Bundesregierung ergreift Maßnahmen zur Stärkung der nationalen Sicherheit

Von Danny Bradbury • 23 Juli 2024

Der Angriff auf die Colonial Pipeline im Jahr 2021 war ein Wendepunkt für die kritische Infrastruktur in den USA. Als ein Ransomware-Angriff auf das Verwaltungsnetzwerk eines Pipeline-Betreibers zu steigenden Benzinpreisen an der gesamten Ostküste führte, konnte man davon ausgehen, dass die politischen Entscheidungsträger zuschauten. Es ging um den Schutz der kritischen nationalen Infrastruktur (CNI) – das Rückgrat der privaten und öffentlichen Dienste, die das Land am Laufen halten.

Die Regierung hat Maßnahmen ergriffen, um den Schutz auf Bundesebene zu stärken. Dies führte zu einer Strategie, die regulatorische Aktualisierungen, die vollständige Aktivierung ungenutzter Befugnisse und freiwillige Mechanismen zur Absicherung des CNI gegen Angriffe umfasste. So hat beispielsweise das Department of Homeland Security (DHS) veröffentlichte Richtlinien um die Sicherheit der Pipelines zu stärken. Das Infrastrukturinvestitions- und Beschäftigungsgesetz vom November 2021 stellte erhebliche Mittel für CNI-Projekte auf lokaler Ebene bereit. Gesetz zur Meldung von Cybervorfällen für kritische Infrastrukturen von 2022 (CIRCIA)vorgeschriebene CNI-Vorfallmeldung.

Im April 2024, fast drei Jahre nach dem Angriff auf die Kolonien, setzte Präsident Biden diese Bemühungen fort mit der Nationales Sicherheitsmemorandum (NSM-22) über die Sicherheit und Widerstandsfähigkeit kritischer Infrastrukturen, in der die Pläne der Regierung zum Schutz der CNI ausführlicher dargelegt werden. Dieses Dokument ersetzt seinen Vorgänger, die Presidential Policy Directive on Critical Infrastructure Security and Resilience (PD-21) aus der Obama-Ära. Viele der Konzepte der PPD-21 bleiben jedoch erhalten, darunter die Benennung von 16 kritischen nationalen Infrastruktursektoren, die von Chemikalien über Staudämme bis hin zu Finanzdienstleistungen reichen.

NSM-22 schreibt Mindestanforderungen an Sicherheit und Belastbarkeit für alle kritischen Infrastruktursektoren vor. Es überträgt dem Heimatschutzministerium (Department of Homeland Security, DHS) die Führung bei den Regierungsbemühungen zum Schutz der CNI und ernennt seine Cybersecurity & Infrastructure Security Agency (CISA) zum Nationalen Koordinator für Sicherheit und Belastbarkeit. Als Teil dieser Strategie muss der Heimatschutzminister dem Präsidenten alle zwei Jahre einen Nationalen Risikomanagementplan vorlegen.

Die im Juni veröffentlichten Leitlinien stellen den Plan des DHS für diesen ersten Zweijahreszyklus dar. Heimatschutzminister Alejandro N. Mayorkas skizzierte strategische Leitlinien und nationale Prioritäten für die nächsten zwei Jahre im Bereich der Sicherheit und Widerstandsfähigkeit kritischer Infrastrukturen.

Die neuen Leitlinien konzentrieren sich auf fünf Schlüsselbereiche, von denen einige in NSM-22 nur am Rande erwähnt wurden:

Umgang mit Cyber- und anderen Bedrohungen durch die Volksrepublik China

Bewältigung der Risiken und Chancen künstlicher Intelligenz und anderer neuer Technologien

Schwachstellen in der Lieferkette erkennen und beheben

Berücksichtigung von Klimarisiken bei den Bemühungen zur Stärkung der Resilienz des Sektors

Bewältigung der wachsenden Abhängigkeit kritischer Infrastrukturen von Weltraumsystemen und -ressourcen

Diese Bereiche stehen im Einklang mit wachsenden Bedenken hinsichtlich der Bedrohung des CNI durch die Bundesregierung. So sagte beispielsweise FBI-Direktor Christopher Wray im Januar bezeugt Der Sonderausschuss des Repräsentantenhauses zur Kommunistischen Partei Chinas (KPCh) teilte mit, dass China sich in eine Position bringe, in der es „Verwüstung“ in der US-Kommunistischen Partei anrichten könne.

