Von entscheidender Bedeutung: Bidens wegweisende Verordnung zur Cybersicherheit

Von:

20. Mai 2021

Am 12. Mai 2021 erließ Präsident Joseph Biden eine Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation. In Anerkennung der Tatsache, dass „die Vereinigten Staaten mit anhaltenden und immer raffinierteren böswilligen Cyberkampagnen konfrontiert sind, die … die Sicherheit und Privatsphäre der amerikanischen Bevölkerung bedrohen“, hat Präsident Biden einen mutigen (und dringend notwendigen) Schritt unternommen, um die im öffentlichen Sektor verwendete kritische Software zu schützen, indem er neue Standards für mehr Transparenz festlegt, die Modernisierung der Sicherheitsarchitekturen unseres Landes fördert und eine bessere Koordination und Kommunikation zwischen den Behörden sicherstellt, um Bedrohungen wirksam zu bekämpfen.

Auch wenn diese Durchführungsverordnung ursprünglich durch den im Jahr 2020 aufgedeckten SolarWinds-Hack inspiriert wurde, könnte die Ankündigung angesichts der jüngsten Nachrichten über den Ransomware-Angriff auf Colonial Pipeline nicht aktueller sein. Diese Angriffe auf geschäftskritische Anwendungen und systemrelevante Systeme nehmen zu, weshalb es sehr ermutigend ist, dass Präsident Biden eine solch wegweisende Initiative ergreift, um das gesamte Gewicht der Bundesregierung in die Abwehr künftiger Cyberangriffe zu legen.

Diese Durchführungsverordnung ist weitreichend und zeitlich ehrgeizig angelegt, doch ich möchte vier interessante Punkte aus dem Erlass hervorheben:

1. Der Abbau von Hindernissen beim Austausch von Bedrohungsinformationen ist von entscheidender Bedeutung
Öffentliche und private Einrichtungen sind heute stärker denn je miteinander vernetzt. Unsere Kernsysteme, wie Finanzsysteme oder Software für das Lieferkettenmanagement, sind mit cloud verbunden – was zwar die Geschäftsabläufe beschleunigt, Organisationen aber leider auch anfällig für Angriffe machen kann. Im Falle eines Angriffs ist Zeit ein entscheidender Faktor, um Schäden zu minimieren. Diese Verordnung erkennt an, dass es gelegentlich Hindernisse oder Vorbehalte gegenüber dem freien Informationsaustausch gibt, und sieht vor, dass die Vertragsanforderungen der Federal Acquisition Regulation (FAR) und des Defense Federal Acquisition Regulation Supplement geändert werden, um den Informationsaustausch zu erleichtern. 

2. Sicherheitsfunktionen müssen modernisiert werden und mit unserer fortschreitenden digitalen Transformation Schritt halten
Wir alle wissen, dass cloud Unternehmen enorme Vorteile bieten und weltweit massive Effizienzsteigerungen in großem Maßstab ermöglichen. Die Herausforderung besteht darin, dass viele Sicherheitsmodelle nicht mit unserer fortschreitenden digitalen Transformation Schritt gehalten haben, wodurch Sicherheitslücken entstanden sind. Unsere mittlerweile miteinander vernetzten geschäftskritischen Anwendungen – sowohl vor Ort als auch in der cloud sind äußerst anfällig für Angriffe aus einer wachsenden Zahl von Angriffsvektoren im gesamten erweiterten Unternehmensumfeld. Die Durchführungsverordnung beschleunigt die Bemühungen um eine bessere Absicherung cloud (d. h. SaaS, PaaS, IaaS) und legt ein ehrgeiziges Mandat zur Weiterentwicklung hin zu einer Zero-Trust-Architektur fest. Dies verbindet cloud untrennbar mit einem solideren Zero-Trust-Ansatz. 

3. Mehr Transparenz und eine strenge Überprüfung der Software-Lieferkette sind erforderlich
Denken Sie an den SolarWinds-Vorfall zurück. Ein routinemäßiges Software-Update führte zu einer alles andere als routinemäßigen Sicherheitsverletzung. Präsident Biden hat die Software-Lieferkette klar im Visier und sieht eine Reihe von Maßnahmen vor, die darauf abzielen, Code-Manipulationen in geschäfts- und missionskritischer Software zu verhindern sowie eine bessere Sicherheitshygiene sowohl bei öffentlichen Entwicklern als auch bei privaten Anbietern durchzusetzen. Die Verordnung fordert das National Institute of Standards and Technology (NIST) auf, Beiträge aus dem öffentlichen Sektor, der Privatwirtschaft und der Wissenschaft einzuholen. Ziel ist es, neue Standards und Kriterien zu entwickeln, um sowohl die Sicherheit von Software als auch die Sicherheit der im Softwareentwicklungsprozess verwendeten Komponenten zu bewerten und einzustufen.  

