US-Firewall-Compliance für kritische Infrastrukturen: CISA + NIST 800-53

Die Compliance-Landkarte für US-Firewalls in kritischen Infrastrukturen ist über mindestens vier sich überlappende Frameworks fragmentiert. Nach 17 Jahren Aufbau von Enterprise-Firewall-Beständen für DAX-30-Kunden und KRITIS-regulierte Betreiber in Europa habe ich die letzten 18 Monate damit verbracht, abzubilden, wie sich diese Frameworks auf US-Pflichten übersetzen lassen. Dieser Beitrag ist die praxisnahe Karte, die ich mir am Anfang gewünscht hätte.

US-Compliance-Teams sehen sich einem Stack gegenüber: CISA Cross-Sector Cybersecurity Performance Goals (CPGs), NIST-SP-800-53-Kontrollen, Executive-Order-14028-Vorgaben, dem Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA), sektorspezifischen Frameworks (CMMC für die Defense Industrial Base, NERC CIP für den Strommarkt, HIPAA im Gesundheitswesen) plus mehr als 26 Breach-Notification-Gesetzen auf Bundesstaatsebene. Jedes Framework rahmt Firewall-Compliance anders. Die meisten Sicherheitsteams pflegen pro Audit ein eigenes Beweis-Pack — und duplizieren damit den Aufwand.

Das muss nicht so sein. Sechs gut gewählte Artefakte erfüllen rund 80 Prozent aller firewall-bezogenen Kontrollen über diese Frameworks hinweg. Die verbleibenden 20 Prozent sind sektorspezifisch. Dieser Leitfaden geht durch die vier Frameworks, ihre Firewall-Schnittstellen und das einheitliche Beweis-Pack, das mehrere Audits ohne Neuschreiben übersteht.

1. Die CISA-CPG-Linse

CISA hat die Cross-Sector Cybersecurity Performance Goals im Oktober 2022 veröffentlicht und im März 2023 aktualisiert. Die CPGs sind freiwillig, priorisiert und so gestaltet, dass kleine und mittelgroße Betreiber sie ohne Enterprise-Tooling adoptieren können. Mehrere CPGs berühren die Firewall-Posture direkt.

• 2.J Network Segmentation — die expliziteste Firewall-Vorgabe. Betreiber müssen IT- und OT-Netze segmentieren und die Segmentierung durch kontrollierte Verkehrsflüsse durchsetzen. Firewall-Regeln und die Änderungshistorie dahinter sind das primäre Beweismaterial.
• 2.E Limit Network Segmentation Risk — Segmentierung muss getestet, nicht nur deklariert werden. Pen-Test-Berichte und Regel-Review-Records werden zu Artefakten.
• 1.A Asset Inventory — Firewalls selbst sind kritische Assets. Das Inventar muss Hersteller, OS-Version, Eigentümer und Datum der letzten Überprüfung je Appliance und virtueller Instanz enthalten.
• 3.A Logging — Logs von Firewalls und anderen Sicherheitsgeräten müssen erfasst, zentralisiert und aufbewahrt werden. Die CPGs nennen keine Aufbewahrungsdauer; sektorspezifische Frameworks tun das (90 Tage Minimum sind üblich).
• 5.A Incident Response Plan — der IR-Plan muss Rollback-Prozeduren für Firewall-Änderungen enthalten, die Ausfälle verursachen oder das Netz exponieren. Tabletop-Übungen mit Firewall-Szenarien werden zum Audit-Artefakt.

Die CPGs sind der zugänglichste Einstiegspunkt für einen Betreiber, der bislang nicht an NIST 800-53 gebunden war. Sie mappen sauber auf NIST-Kontrollen, wenn ein Auditor die tiefere Ebene fordert.

2. Die NIST-SP-800-53-Linse

NIST SP 800-53 Revision 5 ist der föderale Kontrollkatalog und das Fundament für FedRAMP, FISMA und die meisten Behörden-Authorisierungen. Vier Kontrollfamilien regeln Firewall-Änderung und -Überprüfung.

AC-4 ist die am häufigsten missverstandene Kontrolle. Auditoren erwarten, dass der Betreiber nachweist, dass Information-Flow-Restriktionen durchgesetzt und getestet werden — nicht nur dokumentiert. Eine Firewall-Regel, die in der Konfiguration existiert, aber von einer permissiveren Regel darüber ausgehebelt wird, erfüllt AC-4 nicht. Shadow-Rule-Detection ist der Unterschied zwischen einer sauberen Bewertung und einem Befund.

CM-3 ist der Anker für das Change-Management. Firewall-Änderungsanträge müssen Antragsteller, Geschäftsbegründung, technischen Reviewer, Genehmiger, Implementierungs-Zeitstempel und Rollback-Plan zeigen. E-Mail-Genehmigungen erfüllen CM-3 auf höheren Impact-Stufen nicht — der Genehmigungsworkflow selbst muss das System of Record sein. Hier scheitern die meisten Ad-hoc-Firewall-Änderungsprozesse.

