Biden nimmt IT-Anbieter stärker in die Verantwortung

17. Mai 2021 um 13:00
image

Die Regierung will ihre Beschaffungsmacht einsetzen, um von IT-Anbietern bessere Qualität einzufordern. Ein Security-Gütesiegel gehört dazu.

Solarwinds, Microsoft Exchange, Pipeline Hack … die Regierung von Joe Biden hat genug von Security-Löchern in den an sie verkauften Produkten.
Mit einer neuen Direktive will die US-Regierung ihre Cyber-Abwehr modernisieren und ihre Services besser schützen. "Die Direktive spiegelt einen grundlegenden Wandel in unserer Denkweise wider: von der Reaktion auf Vorfälle hin zur Prävention, vom Reden über Sicherheit hin zum Umsetzen von Sicherheit", liess das Weisse Haus die Medien wissen.
Viele dieser Bestimmungen der Anordnung konzentrieren sich auf die Absicherung von IT-Netzwerken der Bundesbehörden gegen die häufigsten Arten von Cyberangriffen. Die Verordnung verlangt von den Behörden nicht nur den Einsatz von Multi-Faktor-Authentifizierung, sondern auch die Installation von Endpoint-Erkennungs- und Response-Produkten. Ausserdem sollen die Behörden ihre Netzwerke basierend auf einer Zero-Trust-Architektur umbauen.
Diese Direktive, die parallel zur Betriebsaufnahme der Ölpipeline nach einer Millionen-Zahlung an die Hacker angekündigt wurde, geht aber noch weiter.
Sie nimmt die IT-Anbieter in die Pflicht. Cloud-Provider und deren Partner sollen mehr in die Security ihrer Produkte investieren und die Biden-Regierung verlangt, die IT-Industrie "soll bestimmte Informationen über Datenschutzverletzungen weitergeben".
Details zu dieser Meldepflicht sind noch nicht bekannt.
Das Versäumnis des US-Unternehmens SolarWinds, seine Produktentwicklungssysteme zu schützen, führte dazu, dass Orion-Software-Updates Anfang 2020 zu einem Superspreader wurden, der die Computer der Kunden mit Malware versorgte und den Hacker erfolgreich ausnutzen konnten.
Bidens Anordnung versucht, einen weiteren solchen Supply-Chain-Hack zu verhindern, indem ICT-Dienstleister neue Sicherheitsanforderungen erfüllen müssen, um mit der US-Bundesregierung Geschäfte machen zu können. Diese Auftragnehmer haben nicht nur eine Breach-Meldepflicht, sondern die neuen Verträge werden Standard-Security-Klauseln enthalten, unabhängig davon, welche US-Behörde der Beschaffer ist.
Diese Direktive nimmt IT-Anbieter wesentlich stärker in die Verantwortung:
  • Von den Entwicklern wird unter anderem verlangt, dass die Beschaffer mehr Einblick in ihre Software erhalten und Sicherheitsdaten öffentlich zugänglich werden
  • Durch die Macht ihrer Beschaffungsgelder "werden Anreize für den Markt geschaffen, um neue und innovative Ansätze für die sichere Softwareentwicklung zu entwickeln"
  • Es wird eine Art "Energy Star"-Label geschaffen, "damit die Regierung - und die breite Öffentlichkeit - schnell feststellen kann, ob Software sicher entwickelt wurde."
Das Label für Security wird im Rahmen eines Pilotprogramms lanciert werden. Wobei die Stossrichtung bereits klar ist: "Zu viel unserer Software, einschliesslich kritischer Software, wird mit erheblichen Schwachstellen ausgeliefert, die unsere Gegner ausnutzen. Dieses Problem ist seit langem bekannt, aber wir haben es zu lange verdrängt", heisst es in der Mitteilung.
Die Pflicht zu Informationsaustausch stellt einen grossen Schritt dar, möglicherweise auch das Gütesiegel. Darüber hinaus soll ein neues Gremium auch darüber wachen, dass die Industrie Lehren zieht. "Zu oft wiederholen Unternehmen die Fehler der Vergangenheit und ziehen keine Lehren aus bedeutenden Cyber-Vorfällen", kritisiert die Regierung die IT-Anbieter.
Das soll sich mit einem staatlich und privat besetzten "Cybersecurity Safety Review Board" ändern. Es soll künftig Vorfälle untersuchen, nachdem sie abgeschlossen sind, und Berichte über die daraus gezogenen Lehren erstellen. Die erste Aufgabe des Gremiums wird sein, SolarWinds zu untersuchen, hiess es dazu.

Loading

Mehr erfahren

Mehr zum Thema

image

E-Banking-App der ZKB zeigte falsche Konten an

Aufgrund einer "kurzzeitigen technischen Störung" zeigte die App teilweise Konten von falschen Personen an. Die Störung ist mittlerweile behoben.

publiziert am 11.6.2024
image

Amherd: "Es gibt ein Interesse, die Konferenz zu sabotieren"

Die Ukraine-Konferenz macht die Schweiz zu einer Zielscheibe für Cyberangriffe, was aber nicht anders zu erwarten war.

publiziert am 10.6.2024
image

Apple tüftelt an eigenem Passwort­manager

Angeblich will Apple diese Woche eine eigene App zum Speichern von Kennwörtern lancieren. Sie soll Teil der wichtigsten Betriebssysteme des Konzerns werden.

publiziert am 10.6.2024
image

Quellcode von New York Times gestohlen

Im Januar wurden der Zeitung interne Daten aus Github-Repositories gestohlen. Darunter befand sich auch der Quellcode, der jetzt geleakt wurde.

publiziert am 10.6.2024