CISA zur Messung des Sicherheitsfortschritts

Druckfreundlich, PDF & E-Mail

Die Cybersecurity and Infrastructure Security Agency (CISA) hat zugesagt, in den nächsten drei Jahren den Erfolg der Bemühungen der Regierung zum Schutz sowohl von öffentlich als auch privat kontrollierten kritischen Infrastrukturen vor Cyberangriffen zu messen.

Der stellvertretende CISA-Direktor für Cybersecurity, Eric Goldstein, erklärte vor dem Ausschuss für Innere Sicherheit des US-Repräsentantenhauses, dass die Behörde im nächsten Monat bekanntgegeben wird, was genau sie zu messen beabsichtigt.

Cybersecurity-Fachleute versuchen natürlich schon seit Jahrzehnten, den Erfolg ihrer Bemühungen zu quantifizieren – mit wenig bis gar keinem Erfolg. Daher wird das Interesse am Ansatz der CISA an eine der größten Herausforderungen in der gesamten Cybersecurity zweifellos groß sein. Wie die meisten Cybersecurity-Experten nur allzu gut wissen, ist es eine Herausforderung, den Wert von Cybersecurity nachzuweisen. Investitionen in Cybersecurity werden als lohnenswert erachtet, wenn kein Verstoß vorliegt. Im Falle eines Verstoßes wird der Wert dieser Investitionen jedoch in Frage gestellt, unabhängig davon, wie viele Angriffe vereitelt wurden.

Wie die CISA die erforderlichen Daten genau sammeln will, ist ebenfalls ein Rätsel. Der größte Teil der kritischen Infrastrukturen, zu deren Schutz die CISA beitragen soll, wird von öffentlich-privaten Partnerschaften verwaltet, die nicht immer darauf bedacht sind, Informationen mit vermeintlichen Außenstehenden zu teilen, die verpflichtet sein könnten, diese Daten öffentlich zu teilen.

Tatsächlich ist das Maß an Cybersecurity-Transparenz, das erforderlich sein sollte, jetzt Gegenstand einer zunehmend hitzigen Debatte im Kongress. Der demokratische Abgeordnete Jim Langevin aus Rhode Island hat dem National Defense Authorization Act für 2023 eine vorgeschlagene 554-Änderung hinzugefügt, die das Department of Homeland Security (DHS) dazu verpflichten würde, bestimmte Komponenten kritischer Infrastrukturen als systemrelevante Einheiten auszuweisen. Daher müssten Betreiber dieser Infrastruktur bestimmte Cybersecurity-Standards einhalten. Die US-Handelskammer hat zusammen mit 17 anderen Branchenverbänden einen Brief an die Senatsvorsitzenden geschickt, die sich gegen die Änderung aussprachen.  In dem Schreiben wird insbesondere behauptet, dass der Änderungsantrag die Beziehung zwischen CISA und den Betreibern kritischer Infrastrukturen von einer Partnerschaft in eine Beziehung verwandeln würde, in der CISA befugt ist, der Branche zusätzliche Cybersecurity-Anforderungen aufzuerlegen.

Unabhängig vom Grad der Aufsicht, den CISA bieten könnte, liegt der Teufel immer in den gemessenen Details. Die einfache Wahrheit ist, dass es eventuell nicht möglich ist, die Effektivität von Cybersecurity zu messen. Außerdem sollte man eindeutig besorgter darüber sein, wie Daten an eine Bundesbehörde weitergegeben werden, die verpflichtet ist, dem Kongress Berichte vorzulegen, die wahrscheinlich von Cyberkriminellen auf der ganzen Welt, die bereits ein großes Interesse an der Kompromittierung kritischer Infrastrukturen gezeigt haben, aufmerksam gelesen werden. Aller Wahrscheinlichkeit nach wird jeder Kompromiss, der gefunden wird, niemanden zufriedenstellen. Die vereinbarten Anforderungen sind wahrscheinlich nicht streng genug, um sinnvoll zu sein. Alles, was erreicht werden könnte, ist, dass viele Daten, die sonst verborgen bleiben würden, jetzt häufiger weitergegeben werden.

Wie Ronald Reagan einmal bemerkt hat, sind die gefährlichsten Worte in der englischen Sprache „Ich bin von der Regierung und ich bin hier, um zu helfen“. Es ist nicht so, dass Regierungsbehörden mehr Schaden als Nutzen anrichten wollen, aber die Art und Weise, wie Bundesbehörden arbeiten, führt nicht immer zu dem möglichst optimalen Cybersecurity-Ergebnis.

Nach oben scrollen
Twittern
Teilen
Teilen