Biden unterzeichnet Executive Order zur Stärkung der Cybersicherheit der Bundesregierung


WASHINGTON – Da die Ostküste unter den Auswirkungen eines Ransomware-Angriffs auf eine große Erdölpipeline litt, unterzeichnete Präsident Biden am Mittwoch eine Durchführungsverordnung, die strenge neue Standards für die Cybersicherheit von an die Bundesregierung verkaufter Software festlegte.

Der Schritt ist Teil einer umfassenden Anstrengung zur Stärkung der Verteidigung der Vereinigten Staaten, indem private Unternehmen dazu ermutigt werden, eine bessere Cybersicherheit zu praktizieren, oder das Risiko besteht, von Bundesverträgen ausgeschlossen zu werden. Der größere Effekt kann sich jedoch aus dem ergeben, was im Laufe der Zeit einer staatlichen Bewertung der Sicherheit von Softwareprodukten ähneln könnte, ähnlich wie Autos eine Sicherheitsbewertung erhalten oder Restaurants in New York eine Sicherheitsbewertung für die Gesundheit erhalten.

Der Auftrag kommt inmitten einer Welle neuer Cyberangriffe, die raffinierter und weitreichender sind als je zuvor. Im vergangenen Jahr haben rund 2.400 Ransomware-Angriffe Unternehmens-, Kommunal- und Bundesämter in Erpressungsplänen getroffen, in denen die Daten der Opfer gesperrt oder veröffentlicht werden, sofern sie kein Lösegeld zahlen.

Die dringlichste Angst ist ein Angriff auf die kritische Infrastruktur, ein Punkt, der den Amerikanern, die in Panik Benzin kauften, diese Woche klar wurde. Ein Ransomware-Angriff auf die Informationssysteme von Colonial Pipeline zwang das Unternehmen, eine kritische Pipeline stillzulegen, die mehrere Tage lang 45 Prozent des Benzin-, Diesel- und Düsentreibstoffs der Ostküste liefert.

Während jeder Präsident seit George W. Bush neue Richtlinien herausgegeben hat, um die digitale Verteidigung des Landes zu stärken, soll der Befehl von Herrn Biden tief in den privaten Sektor vordringen. Und es ist weitaus detaillierter als frühere Bemühungen.

Zum ersten Mal werden die USA verlangen, dass alle von der Bundesregierung gekauften Software innerhalb von sechs Monaten eine Reihe neuer Cybersicherheitsstandards erfüllen. Obwohl sich die Unternehmen selbst zertifizieren müssten, würden Verstöße von den Beschaffungslisten des Bundes gestrichen, was ihre Chancen auf den Verkauf ihrer Produkte auf dem kommerziellen Markt beeinträchtigen könnte.

Der Auftrag richtet auch ein Incident Review Board ein, ähnlich wie die Teams, die Flugunfälle untersuchen, um Lehren aus wichtigen Hacking-Episoden zu ziehen. Das Weiße Haus schreibt vor, dass der erste untersuchte Vorfall der SolarWinds-Hack sein wird, bei dem Russlands führender Geheimdienst den Computercode der Netzwerkverwaltungssoftware eines amerikanischen Unternehmens geändert hat. Es gab Russland einen breiten Zugang zu 18.000 Agenturen, Organisationen und Unternehmen, hauptsächlich in den Vereinigten Staaten.

Die neue Verordnung sieht außerdem vor, dass alle Bundesbehörden Daten verschlüsseln müssen, unabhängig davon, ob sie gespeichert oder übertragen werden – zwei sehr unterschiedliche Herausforderungen. Als China 21,5 Millionen Akten über Bundesangestellte und Auftragnehmer stahl, die über Sicherheitsüberprüfungen verfügten, wurde keine der Akten verschlüsselt, sodass sie leicht gelesen werden konnten. (Chinesische Hacker, so schlussfolgerten die Ermittler später, verschlüsselten die Dateien selbst – um nicht entdeckt zu werden, als sie die sensiblen Aufzeichnungen nach Peking zurückschickten.)

Frühere Bemühungen, Mindeststandards für Software festzulegen, scheiterten am Kongress, insbesondere bei einem großen Showdown vor neun Jahren. Kleine Unternehmen haben erklärt, die Änderungen seien nicht erschwinglich, und größere Unternehmen haben sich einer aufdringlichen Rolle der Bundesregierung in ihren Systemen widersetzt.

Aber Herr Biden entschied, dass es wichtiger sei, schnell zu handeln, als zu versuchen, auf dem Capitol Hill für umfassendere Mandate zu kämpfen. Seine Mitarbeiter sagten, es sei ein erster Schritt, und Branchenvertreter sagten, es sei mutiger als erwartet.

