Seit seinem Amtsantritt als US-Präsident hat Joe Biden deutlich gemacht, dass er Cyberkriminalität ernst nehmen wird. Es ist nicht so, dass Biden der technisch versierteste Achtzigjährige der Welt ist. Stattdessen reagiert er lediglich auf Sicherheitsherausforderungen, die sich unter seiner Führung entwickelt haben – insbesondere auf eine Reihe zunehmend zerstörerischer Cyberangriffe, die während seines ersten Jahres als Präsident stattfanden. Die jüngste Bemühung der Regierung, das Internet sicherer zu machen, ist ihr neues Cybersicherheitsstrategie, die am Donnerstag auf der Website des Weißen Hauses veröffentlicht wurde. Die Richtlinie könnte erhebliche Auswirkungen auf die Bemühungen der Regierung haben, Cyberkriminelle abzuschrecken, und könnte bei wirksamer Umsetzung mehrere Bereiche der Technologiebranche enorm beeinflussen, nicht nur die Sicherheit.
Die vollständige Bericht zur Strategie der Regierung ist 39 Seiten und Tausende und Aber Tausende Wörter lang, aber ich habe mich dadurch gequält und versucht, es auf nur etwa 1.500 Wörter zu komprimieren. Die Strategie zur Cybersicherheit hat fünf Schlüsselabschnitte – oder „Säulen“. Hier sind einige der Kernergebnisse.
#1: „Kritische Infrastrukturen“ schützen, d. h. sicherstellen, dass wirklich wichtige Dinge nicht gehackt werden
Kritische Infrastrukturen sind ein ziemlich großes Thema in der Cybersicherheit. Deshalb ist es sinnvoll, dass die erste Säule der neuen Cyberstrategie die Einführung umfassenderer Schutzmaßnahmen vorsieht. „Wir werden dem amerikanischen Volk Vertrauen in die Verfügbarkeit und Widerstandsfähigkeit unserer kritischen Infrastrukturen und der wesentlichen Dienste geben, die sie bereitstellen“, heißt es in der Strategie. Das klingt gut, aber Sie fragen sich vielleicht, was genau als „kritische Infrastruktur“ gilt.
Die kurze Antwort ist: eine Menge Zeug.
Im Allgemeinen kann man sich kritische Infrastruktur als industrielle Systeme vorstellen, die Dienstleistungen für große Gruppen von Menschen bereitstellen. Dazu gehören Dinge wie Stromnetze, Ölpipelines, Staudämme, lokale und regionale Wasserversorgungen, Kernkraftwerke, ISPs und Breitbandanbieter und mehr. Die meisten dieser Dienstleistungen werden von webbasierten Programmen gesteuert, den sogenannten SCADAs, kurz für Supervisory Control and Data Acquisition Systems. Besagte Systeme sind Softwareprogramme die für Fernzugriff und Fernsteuerung entwickelt sind. Problematisch ist auch dass sie ziemlich hackbar. Das berüchtigtste Beispiel für ein gehacktes SCADA-System ist der Stuxnet-Vorfall, bei dem Cyber-Betreiber im Auftrag der US-amerikanischen und israelischen Regierung mithilfe eines hochentwickelten Wurms einen der iranischen Reaktoren, der mit dem Atomwaffenprogramm des Landes verbunden ist, attackierten. Viel kleinere und alltäglichere Ziele sind jedoch noch anfälliger für Angriffe und können dennoch ziemlich viel Schaden, wenn es kompromittiert ist.
