US-Regierung will Zulieferer für schlechte Security bestrafen
7. Oktober 2021 um 12:37
Das Justizministerium will Zulieferer verklagen, wenn sie Cybersecurity-Standards nicht einhalten oder Security-Vorfälle verheimlichen.
Die US-Regierung sucht Wege, um die Cybersecurity-Praktiken bei Unternehmen zu verbessern, die Behörden Produkte und Services liefern und mit Geldern des Bundes bezahlt werden. Indirekt soll so auch die Cybersecurity-Situation in der gesamten US-Wirtschaft verbessert werden.
In einem Statement hat die stellvertretende Generalstaatsanwältin Lisa O. Monaco eine Initiative angekündigt, mit der das Justizministerium Druck auf im Bereich Cybersecurity nachlässige Lieferanten ausüben will. Im Rahmen der Initiative werde das Ministerium in Zukunft Zivilklagen gegen Unternehmen, die Geschäfte mit Behörden machen, einreichen, wenn sie vorgegebene Security-Standards bewusst nicht einhalten oder wenn sie Security-Vorfälle, beispielsweise einen Datenverlust oder einen anderen Hackerangriff, nicht melden. Dies umfasst alle Lieferanten, nicht nur im ICT- oder Cybersecurity-Bereich. Letztere werden aber noch spezifisch erwähnt: Wer Behörden der US-Regierung bewusst löchrige Security-Produkte oder schlechte Security-Services liefert, darf wohl mit besonders harten Strafen rechnen.
Das Wort "bewusst" ist hier wichtig. Unternehmen, denen versehentlich Fehler unterlaufen, sollen nicht bestraft werden.
Die Initiative beinhaltet auch Vorkehrungen für Whistleblower, so das Justizdepartement. Private erhalten nicht nur rechtlichen Schutz, wenn sie Verstösse melden. Sie können auch einen Anteil erhalten, wenn Unternehmen, die aufgrund der Whistleblower-Informationen verurteilt werden, Gelder zurückerstatten müssen.
Das Justizministerium stützt seine Initiative auf ein bereits vorhandenes Gesetz, den False Claims Act. Sie muss deshalb nicht vom Parlament abgesegnet werden, bevor das Ministerium aktiv werden kann. Der False Claims Act ist ein rechtliches Werkzeug, mit dem die Regierung gegen Personen oder Unternehmen vorgehen kann, die unter Vorspiegelung falscher Tatsachen versuchen, an Aufträge von Behörden oder Gelder der Regierung heranzukommen. Neu ist, dass dies nun eben auch auf falsche Angaben im Cybersecurity-Bereich angewendet wird.
Loading
Das ÜPF-Überwachungssystem ist bereits im Einsatz und kann neue Tricks
Seit August nutzen Kapos und das Fedpol das neue System FLICC, wie inside-it.ch erfahren hat. Es soll Überwachungstypen aus der laufenden VÜPF-Revision unterstützen können. Diese sind hoch umstritten.
Gitlab stopft kritische Lücken
Eine Sicherheitslücke in Gitlab hat es Angreifern ermöglicht, Daten zu stehlen oder beliebigen Code auszuführen. Nun steht ein Patch bereit.
Progress patcht neue Moveit-Lücken
Noch wurden die Lücken nicht angegriffen. Aber Clop und andere Hacker lecken sich wohl bereits die Finger.
Keine Meldepflicht für gravierende Schwachstellen, aber für Cyberangriffe
Cyberangriffe auf Betreiber kritischer Infrastrukturen müssen gemeldet werden, schwerwiegende Schwachstellen aber nicht. Das hat das Parlament beschlossen.