Regulierungsbehörden schlagen einen anderen Ton in Bezug auf Cybersecurity an

Eine von der Federal Trade Commission (FTC) erlassene Richtlinie, die GoDaddy dazu verpflichtet, die Security seiner Hosting-Dienste zu verbessern, deutet darauf hin, dass die Bundesregierung zunehmend detailliertere Anweisungen an den privaten Sektor gibt.

Nach einer Reihe von Sicherheitsverletzungen, die bis ins Jahr 2018 zurückreichen, beschuldigte die FTC GoDaddy zu Beginn dieses Jahres, gegen Abschnitt 5 des FTC-Gesetzes verstoßen zu haben, da das Unternehmen es versäumt hatte, standardmäßige Sicherheitspraktiken auf den Websites der Kunden umzusetzen, obwohl es „preisgekrönte Sicherheit“ anpries.

Die FTC hat im Rahmen eines Vergleichs eine Anordnung erlassen, die GoDaddy verpflichtet, eine Person für ein Security Informationssicherheitsprogramm zu benennen, ein Security Information Event Management (SIEM) oder ein anderes Tool einzuführen, das eine Analyse von Security Sicherheitsereignissen nahezu in Echtzeit ermöglicht, ein System von Auditprotokollen zu erstellen, Authentifizierungsprobleme mit Zertifikaten, privaten und öffentlichen Schlüsselpaaren oder ähnlichen Technologien zu lösen und eine Multifaktor-Authentifizierung für Mitarbeiter, Auftragnehmer und Drittanbieter einzuführen.

GoDaddy muss sich außerdem einer ersten Überprüfung unterziehen und anschließend alle zwei Jahre eine Bewertung seiner Security-Maßnahmen durch externe Prüfer vornehmen lassen.

Während die meisten Cybersecurity-Experten zustimmen würden, dass diese Maßnahmen GoDaddy dazu zwingen, einen allgemein anerkannten Satz von Best Practices zu übernehmen, schlägt die FTC einen deutlich anderen Ton an als andere Regierungsbehörden in der Vergangenheit. Die meiste Kritik an Organisationen des privaten Sektors wurde bisher in Form von Ratschlägen und nicht als Anordnung geäußert.

Zusätzlich betreibt die FTC ein gewisses Maß an öffentlicher Bloßstellung in der Hoffnung, dass andere Organisationen mit laxen Cybersecurity-Maßnahmen motivierter werden, diese Probleme anzugehen, bevor die FTC oder eine andere Behörde feststellt, dass Handlungsbedarf besteht.

Im Allgemeinen schenken Regierungen weltweit der tatsächlichen Umsetzung von Cybersecurity-Maßnahmen im privaten Sektor deutlich mehr Aufmerksamkeit. Es gibt nun ein besseres Verständnis für die nationalen Sicherheitsimplikationen weit verbreiteter Plattformen. Microsoft-Präsident Brad Smith fand sich beispielsweise letztes Jahr dazu gezwungen, sich für die laxen Cybersecurity-Praktiken des Unternehmens zu entschuldigen, die vom Cyber Security Review Board (CSRB), einem Zweig der Agentur für Cybersicherheit und Infrastruktursicherheit (CISA), aufgedeckt wurden.

Die Bundesbehörden verfügen möglicherweise nicht über die Ressourcen, die erforderlich sind, um die Cybersecurity-Praktiken in der gesamten privaten Security-Branche umfassend zu überprüfen, aber der Ton und die Art der Interaktionen mit Bundesbehörden ändern sich. Es gibt eindeutig weniger Verständnis für Organisationen, die es versäumen, ein angemessenes Maß an Cybersecurity umzusetzen. Die Zeiten, in denen es als unfair galt, die Opfern eines Cybersecurity-Angriffs zu beschuldigen, neigen sich dem Ende zu. Jetzt wird erwartet, dass Organisationen sich nicht nur der Risiken, denen sie ausgesetzt sind, bewusst sind, sondern auch aktiv Schritte unternehmen, um diese zu mindern.

Daher sollte jedes Unternehmen eine Bestandsaufnahme seines aktuellen Engagements für Cybersecurity vornehmen. Es ist unwahrscheinlich, dass morgen jemand von einer Bundesbehörde auftaucht und unangenehme Fragen stellt, aber im Falle eines Vorfalls sollten IT- und Cybersecurity-Teams damit rechnen, viel gezieltere Fragen dazu zu erhalten, welche Maßnahmen sie ergriffen haben, um solche Vorfälle von vornherein zu verhindern.