Die DHS-Richtlinien verfolgen einen kooperativen Ansatz. Das DHS ruft die für diese Sektoren zuständigen Behörden dazu auf, bei der Umsetzung von Schutzmaßnahmen in diesen Bereichen mitzuhelfen. Auch Bundesbehörden, Eigentümer und Betreiber kritischer Infrastrukturen sowie andere Interessenvertreter aus Regierung und Privatsektor werden einbezogen.

Diese Schutzmaßnahmen gehen nicht näher auf spezifische Bedrohungen durch Technologien wie KI ein. Vielmehr spiegeln sie die in NSM-22 beschriebenen Maßnahmen wider, um die Interessengruppen zu aktivieren. Die erste besteht darin, Widerstandsfähigkeit aufzubauen, indem eine Infrastruktur geschaffen wird, die sich schnell von Angriffen erholen kann. Dabei wird anerkannt, dass es nicht ausreicht, die Infrastruktur einfach zu härten, um Angriffe zu stoppen; die Betreiber müssen davon ausgehen, dass einige Angriffe erfolgreich sein werden.

Zu den Resilienzmaßnahmen gehören uSystemabhängigkeiten verstehen und mögliche Kaskadeneffekte von Angriffen vorhersehen. Die Leitlinien fordern auch eine sektorübergreifende Analyse systemischer Schwächen und weisen darauf hin, dass es Schlüsselressourcen gibt, von denen viele Sektoren abhängen. Energie ist ein Paradebeispiel, da sie den Bedarf aller anderen Sektoren deckt. NSM-22 hatte CISA bereits angewiesen, eine Liste systemrelevanter Einheiten zu erstellen – Dominosteine, die, wenn sie umfallen, auch andere zum Einsturz bringen könnten.

Die Agentur jedes Sektors muss obligatorische grundlegende Belastbarkeitsanforderungen, idealerweise unter Verwendung bestehender staatlicher Richtlinien und Standards. Dies ist etwas, was das Center for Cybersecurity Policy and Law hervorgehoben hat: „Es erkennt an, dass freiwillige Ansätze in Bezug auf Sicherheit und Resilienz nicht erfolgreich genug waren und dass verbindliche Mindestanforderungen notwendig sind“, sagt Ari Schwartz, Koordinator beim CCPL.

Eine zentrale Herausforderung wird die Durchsetzung dieser Anforderungen im gesamten öffentlichen Sektor sein. Die Leitlinien schlagen vor, dass die Behörden eine Mischung aus Fördermittel- und Beschaffungsbefugnissen nutzen, um diese grundlegenden Maßnahmen durchzusetzen. Dies bedeutet auch, dass sie mit den Dienstanbietern zusammenarbeiten müssen (die Leitlinien nennen insbesondere Cloud-Anbieter), um sicherzustellen, dass ihre Dienste von Grund auf sicher sind.

Die Reaktionen zumindest einiger Sektoren auf die jüngsten CNI-Schutzmaßnahmen waren vorsichtig optimistisch. Als das Weiße Haus beispielsweise NSM-22 veröffentlichte, war die Association of State Drinking Water Administrators (ASDWA)reagiert: „Obwohl unklar ist, wie sich das neue NSM direkt auf die laufenden Bemühungen zur Steigerung der Widerstandsfähigkeit im gesamten Wasser- und Abwassersektor auswirken wird, arbeitet die ASDWA weiterhin mit der EPA und Partnern aus dem Sektor zusammen, um staatliche und bundesstaatliche Aktivitäten zur Bewältigung aller Gefahren zu unterstützen, einschließlich der jüngsten Bemühungen, eine Cybersecurity-Task Force für Wasser einzurichten, um die wachsenden Cyberbedrohungen zu bewältigen, vor denen der Sektor steht.“