Um all diese kritischen Dinge zu schützen, hat die Regierung eine Reihe verschiedener Initiativen vorgeschlagen, von denen die wohl bemerkenswerteste die Entwicklung neuer Bundesvorschriften ist, die Mindestsicherheitsanforderungen für besonders wichtige Sektoren und CI-Anbieter vorschreiben. Warum die Regierung so darauf bedacht ist, kritische Infrastrukturen zu schützen, scheint ziemlich offensichtlich. Abgesehen davon, dass es einfach eine wirklich gute Idee ist, möchte Bidens Regierung offensichtlich keine Wiederholung dessen, was 2021 passiert ist, als die Ransomware-Bande Dunkle Seite angegriffen Koloniale PipelineDieser Angriff, der die lebenswichtigen Energieflüsse in großen Teilen des Südostens bedrohte, galt als einer der bislang schlimmsten Cyberangriffe auf die kritische Infrastruktur der USA und war weder für die Regierung noch für die künftige Regierung ein gutes Zeichen.
#2: Die USA werden bösen Hackern weiterhin in den Hintern treten
Eine Sache, die die US-Regierung normalerweise ziemlich gut kann, ist, den Leuten in den Hintern zu treten, und in letzter Zeit hatte sie ihre Arschtritt-Szenen. ausgebildete auf diejenigen, die in der digitalen Unterwelt leben. Die diese Woche veröffentlichte Strategie betont, dass Amerika auf absehbare Zukunft die Bedrohungsakteure weiterhin da treffen wird, wo es weh ist.
Tatsächlich stellt sich die Biden-Regierung eine Zukunft vor, in der sie „alle Instrumente der nationalen Macht“ einsetzt, um „böswillige Cyber-Akteure unfähig zu machen, die nationale oder öffentliche Sicherheit der Vereinigten Staaten zu bedrohen“. In der Praxis bedeutet dies, dass sie ihre Strafverfolgungsressourcen (z. B. Hacker jagendes Cyber-Personal bei Regierungsprojekten wie dem des FBI) nutzt, um Nationale gemeinsame Cyber-Ermittlungs-Taskforce) und bestehende internationale Partnerschaften (wie die kürzlich gestartete Taskforce zur Bekämpfung von Ransomware), um den Cyberkriminellen weiterhin die Hölle heiß zu machen. Gleichzeitig will die Regierung auch präventive Maßnahmen beschleunigen, wie etwa Informationsaustausch zwischen der Technologiebranche und der Regierung sowie einer umfassenderen Kommunikation und Koordination zwischen dem öffentlichen und privaten Bereich.
Dieser anhaltende Krieg gegen Cyberkriminelle ist aus mehreren Gründen sinnvoll. Als Biden sein Amt antrat, war die Plage gegen Ransomware auf seinem Höhepunkt. Insbesondere das 2021 Attacke an der Colonial-Pipeline wurde sowohl als Weckruf als auch als nationaler Sicherheitsnotstand betrachtet. Seitdem geht Bidens Regierung mit allergrößter Richtung gegen die Ransomware-Industrie vor. Dazu gehören die Einrichtung einer Reihe von Taskforces und internationalen Gipfeltreffen zur Bewältigung des Problems sowie die Einführung eines neuen Justizministeriums und der Einrichtung eines neuen Büros für die Erpressersoftware . Richtlinien für die Untersuchung und strafrechtliche Verfolgung von Ransomware-Fällen. Gleichzeitig versuchten eine Schar von Strafverfolgungsoperationen, weitgehend unter der Leitung des NCIJTF, stören große Teile des Ransomware-Ökosystems, darunter eine neue , ausgefeilte Absteckung innerhalb der Gang Hive, deren Aktivitäten im Februar effektiv neutralisiert wurden.
In dem neuen Bericht gibt die Regierung bekannt, dass sie mit solchen Dingen weitermachen wird und dass ihr ultimatives Ziel darin besteht, Ransomware buchstäblich „zu besiegen“. Die Regierung sagt, sie sei „entschlossen, Störungskampagnen und andere Anstrengungen durchzuführen, die so nachhaltig, koordiniert und zielgerichtet sind, dass Ransomware dadurch nicht mehr rentabel wird.“ Mit anderen Worten: Ihr Darknet-Schergen, sie sind hinter euch her!