4. Wir brauchen ein einheitliches Handbuch der Bundesregierung für Vorfälle und eine umfassendere Aufsicht
Die Durchführungsverordnung sieht die Schaffung eines einheitlichen Rahmens für die Reaktion auf Schwachstellen und Vorfälle innerhalb von 120 Tagen nach Erlass der Verordnung vor, um eine bessere behördenübergreifende Koordination und damit eine wirksamere Reaktion auf Bedrohungen zu gewährleisten. Außerdem wird die Einrichtung eines Cybersecurity Safety Review Board gefordert, das „im Zusammenhang mit schwerwiegenden Cybervorfällen …, die Informationssysteme der [Federal Civilian Executive Branch] (FCEB) oder nicht-föderale Systeme betreffen, Bedrohungsaktivitäten, Schwachstellen, Abhilfemaßnahmen und die Reaktionen der Behörden assess und assess kann.  Dies ist ein vielversprechender Schritt, da der Ausschuss mit dem National Transportation Safety Board vergleichbar ist, das nach Unfällen und anderen Vorfällen einschreitet und kritische Fragen stellt. Schließlich fordert die Verordnung den Aufbau verbesserter Fähigkeiten innerhalb der Bundesregierung, um die Erkennung, Untersuchung und Behebung von Cybersicherheitsschwachstellen und -vorfällen zu verbessern. 

Ein mutiger Schritt nach vorn … doch es gibt noch viel zu tun

Für diejenigen unter uns, die schon seit Langem an vorderster Front im Bereich Cybersicherheit tätig sind, ist diese Verordnung ehrgeizig, sehr zu begrüßen und wohl auch längst überfällig. Da die Bundesregierung nun diese höheren Standards festlegt, ist nicht nur mit einer Verbesserung der Sicherheitslage im öffentlichen Sektor zu rechnen, sondern auch mit entsprechenden Verbesserungen bei der Arbeitsweise von Sicherheitsanbietern und CISOs in privaten Unternehmen sowie bei der Absicherung ihrer geschäftskritischen Anwendungen – sowohl vor Ort als auch in der cloud.

Es ist wichtig zu beachten, dass diese Durchführungsverordnung die bedeutende Partnerschaft zwischen dem öffentlichen und dem privaten Sektor anerkennt. Niemand – nicht einmal die Bundesregierung – kann dies alleine bewältigen. Ein Modell der geteilten Verantwortung für die Cybersicherheit mit festgelegten Standards und einem Informationsaustausch zwischen dem öffentlichen und dem privaten Sektor ist für das Wohlergehen unserer Nation und unserer Gesellschaft von entscheidender Bedeutung.   

Bei Onapsis ist unsere Mission dieselbe geblieben wie seit unserer Gründung vor mehr als einem Jahrzehnt. Wir schützen die geschäfts- und unternehmenskritischen Softwareanwendungen, die den Betrieb von Fortune-500-Unternehmen und Einrichtungen des öffentlichen Sektors aufrechterhalten. Unsere Forscher und Experten unternehmen enorme Anstrengungen, um Zero-Day-Schwachstellen zu verstehen und aufzudecken, die von Angreifern ausgenutzt werden, um geschäftskritische Anwendungen anzugreifen, und wir sind bestrebt, verantwortungsbewusst als Partner mit anderen Softwareanbietern und Kunden zusammenzuarbeiten, um dazu beizutragen, das Risiko umfassend zu mindern. Wir versorgen unsere Kunden mit aussagekräftigen threat intelligence ihnen threat intelligence helfen, ihre Schwachstellen zu verstehen und Bedrohungen besser zu überwachen und darauf zu reagieren; wir bieten Transparenz bei ihrem Übergang zu einer modernen cloud ; wir unterstützen sie bei der Einhaltung von Standards, wie beispielsweise denen, die vom NIST festgelegt wurden (oder werden); und wir stärken ihre DevSecOps, um den Softwareentwicklungszyklus proaktiv zu sichern. 

Letztendlich ist diese Durchführungsverordnung ein wichtiger erster Schritt, um die Sicherheitskontrollen für das 21. Jahrhundert zu verschärfen, den Informationsaustausch und die Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor zu verbessern und unser Land darauf vorzubereiten, Risiken zu mindern und das Ausmaß künftiger Vorfälle, die unsere kritischen Systeme betreffen, zu verringern. Onapsis freut sich darauf, seine Forschungsergebnisse und sein Fachwissen einzubringen, um zur Ausarbeitung neuer Standards beizutragen, die diese geschäftskritischen Anwendungen, die unsere vernetzte Weltwirtschaft antreiben, besser schützen
 

Stichworte, ,
Über den Autor
Mariano Núñez

Mariano Núñez

Geschäftsführer und Mitbegründer

Als CEO und Mitbegründer von Onapsis bestimmt Mariano die strategische Ausrichtung des Unternehmens. Unter seiner Führung hat sich Onapsis zu einem der am schnellsten wachsenden Technologie- und Cybersicherheitsunternehmen weltweit entwickelt. Mit über 20 Jahren Erfahrung in der Cybersicherheitsbranche, sowohl als Führungskraft als auch als Cybersicherheitsexperte, war Mariano der Erste, der auf großen Konferenzen wie RSA, Black Hat und SANS öffentlich über Cybersicherheitsrisiken für ERP-Plattformen und deren Minderung referierte. Zu Marianos Beiträgen zur Cybersicherheits-Community zählen die Entwicklung der ersten Open-Source-Frameworks für SAP- und ERP-Penetrationstests sowie die Aufdeckung kritischer Zero-Day-Schwachstellen in Anwendungen von SAP, Oracle, IBM und Microsoft. Marianos Erkenntnisse werden regelmäßig in großen Medien wie CNN, Reuters, dem Wall Street Journal, Nasdaq, Fortune und der New York Times veröffentlicht.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen