US-Regierung will Zulieferer für schlechte Security bestrafen

7. Oktober 2021, 12:37
  • security
  • international
  • usa
  • verwaltung
  • regulierung
image

Das Justizministerium will Zulieferer verklagen, wenn sie Cybersecurity-Standards nicht einhalten oder Security-Vorfälle verheimlichen.

Die US-Regierung sucht Wege, um die Cybersecurity-Praktiken bei Unternehmen zu verbessern, die Behörden Produkte und Services liefern und mit Geldern des Bundes bezahlt werden. Indirekt soll so auch die Cybersecurity-Situation in der gesamten US-Wirtschaft verbessert werden.
In einem Statement hat die stellvertretende Generalstaatsanwältin Lisa O. Monaco eine Initiative angekündigt, mit der das Justizministerium Druck auf im Bereich Cybersecurity nachlässige Lieferanten ausüben will. Im Rahmen der Initiative werde das Ministerium in Zukunft Zivilklagen gegen Unternehmen, die Geschäfte mit Behörden machen, einreichen, wenn sie vorgegebene Security-Standards bewusst nicht einhalten oder wenn sie Security-Vorfälle, beispielsweise einen Datenverlust oder einen anderen Hackerangriff, nicht melden. Dies umfasst alle Lieferanten, nicht nur im ICT- oder Cybersecurity-Bereich. Letztere werden aber noch spezifisch erwähnt: Wer Behörden der US-Regierung bewusst löchrige Security-Produkte oder schlechte Security-Services liefert, darf wohl mit besonders harten Strafen rechnen.
Das Wort "bewusst" ist hier wichtig. Unternehmen, denen versehentlich Fehler unterlaufen, sollen nicht bestraft werden.
Die Initiative beinhaltet auch Vorkehrungen für Whistleblower, so das Justizdepartement. Private erhalten nicht nur rechtlichen Schutz, wenn sie Verstösse melden. Sie können auch einen Anteil erhalten, wenn Unternehmen, die aufgrund der Whistleblower-Informationen verurteilt werden, Gelder zurückerstatten müssen.
Das Justizministerium stützt seine Initiative auf ein bereits vorhandenes Gesetz, den False Claims Act. Sie muss deshalb nicht vom Parlament abgesegnet werden, bevor das Ministerium aktiv werden kann. Der False Claims Act ist ein rechtliches Werkzeug, mit dem die Regierung gegen Personen oder Unternehmen vorgehen kann, die unter Vorspiegelung falscher Tatsachen versuchen, an Aufträge von Behörden oder Gelder der Regierung heranzukommen. Neu ist, dass dies nun eben auch auf falsche Angaben im Cybersecurity-Bereich angewendet wird.

Loading

Mehr zum Thema

image

Glarus hoch3 ist bald Geschichte – die Migration läuft schon

Die Tage der IT-Firma der Glarner Gemeinden sind gezählt, sie wird auf Anfang 2023 in der kantonalen Informatik aufgehen. Entlassungen gibt es nicht.

publiziert am 12.8.2022
image

Edöb besetzt weitere Stellen wegen der Revision des Datenschutzgesetzes

Derzeit sucht der Datenschutzbeauftragte einen Informatiker für die Leitung von Kontrollen. Im Rahmen des neuen DSG wurden 8 Vollzeitstellen gesprochen.

publiziert am 12.8.2022
image

BIT bricht Ausschreibung für schweizweite IKT-Stores ab

Kein externer Dienstleister hat eine Offerte eingereicht. Auf die heutigen Supportleistungen habe der Abbruch aber keine Auswirkung, erklärt uns das Bundesamt.

publiziert am 12.8.2022
image

Cyberattacken abwehren bis zum Burnout

Laut einer aktuellen Umfrage leidet fast die Hälfte aller Incident-Responder unter extremem Stress oder sogar Burnouts.

publiziert am 11.8.2022