Nationale Cybersecurity-Strategie braucht Hilfe

Die Nationale Cybersecurity-Strategie der Regierung Biden in ihrer jetzigen Form wird voraussichtlich nicht zu geltendem Recht werden, ist aber insofern bemerkenswert, als sie beginnt, die grundsätzliche Haltung in den Diskussionen über Cybersecurity in einer Weise zu verlagern, die längst überfällig ist.

Konkret fordert die Regierung Biden eine Neugewichtung der Verantwortung für die Verteidigung des Cyberspace, indem sie die Bürde der Cybersecurity von Einzelpersonen, kleinen Unternehmen und Kommunalbehörden auf die Organisationen verlagert, die am besten dazu in der Lage und positioniert sind, um Risiken zu reduzieren.

Die vorgeschlagenen Mittel, um dieses Ziel zu erreichen, erfordern eine Form von Gesetzgebung durch den Kongress. Es ist jedoch nicht klar, ob die Regierung Biden über genügend politisches Handlungskapital verfügt, damit eine solche Gesetzgebung in absehbarer Zeit verabschiedet wird. Die Republikaner im US-Repräsentantenhaus sind nicht wirklich geneigt, ein Gesetz zu verabschieden, das die Zahl der Vorschriften erhöhen würde, die Unternehmen zu bewältigen haben. Welche Gesetze auch immer verabschiedet werden, sie nehmen die Last nicht vollständig von Einzelpersonen, kleinen Unternehmen und Kommunalverwaltungen. Das Internet wird auch in Zukunft eine Ressource sein, die Organisationen weiterhin auf eigenes Risiko nutzen.

Es gibt andere Mittel, um diese Cybersecurity-Belastungen effektiver zu verlagern. Viele der AGB, die Einzelpersonen und Organisationen routinemäßig unterzeichnen, enthalten Formulierungen, die die Haftung für Cybersecurity einschränken. Das Maß an Verantwortlichkeit für den falschen Umgang mit Daten oder die Bereitstellung von Anwendungen, die von Schwachstellen übersät sind, ist relativ gering. Wenn Organisationen bessere Security wollen, sollten sie lieber mit ihren Brieftaschen dafür stimmen, als zu warten, bis dies eines Tages vom Kongress vorgeschrieben wird. Wenn Anbietern von Anwendungen und Cloud-Services klar wird, dass sie aufgrund von Cybersecurity-Problemen Marktanteile verlieren, wird es nicht lange dauern, bis die Investoren der Unternehmen sich einschalten.

Rechtsstreitigkeiten spielen außerdem eine entscheidende Rolle. Die finanziellen Kosten für Anbieter von Anwendungen und Cloud-Services müssen höher werden. Wenn es heute zu einer Datenverletzung kommt, entstehen diesen Unternehmen Kosten für die Behebung, aber die Höhe der Entschädigung für ihre Endkunden ist im Allgemeinen Regel begrenzt. Der durchschnittliche Verbraucher wird wahrscheinlich ein zeitlich begrenztes Angebot erhalten, seine Kreditwürdigkeit kostenlos überwachen zu lassen. Leider wechseln nur sehr wenige von ihnen den Anbieter wegen eines Sicherheitsverstoßes, so dass es kaum einen Anreiz für die Anbieter von Anwendungen und Services gibt, tatsächlich besser zu werden. Einzelpersonen und Organisationen werden auf größere finanzielle Entschädigungen drängen müssen, wenn die Cybersecurity verbessert werden soll.

Natürlich ist eines der besten Dinge, die eine Administration tun könnte, das Thema stärker ins Rampenlicht zu rücken. Malware ist eine klare und gegenwärtige Gefahr für die nationale Sicherheit. Führungskräfte zu Anhörungen im Kongress zu bringen, um darüber auszusagen, wie es zu einem Sicherheitsverstoß kam, wird wahrscheinlich zu positiven Ergebnissen führen. Niemand möchte öffentlich als inkompetent an den Pranger gestellt werden, vor allem dann nicht, wenn diese Aussage einen wesentlichen Einfluss auf eine Aktienbewertung haben könnte. Die Menge an Ressourcen, die der Cybersecurity zugewiesen werden, wird infolgedessen zweifellos zunehmen

Kurz gesagt, es gibt viele Mechanismen und Ansatzpunkte, die positive Veränderungen bewirken können und nicht die Verabschiedung von verwässerten Gesetzen erfordern, die, selbst wenn sie jemals unterzeichnet werden, wahrscheinlich noch jahrelang angefochten werden. Das eigentliche Problem besteht darin, den kollektiven Willen aufzubringen, sie einzusetzen.