Im Februar 2024 hat das National Institute of Standards and Technology (NIST) ein Update des Cyber Security Framework (CSF) veröffentlicht, das einen bedeutenden Wandel in der Herangehensweise von Unternehmen an Cybersecurity darstellt.
Das NIST CSF 2.0 Framework stellt für die Cybersicherheit einen bedeutenden Schritt vorwärts dar, weil es kontinuierliche Verbesserung und agile Praktiken fördert.
(Bild: ArtemisDiana - stock.adobe.com)
Das NIST CSF 2.0 (pdf) erweitert nicht nur den Anwendungsbereich über kritische Infrastrukturen (KRITIS) hinaus, sondern führt auch eine neue Säule ein, die zu einer kontinuierliche Verbesserung und Feedback von Sicherheitspraktiken führt.
Erweiterung und die neue Governance-Säule
Eine der bemerkenswertesten Änderungen im NIST CSF 2.0 ist die Ausweitung auf alle Industriesektoren. Damit wird anerkannt, dass aufgrund der Vernetzung moderner Bedrohungen nahezu jeder Sektor als Teil der kritischen Infrastruktur betrachtet werden kann. Dieser breitere Anwendungsbereich entspricht der aktuellen Bedrohungslandschaft, in der Angreifer häufig nicht-kritische Infrastrukturen ausnutzen, um Zugang zu KRITIS-Einrichtungen zu erlangen.
Diese neue, sechste Säule, Governance, zielt darauf ab, die Cybersicherheitsrichtlinien und Verantwortlichkeiten innerhalb einer Organisation zu vereinheitlichen. Laut NIST liefert die Governance-Funktion Ergebnisse, die aufzeigen, was eine Organisation tun kann, um andere CSF-Ergebnisse im Kontext ihrer Mission und der Erwartungen ihrer Stakeholder zu erreichen und zu priorisieren. Dazu gehören die Integration der Cybersicherheit in die umfassendere ERM-Strategie (Enterprise Risk Management), die Festlegung einer Cybersicherheitsstrategie und das Management von Lieferkettenrisiken.
Kontinuierliche Verbesserung
Der Übergang von traditionellen monolithischen Ansätzen zu einer kontinuierlichen Verbesserung der Cybersicherheit ist ein Eckpfeiler des NIST CSF 2.0. Dieses Rahmenwerk zieht Parallelen zur Modernisierung der Softwareentwicklung von Wasserfallmethoden hin zu agilen Methoden und befürwortet einen dynamischen, iterativen Ansatz für die Sicherheit.
Durch die Adaption eines Modells der kontinuierlichen Verbesserung können Cybersicherheitspraktiken anpassungsfähiger werden und besser auf neue Bedrohungen reagieren. Böswillige Akteure entwickeln ihre Taktiken ständig weiter, und die Cybersicherheitsabwehr muss ebenso flexibel sein, um diesen Bedrohungen wirksam begegnen zu können. Kontinuierliche Verbesserungen ermöglichen es den Unternehmen, Schwachstellen zu beheben und ihre Abwehrmaßnahmen schrittweise zu verbessern, anstatt auf umfassende Richtlinienaktualisierungen zu warten, die Monate in Anspruch nehmen können.
Lebenszyklus der Sicherheitsimplementierung
NIST CSF 2.0 führt das Konzept der Profile innerhalb des Lebenszyklus der Sicherheitsimplementierung ein. Profile repräsentieren gemeinsame Interessen, Ziele und Ergebnisse bei der Reduzierung von Cybersicherheitsrisiken unter den Stakeholdern. Sie werden entweder als Ist-Profile kategorisiert, die den aktuellen Stand der Sicherheit darstellen, oder als Soll-Profile, die den gewünschten Sicherheitszustand nach der Implementierung von Richtlinien- und Verfahrensaktualisierungen definieren.
Dieser schrittweise Ansatz ermöglicht es den Sicherheitsteams, Schwachstellen schnell zu identifizieren und zu beheben, und fördert eine „Fail-Fast"-Mentalität. Anstatt viel Geld in eine möglicherweise fehlerhafte, umfassende Richtlinie zu investieren, können Unternehmen ihre Sicherheitsmaßnahmen in kleineren, überschaubaren Schritten testen und verfeinern. Dies spart nicht nur Zeit und Ressourcen, sondern reduziert auch die Angriffsfläche schneller.
