Was die Kürzungen des CISA für die Cybersicherheit in den USA bedeuten und wie sich Unternehmen anpassen können
Inhaltsverzeichnis:
Die Cybersecurity and Infrastructure Security Agency (CISA) der US-Regierung stand zwar nicht als erste auf der Kippe, als die Trump-Administration an die Macht kam, doch ihr Tag kam früh genug. Während Elon Musks DOGE-Initiative damit beschäftigt war, andere Bundesministerien zu streichen, hatte das Weiße Haus die Cybersicherheitsbehörde des Heimatschutzministeriums im Visier. Nach einer relativ geringen Zahl anfänglicher Entlassungen im Februar tauchten im April Berichte auf, dass bis zu die Hälfte der Vollzeitbeschäftigten und 40 % der Vertragsmitarbeiter entlassen werden sollten. Laut CBS News, das waren rund 1,300 Mitarbeiter.
Anfang dieses Monats schickte Russell Vought, Leiter des Office of Management and Budget, eine Brief dem Kongress, der eine Kürzung des etwa 491 Milliarden Dollar umfassenden CISA-Budgets um 3 Millionen Dollar vorschlägt, was 17 Prozent entspricht.
Die Kürzungen „konzentrieren die CISA wieder auf ihre Kernaufgabe – die Verteidigung der Bundesnetze und die Verbesserung der Sicherheit und Widerstandsfähigkeit kritischer Infrastrukturen – und verhindern gleichzeitig die Nutzung von Waffen und Verschwendung“, heißt es in dem Brief. Die Bemühungen der Behörde, Desinformation entgegenzuwirken, sowie externe Kooperationsabteilungen wie die Abteilung für internationale Angelegenheiten würden dadurch eingestellt.
Warum es passiert ist
Die Verkleinerung des CISA ist politisch motiviert. Die Äußerungen des Weißen Hauses zur Rolle der Behörde sind alarmierend. Vought bezeichnete sie in seinem Brief als „Zentrale des Zensur-Industriekomplexes“, der den Präsidenten ins Visier genommen habe. „Der CISA konzentrierte sich mehr auf Zensur als auf den Schutz der kritischen Systeme der Nation“, sagte er. Das Weiße Haus wiederholte diese Behauptungen auch in einem veröffentlichten Dokument mit dem Titel Beendigung der Militarisierung der Bundesregierung.
Der Schritt zur Einschränkung des CISA erfolgte während einer Phase der Abrechnung für Präsident Trump, in der er persönliche Beschwerden äußerte und Rache nahm. Am 9. April unterzeichnete ein Präsidentenmemorandum Chris Krebs, den er bei der Gründung des CISA 2018 zum Leiter ernannt hatte, wurde die Sicherheitsfreigabe entzogen. Krebs hatte Trumps Behauptungen über Korruption bei der Wahl 2020 in Frage gestellt, und der CISA bezeichnete die Wahl zudem als die sicherste in der US-Geschichte. Beides zog Trump damals in Rage, was ihn zur Entlassung von Krebs veranlasste.
Die Kampagne gegen Krebs erstreckte sich auch auf seine Partner in der Privatwirtschaft. Auch dem Cybersicherheitsunternehmen SentinelOne, dem er als Berater angehörte, wurde die Sicherheitsfreigabe entzogen.
Was verloren gegangen ist
Die Kürzungen bei CISA haben sich auf ein breites Spektrum der Bemühungen der Behörde ausgewirkt. So wurden mehrere externe Verträge für den Zugriff auf das Google-eigene VirusTotal sowie auf die Bedrohungsaufklärungsdienste von Censy, Nightwing und Peraton gekündigt.
Mehrere Red-Teaming-Verträge mit dem Rest der Bundesregierung endeten, als detailliert von einem der Teammitarbeiter, Christopher Chenoweth. Weitere kritische Schnitte strichen mehrere Cyber-Beratungsausschüsse des DHS, darunter der Critical Infrastructure Partnership Advisory Council, der Cyber Investigations Advisory Board und das Artificial Intelligence Safety and Security Board.
