Cybersecurity Frameworks im Vergleich: NIST CSF, ISO 27001, CIS Controls und BSI Grundschutz
Cybersecurity Frameworks strukturieren Sicherheitsmaßnahmen und ermöglichen eine systematische Risikoreduktion. Die wichtigsten Frameworks im DACH-Raum: NIST CSF 2.0 (funktionsbasiert), ISO 27001 (zertifizierbar), CIS Controls v8 (konkret und priorisiert), BSI IT-Grundschutz (deutsch, modellbasiert). Dieser Vergleich erklärt Stärken, Schwächen und Einsatzgebiete jedes Frameworks sowie Mapping-Möglichkeiten zwischen den Standards.
Inhaltsverzeichnis (5 Abschnitte)
“Welches Framework sollen wir nutzen?” ist eine der häufigsten Fragen in Cybersecurity-Projekten. Die ehrliche Antwort: Es gibt keine universelle Antwort. NIST CSF eignet sich für strategische Kommunikation mit dem Vorstand. ISO 27001 ist die richtige Wahl wenn Kunden oder Regulatoren eine Zertifizierung fordern. CIS Controls v8 ist ideal wenn ein operatives Team konkrete Maßnahmen umsetzen muss. BSI IT-Grundschutz ist relevant für Bundesbehörden und KRITIS. Viele Organisationen nutzen Elemente aus allen vier.
NIST Cybersecurity Framework 2.0 (CSF)
NIST CSF 2.0 - veröffentlicht Februar 2024:
6 Funktionen (neu: Govern als sechste Funktion):
GOVERN (GV) - NEU in 2.0:
→ Cybersecurity-Risiko-Management als Unternehmens-Funktion
→ Rollen, Verantwortlichkeiten, Richtlinien definieren
→ Cybersecurity-Strategie, Erwartungen und Aufsicht
IDENTIFY (ID):
→ Asset Management: was haben wir?
→ Risikobewertung: welche Bedrohungen existieren?
→ Business Environment: was ist kritisch für den Betrieb?
PROTECT (PR):
→ Zugangskontrolle: wer darf auf was zugreifen?
→ Awareness und Training: kennen Mitarbeiter ihre Pflichten?
→ Datensicherheit: Verschlüsselung, Backup, DLP
DETECT (DE):
→ Anomalien und Events erkennen
→ Kontinuierliches Monitoring
→ Erkennungsprozesse definiert und getestet
RESPOND (RS):
→ Response Planning: was tun wenn Incident?
→ Kommunikation: intern und extern
→ Analyse, Eindämmung, Verbesserungen
RECOVER (RC):
→ Recovery Planning: wie stellen wir Betrieb wieder her?
→ Improvements: Lessons Learned einarbeiten
→ Kommunikation: Status der Wiederherstellung
Nutzung:
→ Selbstbewertung: Current Profile → Target Profile → Gap
→ Kommunikation: Vorstand versteht Funktionen (kein technisches Detail)
→ NICHT zertifizierbar: kein Audit, kein Zertifikat
→ Flexibel: kein Prescriptive Ansatz (was genau zu tun ist)
Maturity-Tiers (1-4):
Tier 1 (Partial): Reaktiv, ad-hoc, kaum Awareness
Tier 2 (Risk Informed): Risikobewusstsein, informell
Tier 3 (Repeatable): Formalisiert, risikoinformiert, konsistent
Tier 4 (Adaptive): Kontinuierliche Verbesserung, Lessons Learned
Stärken/Schwächen:
✓ Gute Kommunikationsbasis für C-Level
✓ Flexibel und branchen-agnostisch