Herausforderungen und Möglichkeiten
Die Umstellung auf das NIST CSF 2.0 Framework bringt einige Herausforderungen mit sich. Widerstand gegen Veränderungen ist eine große Hürde, wie sich bei der frühen Einführung agiler Methoden in der Softwareentwicklung gezeigt hat. Sicherheitsteams, die an traditionelle Ansätze gewöhnt sind, können zögern, kontinuierliche Verbesserungen und agile Praktiken anzunehmen. Darüber hinaus verstärken bestehende Vorschriften und Compliance-Anforderungen häufig monolithische Sicherheitsansätze, so dass ein Paradigmenwechsel erforderlich ist, um kontinuierliche Verbesserungen zu unterstützen.
Die Möglichkeiten, die das NIST CSF 2.0 bietet, sind jedoch beträchtlich. Ein kontinuierlicher Verbesserungsprozess ermöglicht es Sicherheitsteams, neue Tools und Technologien schneller zu integrieren, Richtlinien auf der Grundlage von Echtzeit-Erkenntnissen anzupassen und Ressourcen effektiv zu priorisieren. Manager und Direktoren, die näher an den täglichen Herausforderungen der Praktiker sind, können die Anpassung von Richtlinien und Tools auf der Grundlage aktueller Bedürfnisse vorantreiben.
Da sich die Aufsichtsbehörden allmählich an dieses neue Modell anpassen, können die Unternehmen die kontinuierliche Verbesserung nutzen, um die eigene Compliance-Konformität zu verbessern und gleichzeitig flexibel zu bleiben. Die Verwendung von Profilen ermöglicht schrittweise Sicherheitsverbesserungen und garantiert, dass sich die Sicherheitsmaßnahmen während des gesamten Compliance-Zyklus weiterentwickeln.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Fazit
Das NIST CSF 2.0 Framework stellt für die Cybersicherheit einen bedeutenden Schritt dar, indem es kontinuierliche Verbesserung und agile Praktiken fördert. Indem Sicherheitsteams von den Entwicklungen in der Softwareentwicklung lernen, können sie einen dynamischeren und reaktionsfähigeren Ansatz zur Abwehr der sich ständig weiterentwickelnden Bedrohungen wählen. Auch wenn es Herausforderungen gibt, machen die Möglichkeiten zur Verbesserung der Sicherheit, der Ressourceneffizienz und der Einhaltung gesetzlicher Vorschriften diesen Übergang zu einem vielversprechenden Weg für Organisationen, die sich für robuste Cybersicherheitspraktiken einsetzen.
Mit der Einführung des NIST CSF 2.0 können sich Sicherheitsteams auf eine Zukunft vorbereiten, in der Cybersicherheit nicht nur eine defensive Maßnahme ist, sondern ein proaktiver, integraler Bestandteil der Unternehmensstrategie, der den Anforderungen einer zunehmend komplexen Bedrohungslandschaft gerecht wird.
Über den Autor: Harold Butzbach ist Director Sales for Central Europe at Sysdig Germany.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db7a77cd7ea6916c717964cf3d15be/0128896694v1.jpeg "Dr. Nils Kaufmann wird Vertriebsleiter bei indevis x Data-Sec. (Bild: indevis x Data-Sec)")
:quality(80)/p7i.vogel.de/wcms/cc/0e/cc0ee3afaddf3bb684a02ecb5ad68702/0128887963v2.jpeg "Kevin Kennedy, Vice President des Global Partner Ecosystem bei Red Hat (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/01/94/0194b228bbaada88271174c98bc8fa3d/0128877523v2.jpeg "Gos Hein van de Wouw, SVP EMEA Sales bei Extreme Networks (Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/43/c8/43c83a1afdfe56b99d294a05b4c747e4/0128876251v2.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/3b/dc/3bdcf46eeeac7f263807cd973f628175/0128934402v2.jpeg "Der Servicepreisspiegel der Synaxon Akademie zeigt unter anderem, wie sich die Preise für Technikerstunden bei iT-Dienstleistern entwickeln. (©2017 Gorodenkoff/Shutterstock.)")
