CSF 2.0 einführen: Roadmap für den CISO
Kernaussage
Das NIST Cybersecurity Framework 2.0 (NIST.CSWP.29, veröffentlicht am 26.02.2024) ist kein Tool, das man installiert, und kein Standard, gegen den man sich zertifiziert. Es ist ein Steuerungsrahmen, der beschreibt, welche Sicherheitsergebnisse eine Organisation erreichen sollte, und der die Lage in 6 Functions, 22 Categories und 106 Subcategories ordnet. Eine CSF-2.0-Einführung ist deshalb in erster Linie ein Führungs- und Priorisierungsprojekt, kein technisches Rollout.
Für den CISO heißt das: Der Erfolg entscheidet sich nicht an der Vollständigkeit einer Maturitätstabelle, sondern daran, ob die Einführung ein belastbares Mandat, einen klaren Geltungsbereich, eine risikobasierte Priorisierung und benannte Verantwortliche hervorbringt. Govern (GV) als in Version 2.0 neu hinzugekommene Function gibt die Reihenfolge vor: zuerst Steuerung, dann Fähigkeiten.
Problem in der Praxis
Viele CSF-Einführungen starten in der Mitte. Ein Team lädt den CSF-Core, geht die Subcategories durch und vergibt Reifegrade. Nach einigen Wochen liegt eine umfangreiche Bewertung vor, aber niemand kann sagen, welche Lücken geschäftlich relevant sind, wer sie schließen soll und woher das Budget kommt. Das Framework wird zur Selbstbeschreibung, nicht zum Steuerungsinstrument.
Typisch sind drei Startfehler. Erstens fehlt der Geltungsbereich: Es ist unklar, ob die Bewertung das Gesamtunternehmen, einen Geschäftsbereich oder ein kritisches Produkt betrifft. Zweitens fehlt der organisatorische Kontext: Ohne Auftrag, rechtliche Pflichten und kritische Abhängigkeiten (GV.OC) lässt sich kein sinnvolles Zielprofil ableiten, jede Bewertung bleibt beliebig. Drittens fehlt das Mandat: Der CISO bewertet, aber die Leitung hat weder Risikoappetit beschlossen noch Entscheidungsrechte geklärt. Das Resultat ist eine Tabelle ohne Treiber.
CISO-Einordnung
CSF 2.0 ist outcome-orientiert und beschreibt Ergebnisse, nicht Kontrollen im Detail; es ist nicht im ISO-Sinn zertifizierbar und gilt seit 2.0 ausdrücklich für Organisationen jeder Größe und Branche, nicht mehr nur für kritische Infrastruktur. Die Einführung folgt deshalb der von NIST vorgesehenen Logik des Organizational Profile: Geltungsbereich festlegen, Informationen sammeln, ein Current Profile (Ist) und ein Target Profile (Soll) erstellen, die Lücke analysieren, einen Aktionsplan ableiten und das Profil fortlaufend aktualisieren.
Zwei Instrumente strukturieren die Roadmap. Die Profile übersetzen die abstrakten Subcategories in zwei konkrete Zustände der eigenen Organisation und machen die Lücke sichtbar. Die vier Tiers (Partial, Risk Informed, Repeatable, Adaptive) beschreiben, wie rigoros Risikogovernance und -management betrieben werden; sie sind eine Selbsteinordnung der angestrebten Strenge, kein Reifegrad-Wettbewerb. Wer Ergebnisse mit konkreten Maßnahmen unterlegen will, findet die Tiefe im Kontrollkatalog SP 800-53 Rev. 5 (20 Familien, 324 Basis-Controls, 872 Enhancements); offizielle NIST-Mappings verbinden CSF-Subcategories mit Controls. Vorkonfigurierte Auswahlpakete liefert SP 800-53B (Baselines Low/Moderate/High), die Prüfung der Controls regelt SP 800-53A. Den übergeordneten Risikoprozess beschreibt SP 800-37 (RMF), die Risikobewertung SP 800-30 und die laufende Überwachung SP 800-137 (ISCM).