3. Executive Order 14028 und der föderale Druck

Executive Order 14028 (Improving the Nation's Cybersecurity) wurde im Mai 2021 unterzeichnet und ist seither der Motor der föderalen Cybersicherheitspolitik. Drei Abschnitte sind für Firewall-Teams relevant.

• Section 3 — Modernisierung. Bundesbehörden müssen Zero-Trust-Architektur, Multi-Faktor-Authentifizierung sowie Verschlüsselung in Transit und at Rest einführen. Firewalls sind die Policy Enforcement Points (PEPs) an den Netzgrenzen; ZT eliminiert Firewalls nicht, sondern interpretiert sie als identitätsbewusste Verkehrsvermittler.
• Section 7 — Detektion, Untersuchung, Behebung. Die föderalen Sichtbarkeitsanforderungen am Endpunkt erstrecken sich auf die Netzwerkschicht, womit Firewall-Telemetrie in zentrale Detektion fließen muss. Statische Logs in herstellerspezifischem Format reichen nicht mehr.
• Section 8 — Cyber Incident Logging. Spezifiziert Aufbewahrung und Inhalt der Logs. Betreiber, die an den föderalen Markt verkaufen oder kritische Infrastrukturen betreiben, erben diese Anforderungen über Vertragsklauseln, auch wenn sie nicht direkt reguliert sind.

EO 14028 bindet privatwirtschaftliche Betreiber nicht direkt. Sie bindet Bundesbehörden, die wiederum Vertragsklauseln formulieren, die die Anforderungen über die Lieferkette propagieren. Das CMMC-2.0-Programm des DoD ist das prominenteste Beispiel: Jeder Auftragnehmer, der Controlled Unclassified Information (CUI) verarbeitet, muss auf Level 2 Nachweise zur Firewall-Änderungs­steuerung erbringen.

4. CIRCIA — was sich 2024 geändert hat

Der Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA) verpflichtet abgedeckte Einrichtungen, „substantielle" Cybervorfälle binnen 72 Stunden und Lösegeldzahlungen binnen 24 Stunden an CISA zu melden. Der Verordnungsentwurf wurde im März 2024 veröffentlicht; mit der finalen Fassung ist 2026 zu rechnen. Die Meldepflicht ist nur dann wirksam, wenn der Betreiber forensische Nachweise binnen Stunden — nicht Wochen — vorlegen kann.

Firewall-Logs sind typischerweise das erste Beweismaterial im Incident Response. CIRCIA-Reporting zwingt Betreiber, Fragen zu Log-Aufbewahrung, Log-Integrität und Log-Durchsuchbarkeit zu beantworten, die sie möglicherweise aufgeschoben haben. Eine Firewall, die Logs alle 7 Tage rotiert, ist nicht CIRCIA-kompatibel. Ein SIEM, das Firewall-Events ingestiert, aber keine mehrtägige Timeline rekonstruieren kann, ebenso wenig.

Praktische Implikation: 90 Tage Online-Firewall-Logs, 12 Monate Cold-Storage-Aufbewahrung und ein indexiertes Suchinterface, das Beweismaterial binnen einer Stunde produzieren kann. Diese Anforderungen sind nicht neu; CIRCIA macht sie messbar.

5. Das einheitliche Beweis-Pack

Sechs Artefakte erfüllen rund 80 Prozent der firewall-bezogenen Kontrollen in CISA CPGs, NIST 800-53, EO-14028-Ableitungen, CIRCIA, CMMC und den meisten Bundesstaats-Gesetzen. Einmal aufbauen, aus mehreren Audit-Antworten referenzieren.

1. Firewall-Asset-Inventar — jede Appliance, virtuelle Instanz und Cloud-Security-Group mit Hersteller, Version, Eigentümer, IP, Standort und Datum der letzten Überprüfung. Erfüllt CPG 1.A, NIST CM-8.
2. Change-Request-Register — jede Firewall-Regeländerung mit Antragsteller, Begründung, technischem Reviewer, Genehmiger, Implementierungs-Zeitstempel und Rollback-Plan. Verknüpft mit Ticket-IDs. Erfüllt NIST CM-3, CMMC CM.L2-3.4.3.
3. Regel-Review-Bericht — quartalsweise Überprüfung jeder Regel mit Shadow-Detection, Redundanz-Detection und Permissivitäts-Scoring. Erfüllt NIST AC-4, CPG 2.J, PCI-DSS 1.2.7.
4. Netzwerk-Segmentierungsdiagramm — aktuelle Zonen-Topologie, Vertrauensgrenzen, IT/OT-Trennungsnachweis, Datenfluss-Diagramm. Erfüllt CPG 2.J, NIST SC-7, NERC CIP-005.
5. Logging-Konfigurations-Nachweis — Per-Firewall-Logging-Policy, Aufbewahrungsdauer, Integritätskontrollen, SIEM-Ingestionsbeleg. Erfüllt CPG 3.A, NIST AU-2/AU-12, CIRCIA-Reporting-Bereitschaft.
6. Incident-Response-Runbook mit Firewall-Aktionen — dokumentierte Verfahren für Notfall-Regeländerungen, Rollback-Schritte und forensische Log-Erfassung. Erfüllt CPG 5.A, NIST IR-4, CIRCIA-Beweismaterial-Erhaltung.