✓ Kostenlos (NIST, kein Lizenzgebühr)
✓ CSF 2.0: besser für KMU und Non-Profit
✗ Keine Zertifizierung möglich
✗ Vage - wenig konkrete Handlungsanweisungen
✗ US-centric (BSI-Grundschutz für DE-Behörden bevorzugt)ISO 27001:2022
ISO/IEC 27001:2022 - Der internationale Zertifizierungsstandard:
Kern: ISMS (Information Security Management System)
→ Plan-Do-Check-Act Zyklus (PDCA)
→ Risiko-basierter Ansatz: nicht alle Controls für alle
→ Zertifizierbar durch akkreditierte Stellen (z.B. TÜV, DQS, DNV)
Struktur:
Kapitel 1-3: Einführung, Normative Verweise, Begriffe
Kapitel 4: Kontext der Organisation (Stakeholder, Scope)
Kapitel 5: Führung (Management-Commitment, Richtlinien)
Kapitel 6: Planung (Risikobewertung, Risikobehandlung)
Kapitel 7: Unterstützung (Ressourcen, Kompetenz, Kommunikation)
Kapitel 8: Betrieb (Implementierung, Change Management)
Kapitel 9: Leistungsbewertung (Audit, Management-Review)
Kapitel 10: Verbesserung (Nichtkonformitäten, Verbesserungen)
Anhang A: 93 Controls in 4 Themengebieten:
A.5: Organisatorische Controls (37 Controls)
A.6: People Controls (8 Controls)
A.7: Physische Controls (14 Controls)
A.8: Technologische Controls (34 Controls)
Wichtige neue Controls in 2022:
A.5.7: Threat Intelligence (neu!)
A.5.23: Informationssicherheit bei Cloud-Nutzung (neu!)
A.5.30: ICT-Bereitschaft für Business Continuity (neu!)
A.8.9: Configuration Management (neu!)
A.8.12: Data Leakage Prevention (neu!)
A.8.23: Web Filtering (neu!)
A.8.28: Secure Coding (neu!)
Zertifizierungsprozess:
Stage 1 (Dokumenten-Audit): Richtlinien, ISMS-Dokumentation prüfen
Stage 2 (Hauptaudit): Implementierung vor Ort prüfen
Zertifikat gültig: 3 Jahre
Überwachungsaudit: Jährlich (Jahr 1 und Jahr 2)
Rezertifizierung: Nach 3 Jahren vollständiger Re-Audit
Stärken/Schwächen:
✓ Internationales, anerkanntes Zertifikat
✓ Marktanforderung: Enterprise-Kunden fordern ISO 27001
✓ Systematischer, risiko-basierter Ansatz
✓ Klar definierter Scope (Zertifikat bezieht sich auf bestimmten Scope)
✗ Aufwändig (6-18 Monate Implementierung)
✗ Kosten (Audit: €5.000-€50.000 je nach Größe)
✗ Viel Dokumentationsaufwand
✗ Controls relativ abstrakt (was genau implementieren?)CIS Controls v8
CIS Controls v8 - Center for Internet Security:
18 Controls mit 153 Safeguards
Stärke: konkret, priorisiert, kostenlos
Implementation Groups (Priorisierung!):
IG1 (56 Safeguards): Grundlegende Cyber Hygiene - für ALLE!
→ Ressourcenarm, hoher Impact
→ "Wenn du nichts anderes machst, mach IG1!"
Beispiele:
CIS.1.1: Inventar aller Enterprise Assets
CIS.2.1: Inventar autorisierter Software
CIS.4.1: Passwort-Länge min. 14 Zeichen (privilegiert) / 8 (standard)
CIS.6.3: MFA für alle Administratoren
CIS.11.2: Daten sicher wiederherstellen (Backup-Test!)
