Die US-Administration hat soeben eine präsidentielle Verordnung (Executive Order) veröffentlicht, in der ein Bündel der Cybersecurity Maßnahmen definiert ist. Nach den jüngsten Cyberangriffen gegen staatliche Organisationen und Provider der kritischen Infrastruktur will man rasch handeln. Die Administration Biden's meint, die Lage der Cybersecurity erfordert ganz einschneidende Maßnahmen. Der kleinen Verbesserungen reichen nicht mehr aus. Deswegen fordert die Verordnung eine Umsetzung der vorgeschlagenen Maßnahmen binnen sehr kurzen Zeitrahmen - viele der Punkte müssen schon in 60 oder 90 Tagen erledigt sein.
Im Kern der Verordnung steht eine moderne Cybersecurity-Strategie mit Zero-Trust-Architektur, Multifactor-Authenitifizierung, Daten-Verschlüsselung und einer angemessenen Cloud-Security. Die Verordnung konzentriert sich nicht nur auf die Bestimmung der notwendigen Sicherheitsmaßnahmen, sondern auch auf Methoden für regelmäßige Überprüfung der Einhaltung dieser Maßnahmen.
Ein anderer wichtiger Aspekt der Verordnung ist Sicherheit von Software Supply Chain. Auch hier sollen binnen kurzer Zeit Sicherheitsmaßnahmen für die Implementierung und auch Überprüfung der Software definiert und umgesetzt werden. Dazu gehören auch geeignete Tools für Code-Analyse und Suche nach Vulnerabilities.
Mit dieser Verordnung und im Rahmen dieser Verordnung ausgearbeiteten konkreten Vorgaben und Überprüfungsmethoden werden alle US-staatlichen Organisationen zur Implementierung dieser Maßnahmen verpflichtet. Auch die Lieferanten der Software-Produkte und Cloud-Services werden dann nachweisen müssen, dass ihre Produkte die Vorgaben erfüllen.
Diese Verordnung ist ein gewaltiges Packet von Maßnahmen, mit dem Ziel die Cybersecurity der Regierungsorganisationen zu modernisieren. Die konkrete Benennung der erforderlichen Maßnahmen und Umsetzungstermine zeigt die Entschlossenheit der Biden's Administration die längst notwendige Modernisierung endlich umzusetzen.
Ich denke, wir in Europa müssen sehr genau die Arbeiten an der Umsetzung dieser Verordnung beobachten. Es können dabei ganz neue, praktische Cybersecurity-Standards entstehen, die auch in Europa eingesetzt werden sollen.
Keine Kommentare:
Kommentar veröffentlichen