Eine Reise durch das NIST Cybersecurity Framework
Auch in schwierigen Zeiten bietet das Cybersecurity Framework eine Orientierungshilfe für die Cyberdefence. Begleiten Sie uns auf eine Reise durch das Framework, zusammen mit Cybersecurity-Fachleuten, und entdecken Sie neue Aspekte.
31. Juli 2025, Text Andreas Heer, Bild: Swisscom 4 Min.
Die Zeiten sind anspruchsvoll für Cybersecurity-Fachleute und CISOs. Wie der Swisscom Cybersecurity Threat Radar zeigt, müssen sie Unternehmen nicht nur von bekannten Bedrohungen wie Ransomwareschützen. Sondern ständig tauchen neue, anders gelagerte Angriffsformen auf oder die Musterbeispielsweise von DDoS-Attacken verändern sich.
Eine Konstante zur Orientierung in diesen Zeiten ist das NIST Cybersecurity Framework (CSF). Es definiertdie Cyberdefence in fünf Phasen, die einen ständigen Kreislauf bilden:
- Identify: schützenswerte Umgebungen und Daten identifizieren
- Protect: Schutzmassnahmen ergreifen und umsetzen
- Detect: Angriffe erkennen
- Respond: auf Angriffe reagieren
- Recover: Wiederherstellung der betroffenen Umgebungen und Daten
In Version 2 des CSF ist als Dach über diesen Phasen die Governance hinzugekommen, die als Leitlinie für die einzelnen Massnahmen dient.
Wir möchten Sie mitnehmen auf eine Reise durch das Framework, in Begleitung von Cybersecurity-Fachleuten. Entdecken Sie mit uns einige weniger bekannte Aspekte und Aufgaben des Frameworks – oder, um im Reisejargon zu bleiben, einige Geheimtipps.
1. Etappe: schützenswerte Elemente identifizieren
In der ersten Etappe geht es darum, sich einen Überblick zu verschaffen: «Cyberdefence besteht aus einer Vielzahl von anspruchsvollen Herausforderungen», sagt Cyrill Peter, Head Cybersecurity Services bei Swisscom B2B. «Da ist einerseits die Komplexität, andererseits die Vielfalt der Angriffstechniken. Und dies in Kombination mit den immer kürzeren Reaktionszeiten, die erforderlich sind.»
Will sich ein Unternehmen unter diesen Voraussetzungen wirksam schützen, muss es zuerst wissen, was es überhaupt schützen will. Es geht also darum, unternehmenskritische Daten, Applikationen und Prozesse zu identifizieren und zu priorisieren, sagt dazu Marco Wyrsch, CSO von Swisscom: «Ich muss wissen, wo meine kritischen Daten intern gespeichert sind, als auch bei welchen Lieferanten, und was die relevanten Bedrohungen sind.» Oder, wie es Andrew Campell, Head Specialised Sales Cybersecurity bei Swisscom ausdrückt: «Damit Unternehmen den aktuellen Sicherheitsbedürfnissen gerecht werden und ihre Security Posture korrekt ist, müssen sie auf mehreren Ebenen aktiv werden. Auf der ersten Ebene müssen sie wissen, wo sie stehen. Das bedingt regelmässige Security Audits und Risikobewertungen.»
2. Etappe: Schutzmassnahmen umsetzen
Sind die schützenswerten Elemente identifiziert, geht es an die Umsetzung geeigneter Sicherheitsmassnahmen. Die zweite Etappe der Reise stellt den Grundschutz sicher, die Basis und das Bollwerk gegen Cyberangriffe. Und diese Schutzmassnahmen sollten von Anfang an mitgedacht werden, etwa in der Entwicklung von Software und Infrastrukturen, betont Stephanie Ramseyer, Security Solution Architect bei Swisscom: «Mein Job beginnt weit vor der eigentlichen Entwicklungsarbeit. Zuerst bringen wir Entwickler, Produktmanager und -verantwortliche zusammen und legen aus, worin die Angriffsfläche bestehen könnte.»
Doch Technik alleine reicht nicht: «Der Mensch spielt eine zentrale Rolle in der Cyberresilienz», sagt Duilio Hochstrasser, Security-Spezialist bei Swisscom. «Einerseits durch das Verhalten der Mitarbeitenden im Alltag, andererseits dank der Security-Fachleute, die Massnahmen planen, umsetzen und sich um die Abwehr kümmern.»
