Cybersecurity Frameworks im Vergleich: NIST CSF, ISO 27001, CIS Controls und BSI Grundschutz
Cybersecurity Frameworks strukturieren Sicherheitsmaßnahmen und ermöglichen eine systematische Risikoreduktion. Die wichtigsten Frameworks im DACH-Raum: NIST CSF 2.0 (funktionsbasiert), ISO 27001 (zertifizierbar), CIS Controls v8 (konkret und priorisiert), BSI IT-Grundschutz (deutsch, modellbasiert). Dieser Vergleich erklärt Stärken, Schwächen und Einsatzgebiete jedes Frameworks sowie Mapping-Möglichkeiten zwischen den Standards.
Inhaltsverzeichnis (5 Abschnitte)
"Welches Framework sollen wir nutzen?" ist eine der häufigsten Fragen in Cybersecurity-Projekten. Die ehrliche Antwort: Es gibt keine universelle Antwort. NIST CSF eignet sich für strategische Kommunikation mit dem Vorstand. ISO 27001 ist die richtige Wahl wenn Kunden oder Regulatoren eine Zertifizierung fordern. CIS Controls v8 ist ideal wenn ein operatives Team konkrete Maßnahmen umsetzen muss. BSI IT-Grundschutz ist relevant für Bundesbehörden und KRITIS. Viele Organisationen nutzen Elemente aus allen vier.
NIST Cybersecurity Framework 2.0 (CSF)
Das NIST CSF 2.0 wurde im Februar 2024 veröffentlicht und führt als sechste Funktion GOVERN neu ein. Die sechs Funktionen strukturieren das gesamte Sicherheitsprogramm:
GOVERN (GV) ist neu in Version 2.0 und behandelt Cybersecurity-Risiko-Management als Unternehmens-Funktion. Es umfasst die Definition von Rollen, Verantwortlichkeiten und Richtlinien sowie Cybersecurity-Strategie, Erwartungen und Aufsicht.
IDENTIFY (ID) befasst sich mit Asset Management (was haben wir?), Risikobewertung (welche Bedrohungen existieren?) und dem Business Environment (was ist kritisch für den Betrieb?).
PROTECT (PR) deckt Zugangskontrolle (wer darf auf was zugreifen?), Awareness und Training sowie Datensicherheit (Verschlüsselung, Backup, DLP) ab.
DETECT (DE) umfasst das Erkennen von Anomalien und Events, kontinuierliches Monitoring und definierte Erkennungsprozesse.
RESPOND (RS) regelt Response Planning, interne und externe Kommunikation sowie Analyse, Eindämmung und Verbesserungen nach einem Incident.
RECOVER (RC) behandelt Recovery Planning, das Einarbeiten von Lessons Learned und die Kommunikation über den Status der Wiederherstellung.
Das Framework wird für Selbstbewertungen genutzt (Current Profile → Target Profile → Gap-Analyse) und eignet sich besonders zur Kommunikation mit dem Vorstand, da Funktionen kein technisches Detail erfordern. Es ist nicht zertifizierbar und verfolgt keinen prescriptive Ansatz.
Die Maturity-Tiers beschreiben den Reifegrad: Tier 1 (Partial) ist reaktiv und ad-hoc, Tier 2 (Risk Informed) zeigt vorhandenes Risikobewusstsein, Tier 3 (Repeatable) steht für formalisierte und konsistente Prozesse, Tier 4 (Adaptive) für kontinuierliche Verbesserung mit eingearbeiteten Lessons Learned.
Stärken: Gute Kommunikationsbasis für C-Level, flexibel und branchen-agnostisch, kostenlos, in CSF 2.0 besser für KMU und Non-Profit geeignet. Schwächen: Keine Zertifizierung möglich, vage mit wenig konkreten Handlungsanweisungen, US-zentriert (BSI-Grundschutz wird für deutsche Behörden bevorzugt).
ISO 27001:2022
ISO/IEC 27001:2022 ist der internationale Zertifizierungsstandard für Informationssicherheits-Managementsysteme (ISMS). Kern ist der Plan-Do-Check-Act-Zyklus (PDCA) mit einem risikobasierten Ansatz: nicht alle Controls gelten für alle. Zertifiziert wird durch akkreditierte Stellen wie TÜV, DQS oder DNV.
