National Cybersecurity Strategy: Biden will Unternehmen für schlechte Cybersicherheit haftbar machen

Foto: BiksuTong – shutterstock.com

Das Weiße Haus hat seine seit langem erwartete “National Cybersecurity Strategy” veröffentlicht, ein umfassendes Dokument, das grundlegende Änderungen in der Art und Weise vorsieht, wie die USA “Rollen, Verantwortlichkeiten und Ressourcen im Cyberspace” zuweisen. In die Strategie flossen monatelange Diskussionen zwischen mehr als 20 Regierungsbehörden und unzählige Konsultationen mit Organisationen des Privatsektors ein. Die Strategie umfasst praktisch alle Schwachstellen und Herausforderungen im Bereich der Cybersicherheit, von Software-Schwachstellen über Schwachstellen in der Internet-Infrastruktur bis hin zum Mangel an Arbeitskräften.

Jetzt kostenlos für den CSO-Newsletter anmelden

ITK-Branche soll mehr Verantwortung übernehmen

Zu den wichtigsten Änderungen, die in der Strategie vorgeschlagen werden, gehört die Neuverteilung der Verantwortung für Cyberrisiken. Softwareanbieter sollen verpflichtet werden, mehr Verantwortung für die Sicherheit ihrer Produkte zu übernehmen. “Heute tragen die Endnutzer eine zu große Last bei der Minderung von Cyberrisiken. Einzelpersonen, kleine Unternehmen, staatliche und lokale Regierungen und Infrastrukturbetreiber haben begrenzte Ressourcen und konkurrierende Prioritäten, und doch können die Entscheidungen dieser Akteure einen erheblichen Einfluss auf unsere nationale Cybersicherheit haben”, heißt es in dem ausführlichen Papier. “Wir müssen die Verantwortung für die Verteidigung des Cyberspace neu verteilen, indem wir die Last der Cybersicherheit von Einzelpersonen, kleinen Unternehmen und lokalen Regierungen auf die Organisationen verlagern, die am besten positioniert sind, um die Risiken für uns alle zu verringern”, erklärt die US-Regierung in einem Fact Sheet.

Zudem erweitert die Strategie die verbindlichen Mindestanforderungen an die Cybersicherheit für kritische Sektoren. Außerdem wird ein umfassenderer, koordinierterer Ansatz geschaffen, um die Fähigkeit des US-Cyberkommandos zu offensiven Operationen zu stärken, der auf der “Defense-Forward”-Politik aufbaut, die unter der vorherigen Regierung eingeführt wurde.

Die Cybersicherheitsstrategie ist nur der jüngste Teil einer Reihe von Maßnahmen, die die Regierung Biden-Harris ergriffen hat, um der zunehmenden Zahl von Bedrohungen der Cybersicherheit zu begegnen und die USA in die Lage zu versetzen, sich besser gegen Cyber-Gegner zu verteidigen. “Die Strategie baut auf zwei Jahren beispielloser Aufmerksamkeit auf, die der Präsident auf Cyberfragen gelegt hat”, sagte Kemba Walden, amtierender nationaler Cyber-Direktor, während einer Veranstaltung am Center for Strategic & International Studies (CSIS).

Lesetipp: USA will neues Datenschutz-Abkommen mit Europa

Die Ziele der National Cybersecurity Strategy

Die Hauptziele der Strategie sind es, die Regulierung kritischer Infrastrukturen zu verstärken, Bedrohungsakteure auszuschalten, die Marktkräfte abzusichern und widerstandsfähiger zu machen, in eine resiliente Zukunft zu investieren und die öffentlich-private Zusammenarbeit zu verbessern. Daneben gehören auch Vorschläge für aggressive Kampagnen, die darauf abzielen, staatlich unterstützte sowie finanziell motivierte Cyber-Aktivitäten unrentabel und unwirksam zu machen. So soll sichergestellt werden, dass die US-Infrastruktur nicht mehr für Angriffe auf Organisationen in den Vereinigten Staaten genutzt wird. “Die Störungskampagnen müssen so nachhaltig und zielgerichtet sein, dass kriminelle Cyber-Aktivitäten unrentabel werden und ausländische staatliche Akteure, die bösartige Cyber-Aktivitäten durchführen, diese nicht mehr als wirksames Mittel zur Erreichung ihrer Ziele ansehen”, schreibt die Regierung.

So sind alle Dienstanbieter aufgefordert, angemessene Anstrengungen zu unternehmen, um die Nutzung ihrer Infrastruktur gegen kriminelle Handlungen zu sichern. Nicht nur soll es Gegner so erschwert werden, die US-Infrastruktur zu missbrauchen. Gleichzeitig soll die Privatsphäre des Einzelnen geschützt werden.

Lesetipp: Attacken auf KRITIS-Betreiber nehmen zu

China und Russland sind die größten Bedrohungen

Nach wie vor zählt Ransomware zu den größten Bedrohungen im Cyberraum. In der Cybersecurity Strategy wird betont, dass die US-Regierung vom Bezahlen von Lösegeldern abrät und weiterhin Cyberkriminelle, besonders aus Russland, Nordkorea und dem Iran, ins Visier nehmen wird. Besonders Russland und China seien eine große Gefahr für die nationale Cybersicherheit. Beide Staaten seien besonders aktiv und aggressiv, wen es um Cyberangriffe auf die kritischen Infrastrukturen in den USA ginge.

“In den vergangenen zehn Jahren hat [China] seine Cyberoperationen über den Diebstahl geistigen Eigentums hinaus ausgeweitet und ist zu unserem fortschrittlichsten strategischen Konkurrenten geworden, der in der Lage ist, die Interessen der USA zu bedrohen und aufkommende Technologien zu beherrschen, die für die globale Entwicklung entscheidend sind”, heißt es in der Strategie. Auch Russland bleibe eine anhaltende Cyber-Bedrohung, da das Land seine Fähigkeiten zur Cyberspionage, zu Angriffen, zur Beeinflussung und zu Desinformation verfeinere, “um souveräne Länder zu zwingen, transnationalen kriminellen Akteuren Unterschlupf zu gewähren.” Auch die Schwächung von US-Bündnissen und Partnerschaften sei ein Ziel der russischen Regierung.

Lesetipp: Überwachungskrieg zwischen China und USA

Umsetzung der Cybersicherheitsstrategie

Sowohl das Office of National Cyber Director (ONCD) wie auch das Office of Management and Budget (OMB) werden sich um die Umsetzung der Punkte der neuen Strategie kümmern. Beaufsichtigen wird die Behörden dabei der National Security Council (NSC). Die Beteiligten werden jährlich vor dem Präsidenten und dem US-Kongress Berichte vorlegen um die Wirksamkeit der Strategie aufzuzeigen. Zudem werden sie den Bundesbehörden einmal im Jahr Leitlinien für die Haushaltsprioritäten im Bereich der Cybersicherheit vorlegen, um sicherzustellen, dass die Ziele der Strategie erreicht werden.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.