Der CAT kommt nicht zurück: Was kommt als Nächstes, wenn das Cybersecurity Assessment Tool eingestellt wird, und wie Cyera helfen kann

Im vergangenen Jahr kündigte der Prüfungsrat der Federal Financial Institutions (FFIEC) die Einstellung seines Cybersecurity Assessment Tools (CAT) am 31. August 2025 an. Im Gegensatz zu der Katze aus dem beliebten Kinderlied ist diese Katze nicht kommt zurück, und Finanzinstitute, die sich in den letzten zehn Jahren darauf verlassen haben, müssen planen, es zu ersetzen.

Hintergrund‍

Die FFIEC führte den CAT 2015 ein, um Finanzinstituten dabei zu helfen, ihr Cybersicherheitsrisikoprofil und ihren Reifegrad einzuschätzen.

Die FFIEC schreibt zwar keinen spezifischen Rahmen vor, um den CAT zu ersetzen, hat jedoch andere Rahmenbedingungen vorgeschlagen, insbesondere NIST CSF 2.0. Dies ist sinnvoll, da der Reifegrad des CAT größtenteils anhand eines Vergleichs der Cybersicherheitslage von Unternehmen mit den NIST CSF 1.1-Kontrollen bewertet wurde. Mit der Veröffentlichung von Version 2.0 wurde klar, dass das veraltete CAT entweder aktualisiert oder aufgegeben werden würde.

NIST CSF wird zwar häufig zur Selbsteinschätzung und Reifegradmessung verwendet, ist aber kein Instrument zur Risikobewertung per se. Daher prognostizieren einige Branchenanalysten eine zunehmende Akzeptanz von Frameworks wie den Profilen des Cyber Risk Institute (CRI). Bei CRI-Profilen werden Finanzinstitute anhand von Faktoren wie ihrer Größe und ihrer Vernetzung mit dem globalen Finanzsystem einer von vier Stufen zugeordnet. Tier-1-Institute stellen das größte systemische Risiko dar, während Tier-4-Unternehmen das geringste Risiko darstellen.

Die Profile basieren auf NIST CSF 2.0 und enthalten zusätzliche Kontrollen, die speziell auf den Finanzsektor zugeschnitten sind, darunter Kontrollmechanismen für Lieferketten, unabhängiges Risikomanagement und unabhängige Audits. Je nach Risikostufe unterliegen Unternehmen entweder allen Kontrollkategorien und Unterkategorien oder einer Untergruppe, die ihrer Größe, Komplexität und kritischen Bedeutung für den Finanzsektor entspricht.

Die Komplexität der Profile könnte kleinere Organisationen abschrecken, für die das grundlegende NIST-CSF-Framework wahrscheinlich ausreichen wird. Ihr systemischer risikobasierter Ansatz spiegelt jedoch den des Digital Operational Resilience Act (DORA) der EU wider, der ihre breitere Akzeptanz durch größere Unternehmen weiter vorantreiben könnte, da sich multinationale Finanzinstitute auf eine Reihe gemeinsamer Cybersicherheitsstandards und -praktiken einigen.

Wie Cyera hilft‍

Cyera deckt den Großteil des NIST CSF 2.0-Kontrollrahmens umfassend ab und zeichnet sich durch wichtige technische Kontrollen in den Bereichen Datensicherheit, Risikomanagement, Zugriffskontrolle und kontinuierliche Überwachung aus. Tatsächlich erfüllt die KI-native Datensicherheitsplattform von Cyera effektiv alle sechs Kernfunktionen von NIST CSF.

• REGIEREN: Der Data Risk Assessment Service von Cyera unterstützt die Entwicklung einer Strategie für das Cybersicherheitsrisikomanagement, indem er die Angriffsfläche eines Unternehmens kartiert und signifikante Datensicherheitsrisiken identifiziert und priorisiert. Durch die Erkennung und Klassifizierung von Ressourcen hilft Cyera auch dabei, die Eigentümer der Daten und deren Verantwortlichkeiten zu identifizieren.

• IDENTIFIZIEREN: Cyera automatisiert die Datenerkennung und -klassifizierung in Cloud- und lokalen Umgebungen und erstellt in Echtzeit ein genaues Inventar sensibler Datenbestände, einschließlich der Benutzer, Anwendungen, Plattformen und Datenbanken, die sensible Daten verarbeiten oder speichern. Cyera identifiziert auch datenbezogene Sicherheitslücken wie übermäßige Berechtigungen und unverschlüsselte sensible Daten.