CIS.17.1: Incident Response Prozess dokumentiert
IG2 (+74 Safeguards): Für Unternehmen mit IT-Personal
→ Konfigurationsmanagement, Schwachstellen-Scanning, Logs
Beispiele:
CIS.4.7: Multi-Factor Authentication für Remote Access
CIS.7.3: Automatisches Patch Management für Betriebssysteme
CIS.8.2: Zentrale Log-Sammlung (SIEM)
CIS.13.1: Zentralisiertes E-Mail-Security-Monitoring
IG3 (+23 Safeguards): Für Unternehmen mit Security-Experten
→ Penetrationstests, Red Teaming, Advanced Threat Detection
Beispiele:
CIS.18.5: Penetrationstest für Internet-facing Systeme
CIS.16.1: Applikationssicherheits-Tests im SDLC
CIS.10.5: Aktivierung von Anti-Exploitation-Features
Die 18 CIS Controls:
1. Inventar und Kontrolle über Enterprise Assets
2. Inventar und Kontrolle über Software Assets
3. Datenschutz
4. Sichere Konfiguration von Enterprise Assets und Software
5. Account Management
6. Access Control Management
7. Kontinuierliches Vulnerability Management
8. Audit Log Management
9. E-Mail und Web Browser Schutz
10. Malware-Abwehr
11. Data Recovery
12. Netzwerk-Infrastruktur Management
13. Netzwerk-Monitoring und -Abwehr
14. Security Awareness und Skills Training
15. Service Provider Management
16. Application Software Security
17. Incident Response Management
18. Penetration Testing
Stärken/Schwächen:
✓ Sehr konkret und umsetzbar (was genau zu tun ist)
✓ Priorisierung durch IG1/2/3 (nicht alles gleichzeitig)
✓ Kostenlos, regelmäßig aktualisiert
✓ Gut für Audit-Nachweise nutzbar
✓ CIS Benchmarks: konkrete Konfigurationsempfehlungen (OS, Cloud, etc.)
✗ Kein Zertifikat
✗ US-Perspektive (weniger EU-Regulierung eingebettet)
✗ Weniger strategisch als NIST CSF oder ISO 27001BSI IT-Grundschutz
BSI IT-Grundschutz - der deutsche Standard:
Entwickelt: Bundesamt für Sicherheit in der Informationstechnik (BSI)
Gültig: Bundesbehörden Pflicht; empfohlen für alle deutschen Unternehmen
Kosten: Grundschutz-Kompendium kostenlos auf bsi.bund.de
Struktur: Bausteine + Gefährdungen + Maßnahmen
Bausteine (Stand 2023, 100+ Bausteine):
ISMS: ISMS.1 (Sicherheitsmanagement)
ORP: Organisatorische Prozesse (ORP.1-5: Org, Personal, etc.)
CON: Konzepte (CON.3 Datensicherung, CON.10 Entwicklung)
OPS: Betrieb (OPS.1.1 Allgemeiner IT-Betrieb, OPS.1.2 Admin)
DER: Detektion und Reaktion (DER.1 Monitoring, DER.2 IR)
APP: Anwendungen (APP.3.1 Webanwendungen, APP.4.4 Kubernetes!)
SYS: IT-Systeme (SYS.1.1 Server, SYS.2.2 Windows-Clients)
IND: Industrielle IT (IND.1-2 OT/ICS Sicherheit)
NET: Netze (NET.1.1 Netzarchitektur, NET.3.2 Firewall)
INF: Infrastruktur (INF.1 Gebäude, INF.2 Rechenzentrum)
Absicherungskonzept:
Basis-Absicherung: Mindeststandard für alle (schnell umsetzbar)
Standard-Absicherung: Vollständige IT-Grundschutz-Implementierung
Kern-Absicherung: Fokus auf kritischste Assets (schnell, risikobasiert)
Grundschutz-Prüfung (GP-Check):
Soll/Ist-Vergleich: Welche Anforderungen sind erfüllt?
Status je Baustein: Ja / Nein / Entbehrlich / Nicht anwendbar
ISO 27001 auf Basis IT-Grundschutz:
→ BSI-Zertifizierung möglich: "ISO 27001 auf Basis IT-Grundschutz"
→ Erleichtert: IT-Grundschutz als Risikobewertungs-Methode anerkannt
→ Populär für Bundesbehörden die ISO 27001 Zertifikat benötigen
Stärken/Schwächen:
✓ Sehr detailliert und konkret (Musterdokumente enthalten)
✓ Deutsch → ideal für deutsche Regulierung und Behörden
✓ Regelmäßig aktualisiert (Cloud, OT, Kubernetes Bausteine!)
