Cybersicherheit und Datenschutz: NIST-Rahmenwerk überarbeitet

Cybersicherheit und Datenschutz: Das NIST-Framework erhält ein neues Gesicht

Von Dan Raywood • 29. Mai 2025

NIST hat kürzlich Pläne angekündigt, sein Datenschutz-Framework zu überarbeiten und es organischer und weniger statisch zu gestalten. Ist dies für Praktiker von Vorteil? Dan Raywood untersucht die Gründe für die Änderung.

Letztes Jahr wurde die zweite Version des NIST eingeführt Cybersicherheits-Framework, eine Aktualisierung der Version von 2014, um die Verwendung des Rahmens zu erweitern, die Anleitung zur Umsetzung zu verbessern und die Bedeutung der Governance hervorzuheben.

Natürlich gehen Cybersicherheit und Datenschutz Hand in Hand, und 12 Monate nach der Überarbeitung des Cybersecurity Frameworks kündigte NIST im April 2025 eine zweimonatige Überprüfungsphase für das Privacy Framework an, um neue Ergänzungen und Überarbeitungen zu berücksichtigen.

Verwalten Sie Datenschutzrisiken

Letztes Jahr sah die erste Ankündigung der Überarbeitungen der Version 1.1, mit der Konzeptpapier veröffentlicht im Juni 2024 vor dem Erster öffentlicher Entwurf das im April veröffentlicht wurde.

Laut NIST sind aufgrund der Beziehung zum Cybersecurity Framework Änderungen am Privacy Framework erforderlich: Die beiden Frameworks verfügen über dieselbe übergeordnete Struktur, sodass sie problemlos gemeinsam verwendet werden können.

Julie Chua, Direktorin der Abteilung für angewandte Cybersicherheit des NIST, bezeichnete die Aktualisierung als „bescheiden, aber bedeutsam“. Sie erklärte: „Das Datenschutz-Framework kann allein zur Bewältigung von Datenschutzrisiken eingesetzt werden. Wir haben jedoch auch seine Kompatibilität mit dem Cybersecurity Framework 2.0 beibehalten, sodass Organisationen beide Frameworks gemeinsam nutzen können, um das gesamte Spektrum von Datenschutz- und Cybersicherheitsrisiken zu bewältigen.“

Kleines Update

Meghan Anderson, Datenschutzrisikostrategin beim Privacy Engineering Program des NIST, erklärt, dass es sich hierbei nicht um eine umfassende Überarbeitung, sondern um „eine sehr leichte, geringfügige Aktualisierung“ handele.

Im Gespräch mit ISMS.online erklärte Anderson, dass der Datenschutzrahmen „ein lebendiges Instrument ist, das sich weiterentwickeln soll, um den Bedürfnissen unserer Stakeholder gerecht zu werden“. In den fünf Jahren seit der Veröffentlichung des ersten Datenschutzrahmens konnten diese Stakeholder Bereiche identifizieren, in denen gezielte Verbesserungen möglich sind, und technologische Änderungen in Betracht ziehen.

Sie spielte die Bedeutung der Überarbeitungen der Version 1.1 herunter und bezeichnete sie als „lediglich geringfügige Überarbeitungen bzw. Umstrukturierungen der Kategorien in Unterkategorien“.

Sie räumte jedoch ein, dass es nach fünf Jahren mit der Originalversion Zeit für eine Veränderung sei. „Es war, als ob wir dachten: ‚Das ist ein Meilenstein, lasst es uns aktualisieren‘“, sagt sie.

Anderson betont insbesondere, dass die Verknüpfung zwischen dem Datenschutzrahmen und dem Cybersicherheitsrahmen gewährleistet sein müsse, da dieser dem Cybersicherheitsrahmen nachempfunden sei. „Das wirklich Tolle am Datenschutzrahmen ist seine hohe Flexibilität. Viele Organisationen und Stakeholder, die ihn nutzen, können ihn so an ihre Bedürfnisse, Datenschutzergebnisse und -ziele anpassen.“

Neue Elemente

Eine der wesentlichen Änderungen dieser Revision ist die Schaffung einer online Version des Rahmenwerks. Dies bedeutet nicht nur, dass es auf der Website veröffentlicht wird, sondern dass NIST zeitnahe und relevante Aktualisierungen als Reaktion auf die Bedürfnisse der Nutzer veröffentlichen kann. Anderson sagt, dass Abschnitt drei, der Anleitungen zur Nutzung des Datenschutzrahmenwerks enthält, verschoben wurde.