Die Artefakte müssen, wo möglich, maschinenlesbar sein. Ein Auditor, der einen CSV-Export aus dem Change-Register, ein JSON-Datenflussdiagramm und ein SIEM-Query-Template erhält, schließt die Bewertung in einer Woche ab. Ein Auditor, der ein 200-seitiges PDF erhält, prüft drei Monate später noch.

6. Grenzüberschreitend: EU-Betreiber, die an US-KRITIS verkaufen

EU-Betreiber, die an US-Kunden in kritischen Infrastrukturen verkaufen, sehen sich einer gestapelten Compliance-Pflicht gegenüber. Der US-Kunde verlangt vertraglich typischerweise SOC 2 Type II als Basislinie. Healthcare-Kunden ergänzen HIPAA. Defense-Kunden ergänzen CMMC. Die Pflichten der Heimat-Jurisdiktion — NIS2 Artikel 21 für EU-wesentliche Einrichtungen, KRITIS für deutsche Betreiber, die UK NIS Regulations — verschwinden nicht.

Die gute Nachricht: Das einheitliche Beweis-Pack deckt den Großteil der Überlappung ab. NIS2 Artikel 21(2)(d) (Lieferkette), KRITIS § 8a und CISA CPG 1.A erwarten alle dasselbe Firewall-Asset-Inventar-Artefakt. NIS2 Artikel 21(2)(g) (Cyberhygiene), NIST 800-53 CM-3 und CMMC CM.L2-3.4.3 erwarten alle dasselbe Change-Control-Register. Ein EU-Betreiber, der das Pack auf NIS2-Niveau aufbaut, erfüllt typischerweise die US-Vertragsanforderungen mit Formatanpassungen.

Die Lücke liegt bei den Meldefristen. NIS2 verlangt eine 24-Stunden-Frühwarnung, eine 72-Stunden-Meldung und einen Abschlussbericht binnen eines Monats. CIRCIA verlangt 72 Stunden für substantielle Vorfälle und 24 Stunden für Lösegeldzahlungen. Ein EU-Betreiber mit US-Kunden sollte für die strengere Frist jeder Pflicht planen, nicht für den Durchschnitt.

7. Ein 90-Tage-Implementierungsplan

Für einen mittelgroßen Betreiber, der von einer partiellen Basislinie startet, ist ein 90-Tage-Plan zum einheitlichen Beweis-Pack realistisch.

• Tage 1–30: Asset-Inventar, Ist-Stand-Netzdiagramm, Gap-Analyse gegen CISA CPGs und NIST 800-53. Shadow-Regeln und überpermissive Policies identifizieren.
• Tage 31–60: Change-Request-Workflow mit verpflichtenden Feldern implementieren, Shadow- und redundante Regeln zurückziehen, zentralisiertes Logging mit verifizierter Aufbewahrung konfigurieren, Incident-Response-Runbook entwerfen.
• Tage 61–90: Tabletop-Übung zu Firewall-Change-Rollback und CIRCIA-Reporting-Frist, internes Audit-Trockenrun, Beweis-Pack-Export ins maschinenlesbare Format, Lückenbehebung.

Betreiber, die die Gap-Analyse auslassen oder Change-Control betreiben, ohne den Workflow als System of Record durchzusetzen, fallen in nachfolgenden Audits konsistent durch. Der 90-Tage-Plan funktioniert nur, wenn die Disziplin über die Implementierungsphase hinaus bestehen bleibt. Audit-Bereitschaft ist eine Haltung, kein Projekt.

Fazit

US-Firewall-Compliance für kritische Infrastrukturen ist fragmentiert, aber nicht unbeherrschbar. Die vier Frameworks — CISA CPGs, NIST 800-53, EO-14028-Ableitungen und CIRCIA — teilen sich mehr als 80 Prozent ihrer Firewall-Erwartungen. Ein einheitliches Beweis-Pack aus sechs maschinenlesbaren, kontinuierlich gepflegten Artefakten ersetzt das Audit-für-Audit-Hetzen, das den aktuellen Zustand der meisten Betreiber definiert.

Das Muster ist portabel. Dasselbe Beweis-Pack deckt EU NIS2, deutsches KRITIS, UK NIS und die meisten US-Bundesstaats-Pflichten mit kleineren Formatanpassungen ab. Der schwierige Teil ist nicht die Regulierungs-Karte; es ist die operative Disziplin, die Artefakte aktuell zu halten, während sich das Regelwerk täglich ändert.