✓ Zertifizierbar (ISO 27001 auf IT-Grundschutz Basis)
✓ Kostenlos (Grundschutz-Kompendium)
✗ Sehr umfangreich → hoher Einarbeitungsaufwand
✗ Wenig international anerkannt (BSI C5 für Cloud, sonst Insider-Standard)
✗ Schwergewichtig für kleine UnternehmenFramework-Mapping und -Kombination
Mappings zwischen Frameworks:
NIST CSF ↔ ISO 27001:
Govern → Kap. 5 (Führung), Kap. 6 (Planung), A.5.x (Organisatorisch)
Identify → Kap. 4 (Kontext), A.5.9 (Asset Inventar), A.8.8 (Vulnerabilities)
Protect → A.5-A.8 (Controls)
Detect → A.8.16 (Monitoring), DER (IT-Grundschutz)
Respond → A.5.26 (IR), A.5.24 (IR Planung)
Recover → A.5.29 (BCM), A.5.30 (ICT Continuity)
CIS Controls ↔ ISO 27001 Mapping:
CIS 1 (Asset Inventar) → A.5.9, A.5.10
CIS 4 (Konfiguration) → A.8.9
CIS 6 (Zugriffskontrolle) → A.8.2, A.8.3, A.5.18
CIS 7 (Vulnerability Mgmt) → A.8.8
CIS 8 (Audit Logs) → A.8.15, A.8.16
CIS 18 (Penetrationstest) → A.8.8, A.5.8
Empfohlene Kombination (DACH-Unternehmen):
KMU ohne Zertifizierungsanforderung:
Basis: CIS Controls IG1 (sofort operativ)
Governance: NIST CSF (für C-Level Kommunikation)
Ergänzung: DSGVO-Maßnahmen
Enterprise mit Kundendruck:
Zertifizierung: ISO 27001 (als Marktanforderung)
Operational: CIS Controls (konkrete Maßnahmen)
Strategie: NIST CSF (Management-Kommunikation)
DACH: BSI IT-Grundschutz Bausteine wo relevant
Bundesbehörden / KRITIS:
Pflicht: BSI IT-Grundschutz
Optional: ISO 27001 auf Basis IT-Grundschutz
Cloud: BSI C5 für Cloud-Anbieter
Ergänzung: NIST CSF als Maturity-Framework
Multi-Framework Tooling:
GRC-Tools: ServiceNow GRC, MetricStream, OneTrust
→ Importieren ISO 27001, NIST CSF, CIS, BSI Controls
→ Verknüpfen Evidenz mit mehreren Frameworks gleichzeitig
→ Einmal implementieren → mehrfach nachweisen!
Open Source Alternative:
ERAMBA: Open Source GRC (eramba.org)
→ CIS, ISO 27001, NIST CSF integriert
→ Control-Mapping zwischen FrameworksFragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Dipl.-Math. (WWU Münster) und Promovend am Promotionskolleg NRW (Hochschule Rhein-Waal) mit Forschungsschwerpunkt Phishing-Awareness, Behavioral Security und Nudging in der IT-Sicherheit. Verantwortet den Aufbau und die Pflege von ISMS, leitet interne Audits nach ISO/IEC 27001:2022 und berät als externer ISB in KRITIS-Branchen. Lehrbeauftragter für Communication Security an der Hochschule Rhein-Waal und NIS2-Schulungsleiter bei der isits AG.
6 Publikationen
- Different Seas, Different Phishes — Large-Scale Analysis of Phishing Simulations Across Different Industries (2025)
- Evaluating the Usability and Security of Personal Password Stores (2025)
- Self-promotion with a Chance of Warnings: Exploring Cybersecurity Communication Among Government Institutions on LinkedIn (2024)
- Exploring the Effects of Cybersecurity Awareness and Decision-Making Under Risk (2024)
- Understanding User Perceptions of Security Indicators in Web Browsers (2024)
- A Systematic Analysis of NIS2 Compliance Challenges for SMEs (2024)
