WASHINGTON (AP) – Eine ehrgeizige und weitreichende Cybersicherheit des Weißen Hauses Der am Donnerstag veröffentlichte Plan fordert, den Schutz kritischer Sektoren zu stärken und Softwareunternehmen rechtlich haftbar zu machen, wenn ihre Produkte grundlegende Standards nicht erfüllen. Das Strategiedokument verspricht, „alle Instrumente nationaler Macht“ einzusetzen, um Cyberangriffen zuvorzukommen.
Die demokratische Regierung sagte auch, sie werde daran arbeiten, der Datenerfassung im privaten Sektor, einschließlich Geolokalisierung und Gesundheitsinformationen, „robuste und klare Grenzen aufzuerlegen“.
„Wir haben noch einen langen Weg vor uns, bis sich jeder Amerikaner sicher ist, dass der Cyberspace für ihn sicher ist“, sagte Kemba Walden, amtierender nationaler Cyber-Direktor, am Donnerstag während eines Online-Forums. „Wir gehen davon aus, dass die Schulbezirke mit transnationalen kriminellen Organisationen weitgehend alleine fertig werden. Das ist nicht nur unfair. Es ist wirkungslos.“
Die Strategie kodifiziert weitgehend die Arbeit, die bereits in den letzten zwei Jahren nach einer Flut hochkarätiger Ransomware-Angriffe auf kritische Infrastrukturen durchgeführt wurde. Ein Angriff im Jahr 2021 auf eine große Kraftstoffpipeline verursachte Panik an der Zapfsäule, was zu einer Kraftstoffknappheit an der Ostküste führteund andere schädliche Angriffe Cybersicherheit zu einer nationalen Priorität gemacht. Russlands Invasion in der Ukraine verstärkte diese Bedenken.
Das 35-seitige Dokument legt den Grundstein für eine bessere Abwehr zunehmender Bedrohungen für Regierungsbehörden, die Privatwirtschaft, Schulen, Krankenhäuser und andere lebenswichtige Infrastrukturen, die routinemäßig verletzt werden. In den vergangenen Wochen hat das FBI, US Marshals Service und Dish Network gehörten zu den Einbruchsopfern.
„Die Abwehr gewinnt kaum. Alle paar Wochen wird jemand fürchterlich gehackt“, sagte Edward Amoroso, CEO der Cybersicherheitsfirma TAG Cyber.
Er nannte die Strategie des Weißen Hauses weitgehend ambitioniert. Seine kühnsten Initiativen – darunter strengere Regeln für die Meldung von Sicherheitsverletzungen und die Haftung für Software – stoßen wahrscheinlich auf Widerstand von Unternehmen und Republikanern im Kongress.
Brandon Valeriano, ehemaliger hochrangiger Berater der Cyberspace Solarium Commission der Bundesregierung, stimmte zu.
„Hier gibt es viel zu mögen. Es fehlen einfach viele Einzelheiten“, sagte Valeriano, ein angesehener Senior Fellow an der Marine Corp. University. „Sie erstellen ein Dokument, das sehr stark für Regulierung spricht, zu einer Zeit, in der die Vereinigten Staaten sehr gegen Regulierung sind.“
Es wird auch erwartet, dass die Datenerfassungskomponente der Strategie im Kongress auf heftigen Gegenwind stoßen wird, obwohl Meinungsumfragen sagen, dass die meisten Amerikaner die Datenschutzgesetzgebung des Bundes bevorzugen.
In einem neuen Bericht sagte das Technologiedatenunternehmen Forrester Research, dass staatlich geförderte Cyberangriffe zwischen 2019 und 2022 um fast 100 % zugenommen haben und sich ihre Art geändert hat, wobei ein größerer Prozentsatz jetzt für Datenzerstörung und Finanzdiebstahl durchgeführt wird. Die Bedrohungen kommen meist aus dem Ausland: in Russland ansässige Cyberkriminelle und staatlich unterstützte Hacker aus Russland, China, Nordkorea und dem Iran.
Die Regierung von Präsident Joe Biden hat bestimmten kritischen Industriezweigen, wie etwa Stromversorgungsunternehmen, bereits Cybersicherheitsvorschriften auferlegt. Gaspipelines und Nuklearanlagen. Die Strategie fordert ihre Ausweitung auf andere lebenswichtige Sektoren.