:quality(80)/p7i.vogel.de/wcms/ad/ff/adffa74fff3b723b999db25e6b9ded2b/0128988902v2.jpeg "Unternehmen würden zu wenig in den Ausbau ihrer IT-Systeme investieren, kritisiert der Technologieexperte Nigel Vaz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0d/59/0d59e7903f95e717e5715255af33486d/0128948431v1.jpeg "Chinesische Unternehmen wie Huawei und ZTE stehen vor dem Ausschluss aus kritischen Infrastrukturen der Europäischen Union. Chinesische Technologie soll künftig per EU-Regulierung aus Telekommunikationsnetzen und Solarenergiesystemen verbannt werden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/57/12/571232a2ce1c98becdd057dfa552cd96/0128959075v2.jpeg "Extreme Networks veröffentlicht ein neues Partnerprogramm: Extreme Partner First. Damit will der Anbieter für Netzwerksicherheit Komplexität aus dem Partneralltag nehmen und Prozesse vereinfachen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/85/d0/85d001ccfeb8289f50f98bd8d9f9b8a5/0128903681v1.jpeg "Das Gaming-Notebook Terra Mobile Elite A3 von Wortmann ist nicht nur für das Gaming geeignet, sondern verfügt auch über eine 50-TOPS-NPU für lokale KI-Aufgaben. (Bild: Wortmann, GPT Image Editor (KI-generiert))")
:quality(80)/p7i.vogel.de/wcms/b0/6a/b06a37ad7d593e61491e269d246822dc/0128407514v1.jpeg "Microsoft bündelt Windows- und Azure-Lizenzen unter einer gemeinsamen Hybridlogik. Der Beitrag erklärt Kernlizenzierung, Azure Local, Kosteneffekte und Linux-Integration. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/25/34/25346a6de4fae49d5134a5d87fa16b68/0128837620v1.jpeg "Cloud Computing und Künstliche Intelligenz sind eng miteinander verwoben. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/51/045147bb59a65fc397dbc16c853a021b/0128604323v2.jpeg "Mobile IT entwickelt sich 2026 zu einem vernetzten Ökosystem aus Geräten, Services und KI-gestützten Funktionen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e2/77/e27778e620a361b893b926153234cd09/0128440397v1.jpeg "Kaum zu glauben, aber wahr: Es gibt Datacenter-Stilllegungen und Schließungen, trotz KI und Bau-Boom. Das Autoren-Duo Anna Kobylinska und Filipe Martins kümmern sich umd das Aus und beschreiben, wo das Pendel am stärksten ausschlägt. (Bild: © trahko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/7e/227e71f2755ef305a2ba2f5e4fdcbef6/0127720658v1.jpeg "Agentenbasierte KI skaliert rasant und damit wächst auch die Angriffsfläche in Netzwerk-, Cloud- und SaaS-Umgebungen. (Bild: © deagreez - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/a0/66a0568c189a9a83de6783bde982e992/0128774540v1.jpeg "Mit der Übernahme von Armis will ServiceNow eine einheitliche Sicherheitsplattform für die gesamte Angriffsfläche schaffen, die die Lücke zwischen dem Erkennen von Schwachstellen und deren Behebung schließt und so Milliarden von vernetzten Geräten autonom schützt. (Bild: © twindesigner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/f2/d6f2f7dbd45703f162a3dd83882df6d7/0128882851v1.jpeg "Zum fünften Mal in Folge landen Cybervorfälle im Allianz Risk Barometer auf Platz 1 der weltweit größten Risiko. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/b8/72b8f4363aab865e863736ad31f77ec0/0128882970v2.jpeg "Windows Server 2025 erhält 2026 neue Funktionen wie Zero Trust, Verschlüsselung und Telemetrie, einschließlich Erweiterungen für Storage, Hyper-V-Verwaltung und lokale KI, die zunächst über Insider Builds getestet werden und eine verbesserte Sicherheit sowie neue Netzwerk- und Zugriffssteuerungen bieten. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:quality(80)/p7i.vogel.de/wcms/14/a3/14a3efcff030b182d8774ef21539cafb/0128566028v2.jpeg "In München kamen am 11. Dezember fast 30 Mitglieder des deutschen Chapters der Women4Cyber zusammen. (Bild: Nicolas Armer)")
:fill(fff,0)/p7i.vogel.de/companies/64/47/644794f95e7d3/g-data-cyberdefense-logo-sq.jpeg "g-data-cyberdefense-logo-sq (G Data)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/69/2e/692ecb7bb8f78/xopero-logo-color.png "xopero-logo-color (Xopero)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/bd/5e/bd5ea27ab0ace6ac6633eb732aed7bbf/0127581658v2.jpeg "Cybersicherheit wird Teil der Unternehmenskultur, wenn Führungskräfte sie vorleben und Mitarbeitende motiviert Verantwortung übernehmen. (Bild: © peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/46/fd46fd85a12362858653e9a2fffe13f3/0124818577v2.jpeg "Die weltweite geopolitische Lage bleibt angespannt – und mit ihr die Unsicherheiten im Datenschutz. (Bild: Dall-E / KI-generiert)")