Auspacken von Bidens nationaler Cybersicherheitsstrategie

Von Danny Bradbury • 2. MÄRZ 2023

Der Einsatz für Cybersicherheit ist höher denn je. Die Gesellschaft ist so stark vernetzt und von digitaler Technologie abhängig, dass ein schwerwiegender Angriff kritische Funktionen lahmlegen könnte. Die US-Regierung ist sich der Bedrohung bewusst und bereitet das vermutlich aggressivste Strategiedokument zur Cybersicherheit aller Zeiten vor. Die so genannte National Cybersecurity Strategy (NCS) ist zum Zeitpunkt des Verfassens dieses Artikels noch unter Verschluss, aber diejenigen, die es gesehen haben versprechen, dass es die Cybersicherheitsfähigkeiten der USA verbessern wird. Hier erfahren Sie, was wir wissen und was Sie erwartet.

Eine Geschichte der sanften Cybersicherheitspolitik

Bis zur jetzigen Regierung verfolgte das Weiße Haus einen relativ lockeren Ansatz zur Sicherung der kritischen nationalen Infrastruktur (CNI). Diese Art von Infrastruktur, die als lebenswichtig für das gesellschaftliche Funktionieren gilt, ist umfassend, einschließlich 16 Abschnitte von Lebensmitteln bis hin zu Finanzen.

Frühere Bemühungen zum Schutz des CNI ähnelten diesem Wirtschaftszweig selbst: fragmentiert und inkohärent. Frühere Regierungen haben freiwillige Cybersicherheitsrichtlinien für CNI-Sektoren herausgegeben und es den Regulierungsbehörden überlassen, strengere Cybersicherheitskontrollen zu entwickeln und durchzusetzen.

Einige dieser Kontrollen waren erfolgreicher als andere und wurden oft auf staatlicher Ebene eingeführt. Beispielsweise hat das New York Department of Financial Services (NYDFS) die Part 500-Verordnung erlassen, die 2017 in Kraft trat und einen aggressiven Ansatz zur Durchsetzung der Cybersicherheit verfolgte. Die SEC hat außerdem die Cybersicherheitskontrollen verstärkt.

Andere Sektoren waren jedoch weniger aggressiv. Kommunalen Wasserämtern mangelt es oft an Fachwissen im Bereich Cybersicherheit. Unternehmen aus anderen Branchen, die als Teil des CNI gelten, haben häufig konkurrierende Prioritäten wie die Aufrechterhaltung der vierteljährlichen Finanzleistung.

Schon vor dem Ransomware-Angriff auf Colonial Pipeline im Mai 2021, der die Benzinpreise im Osten der USA in die Höhe schnellen ließ, hatte sich die Biden-Regierung bereits zu einem kohärenteren, praxisorientierteren Ansatz für die CNI-Sicherheit entschlossen. Im April 2021 wurde eine sektorweise Überprüfung und Verschärfung des CNI mit einem 100-Tage-Plan zur Erhöhung der Sicherheit eingeleitet Stromversorgungsunternehmen.

Im Juli desselben Jahres unterzeichnete der Präsident daraufhin das Nationale Sicherheitsmemorandum zur Verbesserung der Cybersicherheit für Kontrollsysteme kritischer Infrastrukturen und versprach, den Cybersicherheitsschutz in einer Reihe von CNI-Sektoren anzugehen. Die Regierung ausgegeben erhebliche Cybersicherheitsanforderungen für Öl- und Gaspipelinebetreiber im Mai und Juli, angekündigt den Aktionsplan für den Wassersektor im Januar 2022 und zielte darauf ab chemisches Sektor mit einem anderen Plan im vergangenen Oktober.

Diese Maßnahmen waren aggressiver als die Versuche früherer Regierungen. Es wurden verbindliche Maßnahmen vorgeschrieben, beispielsweise die Anforderung von Plänen zur Reaktion auf Vorfälle. Die Exekutive arbeitete auch mit dem Kongress zusammen, um das zu schaffen Cyber Incident Reporting for Critical Infrastructure Act, was letztendlich ein 72-stündiges Benachrichtigungsfenster für Cyberangriffe für CNI-Betreiber erzwingen wird.

Diejenigen, die das Strategiedokument gesehen haben, glauben, dass es diesen Ansatz vereinheitlichen und weitere Maßnahmen ergreifen wird, um Unternehmen in CNI-Sektoren zu zwingen, ihre Abwehrkräfte zu verstärken. Das Dokument fordert, die Haftung auf Unternehmen abzuwälzen, die es versäumen, entsprechende Maßnahmen umzusetzen.

Nie wieder Herr Netter

Das Strategiedokument verfeinert nicht nur die Abwehrmaßnahmen; es richtet seine Aufmerksamkeit auch nach außen. Es beinhaltet explizite Maßnahmen, um böswillige Akteure ins Visier zu nehmen, sagen Kenner.

