Debatte über Cybersicherheitsberichte spaltet CISA und FBI

Druckfreundlich, PDF & E-Mail

Das vom US-Senat einstimmig verabschiedete Gesetz Cyber Incident Reporting Act scheint eine Debatte zwischen der Cybersecurity and Infrastructure Security Agency (CISA) und dem Federal Bureau of Investigation (FBI) darüber zu entfachen, wie Unternehmen am besten zur Meldung von Cybersecurity-Vorfällen verpflichtet werden können.

Das Gesetz verpflichtet große Unternehmen, die beispielsweise Ölpipelines, Banken, Stromnetze und Transportsysteme betreiben, Cyberangriffe innerhalb von 72 Stunden und etwaige Lösegeldzahlungen innerhalb von 24 Stunden zu melden.

Dieses neueste Cybersecurity-Gesetz muss noch das US-Repräsentantenhaus durchlaufen, aber FBI Director Christopher Wray gab folgende Erklärung ab: „In seiner derzeitigen Form würde die Öffentlichkeit weniger vor Cyber-Bedrohungen geschützt werden; Hilfsleistungen an Opfer würden verlangsamt, die Ermittlung anderer bedrohter Unternehmen würde behindert und das Vorgehen gegen Cyber-Bedrohungen würde untergraben werden.“

Das FBI fordert die Erstellung von Cybersecurity-Berichten in Echtzeit, sobald Angriffe stattfinden, damit die Täter leichter aufgespürt und letzten Endes strafrechtlich verfolgt werden können. Außerdem möchte es Unternehmen Haftungsschutz bieten, damit sie eher bereit sind, Cybersecurity-Vorfälle zu melden.

CISA-Direktor Jen Easterly scheint jedoch mit dem aktuell geltenden Zeitfenster von drei Tagen zufrieden zu sein. „Im Klartext: Dieses Gesetz stellt einen Wendepunkt dar“, sagte sie in einer Erklärung. „CISA wird diese Berichte von unseren privaten Sektorpartnern nutzen, um ein gemeinsames Verständnis dafür zu entwickeln, wie unsere Gegner US-Netzwerke und kritische Infrastruktur anvisieren. Diese Informationen schließen kritische Informationslücken und ermöglichen die schnelle Bereitstellung von Ressourcen und Hilfe für Opfer von Angriffen. Auch können wir schnell eingehende Meldungen sektorenübergreifend analysieren, um Trends zu erkennen, und diese Informationen sofort an Netzwerkverteidiger weiterzugeben, um andere potenzielle Opfer zu warnen.“

Das Gesetz, dem laut Weißem Haus die Unterschrift des Präsidenten sicher sei, wird nun einem allgemeinen Haushaltsgesetz für Cybersecurity hinzugefügt. Als Grund für diesen Schritt wird der anhaltende Konflikt zwischen Russland und der Ukraine genannt.

Natürlich heißt nicht jedes Unternehmen den Cyber Incident Reporting Act willkommen. Kunden, Partner, Lieferanten und Investoren werden wahrscheinlich von diesen Berichten so weit verunsichert sein, dass die Bewertungen von Unternehmen beeinflusst werden.

Das Gesetz ist höchstwahrscheinlich auch ein Vorbote für weitere Gesetze im Bereich der Cybersicherheit, die von den Unternehmen verlangen, viel mehr Informationen über einen Angriff weiterzugeben – was viele von ihnen in der Vergangenheit nur ungern taten. Die Sorge ist natürlich, dass das die in diesen Berichten enthaltenen Informationen schlicht andere Cyberkriminelle auf eine Schwachstelle aufmerksam machen, bevor ein internes Cybersecurity-Team in der Lage ist, sie zu beheben.

Die Debatte über ein angemessenes Berichtsniveau ist noch lange nicht vorbei. Angesichts der demokratischen Mehrheit im Repräsentantenhaus werden sich jedoch immer mehr Organisationen damit abfinden müssen, dass sie bei jedem Sicherheitsverstoß einen Bericht einreichen müssen. Viele sind sogar der Meinung, dass das beste „Desinfektionsmittel“ für die Cybersicherheit so viel Sonnenlicht wie möglich ist und bleibt. Das einzige Problem, das noch gelöst werden muss, ist, wie schnell das Sonnenlicht notwendig ist.

Nach oben scrollen
Twittern
Teilen
Teilen