CISA will Mission inmitten von Turbulenzen ausweiten

Die Turbulenzen rund um die Cybersecurity and Infrastructure Security Agency (CISA) beginnen, sich erheblich auf die Cybersecurity-Teams auszuwirken, die – ohne jeglichen Haftungsschutz – derzeit weniger geneigt sind, Informationen darüber zu teilen, wie es zu Sicherheitsverletzungen kam.

Gleichzeitig signalisiert die Behörde jedoch auch ihre Absicht, langfristig ein breites Spektrum an Dienstleistungen direkt anzubieten, anstatt sich weiterhin auf eine kleine Anzahl von Industriepartnern zu verlassen.

Kurz vor dem Shutdown der US-Bundesregierung scheiterte der US-Kongress daran, den Cybersecurity Information Sharing Act zu erneuern, vor allem wegen der Einwände von Senator Rand Paul (R-KY), der befürchtet, dass die ursprüngliche Gesetzgebung es der Behörde ermöglicht, ihren Auftrag zu überschreiten, indem sie sich mit Desinformationskampagnen bei den letzten beiden Präsidentschaftswahlen befasst. Im Mittelpunkt dieser Debatte steht die Sorge, dass CISA bei ihren Bemühungen, kritische Wahlinfrastrukturen zu schützen, in eine politische Debatte über vermeintliche Einschränkungen der Redefreiheit verwickelt wurde.

Ein paar Tage später kam es zum Shutdown der US-Regierung, der zu Entlassungen führte, die erhebliche Auswirkungen auf die Fähigkeit der Behörde haben könnten, bestimmte Dienstleistungen zu erbringen, einschließlich jener, die CISA für Drittorganisationen erbringt. Vor diesen Kürzungen ließ CISA auch eine Kooperationsvereinbarung mit dem Center for Internet Security (CIS) auslaufen, über die ein Programm des Multi-State Information Sharing and Analysis Center (MS-ISAC) verwaltet wurde. Nun plant CISA, die Finanzierung spezifischer Initiativen selbst zu verwalten und die von ihr entwickelten Instrumente den einzelnen Staaten und Kommunen kostenlos zur Verfügung zu stellen.

Fokusverschiebung

All diese Änderungen finden zu einer Zeit statt, in der die CISA auch ihre Absicht signalisiert, das Common Vulnerabilities and Exposures (CVE)-Programm, das derzeit von Mitre Corp. verwaltet wird, zu überarbeiten. Ein von der CISA veröffentlichtes Dokument zum strategischen Fokus zeigt, dass die Behörde im Rahmen einer neuen Qualitätsorientierung die Nummerierung und Rangfolge der CVEs sowie die Verbreitung der Informationen darüber überprüft.

Das Dokument fordert insbesondere eine Verpflichtung zu einer konfliktfreien und herstellerneutralen Verwaltung, ein breites sektorübergreifendes Engagement, transparente Prozesse und mehr Verantwortlichkeit. Letzteres ist natürlich ein Thema von großem Interesse für Cybersecurity-Experten, die regelmäßig darauf warten müssen, dass Entwickler Patches für Anwendungen erstellen und anwenden. Die Hoffnung besteht darin, dass es deutlich weniger solcher Schwachstellen geben könnte, wenn Unternehmen stärker dafür zur Verantwortung gezogen würden, Software mit bekannten Schwachstellen bereitzustellen, die von Cyberkriminellen ausgenutzt werden.

Es könnte eine Weile dauern, bis konkrete Änderungen vorgenommen werden, aber es ist offensichtlich, dass sich der Umfang der CISA-Mission ändert. Im Einklang mit den von der Trump-Administration gesetzten Prioritäten werden die Ressourcen eindeutig von einigen Initiativen abgezogen. Es ist weniger klar, in welchem Ausmaß CISA über die erforderlichen Ressourcen verfügt, um sein sich entwickelndes Mandat zu erfüllen, das auch die direkte Bereitstellung einer breiteren Palette von Dienstleistungen umfasst.

Hoffentlich wird CISA wieder zu einer Abrechnungsstelle für den sicheren Austausch von Bedrohungsinformationen und erweitert gleichzeitig den Umfang der angebotenen Dienste. Die Herausforderung besteht wie immer darin, dieses Mandat auf eine Weise zu erfüllen, die möglichst wenig politische Einmischung erfordert.