Biden nimmt IT-Anbieter stärker in die Verantwortung

17. Mai 2021, 13:00
image

Die Regierung will ihre Beschaffungsmacht einsetzen, um von IT-Anbietern bessere Qualität einzufordern. Ein Security-Gütesiegel gehört dazu.

Solarwinds, Microsoft Exchange, Pipeline Hack … die Regierung von Joe Biden hat genug von Security-Löchern in den an sie verkauften Produkten.
Mit einer neuen Direktive will die US-Regierung ihre Cyber-Abwehr modernisieren und ihre Services besser schützen. "Die Direktive spiegelt einen grundlegenden Wandel in unserer Denkweise wider: von der Reaktion auf Vorfälle hin zur Prävention, vom Reden über Sicherheit hin zum Umsetzen von Sicherheit", liess das Weisse Haus die Medien wissen.
Viele dieser Bestimmungen der Anordnung konzentrieren sich auf die Absicherung von IT-Netzwerken der Bundesbehörden gegen die häufigsten Arten von Cyberangriffen. Die Verordnung verlangt von den Behörden nicht nur den Einsatz von Multi-Faktor-Authentifizierung, sondern auch die Installation von Endpoint-Erkennungs- und Response-Produkten. Ausserdem sollen die Behörden ihre Netzwerke basierend auf einer Zero-Trust-Architektur umbauen.
Diese Direktive, die parallel zur Betriebsaufnahme der Ölpipeline nach einer Millionen-Zahlung an die Hacker angekündigt wurde, geht aber noch weiter.
Sie nimmt die IT-Anbieter in die Pflicht. Cloud-Provider und deren Partner sollen mehr in die Security ihrer Produkte investieren und die Biden-Regierung verlangt, die IT-Industrie "soll bestimmte Informationen über Datenschutzverletzungen weitergeben".
Details zu dieser Meldepflicht sind noch nicht bekannt.
Das Versäumnis des US-Unternehmens SolarWinds, seine Produktentwicklungssysteme zu schützen, führte dazu, dass Orion-Software-Updates Anfang 2020 zu einem Superspreader wurden, der die Computer der Kunden mit Malware versorgte und den Hacker erfolgreich ausnutzen konnten.
Bidens Anordnung versucht, einen weiteren solchen Supply-Chain-Hack zu verhindern, indem ICT-Dienstleister neue Sicherheitsanforderungen erfüllen müssen, um mit der US-Bundesregierung Geschäfte machen zu können. Diese Auftragnehmer haben nicht nur eine Breach-Meldepflicht, sondern die neuen Verträge werden Standard-Security-Klauseln enthalten, unabhängig davon, welche US-Behörde der Beschaffer ist.
Diese Direktive nimmt IT-Anbieter wesentlich stärker in die Verantwortung:
  • Von den Entwicklern wird unter anderem verlangt, dass die Beschaffer mehr Einblick in ihre Software erhalten und Sicherheitsdaten öffentlich zugänglich werden
  • Durch die Macht ihrer Beschaffungsgelder "werden Anreize für den Markt geschaffen, um neue und innovative Ansätze für die sichere Softwareentwicklung zu entwickeln"
  • Es wird eine Art "Energy Star"-Label geschaffen, "damit die Regierung - und die breite Öffentlichkeit - schnell feststellen kann, ob Software sicher entwickelt wurde."
Das Label für Security wird im Rahmen eines Pilotprogramms lanciert werden. Wobei die Stossrichtung bereits klar ist: "Zu viel unserer Software, einschliesslich kritischer Software, wird mit erheblichen Schwachstellen ausgeliefert, die unsere Gegner ausnutzen. Dieses Problem ist seit langem bekannt, aber wir haben es zu lange verdrängt", heisst es in der Mitteilung.
Die Pflicht zu Informationsaustausch stellt einen grossen Schritt dar, möglicherweise auch das Gütesiegel. Darüber hinaus soll ein neues Gremium auch darüber wachen, dass die Industrie Lehren zieht. "Zu oft wiederholen Unternehmen die Fehler der Vergangenheit und ziehen keine Lehren aus bedeutenden Cyber-Vorfällen", kritisiert die Regierung die IT-Anbieter.
Das soll sich mit einem staatlich und privat besetzten "Cybersecurity Safety Review Board" ändern. Es soll künftig Vorfälle untersuchen, nachdem sie abgeschlossen sind, und Berichte über die daraus gezogenen Lehren erstellen. Die erste Aufgabe des Gremiums wird sein, SolarWinds zu untersuchen, hiess es dazu.

Loading

Mehr zum Thema

image

EU plant Haftungsregeln für künstliche Intelligenz

Die EU-Kommission will Private und Unternehmen besser vor "Schäden" durch KI schützen. Gleichzeitig soll das Vertrauen in neue Technologien gestärkt werden.

publiziert am 28.9.2022
image

Der CTO von Microsoft Azure will künftig auf Rust setzen

Weil die Programmiersprache sicherer und zuverlässiger als C und C++ ist, soll sie in Zukunft vermehrt zum Einsatz kommen. Der C++-Erfinder hingegen sieht die Ablösung als "gewaltige Aufgabe".

publiziert am 28.9.2022
image

UBS und CS in den USA wegen Messenger-Nutzung gebüsst

Weil sie die Kommunikation ihrer Angestellten über Whatsapp und Co. nicht korrekt archiviert hatten, zahlen die Grossbanken eine Millionenbusse.

publiziert am 28.9.2022
image

Geotech: Huaweis "eiserne Armee" in der Defensive

Huawei-CEO Zhengfei spricht von einem Überlebenskampf, während der internationale Druck zunimmt. Wir haben bei Huawei Schweiz nach Transparenzbemühungen und Geschäftsgang gefragt.

publiziert am 27.9.2022 2