Die US-Regierung geht zunehmend aggressiver gegen Bedrohungsakteure im Cyberspace vor. Die Obama-Regierung zügelte offensive Cyber-Aktivitäten streng und verlangte eine ausdrückliche Erlaubnis des Präsidenten, Feinde der USA online zu verfolgen. Die Trump-Administration hat 2018 den Fuß von der Bremse genommen, Ausgabe National Security Presidential Memorandum Nr. 13, das dem Pentagon mehr Autonomie bei der Durchführung offensiver Cyberoperationen einräumte.

Zunächst prüfte Bidens Weißes Haus, ob es einige von Trumps Maßnahmen aufheben sollte. Berichte deuten jedoch darauf hin, dass die Nationale Cybersicherheitsstrategie sie noch einen Schritt weiter bringen wird.

„Unser Ziel ist es, böswillige Akteure daran zu hindern, nachhaltige Cyber-Kampagnen zu starten, die die nationale Sicherheit oder die öffentliche Sicherheit der Vereinigten Staaten gefährden würden“, heißt es in dem Dokument Berichten zufolge in einem fünfseitigen Abschnitt mit dem Titel „Bedrohungsaktivitäten stören und demontieren“. Darin heißt es auch, dass die National Cyber Investigative Joint Task Force des FBI mit anderen Behörden zusammenarbeiten wird, um in die Netzwerke der Angreifer einzugreifen und diese letztendlich zu zerstören.

Durchsetzen, was kommt

Berichten zufolge wird die Regierung auch private Unternehmen als Partner im Kampf gegen Angreifer gewinnen und ihnen Informationen über Angriffsmuster mitteilen. Diese Partnerschaften werfen zusammen mit den Durchsetzungsmaßnahmen, die wir wahrscheinlich im NCS sehen werden, die Frage auf: Wie weit wird die Exekutive in der Lage sein, dies durchzusetzen?

Das bahnbrechendste Dokument der Regierung zuvor, vom Mai 2021 Ausführungsverordnung zur Verbesserung der Cybersicherheit der NationDer Geltungsbereich war begrenzter, da Durchführungsverordnungen nur für Bundesbehörden gelten. Jeglicher Druck, der auf den privaten Sektor ausgeübt wurde, erfolgte indirekt durch die Einführung von Cybersicherheitskontrollen in den Beschaffungsrichtlinien des Bundes, die die Einhaltung der Lieferantenanforderungen erfordern würden.

Das neue Strategiedokument wird für eine Vielzahl privater Unternehmen gelten, die traditionell gegenüber staatlichen Cybersicherheitsvorschriften vorsichtig waren. Beispielsweise war der Informationsaustausch in der Vergangenheit ein umstrittener Punkt. Unternehmen haben Bedenken hinsichtlich der rechtlichen Haftung, wenn sie der Regierung das Ausmaß und die Tragweite der Angriffe mitteilen.

Einige der im CNI enthaltenen Sektoren könnten für das Weiße Haus rechtlich schwierig zu regulieren sein. Sie wird die Hilfe von Behörden und einem zutiefst gespaltenen, dysfunktionalen Kongress benötigen, der sich bei der Durchsetzung vernünftiger Gesetze als problematisch erweisen wird. Wir werden mehr wissen, wenn das Dokument veröffentlicht wird, was sehr bald der Fall sein dürfte.

Danny Bradbury

Danny Bradbury ist seit 1989 Printjournalist mit Schwerpunkt Technologie und seit 1994 freiberuflicher Autor. Er hat für nationale Publikationen auf beiden Seiten des Atlantiks geschrieben und Auszeichnungen für seine investigative journalistische Arbeit im Bereich Cybersicherheit gewonnen.

Lesen Sie mehr von Danny Bradbury

Internet-Sicherheit 15 Januar 2026

Von der Perimetersicherheit bis hin zu Identität als Sicherheitsbanner

Von der Perimetersicherheit zur Identitätssicherung

Man kann heutzutage keine Sicherheitsveranstaltung besuchen, ohne auf den Begriff „Zero Trust“ zu stoßen. Es ist zweifellos ein Modewort, aber…

Danny Bradbury

Internet-Sicherheit 18 December 2025

Wie man sich im Labyrinth der US-KI-Compliance zurechtfindet (Banner)

Wie man sich im US-amerikanischen KI-Regulierungsdschungel zurechtfindet

Im Bereich der Regulierung ist der Begriff „Vereinigte Staaten“ ein Widerspruch in sich. Die Gesetze der einzelnen Bundesstaaten sind alles andere als einheitlich, jede Gerichtsbarkeit hat ihre eigenen Traditionen…

Danny Bradbury

Internet-Sicherheit 20 November 2025