![]()
Einen riesigen Katalog an Maßnahmen für IT-Sicherheit verordnet US-Präsident Joe Biden seinen US-Bundesbehörden. Die Bandbreite der Maßnahmen ist gewaltig, sodass kaum ein behördliches IKT-System unberührt bleiben wird. Es muss Jahre gedauert haben, den am Donnerstag veröffentlichen Präsidentenerlass vorzubereiten. Es ist sich gerade noch ausgegangen, vier Tage vor dem Ende der Amtszeit Bidens.
Anzeige
Enthalten sind nicht nur Vorgaben für die interne Gebarung von Bundesbehörden, sondern auch für deren Lieferanten und Dienstleister, sonst hätte das Unterfangen ja wenig Sinn. Unterstützt die eingekaufte Software DNS-Verschlüsselung nicht, nutzt der schönste Resolver nichts. Verarbeitet der BGP-Router des Netzbetreibers die Origin-Schlüssel nicht, läuft die Absicherung der Datenübertragung ins Leere. Ist die Hardware schon vor Einbau kompromittiert, hat die Abwehr schweren Stand.
Doch stehen die Vorgaben im Gegensatz zum Regulierungsabbau, wie ihn Bidens Amtsnachfolger Donald Trump predigt, und zu dessen geplanten radikalen Kürzungen im öffentlichen Dienst. Vielleicht speziell für Trump hebt Bidens Erlass gleich zu Beginn zweimal hervor, wen es abzuwehren gilt: Gegner und Kriminelle, allen voran die Volksrepublik China. Sie sei die "aktivste und hartnäckigste IT-Bedrohung für US-Behörden, den Privatsektor und die Kritische Infrastruktur".
"Es muss mehr getan werden, um die IT-Sicherheit der Nation gegen diese Bedrohungen zu schützen", schreibt der US-Präsident, dessen Erlass frühere Präsidentenerlässe von Barack Obama, Donald Trump und Biden selbst fortschreibt. Er erklärt es zur offiziellen Strategie der Regierung, Anbieter von Software und Cloud-Diensten stärker zur Verantwortung zu ziehen, die Sicherheit behördlicher Kommunikations- und Identitätsmanagementsysteme zu stärken, sowie innovative Entwicklungen und neue Technik (lies: KI) für IT-Sicherheit einzusetzen.
Zu diesem Behufe ordnet Biden eine lange Liste von Schritten an, die unterschiedliche Beteiligte zu setzen haben. Die Zuständigkeit des Präsidenten beschränkt sich allerdings auf die Bundesebene. Und der Privatsektor ist nur soweit betroffen, als er für Bundesbehörden tätig wird. Weitgehend ausgenommen sind Systeme für die Nationale Sicherheit und besonders wichtige Militäreinrichtungen, für die der Erlass allerdings anrät, sinngemäße Maßnahmen zu setzen. Da es bei Open Source bisweilen keinen Vertragspartner im engeren Sinne gibt, sollen für deren Einsatz Ratschläge für Sicherheitsassessments, Updatemanagement, aber auch Beiträge der öffentlichen Hand zu Open-Source-Projekten ausgearbeitet werden.
Mit Ihrer Zustimmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Umfragen immer laden
Softwarelieferanten müssen schon jetzt bei der Programmierung bestimmte Sicherheitsregeln befolgen, sind aber bisweilen nachlässig beim Stopfen bekannter Sicherheitslücken. Daher sollen Behörden ihren Lieferanten strenger auf die Finger schauen. Dazu bestellt Biden neue Vertragsbedingungen sowie Bestätigungen der Lieferanten, dass sie die Sicherheitsvorgaben einhalten. Sie sollen neben einer Liste aller behördlichen Kunden auch Daten hochladen, die die Umsetzung der Vorschriften beweisen. Das soll stichprobenartig überprüft werden, wobei die Ergebnisse veröffentlicht werden. Auf diese Weisen werden nachlässige Softwareanbieter an den Pranger gestellt.
Mit besseren Programmiermethoden alleine ist es nicht getan. Auch das Ausspielen der Software und ihrer Updates, die Sicherheit des Endprodukts müssen passen. Dafür sollen Empfehlungen des National Institute of Standards and Technology aktualisiert und verbindlich werden (NIST Special Publication 800-218 Secure Software Development Framework (SSDF), 800-53 Security and Privacy Controls for Information Systems and Organizations). Ähnliches gilt für die gesamte Lieferkette von Soft- und Hardware (800-161 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations). Hier soll der gesamte Lebenszyklus von der Beschaffungsplanung über Lieferantenauswahl, Definition von Zuständigkeiten, Evaluierung von Sicherheit und Leistung sowie Verwaltung der Verträge überarbeitet werden.
Da die sicherste Software wenig taugt, wenn der Kunde sie unsicher einsetzt, müssen auch die Behörden Hausaufgaben machen. Dazu zählt besseres Management digitaler Identitäten und Zugriffsrechte. Phishing soll erschwert werden, wobei Biden konkret WebAuthn anspricht, also Passkeys forciert. Zur Verbesserung der Datensicherheit sollen Voreinstellungen für Cloudsysteme definiert werden.
In einem früheren Erlass hat Biden angeordnet, dass Bundesbehörden Informationen über Bedrohungen miteinander teilen. Das reicht nicht mehr. Jetzt sollen sogenannte "endpoint detection and response" Systeme ausgerollt werden, deren Auswertungen die IT-Sicherheitsbehörde CISA überwachen darf (mit Ausnahmen für Datenschutz oder sonst geheim zu haltende Informationen, sowie in Sonderfällen zeitlichen Einschränkungen, um kritische Prozesse nicht zu stören).
Für Satelliten und anderen Raumfahrtbelange muss der Präsident sogar grundlegende Bausteine setzen lassen: Verschlüsselung von Datenübertragung und deren Absicherung gegen Manipulation unterwegs, Zertifizierung der Quellen sowie Zurückweisung nicht autorisierter Befehle. Hinzu tritt die Ausarbeitung von Methoden um Auffälligkeiten zu entdecken und darauf zu reagieren, plus Einsatz sicherer Methoden für die Entwicklung von Hard- und Software.
Für Bodenstationen soll erst einmal ein Inventar angelegt werden, anhand dessen festgestellt wird, welche Anlagen besonders zu schützen sind. Für diese sollen Empfehlungen für besseren Schutz und Überwachung erstellt werden.
(Ursprünglich geschrieben von Daniel AJ Sokolov)
Kommentare