmenwerk zur Verbesserung der Cybersicherheit kritischer Infrastrukturen.

🧒
Einfach erklärt
Für jeden verständlich — ohne Vorkenntnisse

Das NIST CSF ist ein amerikanisches Sicherheits-Handbuch, das weltweit verwendet wird. Es sagt: Um sicher zu sein, musst du sechs Dinge tun: Regeln festlegen, deine Risiken kennen, Schutzmaßnahmen aufbauen, Angriffe erkennen, darauf reagieren und dich danach erholen. Einfach aber vollständig.

Ausführliche Erklärung

Das NIST CSF (aktuelle Version 2.0, 2024) strukturiert Cybersicherheitsaktivitäten in sechs Funktionen: Govern, Identify, Protect, Detect, Respond, Recover. Jede Funktion enthält Kategorien und Subkategorien mit konkreten Outcomes. Das Framework ist technologieneutral, international anerkannt und sowohl für Behörden als auch Privatunternehmen nutzbar. NIST CSF wird oft als Basis für Reifegradmessungen (Tier 1-4) verwendet. Eng verzahnt mit anderen NIST-Standards (SP 800-53, SP 800-171).

>Wie funktioniert das?

1

Govern: Governance-Strukturen, Rollen und Risikomanagement-Strategie definieren

2

Identify: Assets, Risiken und Schwachstellen inventarisieren und bewerten

3

Protect: Schutzmaßnahmen für kritische Dienste implementieren

4

Detect: Monitoring und Erkennungsprozesse für Sicherheitsereignisse

5

Respond: Incident-Response-Pläne entwickeln und üben

6

Recover: Recovery-Pläne und Lessons Learned nach Vorfällen.

?Häufig gestellte Fragen
Antwort

Ursprünglich US-Behörden und KRITIS-Betreiber, heute weltweit von Unternehmen jeder Größe genutzt — besonders verbreitet in der Finanz-, Energie- und Gesundheitsbranche.

Antwort

NIST CSF ist ein Rahmenwerk zur Strukturierung von Sicherheitsaktivitäten — keine Zertifizierung möglich. ISO 27001 ist ein zertifizierbarer Standard. NIST CSF ist praxisnäher in der Kommunikation mit Führungsebenen.

Antwort

Die vier Reifegrade (Partial, Risk-Informed, Repeatable, Adaptive) beschreiben wie systematisch und ausgereift das Cybersicherheitsprogramm einer Organisation ist — als Messinstrument und Verbesserungsziel.

Antwort

Weil erkannt wurde, dass Governance (Verantwortlichkeiten, Strategie, Richtlinien) die Grundlage aller anderen Sicherheitsaktivitäten ist — und viele Organisationen genau hier Defizite haben.

Antwort

Man bewertet für jede Subkategorie den aktuellen Stand (Ist) und den angestrebten Stand (Soll), identifiziert Lücken und priorisiert Maßnahmen nach Business Impact und Risiko.

Quick Facts
KategorieRegulierung
AbkürzungNIST CSF
Verwandte Begriffe4
← Zurück zum Glossar
Alle Begriffe im Glossar
APTBrute-Force-AngriffBotnetCVECredential StuffingDDoSEDRFirewallHoneypotIDSKI-Angriff (Adversarial AI)Lateral MovementLLM-SicherheitMalwareMFANetzwerksegmentierungOSINTPasskeysPatch ManagementPhishingPrompt InjectionRansomwareSIEMSocial EngineeringSQL-InjectionThreat IntelligenceTTPWAFXDRZero-DayZero TrustXSSCSRFMitMSupply-Chain-AngriffSpear-PhishingVishingSmishingWatering-Hole-AngriffDrive-by-DownloadInsider-BedrohungTyposquattingClickjackingDNS-SpoofingSession-HijackingBECCryptojackingSIM-SwappingSOCPentestThreat HuntingRed TeamBlue TeamDevSecOpsSecurity Awareness TrainingVulnerability ManagementSASTDAST3-2-1 Backup-StrategieCyber-VersicherungNIS2DSGVOISO/IEC 27001BSI IT-GrundschutzNIST CSFKRITIS — Kritische InfrastrukturenPCI-DSSCRATISAX — Automotive InformationssicherheitBCMMeldepflicht bei DatenpannenAdversarial Machine LearningModel PoisoningDeepfakeKI-HalluzinationLLM-JailbreakFederated LearningShadow AITrojanerComputerwurmSpywareRootkitKeyloggerFileless MalwareBackdoorInfostealerWiperwareAdwareOAuth 2.0SAMLSSOPAMIAMRBACPasswort-ManagerBiometrische AuthentifizierungHardware-SicherheitsschlüsselVPNDMZVLANPort-ScanningBGP-HijackingIPSNACTLSSSHHTTPS — HyperText Transfer Protocol SecureSPF, DKIM & DMARC — E-Mail-AuthentifizierungIPsec — Internet Protocol SecurityAPI-SicherheitDNSSEC