„Wir hoffen, dass es dadurch interaktiver wird und wir es häufiger aktualisieren können als in einem unveränderten PDF-Dokument“, sagt sie. „So können wir es schneller auf der Website bereitstellen als im PDF, dessen Aktualisierung, Überarbeitung und Neuveröffentlichung zeitaufwändig ist.“

Sie sagt auch, dass es häufig Feedback zu neuen Trends – wie etwa KI – gab, sodass zusätzliche Richtlinien zur Beziehung zwischen KI und Datenschutzrisikomanagement hinzugefügt wurden und dies nun ein neuer Abschnitt im ersten öffentlichen Entwurf des Datenschutzrahmens ist.

Der erste öffentliche Entwurf besagt, dass der überarbeitete Rahmen „Organisationen dabei unterstützen kann, Datenschutzrisiken zu identifizieren und zu managen, die durch die Datenverarbeitung in KI-Systemen während des gesamten KI-Lebenszyklus entstehen können.“ Dazu gehören Datenschutzrisiken, die entstehen, wenn KI-Systeme mit Daten trainiert werden, die ohne die Zustimmung der Betroffenen erhoben wurden, oder wenn fehlende oder unzureichende Datenschutzvorkehrungen bestehen.

In manchen Fällen kann KI-Technologie „die Hauptursache für Datenschutzrisiken“ sein und Datenschutzprobleme für Einzelpersonen und Gruppen verursachen. KI kann „die Privatsphäre von Einzelpersonen und Gruppen beeinträchtigen und erhebliche organisatorische Auswirkungen haben, die von Umsatzeinbußen bis hin zu Reputationsschäden reichen.“

Daher können Organisationen das neue Framework nutzen, um „Datenschutzrisiken im Zusammenhang mit KI effektiv zu managen und sicherzustellen, dass die Datenschutzwerte der Organisation bei der Entwicklung und Nutzung von KI-Systemen berücksichtigt werden.“

Essenzielle Evolution

Es ist keine Komplettlösung, aber definitiv ein Fortschritt. Wie sieht es aus Sicht der Praxis aus? Reicht das aus, um den modernen Herausforderungen zu begegnen?

Im Gespräch mit ISMS.online sagt Tarun Samtani, Mitglied des Beirats der IAPP, dass die vorgeschlagene Überarbeitung „eine wesentliche Weiterentwicklung darstellt“ und lobt ihre Übereinstimmung mit dem Cybersecurity Framework des letzten Jahres.

Er sagte, dass die Überarbeitung „kritische operative Lücken zwischen Sicherheit und Datenschutz schließt – ein Problem, das ich wiederholt erlebt habe.“

Samtani kritisiert insbesondere, dass das aktuelle Rahmenwerk zwar eine solide Theorie bietet, aber in der praktischen Anwendung Schwierigkeiten hat. Mit Blick auf den Entwurf für Version 1.1 lobt er die Einführung der Berücksichtigung neuer KI-Risiken, sagt aber: „Es fehlen praktische Umsetzungsmöglichkeiten für ressourcenbeschränkte Organisationen.“

Unzureichend, nicht veraltet

Hält er diese Überarbeitung aus Sicht eines Praktikers für notwendig und waren die Leitlinien der Version 2020 besonders veraltet? Er sagt, sie seien nicht veraltet, aber zunehmend unzureichend. „Seit der Veröffentlichung von Version 1.0 im Jahr 2020 erleben wir ein explosionsartiges Wachstum bei der Nutzung von KI-Systemen und automatisierter Entscheidungsfindung – was neue Datenschutzrisiken mit sich bringt“, sagt er.

Das vorgeschlagene PFW 1.1 berücksichtigt sinnvoll neue KI-Aspekte und berücksichtigt gleichzeitig die Erkenntnisse aus sich entwickelnden Regulierungssystemen. Dieses zeitgemäße Update trägt der Tatsache Rechnung, dass das Datenschutzrisikomanagement nun über die traditionelle Datenverarbeitung hinausgeht und algorithmische Transparenz umfasst.

Auf der anderen Seite war Samtani nicht ganz des Lobes für die nachfolgenden Überarbeitungen voll und ganz. Er behauptete, der Entwurf brauche klarere Messgrößen über die Reifegrade hinaus und mehr präskriptive Ansätze für kleinere Unternehmen, die sich in der heutigen anspruchsvollen Daten- und KI-Landschaft zurechtfinden müssen.