Die Wahlsicherheitseinheit des CISA wurde durch die Streichung der Mittel für das Zentrum für Internetsicherheit effektiv aufgelöst, was den Außenminister von Arizona, Adrian Fontes, dazu veranlasste, warnen dass der Staat bei der Vorbereitung auf die Kommunalwahlen „praktisch blind fliegt“.
Auch das Multi-State Information Sharing and Analysis Center (MS-ISAC), das mit über 17,000 lokalen Regierungsinstitutionen zusammenarbeitete, verlor zumindest einen Teil seiner Finanzierung, was seine Aktivitäten einschränkte.
Was es bedeuten wird
Die Reaktion auf die Kürzungen erfolgte schnell und entschieden. Die Wahlen und die Kürzungen in mehreren Bundesstaaten sparten der CISA zwar relativ geringe 10 Millionen Dollar, doch das sei eine kurzfristige Einsparung bei einem langfristigen Verlust, warnte die auf Cybersicherheit und Datenschutz spezialisierte Anwaltskanzlei Robinson + Cole.
„Diese Einsparung wird durch die Summen, die für zukünftige Angriffe ohne die Unterstützung von MS-ISAC ausgegeben werden, in den Schatten gestellt“, heißt es gewarntDie Reaktion auf Cyberangriffe auf Landes- und Kommunalverwaltungen verschlingt weiterhin Steuergelder. Diese Umstellung ist wenig hilfreich und lässt Landes- und Kommunalverwaltungen im Dunkeln und erhöht ihr Risiko. Das ist eine kurzsichtige Strategie der Regierung.
„Es ist schwierig, das volle Ausmaß meiner Besorgnis über die angeblichen Pläne zur Dezimierung von CISA schriftlich auszudrücken, aber es genügt zu sagen, dass es völlig inakzeptabel ist, eine Agentur, die eine so wichtige Rolle bei der Verteidigung des Heimatlandes spielt, auf den Kopf zu stellen und gleichzeitig den Kongress im Dunkeln zu lassen.“ sagte Eric Swalwell, ranghöchstes Mitglied des Unterausschusses für Cybersicherheit und Infrastrukturschutz, in einem Brief an dessen amtierende Direktorin Bridget Bean vom 10. April.
Über 400 Cybersicherheitsexperten unterzeichneten außerdem eine Vereinbarung der Electronic Frontier Foundation Petition zur Unterstützung von Krebs. Jen Easterly, die als CISA-Direktorin zurücktrat, als Trump ins Amt kam, namens Was passiert, ist „ein Zero-Day in unserer bürgerlichen Integrität“.
Wie Organisationen reagieren sollten
Die Sicherheitsarbeit der CISA kam allen zugute, sowohl innerhalb der USA als auch darüber hinaus. Die Reduzierung der Ressourcen und die Einstellung einiger wichtiger Programme erschweren es der Agentur, Bedrohungen in einer Zeit zu erkennen, in der sich diese schnell weiterentwickeln.
Jeder sollte dies berücksichtigen und sein Bestes tun, um seine eigenen Fähigkeiten zu stärken. Das bedeutet, die Kapazitäten für Sicherheitsoperationen auszubauen und sich stark auf die Reaktion auf Vorfälle zu konzentrieren. Die Überwachung der Empfehlungen, die die CISA noch herausgeben kann, sowie der Empfehlungen anderer Bundesbehörden ist entscheidend. Organisationen können sich auch an anderen, weiter entfernten Stellen orientieren, wie beispielsweise am britischen National Cyber Security Centre.
Auch für diejenigen, die gemeinsam stark sein wollen, ist gesellschaftliches Engagement eine zunehmend sinnvolle Praxis. Branchenspezifische Informationsaustausch- und Analysezentren (ISACs) sind wertvolle Kanäle für den Informations- und Beratungsaustausch mit Branchenkollegen.
Und dann ist da natürlich noch eine effektive Cyber-Hygiene. Best Practices, von der einfachen Backup-Automatisierung bis zur Netzwerksegmentierung, sind hervorragende Möglichkeiten, sich vor Angreifern zu schützen, die durch mangelnde Klarheit und Führung in der Behörde ermutigt werden.