#3: Sicherstellen, dass die Technologiebranche der Sicherheit Priorität einräumt
Ein weiteres Ziel der neuen Cyber-Strategie besteht darin, die Leute im Silicon Valley zu zwingen, etwas zu tun, was sie nicht besonders gut können: bei der Entwicklung ihrer Produkte der Sicherheit höchste Priorität einzuräumen.
Tatsächlich ist einer der Gründe, warum Unternehmen so häufig gehackt werden, dass bei der Entwicklung moderner Software die Sicherheit nicht wirklich im Vordergrund steht. Stattdessen stehen für Entwickler häufig zwei andere Faktoren ganz oben auf der Prioritätenliste: die Markteinführungszeit und das Kundenerlebnis. Sicherheit hingegen kann sowohl zeitaufwändig als auch kostspielig sein. Es gibt Ausnahmen von dieser Regel, aber im Großen und Ganzen ist Sicherheit berücksichtigt ein Hindernis für die Kernprioritäten eines Unternehmens (schnelle Einführung eines Produkts und Geldverdienen).
Was will die Regierung dagegen tun? Nun, es gibt ein paar unterschiedlicher Maßnahmen, die die Biden-Administration ergreifen möchte, um die Technologiebranche zu ermutigen, ihre Arbeit besser zu machen.
Nutzen Sie Bundesförderprogramme, um Investitionen in neue Sicherheitsprodukte voranzutreiben und die staatliche Forschung und Entwicklung im Bereich Sicherheitstechnologien zu fördern. Dies ist eine interessante Idee, aber definitiv eher eine langfristige Strategie als eine kurzfristige Lösung.
In dem Dokument heißt es, dass man außerdem mit dem Kongress und dem privaten Sektor zusammenarbeiten wolle, um eine „Haftung für Softwareprodukte und -dienste“ zu etablieren. Ziel dieses Vorstoßes sollte es sein, „höhere Sorgfaltsstandards für Software in bestimmten Hochrisikoszenarien einzuführen“. Die Idee besteht darin, eine Anreizstruktur zu schaffen, in der Unternehmen ab einer gewissen Größe und Bekanntheit gezwungen sind, bessere Sicherheitsvorkehrungen für ihre Produkte zu treffen, da sie sonst rechtlichen Risiken ausgesetzt sind.
Kurioserweise wird in der Strategie auch darauf hingewiesen, dass der Datenschutz erweitert werden soll, um sich vor Sicherheitsbedrohungen zu schützen. In dem Dokument heißt es: „Die Regierung unterstützt robuste, klare Grenzen für die Möglichkeit, personenbezogene Daten zu sammeln, zu verwenden, zu übertragen und aufzubewahren.“ Kurz gesagt: Die Überlegung dahinter ist: Wenn Unternehmen weniger personenbezogene Daten von Webbenutzern speichern, verringert sich die Wahrscheinlichkeit von Datendiebstählen. Das klingt nach einer interessanten Idee, aber es ist unklar, wie und wann eine solche Wendung der Ereignisse eintreten könnte.