Umsetzungsperspektive
Bewährt hat sich eine Roadmap in sechs Phasen, die mit Steuerung beginnt und nicht mit Technik:
- Phase 1 - Mandat und Scope: Die Leitung benennt den Sponsor, beschließt den Risikoappetit in Grundzügen und legt den Geltungsbereich fest (Gesamtunternehmen, Bereich oder kritisches Produkt). Govern-Ergebnisse zu Kontext (GV.OC), Rollen (GV.RR) und Oversight (GV.OV) sind hier der Anker.
- Phase 2 - Current Profile: Strukturierte Ist-Aufnahme entlang der Functions und Categories. Ziel ist ein ehrliches Lagebild, keine Wunschdarstellung; Quellen sind bestehende Audits, Risikoregister und Interviews mit Process Ownern.
- Phase 3 - Target Profile: Aus organisatorischem Kontext, Bedrohungslage, regulatorischen Pflichten und Risikoappetit wird das angestrebte Ergebnis je relevanter Subcategory abgeleitet. Hier wird der angestrebte Tier verankert.
- Phase 4 - Gap-Analyse und Priorisierung: Die Differenz zwischen Ist und Soll wird nach Risiko und Wirkung priorisiert, nicht nach Vollständigkeit. Govern und Identify gehen meist vor, weil sie Steuerung und Transparenz schaffen.
- Phase 5 - Aktionsplan: Je Lücke werden Owner, Maßnahme, Aufwand, Termin und Nachweis definiert. Kritische Ergebnisse werden mit Controls aus SP 800-53 unterlegt; eine Baseline aus 800-53B dient als Startpunkt, nicht als Pflichtpaket.
- Phase 6 - Umsetzung und Aktualisierung: Der Plan wird in der Managementtaktung verfolgt; das Profil ist ein lebendes Dokument und wird bei Veränderungen fortgeschrieben, gestützt durch kontinuierliches Monitoring (SP 800-137).
Der pragmatische Einstieg ist klein: ein abgegrenzter Scope, ein erstes Profilpaar, fünf bis zehn priorisierte Lücken mit Ownern. Ein Pilot in einem kritischen Bereich liefert mehr Steuerungswert als eine vollständige, aber folgenlose Gesamtbewertung.
Typische Fehler
- Die Einführung startet mit der Subcategory-Bewertung, bevor Scope, Kontext und Mandat geklärt sind. Die Tabelle entsteht, der Treiber fehlt.
- Govern wird übersprungen. Ohne Risikoappetit und Entscheidungsrechte bleibt jede Priorisierung verhandelbar und das lauteste Projekt gewinnt.
- Das Target Profile wird aus einer Referenz kopiert statt aus dem eigenen Kontext abgeleitet. Das Soll passt dann nicht zum Geschäft.
- Ein hoher Tier wird pauschal als Ziel gesetzt. Tiers sind risikobasiert zu wählen; Adaptive überall ist teuer und selten begründet.
- CSF 2.0 wird mit SP 800-53 verwechselt. Das Framework liefert Ergebnisse und Steuerung, der Katalog liefert Controls; beides hat unterschiedliche Rollen.
- Das Profil wird einmalig erstellt und nie aktualisiert. Ohne Fortschreibung und Monitoring veraltet das Lagebild.
- CSF 2.0 wird wie ein zertifizierbarer Standard behandelt. Es entstehen Konformitätserwartungen, die das Framework nicht bedient.
Risiken und Trade-offs
Eine CSF-Einführung kann in zwei Richtungen scheitern. Zu viel Methodik erzeugt detaillierte Profile für jede Subcategory, lange Workshops und ein Modell, das niemand pflegt; die Organisation verwaltet das Framework, statt mit ihm zu steuern. Zu wenig Methodik führt zu einer oberflächlichen Bewertung ohne Owner und ohne Verbindung zu Budget und Roadmap.
Ein zweiter Trade-off betrifft Breite versus Tiefe. Eine unternehmensweite Erstbewertung schafft Vergleichbarkeit, bindet aber viel Kapazität und liefert je Bereich nur grobe Aussagen. Ein fokussierter Pilot liefert schneller belastbare Entscheidungen, deckt aber nicht das Gesamtbild ab. Drittens steht die Wahl der Control-Tiefe im Raum: Eine 800-53B-Baseline beschleunigt den Start, ein unkritisches Übernehmen ohne Tailoring erzeugt jedoch Aufwand für Controls, die das eigene Risikoprofil nicht braucht.