Die Norm gliedert sich in Kapitel 4 (Kontext der Organisation), 5 (Führung und Management-Commitment), 6 (Planung und Risikobewertung), 7 (Unterstützung durch Ressourcen), 8 (Betrieb), 9 (Leistungsbewertung durch Audit und Management-Review) und 10 (Verbesserung). Anhang A enthält 93 Controls in vier Themengebieten: A.5 Organisatorische Controls (37), A.6 People Controls (8), A.7 Physische Controls (14) und A.8 Technologische Controls (34).
Wichtige neue Controls in der 2022-Revision sind unter anderem A.5.7 (Threat Intelligence), A.5.23 (Informationssicherheit bei Cloud-Nutzung), A.8.9 (Configuration Management), A.8.12 (Data Leakage Prevention) und A.8.28 (Secure Coding).
Der Zertifizierungsprozess beginnt mit dem Stage-1-Audit (Dokumentenprüfung), gefolgt vom Stage-2-Audit (Implementierungsprüfung vor Ort). Das Zertifikat ist drei Jahre gültig, mit jährlichen Überwachungsaudits und einer vollständigen Rezertifizierung nach drei Jahren.
Stärken: International anerkanntes Zertifikat, Marktanforderung für Enterprise-Kunden, systematischer risikobasierter Ansatz, klar definierter Scope. Schwächen: Aufwändig (6-18 Monate Implementierung), kostspielig (Audit 5.000-50.000 EUR je nach Größe), hoher Dokumentationsaufwand, relativ abstrakte Controls.
CIS Controls v8
Die CIS Controls v8 des Center for Internet Security umfassen 18 Controls mit 153 Safeguards. Ihre Stärke liegt in der konkreten, priorisierten und kostenlosen Verfügbarkeit.
Die Implementation Groups priorisieren die Umsetzung:
IG1 (56 Safeguards) bildet die grundlegende Cyber Hygiene für alle Organisationen. Ressourcenarm mit hohem Impact - wenn nichts anderes umgesetzt wird, sollte zumindest IG1 vollständig erfüllt sein. Beispiele: Asset-Inventar, autorisierte Software, Passwort-Mindestlänge 14 Zeichen für privilegierte Konten, MFA für alle Administratoren, Backup-Tests und dokumentierter Incident-Response-Prozess.
IG2 (+74 Safeguards) richtet sich an Unternehmen mit eigenem IT-Personal und ergänzt Konfigurationsmanagement, Schwachstellen-Scanning, zentrale Log-Sammlung und E-Mail-Security-Monitoring.
IG3 (+23 Safeguards) ist für Unternehmen mit Security-Experten gedacht und umfasst Penetrationstests für Internet-facing Systeme, Applikationssicherheits-Tests im SDLC und Anti-Exploitation-Features.
Die 18 CIS Controls umfassen: Inventar und Kontrolle über Enterprise Assets, Inventar und Kontrolle über Software Assets, Datenschutz, sichere Konfiguration, Account Management, Access Control Management, kontinuierliches Vulnerability Management, Audit Log Management, E-Mail- und Web-Browser-Schutz, Malware-Abwehr, Data Recovery, Netzwerk-Infrastruktur Management, Netzwerk-Monitoring, Security Awareness Training, Service Provider Management, Application Software Security, Incident Response Management und Penetration Testing.
Stärken: Sehr konkret und umsetzbar, Priorisierung durch IG1/2/3, kostenlos und regelmäßig aktualisiert, gut für Audit-Nachweise, konkrete CIS Benchmarks für Konfigurationsempfehlungen. Schwächen: Kein Zertifikat, US-Perspektive mit weniger EU-Regulierung, weniger strategisch als NIST CSF oder ISO 27001.
BSI IT-Grundschutz
Der BSI IT-Grundschutz ist der deutsche Standard, entwickelt vom Bundesamt für Sicherheit in der Informationstechnik. Er ist Pflicht für Bundesbehörden und wird für alle deutschen Unternehmen empfohlen. Das Grundschutz-Kompendium ist kostenlos auf bsi.bund.de verfügbar.
Das Framework besteht aus Bausteinen, Gefährdungen und Maßnahmen. Die über 100 Bausteine (Stand 2023) sind nach Themengebieten gegliedert: ISMS (Sicherheitsmanagement), ORP (organisatorische Prozesse), CON (Konzepte wie Datensicherung und Entwicklung), OPS (Betrieb), DER (Detektion und Reaktion), APP (Anwendungen, u.a. Webanwendungen und Kubernetes), SYS (IT-Systeme), IND (industrielle IT/OT), NET (Netze) und INF (Infrastruktur).