• SCHÜTZEN: Cyera überwacht und überprüft Zugriffskontrollen, entdeckt veraltete oder falsche Konten und kann unverschlüsselte sensible Daten wie Kreditkartennummern, Sozialversicherungsnummern oder andere vertrauliche persönliche Daten automatisch maskieren.

• ERKENNEN: Cyera überwacht kontinuierlich die Datensicherheitslage und die Zugriffsmuster von Unternehmen, legt Basiswerte für den normalen Datenbetrieb fest und überwacht Abweichungen. Es überwacht auch die Aktivitäten von Drittanbietern im Zusammenhang mit sensiblen Daten.

• ANTWORTEN: Cyera lässt sich in Workflow-Tools integrieren, um die automatische Behebung datenbezogener Sicherheitslücken zu unterstützen. Es generiert außerdem Auditprotokolle und Berichte zu betroffenen Daten und Zugriffsmustern und erleichtert die Kommunikation mit den Beteiligten durch die Bereitstellung detaillierter Compliance- und Sicherheitsberichte. Darüber hinaus hilft der Breach Readiness-Service von Cyera Unternehmen dabei, effektivere Pläne für die Reaktion auf Vorfälle und die Krisenkommunikation zu entwickeln.

• ERHOLEN: Cyera unterstützt eine schnelle Wiederherstellung, indem es kritische Datenbestände identifiziert und priorisiert und Dateneinblicke für Analysen nach einem Vorfall bereitstellt. Durch die Partnerschaft mit dem Backup-Anbieter Cohesity unterstützt Cyera Unternehmen dabei, die betriebliche Ausfallsicherheit zu verbessern, indem die Backup-Häufigkeit auf der Grundlage der Vertraulichkeit und Wichtigkeit der Daten optimiert wird.

Zusätzlich zu den standardmäßigen NIST-CSF-Kontrollen enthalten die CRI-Profile mehrere neue Kontrollfamilien, die speziell für die Finanzbranche entwickelt wurden. Dazu gehören:

• Unabhängige Risikomanagementfunktion (GV.IR): Cyera kann Ihnen helfen, Verbesserungen für die Risikomanagementstrategie Ihres Unternehmens vorzuschlagen. Der Service zur Bewertung des Datenrisikos kann Ihnen dabei helfen, Lücken in Ihrer aktuellen Datensicherheitslage zu identifizieren und Meilensteine und Zeitpläne für die Verbesserung Ihrer Datensicherheitsstandards bereitzustellen.

• Unabhängige Prüfungsfunktion (GV.AU): Cyera generiert Auditaufzeichnungen und Berichte, die Ihr Unternehmen bei der Bewertung der Einhaltung interner und externer Kontrollen unterstützen können. Darüber hinaus ermöglichen Ihnen der Dataport und der MCP Server von Cyera, Ihre Cyera-Daten mithilfe von Eingabeaufforderungen in natürlicher Sprache abzufragen. So erhalten Sie schnelle und präzise Antworten auf Fragen wie „Welcher meiner Datenspeicher enthält Kreditkarteninformationen im Klartext?“

Die CRI-Profile schreiben auch verschiedene Erweiterungen der Kontrollfamilie vor, die sich hauptsächlich auf das Risikomanagement durch Dritte beziehen:

• Verträge und Vereinbarungen mit Dritten (EX.CN), Beschaffungsplanung und Due Diligence (EX.DD), Überwachung und Verwaltung von Lieferanten (EX.MM), und Beendigung der Beziehung (EX.TR): Cyera kann Benutzer und Dienste von Drittanbietern identifizieren, die Zugriff auf Ihre Daten haben, deren Zugriffsmuster überwachen und deren Verwendung vertraglich vorgeschriebener Sicherheitskontrollen wie der Multifaktor-Authentifizierung im Auge behalten. Es erkennt auch veraltete Konten oder Geisterkonten, die auch nach Beendigung der Beziehung zu Drittanbietern bestehen bleiben können.

Der CAT kommt vielleicht nicht zurück, aber Cyera kann Ihnen helfen, unabhängig von Ihrer CRI-Profilstufe ein ausgereiftes Datensicherheitsniveau zu etablieren. Weitere Informationen erhalten Sie, indem Sie eine Demo anfordern unter Cyera.com.