DHS schafft Gremium zur Überprüfung der Cybersicherheit

Druckfreundlich, PDF & E-Mail

Jedes Mal, wenn sich ein schwerer Unfall ereignet, schickt das National Transportation Safety Board (NTSB) in den USA ein Team an die Unfallstelle, um nicht nur den Unfallhergang besser zu verstehen, sondern auch die Umstände, die dazu beigetragen haben. Im Prinzip versucht man, aus Fehlern zu lernen, um ähnliche Unfälle in der Zukunft zu verhindern.

Das Heimatschutzministerium der USA (DHS) wendet dieses Modell zur Unfallverhütung nun auf die Cybersecurity an. Die Behörde hat ein Cyber Safety Review Board (CSRB) – ein Gremium zur Überprüfung der Cybersicherheit – eingerichtet, um größere Vorfälle im Bereich der Cybersecurity zu bewerten und Empfehlungen für Verbesserungen abzugeben. Der erste Vorfall auf der CSRB-Liste, der untersucht werden soll, ist die Zero-Day-Schwachstelle Log4jShell, die kürzlich in Open-Source-Protokollierungssoftware entdeckt wurde, die in Java-Anwendungen häufig vorkommt.

Das CSRB bietet ein Forum für die Zusammenarbeit zwischen staatlichen und privaten Sektorführern, um strategische Empfehlungen für den Präsidenten und den Heimatschutzminister zu erstellen. Das Forum setzt sich aus 15 führenden Vertretern der Bundesregierung und des Privatsektors zusammen, die im Bereich der Cybersicherheit tätig sind. Robert Silvers, Under Secretary for Policy des DHS, führt den Vorsitz und Heather Adkins, Senior Director for Security Engineering, fungiert als stellvertretende Vorsitzende.

Die Cybersecurity and Infrastructure Security Agency (CISA) verwaltet, unterstützt und finanziert das CSRB, wobei CISA-Director Jen Easterly für die Ernennung der Mitglieder verantwortlich ist, in Beratung mit dem Under Secretary for Policy des DHS, der dem Gremium vorsteht.

Eine bevorstehende Überprüfung und Bewertung von Schwachstellen im Zusammenhang mit der Log4j-Softwarebibliothek, die diesen Sommer ansteht, umfasst Bedrohungsaktivitäten und bekannte Auswirkungen sowie die von der Regierung und dem Privatsektor ergriffenen Maßnahmen zur Minimierung der Auswirkungen solcher Schwachstellen. Sie wird auch Empfehlungen für die Behebung laufender Schwachstellen und Bedrohungen sowie für die Verbesserung der Cybersecurity und der Praxis und Strategie der Incident Response enthalten.

Das CSRB plant außerdem eine Freigabe einer öffentlichen Version des Berichts, die zur Wahrung der Privatsphäre und zum Schutz sensibler Informationen entsprechend redigiert wird. Das CSRB verfügt über keine gesetzlichen Befugnisse und ist keine Vollstreckungsbehörde. Die Sitzungen des Gremiums sind auf die Mitglieder, Mitarbeiter und eingeladene Sachverständige beschränkt. Künftige Ratschläge, Informationen oder Empfehlungen des CSRB werden, wenn möglich, öffentlich zugänglich gemacht, gegebenenfalls mit entsprechenden Schwärzungen, die den geltenden Gesetzen und der Notwendigkeit des Schutzes sensibler Informationen entsprechen.

Es bleibt abzuwarten, welche Auswirkungen diese Maßnahmen haben werden. Bei Sicherheitsverletzungen spielt Zeit eine entscheidende Rolle. Glücklicherweise gibt es immer wieder Organisationen, die bereit sind, ihre Analyse dieser Ereignisse offenzulegen. Das CSRB bietet aber die Möglichkeit, Daten zu Cybersicherheitsvorfällen zusammenzufassen und zu überprüfen. Es gibt jedoch immer noch einen kollaborativeren Ansatz für den Austausch von Cybersecurity-Informationen nahezu in Echtzeit. Die Herausforderung lag schon immer am Teilen von Informationen, die für eine Organisation unangenehm sein oder die für zusätzliche Angriffe verwendet werden könnten.

Auf die eine oder andere Weise wird es jedoch bald mehr Transparenz bei Cybersecurityvorfällen geben. Daher sollten die Organisationen im Namen des Gemeinwohls ihr Wissen lieber früher als später weitergeben. Schließlich hat die Geschichte immer wieder gezeigt, dass das Einzige, was allgemein als schlimmer angesehen wird als der Vorfall selbst, der Versuch ist, im Nachhinein zu vertuschen, wer wann davon wusste.

Nach oben scrollen
Twittern
Teilen
Teilen