Das Absicherungskonzept bietet drei Stufen: Basis-Absicherung als Mindeststandard (schnell umsetzbar), Standard-Absicherung als vollständige IT-Grundschutz-Implementierung und Kern-Absicherung mit Fokus auf die kritischsten Assets.
Eine BSI-Zertifizierung "ISO 27001 auf Basis IT-Grundschutz" ist möglich und anerkennt IT-Grundschutz als Risikobewertungsmethode. Das ist besonders für Bundesbehörden relevant, die ein ISO-27001-Zertifikat benötigen.
Stärken: Sehr detailliert und konkret (Musterdokumente enthalten), deutsch und ideal für deutsche Regulierung, regelmäßig aktualisiert (Cloud, OT, Kubernetes-Bausteine), zertifizierbar, kostenlos. Schwächen: Hoher Einarbeitungsaufwand durch den großen Umfang, wenig international anerkannt (BSI C5 für Cloud, sonst Insider-Standard), schwer handhabbar für kleine Unternehmen.
Framework-Mapping und -Kombination
Die vier Frameworks lassen sich aufeinander abbilden. NIST CSF und ISO 27001 überlappen sich stark: GOVERN entspricht Kapitel 5 (Führung) und 6 (Planung), IDENTIFY entspricht Kapitel 4 (Kontext) und A.5.9 (Asset-Inventar), PROTECT deckt die Controls A.5 bis A.8 ab, DETECT entspricht A.8.16 (Monitoring) und DER im IT-Grundschutz, RESPOND entspricht A.5.26 und A.5.24 (IR-Planung), RECOVER entspricht A.5.29 (BCM) und A.5.30 (ICT-Continuity).
Für CIS Controls und ISO 27001 existiert ein vollständiges Mapping: CIS 1 (Asset-Inventar) entspricht A.5.9/5.10, CIS 4 (Konfiguration) entspricht A.8.9, CIS 6 (Zugriffskontrolle) entspricht A.8.2/8.3/5.18, CIS 7 (Vulnerability Management) entspricht A.8.8, CIS 8 (Audit Logs) entspricht A.8.15/8.16 und CIS 18 (Penetrationstest) entspricht A.8.8/5.8.
Empfohlene Kombinationen für DACH-Unternehmen:
Für KMU ohne Zertifizierungsanforderung empfiehlt sich CIS Controls IG1 als operative Basis, NIST CSF für die C-Level-Kommunikation und DSGVO-Maßnahmen als Ergänzung.
Für Enterprise-Unternehmen mit Kundendruck bietet sich ISO 27001 für die Zertifizierung, CIS Controls für konkrete operative Maßnahmen, NIST CSF für die Management-Kommunikation und ausgewählte BSI-IT-Grundschutz-Bausteine an.
Für Bundesbehörden und KRITIS gilt BSI IT-Grundschutz als Pflicht, optional ergänzt durch ISO 27001 auf IT-Grundschutz-Basis, BSI C5 für Cloud-Anbieter und NIST CSF als Maturity-Framework.
Multi-Framework Tooling: GRC-Tools wie ServiceNow GRC, MetricStream oder OneTrust importieren ISO 27001, NIST CSF, CIS und BSI Controls und verknüpfen Evidenzen mit mehreren Frameworks gleichzeitig - einmal implementieren, mehrfach nachweisen. Als Open-Source-Alternative bietet ERAMBA (eramba.org) Control-Mapping zwischen den wichtigsten Frameworks.
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Dipl.-Math. (WWU Münster) und Promovend am Promotionskolleg NRW (Hochschule Rhein-Waal) mit Forschungsschwerpunkt Phishing-Awareness, Behavioral Security und Nudging in der IT-Sicherheit. Verantwortet den Aufbau und die Pflege von ISMS, leitet interne Audits nach ISO/IEC 27001:2022 und berät als externer ISB in KRITIS-Branchen. Lehrbeauftragter für Communication Security an der Hochschule Rhein-Waal und NIS2-Schulungsleiter bei der isits AG.
3 Publikationen
- Different Seas, Different Phishes - Large-Scale Analysis of Phishing Simulations Across Different Industries (2025)
- Self-promotion with a Chance of Warnings: Exploring Cybersecurity Communication Among Government Institutions on LinkedIn (2024)
- Exploring the Effects of Cybersecurity Awareness and Decision-Making Under Risk (2024)
