Die NIST Special Publication 800-171, Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations, wurde erstmals im Juni 2015 veröffentlicht und befasst sich mit Informationen, die von Bundesbehörden mit nicht-bundesstaatlichen Stellen geteilt werden. NIST 800-171 wurde im Februar 2020 nach der Veröffentlichung der Cybersecurity Maturity Model Certification (CMMC) leicht überarbeitet.
Was ist NIST 800-171?
Controlled Unclassified Information (CUI) umfasst Informationen wie steuerliche Daten, sensible nachrichtendienstliche Informationen und geistiges Eigentum. Die vom National Institute of Standards and Technology (NIST) herausgegebene Publikation dient als Leitfaden für Bundesbehörden, um zu gewährleisten, dass kontrollierte, nicht klassifizierte Informationen (CUI) bei der Verarbeitung, Speicherung und Verwendung in nicht-bundesstaatlichen Informationssystemen geschützt sind. Die Bundesregierung gibt diese Art von Daten häufig an Institutionen und Organisationen weiter, die die Arbeit der Bundesbehörden ausführen.
Mit der Executive Order 13556, die 2010 vom Weißen Haus erlassen wurde, erhielten CUI, für die es zuvor verschiedene Auslegungen gab, eine einheitliche Definition für alle Bundesbehörden. Sie wurde von den Nationalarchiven erstellt und im Controlled Unclassified Information Registry gesammelt. CUI können allgemein als Informationen beschrieben werden, die nicht in die Kategorie „Verschlusssache“ fallen. Der Begriff entstand aus der Erkenntnis, dass die Bundesbehörden die große Menge an nicht klassifizierten Informationen, die von Anbietern und Dienstleistern verarbeitet werden, gemäß dem Federal Information Security Modernization Act (FISMA) behandeln müssen.
Die 109 in NIST 800-171 beschriebenen Kontrollen sind auf die NIST Special Publication 800-53, Security and Privacy Controls for Federal Information Systems and Organizations, zugeschnitten und zielen darauf ab, CUI in nicht-bundesstaatlichen Informationssystemen vor unbefugter Offenlegung zu schützen. Sie sind in 14 Kategorien von Sicherheitsanforderungen unterteilt, die von Zugangskontrolle und Risikobewertung bis hin zu Personalsicherheit und System- und Kommunikationsschutz reichen.
Für wen gilt die Richtlinie NIST 800-171?
Ab dem 31. Dezember 2017 müssen nicht-bundesstaatliche Stellen der Bundesregierung Unterlagen und Nachweise darüber vorlegen, wie sie CUI schützen. In vielen Fällen können andere Bundesgesetze oder -verordnungen wie FISMA vorschreiben, wie die Daten zu schützen sind. In Fällen, in denen kein spezifisches Gesetz den Schutz von CUI, die von der Bundesregierung erhalten wurden, regelt, wird NIST 800-171 angewendet.
Mit der Einführung von CMMC im Januar 2020 werden alle Unternehmen, die innerhalb der Lieferkette der Defense Industrial Base (DIB) tätig sind, nicht mehr in der Lage sein, sich selbst gemäß NIST 800-171 zu zertifizieren, sondern werden sich einer Bewertung der CMMC-Konformität durch einen Dritten unterziehen müssen. Die CMMC-Konformität deckt zwar alle CUI-Kontrollen von NIST 800-171 ab, nicht aber die 63 Kontrollen für nichtstaatliche Organisationen (Non-Federal Organization, NFO), die ebenfalls in NIST 800-171 enthalten sind, was wiederum bedeutet, dass die Unternehmen diese separat berücksichtigen müssen.
Wie können DLP-Lösungen helfen?
Datenschutzlösungen (Data Loss Prevention, DLP) können Unternehmen bei der Einhaltung einer Reihe von NIST 800-171-Anforderungen behilflich sein. Sie ermöglichen es einem Unternehmen, zu bestimmen, was sensible Daten im Zusammenhang mit seinem Geschäft sind. Sie bieten auch vordefinierte Profile für Datentypen wie personenbezogene Daten und geistiges Eigentum, aber auch für die Einhaltung von Gesetzen wie DSGVO und HIPAA sowie von Standards wie PCI-DSS und NIST 800-171.
Mithilfe leistungsstarker kontextbezogener Scan- und Content-Inspection-Tools identifizieren DLP-Lösungen sensible Daten in Hunderten von Dateitypen und wenden Sicherheitsrichtlinien an, die deren Nutzung und Übertragung überwachen und kontrollieren. Auf diese Weise können Unternehmen Datenschutzverletzungen vermeiden, die durch Mitarbeiter mit böswilligen oder nachlässigen Handlungen verursacht werden.
Mit den Funktionen der DLP-Gerätesicherheitskontrolle können Administratoren auch Wechseldatenträger, die über USB- und Peripherieanschlüsse sowie Bluetooth-Verbindungen mit Computern verbunden sind, sperren, kontrollieren und überwachen. Sie können strenge Richtlinien für die Gerätenutzung implementieren, die Datenübertragungen auf tragbare Speichergeräte scannen oder deren Nutzung blockieren, um sensible Informationen vor Datenverlusten zu schützen.
Einige DLP-Lösungen, wie z.B. Endpoint Protector, bieten auch erzwungene USB-Verschlüsselungsfunktionen, die sicherstellen, dass alle auf USB-Geräte übertragenen Daten automatisch verschlüsselt werden und bei Verlust oder Diebstahl eines Geräts nicht öfentlich zugänglich sind. Auf diese Weise können Benutzer vertrauliche Daten sicher übertragen und nur auf autorisierten Computern über ein sicheres Passwort darauf zugreifen. Administratoren können remote Nachrichten an Benutzer senden und/oder Passwörter ändern, falls diese vergessen werden.
Eine Überprüfung sensibler Daten die unerlaubt auf den Computern der Mitarbeiter gespeichert sind, basierend auf bestimmten Dateitypen, vordefinierten Inhalten, Dateinamen, regulären Ausdrücken oder Compliance-Profilen wie NIST 800-171 ist ebenfalls möglich. Auf Grundlage der Scan-Ergebnisse können Abhilfemaßnahmen remote wie Verschlüsseln oder Löschen von Daten ergriffen werden, um Verstöße gegen die Compliance zu vermeiden.
Datensicherheit ist kein neuartiges Problem in der digitalen Welt, aber mit den aktuellen Vorschriften rund um den Globus ist klar, dass das, was früher eine Vorsichtsmaßnahme war, heute obligatorisch ist. Lösungen wie DLP, Antivirus und Datenklassifizierung sind zu unverzichtbaren Werkzeugen für Unternehmen geworden, die ihre Datenschutzstrategien aktualisieren und mit neuen Gesetzen und Standards in Einklang bringen wollen.