US-Cybersicherheitsstrategie erhöht den Einsatz gegen Angreifer

Kurz nachdem wir unsere veröffentlicht hatten Vorschau der US-amerikanischen National Cybersecurity Strategy (NCS) stellte die Regierung das Abschlussdokument vor. Es enthielt eine stärkere Sprache als je zuvor, da es Unternehmen in den gesamten USA aufforderte, ihre Cybersicherheit zu stärken, und zeigte auch einige aufschlussreiche Überlegungen zur Bewältigung einiger langfristiger Cybersicherheitsprobleme im In- und Ausland.

Ein Fokus auf kritische Infrastruktur

Die Strategie befasst sich mit Sicherheitsherausforderungen in fünf Säulen, von denen die erste die Verteidigung kritischer Infrastrukturen ist. Zur Bewältigung dieser Herausforderung ist ein Zuckerbrot-und-Peitsche-Ansatz erforderlich. Einerseits plädiert es für eine strengere Regulierung, die Unternehmen stärker für die Cybersicherheit verantwortlich machen soll. Es wird jedoch anerkannt, dass einige Sektoren im Vergleich zu anderen über unzureichende Ressourcen verfügen, und fordert die Regulierungsbehörden auf, bei der Festlegung neuer Cybersicherheitsregeln die Höhe der verfügbaren Ressourcen zu berücksichtigen.

Das Dokument verbindet diesen regulatorischen Ansatz mit Anreizen für gute langfristige Cybersicherheitsentscheidungen. Diese Anreize werden von Mechanismen wie Tarifgestaltung und Steuerstrukturen ausgehen, heißt es.

Haftung von Technologieanbietern und -betreibern

Eine weitere Säule des NCS, die Gestaltung der Marktkräfte zur Unterstützung der Cybersicherheit, kündigt ebenfalls eine Schwerpunktverlagerung an. Es überträgt die Haftung von den seiner Meinung nach am stärksten gefährdeten Akteuren im Ökosystem (Technologienutzer) auf die Anbieter und Betreiber, die die Technologie bereitstellen. Letztere stärker zur Rechenschaft zu ziehen, ist ein grundlegender Grundsatz der Strategie.

Zu diesen Betreibern gehören Cloud-Service-Provider (CSPs), die im Technologie-Ökosystem immer wichtiger werden. In derselben Woche entließ das NCS die amtierende nationale Cyber-Direktorin Kemba Walden namens die Cloud „too big to fail“. Cloud-Dienste sind außerdem lokal genug, damit Angreifer sie ausnutzen können. Angreifer aus Übersee nutzen ihre Infrastruktur häufig für Angriffe, was Geoblocking und andere Schutzmaßnahmen erschwert.

Vor diesem Hintergrund fordert die NCS CSPs auf, mehr Verantwortung bei der Bewertung und Minderung von Risiken für ihre Systeme zu übernehmen. Es zitiert Executive Order 13984, „Ergreifen zusätzlicher Schritte zur Bewältigung des nationalen Notstands im Hinblick auf erhebliche böswillige Cyber-Aktivitäten“. Dieses Dokument aus der Trump-Ära forderte eine bessere Kundenidentifizierung bei CSPs, wurde jedoch bis jetzt nicht durchgesetzt.

Dieser neue Fokus auf Verantwortlichkeit erstreckt sich auf diejenigen, die mit Daten umgehen und Software für deren Verwaltung erstellen. Das Weiße Haus möchte Gesetze, die „nationale Anforderungen zum Schutz personenbezogener Daten im Einklang mit den vom NIST entwickelten Standards und Richtlinien festlegen“. Dies ist der bisher deutlichste Hinweis auf den Wunsch nach strengen bundesstaatlichen Datenschutz- und Datensicherheitsgesetzen zum Schutz der Verbraucher und nicht nach einem Flickenteppich aus Gesetzen auf Landesebene.

Das NCS fordert außerdem eine Gesetzgebung für Softwareanbieter, die ihrer Meinung nach die Haftung für unsichere Software in ihren Lizenzverträgen umgeht. Diese Gesetze würden die Haftung von Softwareanbietern durchsetzen, die sich nicht an Softwaresicherheitsstandards halten, die bereits von Organisationen wie NIST festgelegt wurden. Für diejenigen, die dies tun, gäbe es jedoch ein Safe-Harbor-Abkommen.