In einer dem Dokument beigefügten Erklärung sagt Biden, seine Regierung nehme die „systemische Herausforderung an, dass zu viel Verantwortung für die Cybersicherheit auf einzelne Benutzer und kleine Organisationen gefallen ist“. Das bedeutet, dass die gesetzliche Haftung auf die Softwarehersteller verlagert wird und Unternehmen statt Endbenutzer zur Rechenschaft gezogen werden.
Als Nation „neigen wir dazu, die Verantwortung für die Cybersicherheit nach unten zu delegieren. Wir bitten Einzelpersonen, kleine Unternehmen und lokale Regierungen, eine erhebliche Last zu übernehmen, um uns alle zu verteidigen“, sagte Walden.
Das Weiße Haus will den Softwarefirmen mehr Verantwortung aufbürden.
„Zu viele Anbieter ignorieren Best Practices für eine sichere Entwicklung, liefern Produkte mit unsicheren Standardkonfigurationen oder bekannten Schwachstellen aus und integrieren Software von Drittanbietern ungeprüfter oder unbekannter Herkunft“, heißt es in dem Dokument. Das müsse sich ändern, fügt sie hinzu und erklärt, dass das Weiße Haus mit dem Kongress und dem Privatsektor an der Gesetzgebung zur Feststellung der Haftung arbeiten werde.
Die Direktorin der Cybersecurity and Infrastructure Security Agency, Jen Easterly, zog am Montag in einer Rede an der Carnegie Mellon University eine Analogie zur Automobilindustrie, bevor Verbraucherschützer unter Führung von Ralph Nader Sicherheitsreformen erzwangen, darunter Sicherheitsgurte und Airbags: „Die Belastung durch Sicherheit sollte niemals allein auf den Kunden fallen. Technologiehersteller müssen die Sicherheitsergebnisse für ihre Kunden in die eigenen Hände nehmen.“
Aber Amoroso, der Cybersicherheitsexperte, nannte diesen Vergleich fehlgeleitet, weil Software ein anderes Tier ist, das von Natur aus komplex ist und Hacker ständig Wege finden, es zu knacken. Die Haftungsinitiative könnte vor Gericht verwickelt werden, da sich die Industrie widersetzt, sagte er. „Wenn Sie ein Anwalt für Cybersicherheit sind, ist das Manna vom Himmel.“
Auf die Frage, ob es fair sei, Softwareunternehmen vor Gericht für Schäden durch Cyberangriffe haftbar zu machen, sagte der Handelsverband BSA – The Software Alliance in einer Erklärung: „Cybersicherheit entwickelt sich ständig weiter und würde Unternehmen Anreize bieten, Best Practices für sicheres Softwaredesign und -entwicklung anzuwenden kommt dem gesamten Ökosystem zugute.“
Die Gruppe, zu deren Mitgliedern Microsoft, Adobe, SAP, Oracle und Zoom gehören, fügte hinzu: „Wir freuen uns darauf, mit der Verwaltung und dem Kongress an allen vorgeschlagenen Gesetzen zur Förderung bewährter Verfahren zusammenzuarbeiten.“ Amoroso sagte, dass ihm die positiven Aspekte der Strategie gefallen, wie die Sicherung sauberer Energietechnologien und die Stärkung der Cybersicherheitskräfte, denen derzeit landesweit 700.000 Arbeitnehmer fehlen.
Das Dokument fordert auch aggressivere Anstrengungen, um Cyberangriffen vorzubeugen, indem man sich auf militärische, polizeiliche und diplomatische Instrumente sowie auf die Hilfe des Privatsektors stützt. Solche Offensivoperationen, heißt es, müssen „mit größerer Geschwindigkeit, größerem Umfang und größerer Häufigkeit“ stattfinden.
Die Unterbrechung feindlicher Cyberaktivitäten durch „Vorwärtsverteidigung“ findet bereits statt.
Das FBI und das US Cyber Command engagieren sich nun routinemäßig gegen Cyberkriminelle und staatlich unterstützte Hacker im Cyberspace und arbeiten mit ausländischen Partnern zusammen, um Ransomware-Operationen und Wahlbeeinflussungen in den Jahren 2018 und 2020 zu vereiteln. Die Regierung hat Ransomware bereits als nationale Sicherheitsbedrohung eingestuft, und das Dokument besagt, dass dies der Fall sein wird weiterhin Methoden wie „Hacking the Hacker“ anwenden es zu bekämpfen.
___
Bajak berichtete aus Boston. AP-Reporterin Rebecca Santana trug dazu bei.
Folgen Sie Eric Tucker auf Twitter unter http://www.twitter.com/etuckerAP.