Die Mitarbeitenden als erste Verteidigungslinie gegen Cyberangriffe ergänzen die technischen und organisatorischen Massnahmen. Eine Sicherheitskultur sei deshalb zentral, betont Fawsiya Cade, Security Consultant bei Swisscom: «Angesicht der aktuellen Weltlage und dem ständigen Wandel in der Digitalisierung gewinnt die Sicherheitskultur massiv an Bedeutung. Es ist wichtig, dass Unternehmen eine Sicherheitskultur fördern, in der Mitarbeitende Risiken erkennen, verantwortungsvoll handeln und Sicherheit im Alltag leben.» Mit diesem kulturellen Ausflug sind wir in der dritten Etappe unserer Reise angelangt.
3. Etappe: Cyberangriffe erkennen
In dieser Etappe spielt Zeit eine zentrale Rolle. Denn oftmals sehen sich Cyberkriminelle in aller Ruhe im Firmennetz um, bevor sie zuschlagen. Dieses «lateral Movement» dient dazu, relevante Daten zu identifizieren und möglichst weitreichende Zugriffsrechte zu gewinnen für den Datenabfluss und die Verschlüsselung.
«Die Früherkennung von Cyberangriffen ist heute essenziell für eine effektive Cyberdefence», sagt dazu Oliver Stampfli, Head of Cyberdefence B2B bei Swisscom. Denn damit lassen sich allenfalls grössere Schäden verhindern. «Entsprechende Systeme zur Detektion sind deshalb zentral», betont auch Andrew Campbell.
4. Etappe: Cyberangriffe abwehren
Wir sind bei der Königsetappe angelangt. Hier sind die «Cracks», die Fachleute der Incident Response gefragt. Moderne Ansätze in der Cyberdefence gehen davon aus, dass der Angreifer bereits drin ist. Dieses «Assume Breach»-Paradigma impliziert, dass sich Cyberangriffe nicht komplett verhindern lassen. Doch die technische Eindämmung einer Attacke ist nur ein Teil der Aufgaben. Genauso wichtig ist die richtige Kommunikation. «Wir informieren intern über Vorfälle», sagt dazu Marco Wyrsch. «Aber eben auch die betroffenen Kunden, Lieferanten und Partner.»
Wichtig ist allerdings, dass in dieser Situation auch Kommunikationsmittel verfügbar sind. «Die Incident Response kann auch überraschende Auswirkungen haben», sagt Alexander Odenthal, Group Information Security Officer bei Swiss Life. «Beispielsweise, dass die gewohnte Chat-Umgebung nicht mehr funktioniert, über die auch die Telefonie läuft. Deshalb ist es wichtig, solche Szenarien vorgängig zu testen.»
5. Etappe: den Betrieb wiederherstellen
Immer wieder gibt es Meldungen von Unternehmen, die auch Wochen oder Monate nach einem Cyberangriff noch nicht wieder zum Normalbetrieb zurückgekehrt sind. Wie gut die Bewältigung dieser Etappe gelingt, hängt auch von der Vorbereitung ab. Oder, wie es Marco Wyrsch ausdrückt: «Testen, üben und bereit sein.»
Eine grosse Rolle spielen dabei Backups und vor allem die Wiederherstellung von Daten und Systemen. «Die eventuell ungenügende Backup-Qualität oder fehlende Verfügbarkeit durch einen Cyberangriff und die Komplexität beim Restore können für Überraschungen sorgen», sagt Alexander Odenthal.
Zusatzetappe: Governance und Risikomanagement
Ohne Steuerung kommt die Cyberdefence nicht ins Ziel. Im Cybersecurity Framework 2.0 zieht sich deshalb die Governance durch alle Etappen. Das bedingt, dass auch das Management involviert ist, sagt Marco Wyrsch: «Die Investitionen in Cybersicherheit fruchten nicht, wenn das Management nicht den Schutzschirm aufspannt und die Verantwortung übernimmt.» Das gilt unabhängig vom Betriebsmodell der IT, betont Pascal Lamia: «Auch wenn die IT outgesourct ist, muss Cybersicherheit auf Stufe der Geschäftsleitung diskutiert werden. Machen wir genug für unsere Cybersicherheit? Schützen wir die Kundendaten ausreichend?»
Hier kommt das Risikomanagement ins Spiel, um solche Fragen zu beantworten – und zwar, bevor etwas passiert, wie Georgia Fotaki, Information Security Governance Manager bei Swisscom, betont: «Beim Risikomanagement geht es nicht nur ums Reagieren. Sondern um zu antizipieren was vor uns liegt, sich anpassen zu können und Resilienz in allen Bereichen zu entwickeln.»
Mit dem Erreichen der Cyberresilienz endet unsere Reise. Doch lange ausruhen können sich Unternehmen nicht. Denn die Überprüfung der Security Posture ist eine wiederkehrende Aufgabe der Cyberdefence. Entsprechend ist auch unsere «Karte», das Cybersecurity-Framework, als Kreislauf dargestellt.