Amit Yoran, der Geschäftsführer von Tenable und ehemaliger Cybersicherheitsbeamter im Department of Homeland Security, sagte, die Frage in aller Munde sei, ob Mr. Bidens Befehl die nächsten Angriffe von Colonial oder SolarWinds stoppen würde.

“Keine Politik, Regierungsinitiative oder Technologie kann das”, sagte Yoran. “Aber das ist ein guter Anfang.”

Regierungsbeamte haben sich darüber beschwert, dass Colonial eine schlechte Verteidigung hatte, und obwohl es eine harte Hülle um seine Computernetzwerke errichtete, hatte es keine Möglichkeit, einen Gegner zu überwachen, der hineinkam. Die Biden-Administration hofft, dass die in der Ausführungsverordnung festgelegten Standards, die eine Multifaktorauthentifizierung und andere Schutzmaßnahmen erfordern, weit verbreitet werden und die Sicherheit weltweit verbessern werden.

Senator Mark Warner, Demokrat von Virginia und Vorsitzender des Geheimdienstausschusses des Senats, lobte den Befehl, sagte jedoch, dass darauf Kongressmaßnahmen folgen müssten.

Herr Warner sagte, die jüngsten Angriffe hätten “gezeigt, was in den letzten Jahren immer offensichtlicher geworden ist: dass die Vereinigten Staaten einfach nicht bereit sind, staatlich geförderte oder sogar kriminelle Hacker abzuwehren, die beabsichtigen, unsere Systeme für Profit oder Spionage zu kompromittieren.”

Die neue Ordnung ist der erste große öffentliche Teil einer vielschichtigen Überprüfung von Verteidigungs-, Offensiv- und Rechtsstrategien gegen Gegner auf der ganzen Welt. Diese Anordnung konzentriert sich jedoch ausschließlich auf die Vertiefung der Verteidigung, in der Hoffnung, Angreifer davon abzuhalten, weil sie befürchten, dass sie scheitern würden – oder ein höheres Risiko haben, entdeckt zu werden.

Das Justizministerium richtet eine neue Task Force ein, um Ransomware zu übernehmen. Nachdem in den letzten Monaten festgestellt wurde, dass solche Angriffe mehr als nur Erpressung sind, können sie Wirtschaftssektoren stürzen.

Herr Biden kündigte Sanktionen gegen Russland für den SolarWinds-Hack an, und sein nationaler Sicherheitsberater Jake Sullivan sagte, dass es auch “unsichtbare” Konsequenzen geben werde. Bisher haben die Vereinigten Staaten keine ähnlichen Maßnahmen gegen die chinesische Regierung ergriffen, weil sie vermutlich an einem weiteren Angriff beteiligt war und Lücken in einem Microsoft-System ausgenutzt hat, das von großen Unternehmen auf der ganzen Welt verwendet wird.

Die Executive Order wurde erstmals im Februar als Reaktion auf das Eindringen von SolarWinds ausgearbeitet. Dieser Angriff war besonders raffiniert, da es Hackern, die für die russische Regierung arbeiteten, gelang, den in der Entwicklung befindlichen Code des Unternehmens zu ändern, das die Malware in einem Update seiner Softwarepakete ahnungslos verteilte. Es wurde während des Übergangs von Herrn Biden entdeckt und führte ihn zu der Erklärung, dass er der Integrität der föderalen Computersysteme nicht vertrauen könne.

Das im Rahmen der Exekutivverordnung eingerichtete Überprüfungsgremium wird vom Minister für innere Sicherheit und einem Beamten des privaten Sektors gemeinsam geleitet, basierend auf der spezifischen Episode, die derzeit untersucht wird, um Führungskräfte aus der Industrie zu gewinnen, die die Ermittlungen fürchten könnte Futter für Klagen sein.

Da es durch eine Exekutivverordnung und nicht durch einen Akt des Kongresses geschaffen wurde, wird das neue Gremium nicht die gleichen weitreichenden Befugnisse wie ein Sicherheitsgremium haben. Die Beamten sind jedoch weiterhin zuversichtlich, dass dies hilfreich sein wird, um Schwachstellen zu erkennen, die Sicherheitspraktiken zu verbessern und die Unternehmen zu drängen, mehr in die Verbesserung ihrer Netzwerke zu investieren.

Ein Großteil der Executive Order konzentriert sich auf Informationsaustausch und Transparenz. Ziel ist es, die Zeit zu verkürzen, in der Unternehmen, die Opfer eines Hacks geworden sind oder Schwachstellen entdecken, diese Informationen an die Agentur für Cybersicherheit und Infrastruktursicherheit weitergeben.



Source link

Leave a Reply