#4: Anerkennen, dass das Internet mit Kaugummi und Bindedraht zusammengehalten wird
Eine weitere große Cybersicherheitskrise, die sich unter der Aufsicht der Biden-Regierung entwickelte, war die Entdeckung des log4j-Fehler. Eine schwerwiegende Sicherheitslücke bei der Remote-Code-Ausführung in einer weit verbreiteten Open-Source-Softwarebibliothek. Die Log4j-Episode half der Regierung weiter Klarheit zu bringen Gefahren des heutigen Open-Source-Software-Ökosystems und der potenziellen Bedrohungen, die es für die Weltwirtschaft darstellt. Seit der Entdeckung des Fehlers arbeitet die Regierung mit der Open-Source-Community und anderen Internet-Interessengruppen zusammen, um bessere Schutzmaßnahmen für wichtige Software-Lieferketten und das weitere digitale Ökosystem zu erlassen. Systemische Sicherheitsmängel sind etwas, das angegangen werden muss, so die neue Cyber-Strategie. Das Dokument schreibt:
Das Internet ist für unsere Zukunft von entscheidender Bedeutung, behält jedoch die grundlegende Struktur seiner Vergangenheit bei. Viele der technischen Grundlagen des digitalen Ökosystems sind von Natur aus anfällig. Jedes Mal, wenn wir auf dieser Grundlage etwas Neues aufbauen, fügen wir neue Schwachstellen hinzu und erhöhen unsere kollektive Risikoexposition… Eine solche „Säuberungsaktion“ zur Reduzierung des systemischen Risikos erfordert die Identifizierung der dringendsten dieser Sicherheitsherausforderungen, die Weiterentwicklung wirksamer Sicherheitsmaßnahmen und eine enge Zusammenarbeit zwischen dem öffentlichen und privaten Sektor, um unsere Risikoexposition zu verringern…
Mit anderen Worten: Die Regierung erkennt an, dass unsere digitale Welt, wie das alte Sprichwort sagt, zusammengehalten wird.“von Kaugummi und Bindedraht.“ Um dieses Problem zu beheben, plant das Weiße Haus nach eigenen Angaben, eine Menge Geld in verschiedene Bereiche zu investieren, um ein sichereres Ökosystem zu schaffen. Dazu gehören …
Nutzung von Partnerschaften mit dem privaten Sektor, um „systemische technische Schwachstellen in der Grundlage des Internets und im gesamten digitalen Ökosystem“ zu reduzieren, etwa Schwachstellen im Border Gateway Protocol, unverschlüsselte Domain Name System-Anfragen und andere seit langem bestehende Sicherheitsmängel in der grundlegenden Web-Infrastruktur.
„Neubelebung“ der Forschung und Entwicklung im Bereich der Cybersicherheitsfunktionen der „nächsten Generation“. Welche Art von Funktionen? Die Strategie nennt Dinge wie Post-Quanten-Verschlüsselung, die angeblich vor der derzeit hypothetischen Bedrohung durch Quantencomputer schützen kann.
Förderung einer breiteren Entwicklung der Belegschaft im Bereich Cybersicherheit. Da es sich hierbei oft um ein problematisches Thema handelt, haben Unternehmen und Regierungen manchmal Schwierigkeiten, die richtigen Talente für ihre Einsatzkräfte zu finden. Die Anwerbung und Bindung von Sicherheitsexperten kann schwierig sein und eine erschreckende Zahl von Unternehmen stellt überhaupt keinen CISO ein. Die Regierung sagt, sie wolle eine Reihe bestehender Programme zur Entwicklung der Belegschaft im Bereich Cybersicherheit beschleunigen, um eine breitere Rekrutierung anzuregen.
#5: Stellen Sie sicher, dass der Rest der Welt einer Meinung ist, wenn es darum geht, bösen Hackern in den Hintern zu treten
Und schließlich möchte die Regierung sicherstellen, dass alle anderen auf derselben Seite stehen, wenn es darum geht, die Bösewichte zu verfolgen. Das Weiße Haus sagt, es wolle „internationale Koalitionen und Partnerschaften zwischen gleichgesinnten Nationen nutzen, um Bedrohungen für unser digitales Ökosystem durch gemeinsame Bereitschaft, Reaktion und Kostenauferlegung zu begegnen.“ Im Großen und Ganzen tut die Regierung dies bereits – und es scheint einige gute Ergebnisse gebracht zu haben.
Ein internationaler Gipfel zur Ransomware-Plage trug dazu bei, die Länder hinsichtlich der Notwendigkeit des Kampfes gegen Cyber-Bösewichte zu vereinen, und vor dem Krieg in der Ukraine traf sich Biden sogar mit dem russischen Präsidenten Wladimir Putin, um eine erweiterte Zusammenarbeit bei der Zerschlagung und strafrechtlichen Verfolgung von Ransomware-Banden zu besprechen – von denen viele ihren Hauptsitz vermutlich in Russland haben. Werden weitere internationale Gipfeltreffen und Partnerschaften helfen? Es kann sicherlich nicht schaden.
