Die US-Regierung sucht Wege, um die Cybersecurity-Praktiken bei Unternehmen zu verbessern, die Behörden Produkte und Services liefern und mit Geldern des Bundes bezahlt werden. Indirekt soll so auch die Cybersecurity-Situation in der gesamten US-Wirtschaft verbessert werden.
In
einem Statement hat die stellvertretende Generalstaatsanwältin Lisa O. Monaco eine Initiative angekündigt, mit der das Justizministerium Druck auf im Bereich Cybersecurity nachlässige Lieferanten ausüben will. Im Rahmen der Initiative werde das Ministerium in Zukunft Zivilklagen gegen Unternehmen, die Geschäfte mit Behörden machen, einreichen, wenn sie vorgegebene Security-Standards bewusst nicht einhalten oder wenn sie Security-Vorfälle, beispielsweise einen Datenverlust oder einen anderen Hackerangriff, nicht melden. Dies umfasst alle Lieferanten, nicht nur im ICT- oder Cybersecurity-Bereich. Letztere werden aber noch spezifisch erwähnt: Wer Behörden der US-Regierung bewusst löchrige Security-Produkte oder schlechte Security-Services liefert, darf wohl mit besonders harten Strafen rechnen.
Das Wort "bewusst" ist hier wichtig. Unternehmen, denen versehentlich Fehler unterlaufen, sollen nicht bestraft werden.
Die Initiative beinhaltet auch Vorkehrungen für Whistleblower, so das Justizdepartement. Private erhalten nicht nur rechtlichen Schutz, wenn sie Verstösse melden. Sie können auch einen Anteil erhalten, wenn Unternehmen, die aufgrund der Whistleblower-Informationen verurteilt werden, Gelder zurückerstatten müssen.
Das Justizministerium stützt seine Initiative auf ein bereits vorhandenes Gesetz, den False Claims Act. Sie muss deshalb nicht vom Parlament abgesegnet werden, bevor das Ministerium aktiv werden kann. Der False Claims Act ist ein rechtliches Werkzeug, mit dem die Regierung gegen Personen oder Unternehmen vorgehen kann, die unter Vorspiegelung falscher Tatsachen versuchen, an Aufträge von Behörden oder Gelder der Regierung heranzukommen. Neu ist, dass dies nun eben auch auf falsche Angaben im Cybersecurity-Bereich angewendet wird.