Die Durchführungsverordnung von Trump könnte neue Security-Herausforderungen schaffen

Die US-Regierung übt heute so viel Einfluss auf die Cybersecurity aus, dass selbst die kleinste Änderung der Politik jetzt tiefgreifende Auswirkungen haben kann. Eine von Präsident Trump erlassene Durchführungsverordnung bildet da keine Ausnahme, insbesondere wenn es um Vorschriften geht, die von Bundesbehörden verlangen, mit Tests für phishingresistente Authentifizierungstechnologien zu beginnen und sowohl digitale Identitäten als auch Post-Quanten-Kryptographie (PQC) zu übernehmen.

Konkret hebt die Regierung eine frühere Durchführungsverordnung des ehemaligen Präsidenten Joe Biden auf, die eine aggressivere Einführung robusterer Authentifizierungstechnologien und digitaler Identitäten forderte, um sowohl die Cybersecurity zu verbessern als auch Fraud einzudämmen. Die Trump-Administration ist jedoch angesichts des aktuellen Schwerpunkts auf der Durchsetzung der Einwanderungspolitik besorgt, dass digitale Identitäten von illegalen Einwanderern genutzt werden könnten, um Zugang zu Leistungen zu erhalten, auf die sie keinen Anspruch haben.

Die zweite große Änderung hob eine Anordnung von Biden auf, die die Bundesbehörden verpflichtete, „so bald wie möglich“ mit der Nutzung quantenresistenter Verschlüsselung zu beginnen, und die Anbieter dazu verpflichtete, PQC zu nutzen, wenn dies technologisch möglich war. Die Trump-Administration hob auch die Anweisungen für das Außenministerium und das Handelsministerium auf, die wichtige ausländische Verbündete und Überseeindustrien dazu ermutigen sollten, Post-Quanten-Computing-Algorithmen zu übernehmen, die vom National Institute of Standards and Technology (NIST) definiert wurden.

Eine dritte Veränderung betrifft die Sicherung von Software-Lieferketten. Bisher musste jeder Anbieter, der Software an die Bundesregierung verkaufte, die Security der Software bestätigen, indem er Unterlagen einreichte, aus denen hervorging, dass er die besten DevSecOps-Praktiken anwendet. Nun wird die US-Regierung über das NIST nur noch Leitlinien bereitstellen, anstatt von den Anbietern einen tatsächlichen Bericht zu verlangen.

Darüber hinaus wurden Bestimmungen aufgehoben, die die Cybersecurity and Infrastructure Security Agency (CISA) dazu verpflichteten, die von den Anbietern bereitgestellten Bestätigungen zu überprüfen, die das Office of the National Cyber Director (ONCD) dazu verpflichteten, die Ergebnisse dieser Überprüfungen zu veröffentlichen, und das ONCD dazu anhielten, Unternehmen, deren Bestätigungen eine Überprüfung nicht bestanden haben, an das Justizministerium „zur Ergreifung angemessenen Maßnahmen“ zu verweisen.

Die Trump-Administration schaffte auch Regeln ab, die das NIST verpflichteten, Leitlinien zu veröffentlichen, die Mindestanforderungen für Cybersecurity-Praktiken identifizierten, basierend auf einer Überprüfung weltweit anerkannter Standards, die die Anbieter befolgen mussten.

Das Faktenblatt, das von der Trump-Administration bereitgestellt wurde, besagte, dass die vorherige Biden-Anordnung „unerprobte und belastende Softwareverwaltungsprozesse auferlegte, die Compliance-Checklisten gegenüber echten Sicherheitsinvestitionen priorisierten“ und „technische Cybersecurity-Entscheidungen mikromanagten, die besser auf Abteilungs- und Agenturebene behandelt werden können, wo Budgetabwägungen und innovative Lösungen effektiver bewertet und umgesetzt werden können.“

Die Trump-Administration schränkt auch den Umfang einer früheren Anordnung zur Sicherheit von künstlicher Intelligenz (KI) ein. Die Trump-Anordnung verlangt nun von den Bundesbehörden, Schwachstellen in KI-Systemen zu verfolgen, diese in die Incident-Response-Pipelines zu integrieren und den Datenaustausch auf das zu beschränken, was unter Sicherheits- und Vertraulichkeitsbeschränkungen machbar ist. Zuvor teilten die Bundesbehörden diese Informationen mit anderen Ländern, die mit den USA verbündet sind.

Die Trump-Regierung ändert eine Anordnung, die Präsident Obama vor fast zehn Jahren erlassen hatte. Jetzt können Sanktionen nicht bei wahlbezogenen Aktivitäten angewandt werden, sondern nur gegen ausländische bösartige Akteure, um einen Missbrauch gegen inländische politische Gegner zu verhindern.

Schließlich strich die Durchführungsverordnung auch einen Passus aus einer früheren Exekutivverordnung, der das Office of Management and Budget (OMB) anwies, die Behörden bei der Bewältigung von Risiken im Zusammenhang mit der Konzentration von IT-Anbietern zu beraten.

Unabhängig von der politischen Ausrichtung, die ein Cybersecurity-Experte haben mag, sind sich alle einig, dass die US-Bundesregierung ein Beispiel für andere darstellt. In diesem Sinne werden Änderungen, die eher auf Empfehlungen als auf Anforderungen basieren, die Erreichung und Aufrechterhaltung der Cybersecurity erheblich erschweren.