Das CAF ist ein branchenunabhängiges Instrument, das vom NCSC entwickelt wurde, um Organisationen einen strukturierten Ansatz zur Bewertung, Erreichung und Demonstration eines angemessenen Niveaus an Cyberresilienz zu bieten.
Wichtige Erkenntnisse
Cyberresilienz ist eine Notwendigkeit für öffentliche Dienstleistungen. Zunehmende von Staaten initiierte Angriffe bedrohen kritische Infrastrukturen und sensible Daten. Die Einführung eines ergebnisbasierten Frameworks ermöglicht es Organisationen, trotz anhaltender und komplexer Bedrohungen wichtige Dienstleistungen aufrechtzuerhalten.
Asset-Transparenz ist die Grundlage des CAF-Ziels A. Organisationen können Sicherheitsrisiken nur verwalten, wenn sie ihre Infrastruktur vollständig kennen. Die automatisierte Erkennung von Shadow-APIs und -Assets ist für die Einhaltung der zentralen Asset-Management-Prinzipien unerlässlich.
Zero Trust ist für das Erreichen von CAF-Ziel B von zentraler Bedeutung. Um sich vor Cyberangriffen zu schützen, müssen Organisationen von der Perimeterabwehr auf einen granularen, identitätsbasierten Zugriff und eine Mikrosegmentierung umstellen, die laterale Netzwerkbewegungen innerhalb wichtiger Systeme verhindert.
CAF v4.0 erfordert eine proaktive Erkennung gegenüber einer reaktiver Überwachung. Um Ziel C zu erreichen, müssen Sie von der einfachen Protokollanalyse auf die erweiterte Bedrohungssuche und Verhaltensbeobachtung umsteigen. So lassen sich versteckte Gegner identifizieren, bevor sie sich auf wichtige Funktionen auswirken können.
- Die Integrität der Lieferkette ist ein kritischer Sicherheitsaspekt im Rahmen der CAF-Sicherheitsziele. Die Sicherheit muss während des gesamten Software-Lebenszyklus und der Ausführung von Drittanbieterskripten eingebettet werden, um die Herkunft von Komponenten und die Sicherheit von Bürgerdaten zu schützen.
Häufig gestellte Fragen (FAQ)
Es ist für Organisationen konzipiert, die NIS-Vorschriften unterliegen, die kritische nationale Infrastruktur (CNI) verwalten, sowie für Einrichtungen des öffentlichen Sektors, die zentrale Regierungsfunktionen unterstützen oder Risiken im Zusammenhang mit der öffentlichen Sicherheit verwalten.
Version 4.0 des Cyber Assessment Framework wurde im August 2025 veröffentlicht.
Das Modell basiert auf vier übergeordneten Zielen und 14 Prinzipien, die anhand von 41 untergeordneten Aspekten und spezifischen Indikatoren für gute Praxis gemessen werden.
Die Ziele sind Ziel A: Management von Sicherheitsrisiken; Ziel B: Schutz vor Cyberangriffen; Ziel C: Erkennen von Cybersicherheitsereignissen; und Ziel D: Minimieren der Auswirkungen von Vorfällen.
Das aktualisierte Framework (Prinzip A2.b) erfordert, dass Organisationen die Fähigkeiten und Techniken von Cyberkriminellen verstehen und spezifische Bedrohungsinformationen in ihre Entscheidungen zum Risikomanagement integrieren.
Nach Prinzip C1.f müssen Organisationen nun über die herkömmliche Protokollanalyse hinausgehen, um das Nutzer- und Systemverhalten zu verstehen und Anomalien zu identifizieren, die auf Schadaktivitäten hinweisen.
Die Anfangsphase umfasst das „Verständnis Ihrer Anforderungen“. Dazu müssen die wichtigen Funktionen identifiziert werden, die auf kritischen IT-Systemen basieren, und Risiken auf der Grundlage potenzieller Bedrohungen und Schwachstellen priorisiert werden.