Weißes Haus veröffentlicht Details zur Cybersecurity-Strategie

Das Weiße Haus hat nun unmissverständlich seine Absicht bekundet, das gebündelte Gewicht der Bundesbehörden und künftiger Gesetze zu nutzen, um so viele Organisationen wie möglich zu verpflichten, ihre Cybersecurity zu verbessern.

In dem von der Biden-Regierung vorgelegten Umsetzungsplan heißt es, dass die Regulierungsbehörden verschiedener Branchen aufgefordert werden, darzulegen, wie sie ihre bestehenden Befugnisse zur Festlegung von Cybersecurity-Anforderungen nutzen werden, um Risiken zu mindern, Lücken zu ermitteln und Vorschläge zu deren Schließung zu erarbeiten. Darüber hinaus wird die Regierung mit dem Kongress zusammenarbeiten, um Gesetze zu verabschieden, die etwaige Lücken in den gesetzlichen Befugnissen schließen.

Angesichts des aktuellen politischen Klimas mag dies vielleicht leichter gesagt als getan sein, doch beide großen politischen Parteien erkennen an, dass Cybersecurity heute ein wichtiges Thema der nationalen Sicherheit ist, das mit jeder anderen Initiative für Verteidigungsausgaben gleichzusetzen ist. Es ist schlicht und einfach nicht möglich, nationale Interessen zu verteidigen, wenn die Mittel, mit denen dies ermöglicht wird, durch einen Cyberangriff lahmgelegt werden.

Dieser Ansatz wird enorme Auswirkungen für Cybersecurity-Experten haben. Bekanntlich steckt der Teufel im Detail, und so sind noch viele Einzelheiten zu klären – aber die Zeiten, in denen Investitionen in Cybersecurity auf ein absolutes Minimum beschränkt wurden, sind so gut wie vorbei. Organisationen sind nicht nur für den Schutz der von ihnen erfassten Daten verantwortlich, sondern auch für die Sicherheit aller Anwendungen, die sie erstellen oder bereitstellen.

Positiv zu vermerken ist, dass die US-Regierung diese Mandate mit Bildungsinitiativen untermauern wird, die durch öffentlich-private Partnerschaften vorangetrieben werden, mit Unterstützung von unter anderem Anbietern von Technologielösungen, Hochschulen, Firmen für Cybersecurity-Schulungen, der Wissenschaft und der Open-Source-Community. Das Ziel ist sicherzustellen, dass Hardware und Software sowohl vom Design als auch von der Hardware her sicher sind.

Insgesamt beschreibt der Umsetzungsplan 65 Initiativen samt Fälligkeitsterminen. Diese behandeln eine Vielzahl an Vorhaben von der Unterbrechung gegnerischer Operationen bis zur Bewältigung von Cybersecurity-Vorfällen. Tatsächlich wird nun von jeder Organisation erwartet, dass sie zum Kampf gegen den Cyberkrieg beiträgt.

Um in einem Kampf erfolgreich zu sein, ist natürlich ein Einblick in die Taktiken des Feindes erforderlich. Dies ist ein Bereich, der besonders problematisch ist, da so viele Organisationen nur äußerst ungern offenlegen, dass sie Opfer eines Angriffs geworden sind oder welche anderen Informationen sie auf die harte Tour gesammelt haben: durch Erfahrung. Das Fehlen gemeinsamer Informationen spielt jedoch nur den Gegnern in die Hände, die davon profitieren, im Schatten agieren zu können.

In der Zwischenzeit versuchen US-Strafverfolgungsbehörden, dieses Verhalten zu unterbinden, indem sie Cybersecurity-Experten, die für öffentliche Unternehmen arbeiten, stärker für ihre Handlungen zur Rechenschaft ziehen. Diese Bemühungen könnten jedoch letztendlich dazu führen, dass die besten und klügsten Cybersecurity-Experten in den Privatsektor abwandern.

Doch unabhängig von der Art der Organisation, für die ein Cybersecurity-Experte arbeitet, wird jeder Aspekt der Cybersecurity immer genauer unter die Lupe genommen. Größtenteils wird dies in dem Sinne willkommen sein, dass es umso einfacher wird, Investitionen zu rechtfertigen, je mehr Aufmerksamkeit die Führungsspitze der Organisation der Cybersecurity schenkt. Aber die Kehrseite der Medaille ist natürlich, dass nun viel mehr Mandate von Einzelpersonen erstellt werden, die nicht immer ein tiefgreifendes Verständnis für all die Nuancen haben, die bei der Definition einer erfolgreichen Cybersecurity-Strategie zu meistern sind.