Er sagt: „Die strukturellen Verbesserungen von PFW 1.1 könnten einige Bedenken hinsichtlich der Benutzerfreundlichkeit ausräumen, aber ohne strukturierte Implementierungsanleitung könnte die Einhaltung der Vorschriften schwer zu erreichen sein, insbesondere für Organisationen, die nicht über ausgereifte Datenschutzprogramme verfügen.“

Er behauptet, dass die vorgeschlagene strukturelle Anpassung zwischen PFW 1.1 und CSF 2.0 operative Reibungsverluste behebt, die er bei der Beratung multinationaler Unternehmen beobachtet hat. Er empfiehlt drei praktische Ergänzungen zur Verbesserung der Benutzerfreundlichkeit:

Erstens: Integrierte Implementierungs-Playbooks, die eine gleichzeitige Operationalisierung demonstrieren.
Zweitens standardisierte Framework-übergreifende Metriken für eine konsistente Berichterstattung.
Drittens technologiespezifische Profile für gängige Szenarien wie KI-Bereitstellungen.

„Diese Verbesserungen würden Frameworks von Referenzdokumenten in operative Werkzeuge verwandeln, die messbare Verbesserungen im Datenschutzmanagement ermöglichen“, so sein Fazit. Als Antwort darauf:

Anderson sagt, dass alle Kommentare zur Überarbeitung der Version 1.1 willkommen sind.

Eine solche Überarbeitung ist mit Herausforderungen verbunden, und die technologischen Veränderungen der letzten fünf Jahre machen diese Überarbeitung notwendig. Aus Compliance- und Compliance-Sicht sollte die neue Version keine allzu großen Probleme bereiten, da die Änderungen nicht allzu gravierend sind und es Unternehmen ermöglichen sollten, die Lücke zwischen Cybersicherheits- und Datenschutzrahmen zu schließen.

Viele werden diese Änderungen begrüßen, doch kleinere oder weniger ressourcenstarke Organisationen könnten ohne klarere Implementierungspfade Schwierigkeiten haben. Hier könnte sich die Umstellung auf eine dynamischere Online-Version des Frameworks als besonders wertvoll erweisen. Sie ermöglicht es NIST, schneller auf neu auftretende Probleme zu reagieren und praxisorientiertere, sich weiterentwickelnde Leitlinien anzubieten. Auch wenn das Framework nicht alle Bedürfnisse auf Anhieb perfekt erfüllen wird, stellt dieser Schritt hin zu einer lebendigen, reaktionsfähigen Ressource einen bedeutenden Fortschritt dar.

Dan Raywood

Dan Raywood schreibt seit 2008 über IT-Sicherheit und ist ehemaliger Analyst in der Informationssicherheitspraxis bei 451 Research. Er hat auf Messen wie 44CON, SecuriTay, SteelCon, Irisscon und Infosecurity Europe Vorträge gehalten, außerdem für eine Reihe von Anbieter-Blogs geschrieben und in Webcasts präsentiert.

Lesen Sie mehr von Dan Raywood

Internet-Sicherheit 30 September 2025

Wird der Grok-Verstoß zu echten Sicherheitsbedenken führen? Banner

Wird der Grok-Datenleck Sicherheitsbedenken bei GenAI hervorrufen?

Ein kürzlicher Vorfall hat Bedenken hinsichtlich des Umgangs von GenAI-Tools mit Daten geweckt. Ist es an der Zeit, sicherzustellen, dass Ihre Daten nicht in deren L... landen?

Dan Raywood

Internet-Sicherheit 21 Januar 2025

Zero-Day-Schwachstellen Wie können Sie sich auf das unerwartete Banner vorbereiten?

Zero-Day-Schwachstellen: Wie können Sie sich auf das Unerwartete vorbereiten?

Warnungen globaler Cybersicherheitsbehörden zeigten, dass Schwachstellen häufig als Zero-Day-Angriffe ausgenutzt werden. Angesichts einer solch unvorhersehbaren Situation...

Dan Raywood

Datenschutz 8 August 2024

Ist Verhandeln Ihre beste Strategie, wenn es um Ransomware geht?

Anstatt einfach eine Gebühr zu zahlen, um aus einer Ransomware-Situation herauszukommen, könnten Sie sich mit den richtigen Schritten und Fähigkeiten heraushandeln? Dan Raywoo …

Dan Raywood