DHS schafft Gremium zur Überprüfung der Cybersicherheit

Jedes Mal, wenn sich ein schwerer Unfall ereignet, schickt das National Transportation Safety Board (NTSB) in den USA ein Team an die Unfallstelle, um nicht nur den Unfallhergang besser zu verstehen, sondern auch die Umstände, die dazu beigetragen haben. Im Prinzip versucht man, aus Fehlern zu lernen, um ähnliche Unfälle in der Zukunft zu verhindern.Das Heimatschutzministerium der USA (DHS) wendet dieses Modell zur Unfallverhütung nun auf die Cybersecurity an. Die Agentur hat ein Cyber Safety Review Board (CSRB) eingerichtet, um größere Cybersecurity-Vorfälle zu bewerten und Empfehlungen für Verbesserungen abzugeben. Der erste Vorfall auf der CSRB-Liste, den es zu untersuchen gilt, sind die Zero-Day-Schwachstellen von Log4jShell, die kürzlich in Open-Source-Protokollierung-Software entdeckt wurden, die in Java-Anwendungen weit verbreitet ist.

Das CSRB bietet ein Forum für die Zusammenarbeit zwischen staatlichen und privaten Sektorführern, um strategische Empfehlungen für den Präsidenten und den Heimatschutzminister zu erstellen. Das Forum setzt sich aus 15 führenden Vertretern der Bundesregierung und des Privatsektors zusammen, die im Bereich der Cybersicherheit tätig sind. Robert Silvers, Under Secretary for Policy des DHS, führt den Vorsitz und Heather Adkins, Senior Director for Security Engineering, fungiert als stellvertretende Vorsitzende.Die Cybersecurity and Infrastructure Security Agency (CISA) wird das CSRB verwalten, unterstützen und finanzieren, wobei die CISA-Direktorin Jen Easterly für die Ernennung seiner Mitglieder in Absprache mit dem DHS Under Secretary for Policy, der als Vorstandsvorsitzender fungiert, verantwortlich ist.

Eine bevorstehende Überprüfung und Bewertung von Schwachstellen im Zusammenhang mit der Log4j-Softwarebibliothek, die diesen Sommer ansteht, beinhaltet Bedrohungsaktivitäten und bekannte Auswirkungen ebenso wie die von der Regierung und dem Privatsektor ergriffenen Maßnahmen zur Minimierung der Auswirkungen solcher Schwachstellen. Sie enthält auch Empfehlungen zum Umgang mit laufenden Schwachstellen und Bedrohungsaktivitäten und Empfehlungen zur Verbesserung der Cybersecurity und der Praktiken und Richtlinien zu Incident Response .

Das CSRB plant außerdem eine Freigabe einer öffentlichen Version des Berichts, die zur Wahrung der Privatsphäre und zum Schutz sensibler Informationen entsprechend redigiert wird. Das CSRB verfügt über keine gesetzlichen Befugnisse und ist keine Vollstreckungsbehörde. Die Sitzungen des Gremiums sind auf Mitglieder, Personal und eingeladene Sachverständige beschränkt. Künftige Ratschläge, Informationen oder Empfehlungen des CSRB werden, wenn möglich, öffentlich zugänglich gemacht, gegebenenfalls mit entsprechenden Schwärzungen, die den geltenden Gesetzen und der Notwendigkeit des Schutzes sensibler Informationen entsprechen.Es bleibt abzuwarten, welche Auswirkungen diese Maßnahmen haben werden. Bei Verstößen spielt die Zeit eine entscheidende Rolle. Glücklicherweise gibt es immer wieder Organisationen, die bereit sind, ihre Analyse dieser Ereignisse offenzulegen. Das CSRB bietet jedoch die Möglichkeit, Daten zu Cybersecurity-Vorfällen zusammenzufassen und zu überprüfen. Es gibt jedoch immer noch einen kollaborativeren Ansatz für den Austausch von Cybersecurity-Informationen nahezu in Echtzeit. Die Herausforderung lag schon immer darin, Informationen zu teilen, die für eine Organisation unangenehm oder die für zusätzliche Angriffe verwendet werden könnten.

Auf die eine oder andere Weise wird es jedoch bald mehr Transparenz bei Cybersecurity-Vorfällen geben. Daher sollten Organisationen im Namen des Gemeinwohls ihr Wissen lieber früher als später weitergeben. Schließlich hat die Geschichte immer wieder gezeigt, dass das Einzige, was allgemein als schlimmer angesehen wird als der Vorfall selbst, der Versuch ist, im Nachhinein zu vertuschen, wer wann davon wusste.