Devil wird in den NIST-Richtlinien aufgeführt

Die Biden-Regierung hat deutlich zum Ausdruck gebracht, dass sie sich in den nächsten vier Jahren auf das Thema Cybersecurity konzentrieren will. Nach einem Gipfeltreffen mit führenden Vertretern der IT-Branche teilte man mit, dass das National Institute of Standards and Technology (NIST) angewiesen wurde, mit der Branche und anderen Partnern zusammenzuarbeiten, um neue Richtlinien für die Entwicklung sicherer Technologien und die Bewertung nach der Bereitstellung festzulegen. Diese Anordnung wurde im Beisein einer Reihe von Führungskräften aus der IT-Branche erlassen, die versprachen, dem Appell von Präsident Biden nachzukommen und „die Messlatte für die Cybersecurity anzuheben“.

Gleichzeitig kündigte die Biden-Regierung die formelle Ausweitung der Cybersecurity-Initiative für industrielle Kontrollsysteme an, um auch Erdgaspipelines mit einzuschließen. Diese Initiative galt nämlich ursprünglich nur für Stromversorger.

Die Unternehmen haben während des Treffens unter anderem folgende Zusagen zur Cybersicherheit gemacht:

Amazon sagte zu, seine Cybersecurity-Schulungen der Öffentlichkeit kostenlos zur Verfügung zu stellen, und verpflichtete sich, ab Oktober einigen Cloud-Computing-Kunden Multi-Faktor-Authentifizierungsfunktionen zur Verfügung zu stellen.

Microsoft kündigte an, über einen Zeitraum von fünf Jahren 20 Milliarden Dollar zur Beschleunigung seiner Cybersecurity-Arbeit zu investieren, was einer Vervierfachung entspricht. Außerdem wolle das Unternehmen 150 Millionen Dollar für technische Dienstleistungen bereitstellen, um Behörden in Bund, Bundesstaaten und Gemeinden dabei zu helfen, ihre Sicherheitssysteme auf dem neuesten Stand zu halten.

Apple hat angekündigt, ein neues Programm zur kontinuierlichen Verbesserung der Security in der gesamten Technologie-Lieferkette einzurichten. Das Unternehmen verpflichtet sich, die Masseneinführung von Multi-Faktor-Authentifizierung, Sicherheitstrainings, Schwachstellenbehebung, Ereignisprotokollierung und Incident Response voranzutreiben.

IBM will innerhalb von drei Jahren über 150.000 Menschen im Bereich Cybersecurity ausbilden und mit historisch afroamerikanischen Colleges und Universitäten zusammenarbeiten, um die Vielfalt in diesem Bereich zu fördern.

Google kündigte an, in den nächsten fünf Jahren 10 Milliarden Dollar in die Cybersecurity zu investieren und zusätzlich 100.000 Amerikanern dabei zu helfen, von der Industrie anerkannte Zertifikate für digitale Kenntnisse zu erwerben.

Girls Who Code kündigte an, ein Mikro-Programm zur Zertifizierung von historisch ausgegrenzten Gruppen in der Technologie einzurichten.

Code.org kündigte an, innerhalb von drei Jahren über drei Millionen Schülern in 35.000 Klassenzimmern Konzepte der Cybersicherheit zu vermitteln.

Die University of Texas System kündigte an, über das Cybersecurity Manufacturing Innovation Institute der UT San Antonio Ausbildungsprogramme für den Einstieg in den Cyberbereich auszubauen.

Das Whatcom Community College gab bekannt, dass es zum neuen NSF Advanced Technological Education National Cybersecurity Center ernannt wurde und neben der Ausbildung von Studierenden auch Schulungen zum Thema Cybersecurity für Lehrkräfte anbieten wird.

So begrüßenswert diese Entwicklungen aus Sicht der Cybersicherheit auch sind, sollten sich die Fachleute doch an das gefürchtete Zitat des ehemaligen Präsidenten Ronald Reagan erinnern: „Ich arbeite für die Regierung und bin hier, um zu helfen.“ Das Problem an jeder Richtlinie ist, dass sie einen Mindeststandard schafft, den Organisationen anstreben und mit dem sie sich zufriedengeben. Die Lobbyarbeit, die darauf abzielt, dass die Cybersecurity-Richtlinien nicht „zu präskriptiv“ sind, ist zweifellos bereits im Gange.

Daher waren die beiden wichtigsten Teilnehmer des von Präsident Biden veranstalteten Gipfels aus Sicht der Cybersicherheit wohl die Vertreter von Resilience Cyber Insurance Solutions und von Coalition. Die beiden Anbieter von Cyber-Versicherungen machten deutlich, dass sie von den Versicherungsnehmern die Erfüllung aller Richtlinien verlangen werden, die letztendlich erarbeitet werden. Positiv zu erwähnen ist dabei, dass die erstellten Richtlinien erreichen werden, dass Führungskräfte das erforderliche Sicherheitsniveau erkennen werden, das für eine Cyber-Versicherung notwendig ist, die den finanziellen Schaden abdeckt, der beispielsweise durch einen Ransomware-Angriff verursacht wird. Der Teufel steckt natürlich in den Details der Richtlinien, die letztendlich von NIST veröffentlicht werden.