Biden nimmt IT-Anbieter stärker in die Verantwortung

17. Mai 2021 um 13:00
image

Die Regierung will ihre Beschaffungsmacht einsetzen, um von IT-Anbietern bessere Qualität einzufordern. Ein Security-Gütesiegel gehört dazu.

Solarwinds, Microsoft Exchange, Pipeline Hack … die Regierung von Joe Biden hat genug von Security-Löchern in den an sie verkauften Produkten.
Mit einer neuen Direktive will die US-Regierung ihre Cyber-Abwehr modernisieren und ihre Services besser schützen. "Die Direktive spiegelt einen grundlegenden Wandel in unserer Denkweise wider: von der Reaktion auf Vorfälle hin zur Prävention, vom Reden über Sicherheit hin zum Umsetzen von Sicherheit", liess das Weisse Haus die Medien wissen.
Viele dieser Bestimmungen der Anordnung konzentrieren sich auf die Absicherung von IT-Netzwerken der Bundesbehörden gegen die häufigsten Arten von Cyberangriffen. Die Verordnung verlangt von den Behörden nicht nur den Einsatz von Multi-Faktor-Authentifizierung, sondern auch die Installation von Endpoint-Erkennungs- und Response-Produkten. Ausserdem sollen die Behörden ihre Netzwerke basierend auf einer Zero-Trust-Architektur umbauen.
Diese Direktive, die parallel zur Betriebsaufnahme der Ölpipeline nach einer Millionen-Zahlung an die Hacker angekündigt wurde, geht aber noch weiter.
Sie nimmt die IT-Anbieter in die Pflicht. Cloud-Provider und deren Partner sollen mehr in die Security ihrer Produkte investieren und die Biden-Regierung verlangt, die IT-Industrie "soll bestimmte Informationen über Datenschutzverletzungen weitergeben".
Details zu dieser Meldepflicht sind noch nicht bekannt.
Das Versäumnis des US-Unternehmens SolarWinds, seine Produktentwicklungssysteme zu schützen, führte dazu, dass Orion-Software-Updates Anfang 2020 zu einem Superspreader wurden, der die Computer der Kunden mit Malware versorgte und den Hacker erfolgreich ausnutzen konnten.
Bidens Anordnung versucht, einen weiteren solchen Supply-Chain-Hack zu verhindern, indem ICT-Dienstleister neue Sicherheitsanforderungen erfüllen müssen, um mit der US-Bundesregierung Geschäfte machen zu können. Diese Auftragnehmer haben nicht nur eine Breach-Meldepflicht, sondern die neuen Verträge werden Standard-Security-Klauseln enthalten, unabhängig davon, welche US-Behörde der Beschaffer ist.
Diese Direktive nimmt IT-Anbieter wesentlich stärker in die Verantwortung:
  • Von den Entwicklern wird unter anderem verlangt, dass die Beschaffer mehr Einblick in ihre Software erhalten und Sicherheitsdaten öffentlich zugänglich werden
  • Durch die Macht ihrer Beschaffungsgelder "werden Anreize für den Markt geschaffen, um neue und innovative Ansätze für die sichere Softwareentwicklung zu entwickeln"
  • Es wird eine Art "Energy Star"-Label geschaffen, "damit die Regierung - und die breite Öffentlichkeit - schnell feststellen kann, ob Software sicher entwickelt wurde."
Das Label für Security wird im Rahmen eines Pilotprogramms lanciert werden. Wobei die Stossrichtung bereits klar ist: "Zu viel unserer Software, einschliesslich kritischer Software, wird mit erheblichen Schwachstellen ausgeliefert, die unsere Gegner ausnutzen. Dieses Problem ist seit langem bekannt, aber wir haben es zu lange verdrängt", heisst es in der Mitteilung.
Die Pflicht zu Informationsaustausch stellt einen grossen Schritt dar, möglicherweise auch das Gütesiegel. Darüber hinaus soll ein neues Gremium auch darüber wachen, dass die Industrie Lehren zieht. "Zu oft wiederholen Unternehmen die Fehler der Vergangenheit und ziehen keine Lehren aus bedeutenden Cyber-Vorfällen", kritisiert die Regierung die IT-Anbieter.
Das soll sich mit einem staatlich und privat besetzten "Cybersecurity Safety Review Board" ändern. Es soll künftig Vorfälle untersuchen, nachdem sie abgeschlossen sind, und Berichte über die daraus gezogenen Lehren erstellen. Die erste Aufgabe des Gremiums wird sein, SolarWinds zu untersuchen, hiess es dazu.

Loading

Mehr zum Thema

image

Bund will zentrales Tool für das Information Security Management

Zwischen Xplain-Hack und ISG herrscht emsiges Treiben in Bern: 2024 sollen vorerst EFD und VBS ein neues ISMS-Tool für ihre "Kronjuwelen" erhalten.

publiziert am 29.9.2023 5
image

Podcast: Wird Justitia 4.0 zum neuen EPD?

Der Bund will das Justizwesen digitalisieren, macht aber ähnliche Fehler wie beim E-Patienten­dossier. In dieser Episode blicken wir auf die Anfänge zurück und erklären, wieso die Arbeit am Projekt schon begann, bevor die Rechts­grundlage dafür bestand.

publiziert am 29.9.2023
image

Die USA fahren eine neue Cyberstrategie

Statt auf Alleingänge wollen die Vereinigten Staaten in Sachen IT-Sicherheit vermehrt auf Kooperationen mit anderen Ländern und der Industrie setzen.

publiziert am 28.9.2023
image

VW fährt Produktion nach IT-Problemen wieder hoch

Seit Mittwoch standen mehrere Werke von Volkswagen wegen eines Informatikproblems still. Einige Systeme könnten laut VW noch immer beeinträchtigt sein.

publiziert am 28.9.2023 1