Die DHS-Richtlinien haben dem bestehenden Memorandum nicht viel hinzugefügt, außer dass sie bestimmte Schwerpunktbereiche klarstellten, die in verschiedenen Executive Orders und Cybersicherheitsstrategien viel diskutiert wurden. Es ist jedoch nicht das einzige Dokument, das CISA zur Widerstandsfähigkeit der Infrastruktur veröffentlicht hat. Im März 2024 veröffentlichte es ein Rahmen für die Planung der Infrastrukturresilienz (IRPF) um den Beteiligten bei der Planung einer robusteren Infrastruktur zu helfen, die widerstandsfähiger gegen Angriffe ist. Vor kurzem wurde ein Spielbuch zu begleiten diesen Rahmen. Arbeiten wie diese zur Stärkung der operativen Belastbarkeit laufen weiter und werden in einem Nationalen Plan zum Schutz der Infrastruktur 2025 gipfeln. Dieser wird einen Plan aus dem Jahr 2013 ersetzen, um die aktualisierten CNI-Belastbarkeitsziele der Regierung widerzuspiegeln. Es ist gut zu wissen, dass CISA das Ziel im Auge hat.

Danny Bradbury

Danny Bradbury ist seit 1989 Printjournalist mit Schwerpunkt Technologie und seit 1994 freiberuflicher Autor. Er hat für nationale Publikationen auf beiden Seiten des Atlantiks geschrieben und Auszeichnungen für seine investigative journalistische Arbeit im Bereich Cybersicherheit gewonnen.

Lesen Sie mehr von Danny Bradbury

Internet-Sicherheit 20 November 2025

Was uns die Salesforce-Sicherheitslücken über gemeinsame Verantwortlichkeit lehren

Was uns die Salesforce-Sicherheitsvorfälle über gemeinsame Verantwortlichkeit lehren

2025 war kein gutes Jahr für Salesforce-Kunden. Eine dubiose kriminelle Gruppe verübte eine Reihe von Angriffen auf deren Kunden, die letztendlich …

Danny Bradbury

Internet-Sicherheit 13 November 2025

Bewertung des Kurswechsels der Trump-Regierung in der US-Cybersicherheitspolitik (Banner)

Eine Bewertung der Kursänderung der Trump-Administration in der US-Cybersicherheitspolitik

Jüngste Exekutivmaßnahmen und Umstrukturierungen von Behörden markieren einen bedeutenden Wandel in der Cybersicherheitsstrategie des Bundes und werfen Fragen zur nationalen Sicherheit auf...

Danny Bradbury

Internet-Sicherheit 23 October 2025

Warum die Chatbot-Untersuchung der FTC B2B-Unternehmen beunruhigen sollte

Der September war ein Wendepunkt für die Verfechter der KI-Ethik. Die FTC erließ Anordnungen nach Abschnitt 6(b) an sieben große Technologieunternehmen, die Chatbots produzieren …

Danny Bradbury

Bundesregierung ergreift Maßnahmen zur Stärkung der nationalen Sicherheit

Danny Bradbury

In Verbindung stehende Artikel

Bericht zum Stand der Informationssicherheit: 11 wichtige Statistiken und Trends für die IT- und MSP-Branche

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Bericht zum Stand der Informationssicherheit: 11 wichtige Statistiken und Trends für die Finanzbranche

Lesen Sie mehr von Danny Bradbury

Was uns die Salesforce-Sicherheitsvorfälle über gemeinsame Verantwortlichkeit lehren

Eine Bewertung der Kursänderung der Trump-Administration in der US-Cybersicherheitspolitik

Warum die Chatbot-Untersuchung der FTC B2B-Unternehmen beunruhigen sollte