Entscheidungspunkte
- Wer ist der Sponsor in der Leitung, und ist das Mandat des CISO für die Einführung dokumentiert?
- Welcher Geltungsbereich gilt für das erste Profil: Gesamtunternehmen, ein Bereich oder ein kritisches Produkt?
- Ist der Risikoappetit ausreichend beschlossen, um ein Target Profile abzuleiten?
- Welchen Tier streben wir an, und ist diese Wahl risikobasiert begründet?
- Welche Lücken unterlegen wir mit Controls aus SP 800-53, und welche steuern wir auf CSF-Ebene?
- In welchem Format und Rhythmus wird das Profil fortgeschrieben und berichtet?
Praktische Empfehlungen
- Beginnen Sie mit Govern, nicht mit der Bewertung: Sponsor, Scope, Risikoappetit und Entscheidungsrechte klären, bevor das erste Profil entsteht.
- Binden Sie Stakeholder rollenklar ein: Leitung als Sponsor und Akzeptanzinstanz, Process Owner und Fachbereiche für Kontext und Kritikalität, IT-Betrieb für Machbarkeit, Beschaffung und Lieferantenmanagement für GV.SC, Datenschutz und Legal für Pflichten, interne Revision als Beobachter.
- Leiten Sie das Target Profile aus dem eigenen Kontext ab und wählen Sie den Tier risikobasiert statt pauschal hoch.
- Priorisieren Sie die Gap-Analyse nach Geschäftsrisiko und Wirkung; setzen Sie Govern und Identify in der Regel vor die operativen Functions.
- Definieren Sie je Lücke Owner, Maßnahme, Termin und Nachweis und verankern Sie den Aktionsplan in der Managementtaktung.
- Starten Sie als Pilot in einem kritischen Bereich und skalieren Sie erst, wenn das Format trägt.
- Behandeln Sie das Profil als lebendes Dokument und stützen Sie die Fortschreibung auf kontinuierliches Monitoring (SP 800-137).
Relevante Normreferenzen
- NIST CSF 2.0 (NIST.CSWP.29, 26.02.2024): Core mit 6 Functions, 22 Categories, 106 Subcategories; Organizational Profiles (Current/Target) und die vier Tiers als Einführungsinstrumente. Public Domain.
- NIST SP 800-53 Rev. 5: Kontrollkatalog (20 Familien, 324 Basis-Controls, 872 Enhancements) zur Unterlegung priorisierter Ergebnisse. Public Domain.
- NIST SP 800-53B (Baselines Low/Moderate/High) und SP 800-53A (Assessment): Auswahl und Prüfung von Controls. Public Domain.
- NIST SP 800-37 (RMF), SP 800-30 (Risikobewertung), SP 800-137 (ISCM): übergeordneter Risikoprozess, Bewertung und laufende Überwachung. Public Domain.
Häufige Fragen
Womit sollte eine CSF-2.0-Einführung beginnen?+
Mit Govern, nicht mit der Bewertung. Zuerst werden Sponsor, Geltungsbereich, Risikoappetit und Entscheidungsrechte geklärt; erst dann entsteht das erste Profil.
Was sind Current und Target Profile?+
Das Current Profile beschreibt den Ist-Zustand der Sicherheitsergebnisse, das Target Profile den angestrebten Soll-Zustand. Ihre Differenz ist die Grundlage für Priorisierung und Aktionsplan.
Welche Rolle spielen die Tiers?+
Die vier Tiers (Partial, Risk Informed, Repeatable, Adaptive) beschreiben die Strenge der Risikogovernance. Sie werden risikobasiert gewählt und sind kein Reifegrad-Wettbewerb.
Wie hängen CSF 2.0 und SP 800-53 zusammen?+
CSF 2.0 liefert Ergebnisse und Steuerungslogik, SP 800-53 liefert die konkreten Controls. Priorisierte CSF-Ergebnisse lassen sich über NIST-Mappings mit Controls unterlegen.
Wer muss bei der Einführung mitwirken?+
Die Leitung als Sponsor und Akzeptanzinstanz, Process Owner und Fachbereiche für Kontext, IT-Betrieb für Machbarkeit, Beschaffung für Lieferkettenrisiko sowie Datenschutz und Legal für Pflichten.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen NIST prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: nist-impl-009.