In die Offensive gehen

Der Schutz inländischer Netze und Verbraucher ist ein Teil der Strategie. Eine weitere Säule, Disrupt and Dismantle Threat Actors, empfiehlt mehr Aggressivität bei der Ausschaltung der Systeme von Angreifern.

Dieser Ansatz zielt auf das gesamte kriminelle Ökosystem ab, nicht nur auf die Botnets der Angreifer. Die Regierung wird Ransomware-Angreifern entgegenwirken, indem sie versucht, ihr illegales Geschäft weniger profitabel zu machen. Das bedeutet, dass man beispielsweise weiterhin die Kryptowährungsbörsen ins Visier nehmen muss, an denen Geld ausgezahlt wird. Das Finanzministerium hat bereits mehrere solcher Systeme genehmigt, sodass dies wie viele andere Teile der Strategie einen bestehenden Trend zum Ausdruck bringt und verdoppelt.

Das Militär wird bei diesem Angriff auf die Ökosysteme der Angreifer eine wichtigere Rolle spielen und eine neue Strategie entwickeln, um bei der Bekämpfung böswilliger Akteure enger mit zivilen Behörden zusammenzuarbeiten. Auch private Unternehmen werden eine wichtige Rolle spielen. Die Regierung hat zuvor mit Organisationen wie Microsoft zusammengearbeitet, um bösartige Netzwerke zu zerstören. Dennoch geht das Unternehmen nun noch einen Schritt weiter und bindet Unternehmen offen in seine Kampagne zur Bekämpfung von Angreifern ein. Es empfiehlt ihnen, „flinke, temporäre Zellen“ für gezielte Operationen zu bilden und über eine Reihe gemeinnütziger, auf Cybersicherheit ausgerichteter Hub-Organisationen zu arbeiten, die eine Schnittstelle zur Regierung darstellen.

Hände über den Ozean

Ein Teil dieser Angriffsstrategie erfordert internationale Zusammenarbeit, da so viele böswillige Akteure im Ausland ansässig sind. Das Dokument widmet dieser laufenden Strategie eine ganze Säule. Das Weiße Haus bereits gebildet die Counter-Ransomware Initiative (CRI) zur Bekämpfung von Ransomware im Oktober 2021.

Das Problem ist, dass Russland, das ein Zufluchtsort für Ransomware-Gruppen ist, nicht Mitglied dieser Initiative ist. Neben China, Nordkorea und dem Iran handelt es sich um ein Land, das in der Strategie als ausländische Bedrohung bezeichnet wird. Um diesen Gegnern im Cyberspace entgegenzutreten, verspricht das NCS, internationalen diplomatischen Druck auszuüben und „mit unseren Verbündeten und Partnern zusammenzuarbeiten, um Verurteilungserklärungen mit der Auferlegung sinnvoller Konsequenzen zu verbinden“.

Längerfristiges Denken

Anstelle einer reflexartigen Reaktion auf Cyber-Bedrohungen enthält das NCS vielmehr eine längerfristige Denkweise. Ein Beispiel ist die Diskussion über einen möglichen Cyber-Versicherungs-Backstop zur Absicherung katastrophaler Cyber-Ereignisse, die das Weltwirtschaftsforum durchgeführt hat sagt kommt. Dies ist eine Reaktion auf die wachsenden Spannungen zwischen Versicherern und Kunden über die steigenden Kosten von Cyber-Vorfällen.

Andere längerfristige Maßnahmen sind einer separaten Säule namens „In eine widerstandsfähige Zukunft investieren“ zugeordnet. Dazu gehören eine neue National Cyber ​​Workforce and Education Strategy, um den Mangel an Cybersicherheitskompetenzen in den USA auszugleichen, und eine Initiative zum Aufbau besserer digitaler Identitätslösungen zur Bekämpfung der aktuellen Pandemie des Identitätsdiebstahls. Diese Säule fordert auch die Sicherung digitaler Lieferketten und denkt voraus in eine Post-Quanten-Welt und fordert Lösungen, die Daten verbinden können, wenn Quantencomputer bestehende kryptografische Methoden bedrohen.

Dieses Strategiedokument ist ein lobenswerter Versuch, intelligent über die Probleme von heute nachzudenken und gleichzeitig die Probleme von morgen im Auge zu behalten. Das Problem ist wie immer die Ausführung. Die Exekutive kann allein nur begrenzte Anstrengungen unternehmen, um diese Ambitionen zu verwirklichen. Das NCS gibt zu, dass es sich bei der Durchsetzung vieler dieser Änderungen auf die Legislative verlässt.