Die Biden-Administration hat im Mai angekündigt, ihre Anforderungen an die Security – also die Qualität – der Software für den Behördeneinsatz zu verschärfen. Insbesondere die Supply Chain gilt seit der Solarwinds-Attacke als zentrales Security-Problem.

Nun ist das erste in dieser Cybersecurity Executive Order (EO) geforderte Resultat da. Das National Institute of Standards and Technology NIST hat eine neue Definition publiziert, was eigentlich unter "kritischer Software" zu verstehen ist.

Als "kritische Software" definiert sind nun Anwendungen wie Endpoint-Schutz, Datensicherung, Identitäts- und Login-Management, Betriebssysteme und Container-Umgebungen, die für User mit höheren Rechten ausgelegt sind und bei denen Vertrauen von höchster Bedeutung ist.

Zwingend "vertrauenswürdig" sein sollen Software, die für Sicherheitsfunktionen wie Netzwerkkontrolle, Endpoint-Sicherheit und Netzwerkschutz eingesetzt wird.

Auch Browser und Hypervisoren werden in dem Dokument aufgeführt, inklusive Begriffsbeschreibung und kurzer Begründung, weshalb diese Anwendungen unter "kritische Software" fallen.

Dabei spielt es laut dem Papier keine Rolle, ob sich das Softwareprodukt in der Cloud, in einer On-Premises- oder Hybrid-Umgebung befindet. Ebenso egal ist, ob es sich um OSS oder proprietäre Lösungen handelt: "Entweder sie fällt unter die Executive Order oder nicht".

Und auch eingekaufte Software-Komponenten können als "kritisch" eingestuft werden, ebenso Firmware und Embedded Software, hält das NIST im Dokument fest.

Dabei ist die Definition nicht im staatlichen Elfenbeinturm erarbeitet worden: Das NIST hat einen Workshop mit 1400 Teilnehmenden und 150 eingereichte Positionspapiere dafür ausgewertet.

Und die Publikation ist nur der erste von mehreren Schritten, mit welchen die US-Regierung die Software-Supply-Chain in den Griff kriegen will. Als Nächstes soll das NIST eine Anleitung zu Best Practices für Anbieter herausgeben, zudem wird die Cybersecurity and Infrastructure Security Agency (CISA) der USA nun weiter konkretisieren, welche Softwares und Software-Kategorien die neuen Bedingungen erfüllen müssen.

"Die Einstufung von Software als kritisch wird dann weitere Aktivitäten vorantreiben, einschliesslich der Art und Weise, wie die US-Regierung kritische Software kauft, einsetzt und managt", heisst es bei dem NIST.

Konkret heisst dies: Am Ende dieses Prozesses müssen die Software-Anbieter selbst bestätigen können, dass sie die neuen Sicherheitsregeln für die Lieferkette einhalten, und eine Dokumentation vorlegen, die ihre Einhaltung belegt. Die Anbieter werden auch aufgefordert, an Programmen zur Offenlegung von Schwachstellen teilzunehmen.

Mitte 2022 sollen dann auch die Beschaffungs-Verträge der US-Regierung entsprechend überarbeitet sein, die unter die EO fallen.

In US-Branchenmedien werden Software-Anbieter nun davor gewarnt, die Vertragstexte abzuwarten, bevor sie handeln. Sie sollen ihren Code und die Entwicklungs- und Update-Prozesse klugerweise jetzt schon überprüfen.

Für die Schweiz hat die NIST-Definition keine direkte regulatorische Bedeutung. Es ist aber zu hoffen, dass auch Schweizer IT-Anbieter und Behörden die US-Anstrengungen als Chance begreifen.