Die Direktorin der US-Agentur für Cybersicherheit fordert Twitter, Microsoft und andere Tech-Konzerne auf, die Konten ihrer Nutzer besser zu schützen. Anbieter wie Microsoft und Twitter sollten für ihre Nutzer standardmässig eine Multifaktor-Authentifizierung (MFA) einführen, so Jen Easterly, Direktorin der amerikanischen Agentur für Cybersicherheit CISA, in einer Rede. Schlechte Software und unsichere Praktiken würden Ransomware-Angriffe ermöglichen und wichtige Dienste lahmlegen – von der Lebensmittelproduktion bis zu Krankenhäusern, sagte Easterly laut 'Bloomberg'.
Verbreitung von MFA ist "enttäuschend"
Gerade einmal ein Viertel der Microsoft-Unternehmenskunden und ein Drittel der Administratoren-Konten verwenden laut Easterly MFA. Weniger als 3% der Twitter-Nutzer nutzen diese Funktion, wie aus dem Transparenzbericht des Unternehmens für das Jahr 2021 hervorgeht. Diese Zahlen seien "enttäuschend", fügte sie an.
Die Unternehmen müssen die Verantwortung für die Sicherheit ihrer Kunden übernehmen. Ohne konkrete Unternehmen oder Produkte zu nennen, ergänzte die CISA-Chefin, dass Technologieunternehmen keine zusätzlichen Gebühren für grundlegende Sicherheitsvorkehrungen verlangen sollen.
Twitter gab erst kürzlich bekannt, dass es die Kontosicherung per
MFA und SMS nur noch für zahlende Blue-Abonnentinnen und -Abonnenten gibt. Sie habe Twitter deswegen aber nicht direkt kontaktiert. "Wir sagen Social-Media-Unternehmen nicht, was sie zu tun haben", führte sie aus. Sie hoffe, dass das Unternehmen seinen Ansatz in Bezug auf MFA "überlegter" gestalten werde.
Apple wiederum gebe an, dass 95% seiner iCloud-Benutzer MFA aktiviert haben, weil das Unternehmen die Einstellung standardmäßig aktiviert hat – ein Beispiel, das Easterly anderen Firmen ans Herz legte.
Neue Cyberstrategie in den USA in Arbeit
Die amerikanische Regierung bereitet derzeit eine nationale Cyber-Strategie vor. Diese soll Unternehmen zwingen, sich besser mit der Bedrohung durch Hacker auseinanderzusetzen. Die neue Regulierung sieht unter anderem eine Haftung für Tech-Firmen vor, wenn deren Produkte ein übermässiges Risiko beinhalten. Zum Verkauf stehende Produkte würden Tausende von Mängeln aufweisen, schwache Standardeinstellungen würden die Kunden einem übermässigen Risiko aussetzen, fügte
Easterly gemäss dem Bericht (Paywall) an.Mit der neuen Cyber-Strategie wird es statt freiwilliger Massnahmen umfassendere Regulierungen für wichtige Unternehmen geben. "Während freiwillige Ansätze für die Cybersicherheit kritischer Infrastrukturen zu bedeutenden Verbesserungen geführt haben, hat das Fehlen verbindlicher Anforderungen allzu oft zu uneinheitlichen und in vielen Fällen unzureichenden Ergebnissen geführt", zitiert
'Security Week' aus einem Entwurf.
Die News-Plattform
'Fedscoop' schreibt, dass die neue Strategie auch durch die Supply-Chain-Angriffe auf Kaseya und Solarwinds beeinflusst wurde. Bei diesen Angriffen war eine grosse Anzahl von Kundensystemen betroffen. Für Unternehmen, die solche systemrelevanten Positionen einnehmen, plane das Weisse Haus höhere Sicherheitsanforderungen.